Projet de loi relatif au renseignement, adopté en 1ère lecture par l’Assemblée nationale le 5 mai 2015 – http://www.assemblee-nationale.fr/14/ta/ta0511.asp

Services concernés

« Rompant avec l’approche fragmentée qui a prévalu depuis un quart de siècle, [le texte] vise, pour la première fois en France, à offrir un cadre légal général aux activités des services de renseignement, alliant détermination des principes, définition des techniques et renforcement du contrôle »[1]. Les services concernés sont les six services spécialisés de renseignement désignés à l’article D. 1122-8-1 du Code de la Défense [2]. D’autres services, relevant des mêmes ministères, ainsi que celui de la justice, pourront être autorisés, par décret en Conseil d’État après avis de la Commission Nationale de Contrôle des Techniques de Renseignement, à recourir aux techniques de recueil du renseignement pour certaines des finalités mentionnées.
  Les techniques de recueil du renseignement

Le projet de loi améliore et harmonise des dispositions relatives à des techniques déjà existantes, à savoir les interceptions de sécurité[3] (classiquement appelées « écoutes téléphoniques » mais aussi l’interception des mails) et le recueil des données de connexion [4].

Le projet de loi vise ensuite à doter les services de renseignements de nouvelles techniques. Tout d’abord, en étendant aux services de renseignement des techniques jusqu’alors uniquement réservées aux services de police judiciaire, à savoir :

  • La possibilité de « sonoriser » des lieux, d’y placer des micro-caméras et de s’introduire dans un système informatique[5]. Ces techniques ne pourront être utilisées qu’à titre subsidiaire.
  • La possibilité de poser des balises de géolocalisation sur des véhicules et des objets[6].

Ensuite, en autorisant de nouveaux dispositifs de recueil de données numériques :

  • la possibilité de recueil des données de connexion de personnes préalablement identifiées comme présentant une menace, opéré en temps réel sur les réseaux des opérateurs, sans besoin d’interroger ces derniers (dispositif de « sonde »)[7];
  • la possibilité d’imposer aux opérateurs, pour une durée de quatre mois renouvelable, la mise en œuvre sur leurs réseaux d’algorithmes paramétrés destinés à recueillir de façon automatisée des données anonymes afin de détecter une menace terroriste (pose de « boîtes noires » ou algorithmes)[8].
  • enfin, le recueil les données de connexion via des dispositifs mobiles de proximité de captation directe de certaines métadonnées (dispositifs techniques de proximité ou IMSI-catcher)[9]. Ce procédé consiste à placer une fausse antenne relais à proximité de la personne dont on souhaite intercepter les échanges électroniques, afin de capter les données transmises entre le périphérique électronique et la véritable antenne-relais (CNIL, délibération n°2015-078). La « cible » peut ainsi être suivie même si elle change plusieurs fois de téléphone portable.

Enfin, la loi sur le renseignement dans sa version adoptée par l’Assemblée nationale permet la mise en œuvre de « mesures de surveillance internationale » et crée un cadre spécifique aux interceptions de communications électroniques émises ou reçues à l’étranger [10]. Elles seront subordonnées à une double autorisation du Premier ministre (pour l’interception des communications, puis pour leur exploitation) et définies par deux décrets en Conseil d’État.
  Les finalités envisagées

L’article L. 811-3 nouveau du CSI liste les intérêts publics permettant de justifier le recours aux techniques de renseignement prévues. Cette liste a fait l’objet de nombreux amendements et le texte retient aujourd’hui sept finalités : 1° l’indépendance nationale, l’intégrité du territoire et la défense nationale ;  2° les intérêts majeurs de la politique étrangère et la prévention de toute forme d’ingérence étrangère ; 3° les intérêts économiques, industriels et scientifiques majeurs de la France ; 4° la prévention du terrorisme ; 5° la prévention des atteintes à la forme républicaine des instituions, des violences collectives de nature à porter atteinte à la sécurité nationale ou de la reconstitution ou d’actions tendant au maintien de groupements dissous en application de l’article L. 212-1 [groupes de combats et milices privés] ; 6° la prévention de la criminalité et de la délinquance organisée ; 7° la prévention de la prolifération des armes de destruction massive. Toutefois, certaines techniques ne pourront être mises en place que pour les seuls besoins de la prévention du terrorisme : il s’agit des poses de « sondes » et d’algorithmes.
  Un régime d’autorisation administrative et des dérogations [11]

La mise en œuvre des techniques de recueil du renseignement est soumise à autorisation préalable du Premier ministre ou de six personnes spécialement déléguées par lui, délivrée après avis de la Commission Nationale de Contrôle des Techniques de Renseignement (CNCTR).

L’autorisation est en principe valable pour une durée de quatre mois renouvelable, sauf lorsqu’elle porte sur le recours à des appareils de captation, transmission et enregistrements de sons, images et données informatiques (deux mois)[12] ou sur l’introduction dans un véhicule, un lieu privé ou un système automatisé de traitement de données aux fins de poser, mettre en œuvre ou retirer de tels appareils ou des balises de géolocalisation (trente jours)[13].

