Mercredi 26 juin 2024
- Présidence de M. François-Noël Buffet, président de la commission des lois, et de M. Cédric Perrin, président de la commission des affaires étrangères -
La réunion est ouverte à 10 heures.
Rapport d'activité de la Commission nationale de contrôle des techniques de renseignement pour 2023 - Audition de M. Serge Lasvignes, président de la Commission nationale de contrôle des techniques de renseignement (CNCTR)
M. François-Noël Buffet, président de la commission des lois. - La Commission nationale de contrôle des techniques de renseignement (CNCTR) est une autorité administrative indépendante (AAI) chargée du contrôle a priori et a posteriori du recours aux techniques de renseignement prévues par le code de la sécurité intérieure. Deux sénateurs sont membres de son collège : Chantal Deseyne et Jérôme Darras.
La CNCTR est le point d'équilibre entre la garantie des droits et libertés et la nécessaire protection de notre pays. Au-delà du formalisme des procédures, c'est bien la nécessité d'éviter les dérives et de garantir l'État de droit qui est en cause. Les moyens par lesquels s'exerce en pratique le contrôle de la CNCTR nous intéressent donc particulièrement. Il s'agit de protéger les intérêts vitaux de notre pays sans trop entraver les libertés individuelles de chacun.
Votre rapport annuel, monsieur le président, est l'occasion de voir concrètement comment fonctionne l'encadrement des techniques de renseignement. Il constitue aussi un exercice de transparence nécessaire en démocratie.
Comme vous le savez, Cédric Perrin préside en ce moment la délégation parlementaire au renseignement (DPR), qui rassemble des sénateurs et des députés. Nous sommes tenus au secret dans ses travaux mais la CNCTR est un interlocuteur régulier de la DPR.
Il est important de savoir combien de personnes sont suivies par des techniques de renseignement et pour quels motifs. Il est aussi important de dissiper les fantasmes sur la surveillance généralisée ou l'absence de contrôle. Notre système fonctionne grâce à l'action de la CNCTR. Nous partageons avec vous, monsieur le président, le constat que l'État de droit n'est pas donné une fois pour toutes, mais qu'il s'agit d'une construction qui appelle notre vigilance en tant que législateur et dans notre travail de contrôle.
Je vous poserai donc deux questions en lien avec l'actualité récente des techniques de renseignement.
La première concerne les algorithmes. Un texte récent autorise le recours aux algorithmes en matière de lutte contre les ingérences étrangères. Au Sénat, les débats ont notamment porté sur le contrôle exercé par la CNCTR sur ces outils. Peut-être pourriez-vous nous rappeler quelle est votre action en matière de contrôle des algorithmes et quel regard vous portez sur eux au regard de la protection des libertés ?
Nous devrons par ailleurs revenir en 2025 sur un certain nombre d'autorisations données dans le cadre de la dernière loi relative au renseignement, notamment sur les interceptions satellitaires. Sur ces points, et plus largement, quels sont pour vous les enjeux de cette échéance prochaine ?
M. Cédric Perrin, président de la commission des affaires étrangères. - Je partage ce qui a été dit par le président Buffet en ouverture de cette audition concernant le développement des algorithmes et leur nécessaire contrôle, ainsi que le sujet des interceptions satellitaires, dont la dimension internationale illustre le retour d'une menace exogène en provenance de certains acteurs extérieurs.
Je me réjouis que cet échange de vues sur la publication annuelle du rapport d'activité de la CNCTR se tienne sous ce format, avec nos collègues de la commission des lois. Le caractère public de ce rapport participe du contrôle et de la transparence démocratiques sur des procédures qui restent exorbitantes du droit commun.
Avec François-Noël Buffet, nous avons eu l'occasion de vous entendre régulièrement, monsieur le président Lasvignes, dans le cadre de la délégation parlementaire au renseignement, mais celle-ci, comme vous le savez, est provisoirement neutralisée par la dissolution de l'Assemblée nationale. Nos deux commissions sénatoriales sont donc à cette heure les seuls organes détenteurs du pouvoir de contrôle de l'action du Gouvernement dans ce domaine. Je ne sais pas s'il faut s'en féliciter, mais en tout cas, nous assurons la permanence et la continuité des pouvoirs du Parlement.
