1

RPUBLIQUE FRANAISE LIBERTGALITFRATERNIT _________________________________________________________________________________

Commission de rflexion et de propositions sur le droit et les liberts lge numrique Le 1 avril 2015

Recommandation sur le projet de loi relatif au renseignement

La Commission de rflexion et de propositions sur le droit et les liberts lge numrique a souhait rendre publique une recommandation portant sur le projet de loi relatif au renseignement en cours dexamen au Parlement.

Dans un contexte marqu par les rvlations dEdward Snowden sur la surveillance en ligne massive et gnralise des individus, ainsi que par des menaces terroristes dont lextrme gravit a t confirme, la Commission considre que lactualisation des textes rgissant les activits de renseignement est indispensable.

La Commission a procd plusieurs auditions sur les activits de renseignement lre numrique. Elle ne mconnait pas les usages des rseaux numriques par les mouvements terroristes. Elle a galement pris la mesure de la nouvelle puissance que donnent aux tats les technologies de surveillance.

Au moment o les rseaux numriques ont pris une place importante dans la vie des individus, un nombre croissant doutils technologiques de plus en plus perfectionns et intrusifs facilite leur exploration par les autorits publiques sans que soit dfini un cadre juridique adapt qui en prcise les conditions dutilisation. La Commission souhaite en pralable mettre en garde contre le risque daller, pas pas, dune surveillance cible une surveillance gnralise.

Il apparat donc ncessaire de lgaliser et dencadrer les pratiques existantes acceptables. Il convient ainsi de dfinir un rgime juridique global, cohrent et protecteur des liberts fondamentales pour les activits de renseignement, mnageant un juste quilibre entre les ncessits constitutionnelles de prservation de lordre public laquelle les services de renseignement participent et les droits de chacun au respect de sa vie prive, de sa correspondance, de son domicile et de ses donnes personnelles.

Ce rgime doit tre conforme larticle 2 de la Dclaration des droits de lhomme et du citoyen de 1789 et larticle 8 de la Convention europenne des droits de lhomme et des liberts fondamentales aux termes duquel il ne peut y avoir ingrence dune autorit

2

publique dans lexercice du droit au respect de la vie prive et familiale, du domicile et de la correspondance que pour autant quelle est prvue par une loi accessible et prvisible et quelle est ncessaire, dans une socit dmocratique, la poursuite dun but lgitime. La Commission souligne limportance accorde par la CEDH au caractre prvisible et accessible de la loi, qui doit user de termes assez clairs pour indiquer aux individus de manire suffisante en quelles circonstances et sous quelles conditions elle habilite les autorits publiques prendre des mesures de surveillance secrte . Ainsi, la Cour estime que les coutes et autres formes dinterception des entretiens tlphoniques reprsentent une atteinte grave au respect de la vie prive et de la correspondance. Partant, elles doivent se fonder sur une "loi" dune prcision particulire. Lexistence de rgles claires et dtailles en la matire apparat indispensable, dautant que les procds techniques utilisables ne cessent de se perfectionner 1.

*

Le projet de loi pose les principes et finalits de la politique publique de renseignement et la procdure dautorisation des techniques de recueil du renseignement. Il dfinit la composition, les missions et les prrogatives de lautorit administrative indpendante qui sera charge de contrler la mise en uvre de ces techniques. Il introduit un recours juridictionnel permettant de contester cette mise en uvre. Il encadre enfin les conditions dans lesquelles chaque technique de recueil du renseignement peut tre utilise.

(1) Selon le Gouvernement, le projet de loi relatif au renseignement vise mieux encadrer lactivit des services de renseignement et donner, par voie de consquence, un cadre lgal lactivit des services de renseignement en leur permettant dlargir le spectre lgal des techniques pouvant tre mises en uvre, pour mieux rpondre aux finalits nonces par la loi . Si la Commission partage ces deux objectifs, elle rappelle que la lgalisation de pratiques de surveillance jusqualors peu encadres ne doit pas tre loccasion dtendre lexcs le primtre de cette surveillance, sauf remettre en cause lquilibre entre les liberts fondamentales protger.