Deux procédures d’urgence sont prévues et permettent la délivrance d’une autorisation sans avis de la CNCTR[14], voire sans autorisation préalable pour les IMSI Catcher et l’utilisation de balises de géolocalisation[15].  Toutefois, ces procédures ne sont pas applicables à l’encontre des professions traditionnellement protégées par le code de procédure pénale (magistrats, avocats, parlementaires et journalises). Toute autorisation de mise en œuvre d’une technique de renseignement à l’encontre de ces personnes ou qui concerne leurs véhicules, bureaux ou domiciles devra résulter d’une autorisation motivée du Premier ministre, prise après avis de la Commission réunie.

  Durée de conservation des données [16]

Les renseignements collectés devront être détruits à l’issue d’une durée de :
– trente jours à compter de leur première exploitation, dans un délai maximal de six mois à compter de leur recueil pour les données issues d’interceptions de sécurité (contre dix jours à compter de l’enregistrement aujourd’hui) ;
– cinq ans pour les données de connexion (contre trois ans aujourd’hui) ;
– quatre-vingt-dix jours à compter de la première exploitation, dans un délai maximal de six mois à compter du recueil pour les données collectées par la sonorisation, captation d‘images et de donnée informatiques (sauf données de connexion).
  Les contrôles [17]

La CNCTR a un droit de regard sur les autorisations délivrées et les techniques de recueil du renseignement mises en place.  Elle dispose non seulement d’un contrôle a priori et d’un droit à l’information à chaque étape de la procédure[18], mais également d’un contrôle a posteriori, de sa propre initiative ou sur saisine de toute personne y ayant un intérêt. Elle peut émettre des recommandations tendant à ce que la mise en œuvre de la technique soit interrompue et les renseignements collectés détruits. 

Le projet de loi prévoit l’instauration d’un droit de recours devant le Conseil d’État. Le Conseil d’État pourra être saisi par :
– toute personne y ayant un intérêt direct et personnel et justifiant avoir effectué une réclamation devant la CNCTR ;
– la CNCRT elle-même, lorsque ses avis ou ses recommandations n’ont pas été suivis d’effet ;
– à titre préjudiciel, lorsque la solution d’un litige devant une autre juridiction dépendrait de la régularité de la mise en œuvre d’une technique. ***
Le projet de loi est riche d’autres dispositions parmi lesquelles un durcissement de l’échelle des sanctions pécuniaires en cas de cyberattaque, la création d’un fichier judiciaire national automatisé des auteurs d’infractions terroristes (FIJAIT), ou encore la création d’un statut de lanceur d’alertes visant à protéger tout agent des services de renseignement souhaitant révéler des illégalités commises. Plusieurs autorités et associations ont fait connaître leurs réserves sur ce texte qui divise l’opinion publique. Nous vous tiendrons informés de son évolution. 

Contact : stephanie.faber@squirepb.com  


[1]Projet de loi °2669, Exposé des Motifs.
[2]Créé par l’article 1 du Décret n° 2014-474 du 12 mai 2014 pris pour l’application de l’article 6 nonies de l’ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires et portant désignation des services spécialisés de renseignement. Il s’agit de : la DGSE (direction générale de la sécurité extérieure), la DPSD (direction de la protection et de la sécurité de la défense), la DRM (direction du renseignement militaire), la DGSI (direction générale de la sécurité intérieure), la DNRED (service à compétence nationale dénommé « direction nationale du renseignement et des enquêtes douanières ») et TRACFIN (service à compétence nationale dénommé « traitement du renseignement et action contre les circuits financiers clandestins »). [3]Actuellement régies par les articles L. 241-1 à L. 245-3 du CSI et les dispositions règlementaires associées. [4]Les accès administratifs aux données de connexion sont actuellement régis par les articles L. 246-1 à L. 246-5 du Code de la Sécurité Intérieure, créés par la loi de programmation militaire, et par les dispositions règlementaires associées. Il s’agit de pouvoir recueillir auprès des opérateurs de communications électroniques, hébergeurs, et fournisseurs d’accès à internet (pour la suite : « les opérateurs ») des données telles que les numéros d’abonnement ou de connexion, la localisation des équipements terminaux utilisés ou encore les numéros appelés et appelants, la durée et la date des communications.   [5]L. 853-1 et nouveau du CSI  [6]L. 851-6 nouveau du CSI [7] L. 851-3 nouveau du CSI [8] L. 851-4 nouveau du CSI [9] L. 851-5 nouveau du CSI [10]L. 854-1 nouveau du CSI [11]L. 821-1 à L. 821-7 nouveaux du CSI [12] L. 853-1 nouveau du CSI [13] L. 853-2 nouveau du CSI [14] L. 821-5 nouveau du CSI : « urgence absolue ». Exclue dans le cadre des algorithmes (L. 851-4) et en cas d’introduction dans un lieu privé à usage d’habitation destinée à fixer/utiliser/retirer/ micro, caméra, dispositif d’intrusion dans un système informatique et balise de géolocalisation (L. 853-2). [15] L. 851-9-1 : « urgence liée à une menace imminente ou à un risque très élevé de ne pouvoir effectuer l’opération ultérieurement » (ou urgence opérationnelle). [16] L. 822-2-I nouveau du CSI [17] L. 821-6, L. 833-3, L. 841-1 nouveaux du CSI. L311-4-1 et L. 773-1 et suivants nouveaux du Code de Justice Administrative (CJA)
[18] L. 833-2 nouveau du CSI