La Commission nationale de contrôle des techniques du renseignement présente aujourd’hui son troisième rapport annuel. Elle dresse à cette occasion un panorama des chiffres de la surveillance en 2018, non sans dévoiler une série de recommandations à destination du législateur.

Dans le tableau détaillant ces mesures, on remarque que la géolocalisation en temps réel, les interceptions de sécurité et les « autres techniques du renseignement » sont en forte hausse. Néanmoins, l’accès aux données de connexion en temps différé, qui vise à identifier des abonnés ou à recenser les numéros d’abonnement, constitue le plus fort volume (28 741 avis rendus).

Un effet gilets jaunes ? « La CNCTR rappelle qu’elle se montre particulièrement vigilante sur les demandes fondées sur cette finalité » nuance le rapport. Ainsi, « la prévention de violences collectives ne saurait être interprétée comme permettant la pénétration d’un milieu syndical ou politique ou la limitation du droit constitutionnel de manifester ses opinions, même extrêmes, tant que le risque d’une atteinte grave à la paix publique n’est pas avéré ».

Remarquons que « la part des demandes invoquant la prévention des violences collective de nature à porter gravement atteinte à la paix publique est en progression ». Son poids est passé de 6 à 9 %.

Les demandes de techniques du renseignement ont augmenté de 4 % sur la même période. « La prévention du terrorisme demeure le principal motif de recours » insiste Francis Delon, président de la CNCTR. La prévention de la criminalité organisée et celle de l’ingérence étrangère suivent.

En tout, 22 038 personnes ont fait l’objet d’une surveillance. C’est 3 % de plus que l’année précédente. Essentiellement, pour des faits de terrorisme (39 % des cas).

Néanmoins, cette année encore, il les a toujours suivis. Dans ce contrôle a priori, le taux d’avis défavorables de la CNCTR s’est établi l’an passé à 2,1 %, en recul par rapport à 2017. Cela représente 569 dossiers et même un total de 622 si l’on tient compte des demandes d’accès aux données de connexion en temps différé.

L'institution introduite par la loi Renseignement de 2015 a pour mission de rendre des avis sur les différentes techniques du renseignement mises en œuvre sur demande du Premier ministre. Ces avis sont dits « simples », en ce sens que le chef du gouvernement peut toujours ignorer leur sens.

Au détour de la page 66 du rapport, on découvre que deux nouvelles « boites noires » ont été autorisées en 2018. « À la fin de l’année 2018, trois algorithmes avaient donc été autorisés depuis l’entrée en vigueur du cadre légal le 3 octobre 2015 et étaient en fonctionnement ».

L’article 851-3 du Code de la sécurité intérieure ici en cause est celui qui a suscité le plus de critiques et d’inquiétudes lors des débats, les opposants dénonçant un système de surveillance de masse ou en tout cas d’ampleur.

Ce mécanisme autorise les services du renseignement à aspirer un volume de données de connexion (les « informations et documents ») auprès de n’importe quel intermédiaire en ligne (hébergeurs, FAI, opérateurs, services en ligne…) pour les faire analyser par un algorithme classé secret-défense. L’espoir ? Détecter « des connexions susceptibles de révéler une menace terroriste ».

Le premier algorithme qui fut autorisé en octobre 2017 était donc toujours en route à la fin de l’année 2018. Or, l’autorisation initiale, comme le veut l’article du CSI, ne valait que pour 2 mois. Cela signifie donc qu’il a été depuis régulièrement autorisé depuis plus d’un an. Il n’y a évidemment aucun moyen de savoir les données aspirées, ni à quel rythme ni à quel endroit (FAI, plateforme, prestataire de cloud…).

10 562 interceptions de sécurité

Le compte-rendu de l’activité de la CNCTR révèle aussi un intéressant panorama sur le contingentement des interceptions de sécurité (les « écoutes » qui peuvent concerner la voix mais également les correspondances électroniques).

Selon l’article L852-1, le nombre maximal des autorisations d'interception en vigueur simultanément est arrêté par le Premier ministre, après avis de la Commission nationale de contrôle des techniques de renseignement. En 2014, ce chiffre était de 2 190, en 2015, 2 700. Il a franchi la barre des 3 000 en 2017 et s’étend en 2018 à 3 600

En tout, il y a eu 10 562 interceptions de sécurité sur toute l’année (sur le fondement du 1 de l’article 852-1 du CSI). Le chiffre est en hausse de plus de 20 % par rapport à 2017.

Un contrôle a posteriori facilité par une meilleure centralisation

S’agissant du contrôle a posteriori, la CNCTR est compétente pour inspecter les données collectées conservées selon des délais fixes, et les extractions des transcriptions, stockées tant qu’elles demeurent indispensables à la poursuite des finalités qui les ont justifiées (lutte contre le terrorisme, etc.)

Elle a mené cette année 2018 deux à trois contrôles sur pièces et sur place par semaine. Néanmoins, faute de centralisation totale, elle a encore été obligée d’effectuer des déplacements en France, s’agissant des recueils par IMSI catchers, captation de paroles et d’images dans un lieu privé et recueil de données informatique par cheval de Troie.

« Pour ces techniques caractérisées par une collecte décentralisée du renseignement, les modalités de stockage des données recueillies demeuraient disparates ». La situation s’est néanmoins améliorée au fil du temps, même si un stockage décentralisé perdure, « faute de pouvoir concevoir et financer un réseau informatique susceptible d’acheminer de manière sûre des données volumineuses ».

Pour la première fois, la CNCTR a recommandé à un service « l’interruption d’une technique de renseignement » et la destruction des informations collectées. La recommandation a été suivie « immédiatement ». La surveillance concernait « un groupe d’individus » sans que l’on sache les motifs ou le secteur concerné.

Une année 2018 riche en réformes, les suggestions de la CNCTR

La loi renseignement a subi plusieurs réformes depuis 2015, six exactement avec notamment l’inclusion du pénitentiaire dans le champ du renseignement, l’encadrement de la surveillance hertzienne suite à une censure du Conseil constitutionnel, ou encore la prolongation jusqu’au 31 décembre 2020 de l’expérimentation des boites noires pour détecter des menaces terroristes sur les réseaux.

S’y ajoutent encore la consultation obligatoire de la CNCTR sur toutes les demandes d’exploitation des communications internationales interceptées, en application de la loi de programmation militaire 2019-2025 (notre actualité). En 2018, 971 avis ont été rendus à ce titre.

Cette même loi a également modifié l’article L2371-2 du Code de la Défense pour permettre à l’armée de faire des tests de matériels de surveillance en France. Avec cet encadrement, ces essais ne sont plus des infractions pénales alors qu’ils « sont susceptibles d’entraîner l’interception résiduelle de communications privées », dixit la CNCTR.

Sur le terrain réglementaire, un décret publié le 30 juin 2018 a offert de nouveaux outils d’espionnage aux agents de la préfecture de police de Paris, chargés de la lutte contre la criminalité organisée liée à l'immigration irrégulière. La surveillance hertzienne a été autorisée à de nombreux services du second cercle, en fonction des finalités poursuivies par leurs activités (voir notre tableau, ci-dessous). À chaque fois, l‘exécutif a suivi à la lettre les recommandations de la commission sur les avant-projets de décrets.

Alors que des voix se font entendre en commission des lois à l’Assemblée nationale en faveur d’une réforme de la loi de 2015 sur le Renseignement, la CNCTR a suggéré aussi plusieurs modifications législatives :