(2) Larticle 1er du projet de loi dispose que le respect de la vie prive, notamment le secret des correspondances et linviolabilit du domicile, est garanti par la loi et quil ne peut y tre port atteinte que dans les seuls cas de ncessit dintrt public prvus par loi, dans les limites fixes par celle-ci et dans le respect du principe de proportionnalit . La Commission, particulirement attache au respect de ces principes gnraux, souligne que le droit la protection des donnes caractre personnel est un droit fondamental part entire 2 qui mriterait, ce titre, de figurer expressment dans la liste de ceux garantis par la loi dans le cadre des activits de renseignement. Elle souhaite galement que soit raffirme, 1 CEDH, 24 avril 1990, Kruslin c. France.

2 Voir CJUE, 13 mai 2014, Google Spain c. AEPD. La protection des donnes caractre personnel figure par

exemple, en tant que tel, larticle 8 de la Charte des droits fondamentaux de lUnion europenne.

3

ct du principe de proportionnalit, la ncessaire subsidiarit de toutes les mesures de surveillance, qui impose de limiter les atteintes aux liberts individuelles aux cas o le but poursuivi ne peut tre atteint par un autre moyen moins intrusif.

(3) La Commission rappelle par ailleurs que les activits de renseignement doivent tre proportionnes un nombre limit et prcisment dfini de finalits. Or la Commission constate que larticle 1er du projet de loi ajoute aux cinq existantes 3 deux nouvelles finalits les intrts essentiels de la politique trangre et lexcution des engagements europens et internationaux de la France et la prvention des violences collectives de nature porter gravement atteinte la paix publique sans que soit prcisment caractrise chacune delle laissant ainsi une trs large marge dinterprtation et autorisant potentiellement un recours trs largi aux activits et aux technologies du renseignement. Sagissant des intrts essentiels de la politique trangre et de lexcution des engagements europens et internationaux de la France , la Commission souhaite que les dbats permettent une clarification de ces notions. Quant la finalit de prvention des violences collectives de nature porter gravement atteinte la paix publique , la Commission la juge trop floue et trop large et prconise sa suppression, lobjectif de prvention des violences collectives de nature porter atteinte la forme rpublicaine et la stabilit des institutions tant par ailleurs couverte par la notion de scurit nationale .

(4) Les articles 1er 3 du projet de loi redfinissent le rgime juridique applicable aux techniques de recueil du renseignement : modification des conditions dutilisation des techniques actuelles (interceptions de scurit ; accs administratif aux donnes de connexion), autorisation de recourir de nouveaux dispositifs jusque-l rservs aux services de police judiciaire (captation, fixation, transmission et enregistrement de sons, dimages et de donnes informatiques ; golocalisation en temps rel) et des techniques nouvelles (sonde ; dispositif technique de proximit ou IMSI-catcher ; dtection de signaux faibles ).

Dune part, la Commission relve que ces articles largissent significativement le champ actuel des interceptions de scurit et du recueil administratif des mtadonnes. Pour les interceptions de scurit, ces articles suppriment leur caractre exceptionnel 4 et tendent trs largement ces interceptions non plus, comme actuellement, aux seules personnes ayant un lien personnel et direct avec une infraction prsume mais lensemble des personnes appartenant lentourage de la personne vise lorsquelles sont susceptibles de jouer un rle dintermdiaire, volontaire ou non, pour le compte de celle-ci ou de fournir des informations sur lune des finalits de linterception.

Ces articles couplent automatiquement linterception et le recueil des donnes de connexion de la personne (nouvel article L. 852-1 du code de la scurit intrieure) et portent 3 Larticle L. 241-2 du code de la scurit intrieure mentionne la scurit nationale, la sauvegarde des lments

essentiels du potentiel scientifique et conomique de la France ainsi que la prvention du terrorisme, de la criminalit organise et de la reconstitution ou du maintien de groupements dissous. 4 Qui figure actuellement larticle L. 241-2 du code de la scurit intrieure.

4

de 10 jours un mois la dure de conservation des interceptions, augmentation qui avait t pourtant rejete au cours des dbats sur la loi renforant les dispositions relatives la lutte contre le terrorisme (II du nouvel article L. 822-2 du mme code). La dure de conservation des donnes techniques de connexion recueillies par les services de renseignement est galement augmente, passant de trois cinq ans (I du mme article).

