En 2015, après le vote de la loi renseignement, la Fondation Jean Jaurès, proche du PS, se réjouissait, appliquant un peu de Soupline sur les cols roulés de Michel Foucault : “De l’Etat de surveillance à un Etat de bienveillance”, titrait le think tank dans une étude. Mais ce satisfecit ne doit pas camoufler la réalité. Avec ce texte, la France a offert à ses services un Noël en avance, en bordant par la loi de nouveaux outils, jusqu’ici cantonnés à une zone de brouillard poétiquement qualifiée d’”alégale” : IMSI-catchers, chevaux de Troie, keyloggers et tutti quanti.

Un peu plus d’un an après son installation, la nouvelle commission de contrôle des techniques de renseignement (CNCTR) présentait son premier rapport d’activité en comité restreint, sous les dorures du restaurant du Sénat, à l’heure du petit déjeuner et des cernes sous les yeux. L’occasion de mesurer l’efficacité de ce gendarme des écoutes, qui opère en amont et en aval : chargé de décider si les agents du renseignement peuvent ou non déployer leurs gadgets rutilants contre une cible, il s’assure également que les informations collectées sont traitées conformément à l’autorisation initiale. Et dans un contexte de lutte antiterroriste, qui rend les barbouzes particulièrement gourmands, la commission a mouillé la chemise.

“Nos avis ne sont pas blancs ou noirs”, assure son président, l’austère Francis Delon, conseiller d’Etat honoraire à brosse presque militaire. “Plus la technique est intrusive, plus nous demandons des garanties. Nous fixons notre doctrine.” Il jure que l’état d’urgence prolongé “n’a pas d’incidence directe” sur le travail de l’autorité administrative, et assure que celle-ci offre “une sécurité juridique” à la DGSI, à la DGSE et à leurs petits copains. Mais pour prendre la température, la meilleure solution est encore de se confronter aux chiffres (Next Inpact a gentiment mis en ligne le PDF du rapport, pour les plus masochistes d'entre vous).

C’est le nombre d’interceptions de sécurité, les écoutes “traditionnelles”. 67% concernent des demandes initiales, et 33% sont des renouvellements. Si le chiffre est relativement stable (+11% par rapport à l’an dernier), sa ventilation change : en 2014, 47% des requêtes concernaient la prévention de la criminalité et de la délinquance, et 27% avaient trait au terrorisme ; après les attentats de janvier 2015, les courbes se sont croisées, et désormais, 43% des demandes d’interceptions sont relatives au terrorisme (contre 40% pour les troubles potentiels à l’ordre public). “Nous sommes très attentif sur la prévention des violences collectives”, a tenu à préciser Francis Delon. “C’est à la frontière de la liberté d’expression et du droit de manifester.” C’est d’autant plus vrai dans un climat sécuritaire où le gouvernement n’a pas hésité à assigner à résidence des militants écologistes pendant la COP21...

Le nombre de géolocalisations en temps réel réalisées par les services. C’est la hausse la plus notable de l’année 2016 : +83% par rapport à 2015. Autorisée depuis la loi de programmation militaire en 2013, cette nouvelle technique “prend de l’ampleur”, comme le reconnaît volontiers la commission. C'est le moins qu'on puisse dire.

Le total des “autres techniques de renseignement”. Il n’est pas détaillé par la CNCTR, qui se réfugie derrière le secret de la défense nationale pour ne pas compromettre “les nécessités opérationnelles des services”. Sont compris dans ce pot-au-feu : les demandes d’accès aux données de connexion en temps réel, le balisage, les IMSI-catchers, la captation sonore, le recueil de données informatiques, l’introduction dans un lieu privé et le traitement automatisé de données de connexion (les fameuses “boîtes noires” - nous y reviendrons).

Mise en cause par un article du Canard Enchaîné, selon lequel elle n’avait pas de pouvoir de contrôle sur les IMSI-catchers, la commission a tenu à réagir par la voix de son président : “C’est une technique qui fait l’objet de la plus grande attention de notre part, et nous ne l’avons autorisée que dans des cas très rares”. Francis Delon a encore insisté sur le quota d’utilisation simultanée de ces appareils coûteux et complexes - “quelques dizaines” -, précisant au passage qu’il en existe deux types : ceux qui sont capables d’identifier l’identifiant d’un téléphone portable (IMEI) ou de sa puce (IMSI) ; et ceux qui sont capables d’aspirer des données, uniquement utilisés “en situation d’urgence absolue” (une prise d’otages par exemple). La CNCTR le jure main sur le coeur : tous les IMSI-catchers sont consignés dans un registre tenu par le Groupement interministériel de contrôle (GIC), le service du Premier ministre chargé de mettre en oeuvre les écoutes.