Ces dispositions ne soulvent pas dobjection de principe de la part de la Commission, condition que la notion d entourage de la personne vise ne fasse pas lobjet dune interprtation extensive.

Dautre part, la Commission sest interroge sur lextension prvue par le projet de loi des moyens des services de renseignement de nouvelles techniques prvues par les articles 2 et 3.

Larticle 2 autorise, pour lensemble des finalits des activits de renseignement, la golocalisation administrative en temps rel dune personne, dun vhicule ou dun objet (nouvel article L. 851-6 du mme code) et lutilisation en cours dopration, de dispositifs mobiles de proximit de captation directe de certaines mtadonnes (dispositif dit IMSI-catcher ; nouvel article L 851-7 du mme code). Il permet galement, pour les seuls besoins de la prvention du terrorisme, le recueil en temps rel, sur les rseaux des oprateurs de communications lectroniques (sonde), des donnes de connexion de personnes pralablement identifies comme prsentant une menace (nouvel article L. 851-3 du mme code), voire, titre exceptionnel, lutilisation du dispositif des IMSI-catcher pour intercepter directement le contenu des correspondances (nouvel article L. 851-7 du mme code). Par ailleurs il permet galement des fins de prvention du terrorisme, lexploitation, par les oprateurs de communications lectroniques et les fournisseurs de services, des informations et documents traits par leurs rseaux (dtection de signaux faibles par la pose de botes noires chez les oprateurs) afin de rvler, sur la seule base de traitements automatiss dlments anonymes, une menace terroriste (nouvel article L. 851-4 du mme code). Larticle 3 autorise, si aucun autre moyen lgal nest possible pour obtenir le mme renseignement, le recours des appareils de captation, de transmission et denregistrement de sons, dimages et de donnes informatiques (nouvel article L. 853-1 du mme code) ainsi que lintroduction dans un vhicule, un lieu priv ou un systme automatis de traitement de donnes aux fins de poser, mettre en uvre ou retirer de tels appareils (nouvel article L. 853-2 du mme code).

Ces articles appellent plusieurs observations de la part de la Commission, qui recoupent les proccupations dj formules par le Conseil national du numrique 5 et la CNIL dans son avis sur le projet de loi.

Sagissant du recueil, en temps rel sur les rseaux des oprateurs, dinformations et documents relatifs des personnes pralablement identifies comme prsentant une menace (article L. 851-3 dans sa rdaction propose par le projet de loi), la Commission sinterroge

5 Communiqu de presse du Conseil national du numrique du 19 mars 2015.

5

sur le primtre exact des donnes concernes au regard de la formulation retenue et souhaite quil soit prcis que seules les donnes de connexion puissent tre recueillies.

La Commission est fortement proccupe par lusage prventif de sondes et dalgorithmes paramtrs pour recueillir largement et de faon automatise des donnes anonymes afin de dtecter une menace terroriste ( signaux faibles ).

La Commission estime que larticle L. 851-4, dans sa rdaction propose par le projet de loi, ouvre la possibilit, des fins de prvention du terrorisme, dune collecte massive et dun traitement gnralis de donnes. Largument selon lequel cette surveillance porte initialement sur des donnes anonymes, traites de faon automatique et algorithmique, ne saurait offrir de garanties suffisantes. Cet argument est dailleurs traditionnellement avanc lappui de la surveillance gnralise, qui a recours des algorithmes qui lisent et exploitent des volumes massifs de donnes.

Par ailleurs, sur le plan juridique, les donnes concernes ne sont pas anonymes, puisque leur exploitation peut conduire, sous certaines conditions, la leve de lanonymat. Il sagit donc dun traitement de donnes caractre personnel. La Commission sinterroge sur la conformit de la mesure propose au regard des exigences poses par la CJUE, dans son arrt Digital Rights Ireland du 8 avril 2014, qui rappelle que tout traitement de ce type doit tre cibl et proportionn.

Enfin, la Commission est particulirement attentive viter des effets de brche qui conduiraient llargissement de ce dispositif dautres finalits que la prvention du terrorisme.