Le nombre d’avis portant sur l’accès aux données de connexion en temps différé. En grande majorité, elles concernent des requêtes adressées aux opérateurs télécom ou aux fournisseurs d’accès pour identifier le numéro d’abonnement d’une cible, ses identifiants de connexion ou ses factures détaillées (les célèbres “fadettes”, bien connues des journalistes du Monde). Là aussi, le chiffre est en légère hausse (+14%).

Le nombre de “boîtes noires” capables de détecter les “signaux faibles” à l’aide d’un algorithme. Créé à titre expérimental par la loi renseignement, ce mécanisme nébuleux est toujours en développement “pour des raisons techniques”. Il pourrait être opérationnel au printemps. Fin juillet, la CNCTR a transmis à Matignon une délibération classifiée sur l’architecture du dispositif, afin de clarifier les modalités d’accès et de stockage des données. Là encore, la commission se drape dans une bonne foi immarcescible, promettant qu’un agent du renseignement ne pourra pas accéder immédiatement aux informations d’une cible, et qu’une fois l’autorisation accordée, il ne pourra consulter que les métadonnées, pas le contenu. Après la présentation du rapport, un membre de la CNCTR tente une métaphore gloutonne en off : “Imaginez que l’algorithme est un pot de miel, et que les services de renseignement sont des ours. Nous devons absolument installer une grille entre le pot de miel et les ours”. S'il faut protéger les espions d'eux-mêmes, quel Winnie l’ourson aura accès en permanence au pot de miel et comment garantir l’étanchéité totale du pot en question ? Mystère. Ou plutôt, secret défense.

A défaut de précisions sur la tuyauterie, l’article R. 851-5 du code de la sécurité intérieure offre quelques précisions sur le périmètre d’action de cet orpailleur dématérialisé : seront visées les données techniques permettant de localiser un terminal, d’authentifier un utilisateur ou d’identifier une connexion à un site Internet (qui ferait par exemple l’apologie du terrorisme). La commission insiste sur le caractère théorique des débats tant que l’outil ne leur a pas été présenté, mais le problème reste aussi entier qu’il est mécanique : pour repérer les signaux faibles, l’algorithme devra massivement scanner le trafic Internet français.

Le nombre de fois où Manuel Valls, encore Premier ministre, a décidé d'une mesure de surveillance sans l'aval de la CNCTR. Francis Delon apporte quelques précisions : "Il s'agissait d'une urgence opérationnelle en périodes de fêtes, avec un risque imminent d'attentat. C'était une fausse alerte et la surveillance a été levée, mais nous aurions de toute façon donné le feu vert".

Le nombre de personnes “ayant fait l’objet d’au moins une mesure de surveillance pendant l’année”, à l’exception d’une demande d’identification de numéro (avec une marge d'erreur de 10%). Sans surprise, ce nouveau marqueur recoupe peu ou prou le nombre d’individus fichés S sur le territoire : 9624 Français (47% du total) ont ainsi été écoutés au nom de la lutte contre le terrorisme, et 5848 autres (29%) l’ont été au titre de la prévention contre la criminalité, la délinquance et les violences collectives.

Et les 4810 restants (24%) ? La CNCTR refuse d’entrer dans les détails, mais ils relèvent des cinq autres autres finalités de la loi renseignement (politique étrangère, intérêts économiques et scientifiques, etc.) et concernent surtout “la contre-ingérence”. Soit un certain nombre d’agents étrangers, évoluant parfois sous la couverture de professions protégées (journalistes et avocats).

Le pourcentage de refus de la CNCTR face à des requêtes des services de renseignement. Le chiffre - non détaillé - interpelle, quand on sait que la CNCIS (l’ancienne mouture de la commission) affichait un taux infinitésimal, à moins de 1%. “Les services sont dans une phase d’apprentissage par rapport à nos exigences, notamment sur les nouvelles techniques”, avance Francis Delon pour expliquer cette courbe haussière. Patrick Puges, le conseiller technique de la CNCTR, 37 ans de France Télécom/Orange au compteur, renchérit : “Il ne s’agit pas de mauvaise volonté de la part des services de renseignement, mais parfois d’une mauvaise compréhension de la loi”.

Le nombre de réclamations adressées à la commission, par des individus estimant avoir été injustement ciblés. Neuf recours ont été déposés devant le Conseil d’Etat, et sur les cinq jugés jusqu’à présent, aucun n’a abouti devant la plus haute juridiction administrative. Same player, shoot again.

Photo extraite du livre de Simon Menner : Top Secret, Images from the archives of the Stasi