La Commission sest interroge sur la possibilit dun encadrement strict de ce type de technologie de surveillance. En ltat des informations disponibles, cet encadrement ne lui est pas apparu envisageable. Cest pourquoi la Commission appelle de ses vux la suppression de larticle L 851-4 du projet de loi.

La Commission regrette que les dispositifs administratifs de localisation en temps rel dune personne, dun vhicule ou dun objet et de captation, de transmission et denregistrement de sons, dimages et de donnes informatiques ne soient pas assortis de garanties quivalentes celles prvues, pour les professions protges, par le code de procdure pnale lorsquils sont mis en uvre dans un cadre judiciaire. cet gard, devraient tre exclus de la golocalisation administrative, au mme titre que la golocalisation judiciaire, les lieux mentionns aux articles 56-1 56-4 (cabinet et domicile dun avocat, locaux de presse, cabinet dun mdecin, notaire ou huissier, etc.) et le bureau ou le domicile des personnes mentionnes larticle 100-7 du code de procdure pnale (dput, snateur, magistrat, etc.).Elle souhaite par ailleurs quil soit prcis que la golocalisation en temps rel est effectue par un agent individuellement dsign et dment habilit comme cest le cas pour les autres techniques de recueil du renseignement.

Ces articles ne dfinissent pas non plus avec suffisamment de prcision les conditions dans lesquelles des dispositifs aussi intrusifs pour la vie prive peuvent tre

6

utiliss, sagissant notamment des personnes pralablement identifies comme prsentant une menace dont les mtadonnes ou les correspondances peuvent tre saisies en temps rel et du champ de la captation, de la transmission et de lenregistrement des donnes informatiques transitant par un systme automatis de donnes ou contenues dans un tel systme .

Quoique soumise des garanties renforces (limitation des finalits, principe de subsidiarit, renforcement de la motivation de la demande, dure dautorisation limite respectivement deux mois et 30 jours pour les mesures autorises par larticle 3), lutilisation de ces dispositifs est susceptible de conduire une surveillance indiscrimine des personnes et une collecte indiffrencie des donnes, sans que soient apportes de surcrot toutes les garanties dun contrle strict de leur mise en uvre. Ainsi le recours aux IMSI-catcher permet par exemple la collecte de donnes caractre personnel dun nombre indtermin de personnes situes dans lenvironnement gographique de celle vise par la mesure.

Larticle 3 cre galement un cadre spcifique aux interceptions de communications lectroniques mises ou reues ltranger. La Commission relve tout dabord que le cadre applicable la surveillance internationale est, en ltat, trs flou : en particulier, aucune indication sur les techniques prcisment utilises nest fournie. Par ailleurs, compte tenu du caractre mondial des rseaux numriques, lessentiel des communications des citoyens franais est mis ou reu ltranger, notamment aux tats-Unis o sont domicilis de nombreux serveurs. Il y a donc un risque que cette surveillance internationale, beaucoup moins encadre, sapplique indirectement aux citoyens franais. Cest pourquoi la Commission appelle de ses vux une clarification du champ de cette surveillance internationale et de son rgime. Elle prconise notamment que lexigence de recourir un agent individuellement dsign et dment habilit prvue pour dautres techniques de renseignement soit tendue ce type de surveillance.

(5) Le projet de loi soumet au contrle dune nouvelle autorit administrative indpendante la Commission nationale de contrle des techniques de renseignement (CNCTR) et au juge administratif une formation spcialise du Conseil dtat statuant en premier et dernier ressort lensemble des techniques de recueil du renseignement (accs administratifs aux donnes de connexion, interceptions de scurit, localisation, sonorisation de certains lieux et vhicules, captation dimages et de donnes informatiques), lexception des mesures de surveillance internationale.

La cration de cette nouvelle autorit administrative, qui remplacera la Commission nationale de contrle des interceptions de scurit charge de formuler un avis sur les demandes dinterception de scurit, et la personnalit qualifie qui se prononce sur les demandes daccs aux mtadonnes, unifie le contrle des techniques de renseignement. Les prcisions apportes quant sa composition (conditions de nomination, rgles de dontologie et dincompatibilit) constituent dimportantes garanties dindpendance et dimpartialit. Le spectre large des missions qui lui sont dvolues (avis pralable, pouvoir de recommandation

7

tendant interrompre la mise en uvre dune technique, pouvoir de saisine du Conseil dtat, etc.) renforce la porte du contrle quelle exerce sur ces activits.

Toutefois, la Commission considre que lautorit et lefficacit du contrle de la CNCTR devront tre consolides en veillant la doter des moyens budgtaires et humains ncessaires lexercice de lensemble de ses missions et garantir son indpendance dans le mode de dsignation de ses membres comme de ses services. Il appartiendra au Gouvernement, au cours des dbats, de prciser les budgets et les comptences humaines dont il entend doter cette autorit.

La Commission souhaite galement que toutes les prcisions ncessaires soient apportes larticle 1er du projet de loi afin de lui donner les moyens juridiques de procder, tout moment de la mise en uvre de la technique de recueil du renseignement, tous les contrles, sur pice et sur place, utiles. La Commission insiste sur la ncessit pour la CNCTR de pouvoir mener des contrles actifs, a priori comme a posteriori, sur les diffrentes technologies utilises, leur champ dapplication ou leurs conditions de mise en uvre.

Larticle 1er prvoit que, pour laccomplissement de sa mission, la CNCTR dispose dun droit daccs aux autorisations, relevs, registres, donnes collectes, transcriptions et extractions (nouvel article L. 833-2 du code de la scurit intrieure). La Commission estime que la CNCTR devrait tre systmatiquement destinataire de ces lments afin dexercer pleinement ses missions.

Elle partage les proccupations du Conseil national du numrique qui estime crucial de doter la CNCTR de pouvoirs denqute suffisants et regrette que cette dernire soit simplement informe de lautorisation donne par le Premier Ministre de procder une golocalisation ou la mise en place dun dispositif de proximit pour apprhender des donnes de connexion en cas durgence absolue .

En outre, la Commission recommande la dsignation, au sein de la CNCTR, dune personnalit qualifie pour sa connaissance en matire de droit de la protection de la vie prive et des donnes caractre personnel, nomme sur proposition du prsident de la CNIL.

Enfin, la Commission estime que toute technique de surveillance et ses volutions, prsentant une menace particulire pour les liberts individuelles, devraient tre soumises lautorisation pralable de la CNCTR qui devrait en encadrer les conditions dutilisation techniques.

(6) La Commission regrette quaucune disposition ne vienne renforcer la sanction pnale des infractions rsultant dactions illgales, contrepartie pourtant ncessaire dune loi sur le renseignement et dplore les possibilits de recours limites et en pratique difficiles mettre en uvre offertes aux citoyens pour contester les mesures de surveillance exerces leur encontre.

8

Par ailleurs, lorsque le Premier ministre ne donne pas suite ses recommandations, il est prvu que la CNCTR puisse saisir le Conseil dtat la majorit absolue de ses membres (nouvel article L. 821-6 du code de la scurit intrieure). Une saisine la demande de deux membres est toutefois possible en cas de recours des techniques particulirement intrusives (nouvel article L. 853-2 du mme code). La Commission prconise de gnraliser cette possibilit quelle que soit la technique de recueil du renseignement utilise.

(7) La Commission appelle enfin lattention du lgislateur sur labsence de disposition spcifique relative au signalement des activits illgales de surveillance administrative, larticle 1er du projet de loi se bornant prvoir que la CNCTR peut sautosaisir ou tre saisie par toute personne y ayant un intrt direct et personnel . La loi du 6 dcembre 2013 relative la lutte contre la fraude fiscale et la grande dlinquance conomique et financire a certes interdit toute mesure dfavorable prise lencontre dune personne qui, de bonne foi, tmoigne sur des faits constitutifs dun crime ou dun dlit. Mais cette disposition ne couvre pas le signalement dactivits qui, sans tre stricto sensu pnalement rprhensibles, relveraient de manquements la morale, lthique ou lintrt gnral. Ds lors, le Parlement pourrait dbattre de lopportunit dinstaurer un canal dinformation scuris pour les agents des services de renseignement, par la cration dun statut protecteur des lanceurs dalerte dans le domaine sensible des activits de surveillance administrative ou par lamnagement de dispositifs administratifs internes chaque service concern.