À la lecture de votre rapport, permettez-moi de revenir sur le débat que nous avons eu lors de la dernière loi de programmation militaire. Vous vous souvenez que le Sénat avait porté des amendements pour améliorer le contrôle de votre commission sur les techniques de renseignement centralisées à la direction générale de la sécurité intérieure (DGSI) et à la direction générale de la sécurité extérieure (DGSE). Il s'agissait d'ailleurs de mettre en oeuvre une recommandation de votre précédent rapport d'activité. À l'époque, le Gouvernement nous avait indiqué que le contrôle de ces données serait impossible en l'état. Je me rappelle, avec notre président et rapporteur d'alors, Christian Cambon, que le Gouvernement s'était montré très insistant sur le retrait de ces amendements.
Mais la situation a évolué et le Président de la République a finalement annoncé que ces contrôles seraient mis en place. Ce qui était impossible en 2023 devient possible en 2024 : le Parlement avait raison trop tôt ! Au-delà de ce satisfecit, votre éclairage sur le sujet sera intéressant, car il illustre la nécessité d'accompagner l'évolution et la montée en puissance des techniques par une garantie du maintien d'un contrôle démocratique, organisé et respectueux du nécessaire secret de ces sujets.
Sur ce point, nous assistons à une forme de navigation à vue, notamment dans le domaine de la cyberdéfense. Un important volet de renforcement des pouvoirs de détection de l'Agence nationale de sécurité des systèmes d'information (Anssi) a été voté dans cette même loi de programmation militaire en 2023.
En 2024, un projet de loi sur la cyberrésilience devait être déposé en vue de la transposition, avant le 15 octobre, de la directive européenne concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union européenne, dite NIS 2. Là encore, faute d'avoir anticipé une transposition pourtant inévitable, les règles risquent de changer dans la précipitation pour les entreprises, pour les collectivités territoriales comme pour les organes de contrôle.
L'usage de l'intelligence artificielle au profit du renseignement est un autre défi, qui ne relève pas de la prospective, mais bien de l'actualité, puisque le secteur de la défense l'utilise déjà : analyse d'image, renseignement, identification de cible, numérisation du champ de bataille, etc. Vous y consacrez un chapitre spécifique dans votre rapport et je serais intéressé par vos constats et recommandations dans le domaine.
Je salue à mon tour la présence parmi nous de Jérôme Darras.
M. Serges Lasvignes, président de la Commission nationale de contrôle des techniques de renseignement (CNCTR). - Je voudrais d'abord remercier le Sénat de me recevoir dans ces circonstances un peu particulières. Lorsqu'on est une AAI, on a absolument besoin d'avoir une relation suivie, et aussi transparente que possible, avec le Parlement. C'est notre légitimité ; c'est ce qui peut justifier cette sorte d'exception aux articles 20 et 21 de la Constitution que constituent les autorités indépendantes.
La CNCTR donne un avis sur chaque technique qu'un service de renseignement souhaite utiliser. Nous émettons à ce titre à peu près 95 000 avis par an, un chiffre qui augmente chaque année - de 6 % cette fois-ci. Nous autorisons les algorithmes, mais aussi l'exploitation de ce que l'on appelle la surveillance internationale, c'est-à-dire le système de captation de masse qui consiste à brancher des capteurs sur les câbles sous-marins ou les transmissions par satellite de manière à disposer d'une très grande quantité de données et d'informations. Nous veillons au respect des contraintes correspondantes : la surveillance internationale ne doit pas servir à surveiller des téléphones ayant des identifiants français, mais la loi prévoit tout un ensemble d'exceptions et de dérogations. Nous faisons aussi du contrôle a posteriori : nous allons à la rencontre des services pour voir comment ils utilisent les autorisations qui leur ont été accordées.
L'avis de notre commission est suivi d'une décision du Premier ministre. Depuis 2021, afin de mieux assurer la conformité aux exigences communautaires, la loi prévoit que, si le Premier ministre entend passer outre un avis défavorable, la CNCTR doit saisir le Conseil d'État, qui arbitre. Cela n'est encore jamais arrivé, car le Premier ministre, spontanément, a toujours été soucieux de suivre les avis de la commission. Cela peut évoluer, selon la manière dont un Premier ministre concevrait le rôle de l'autorité indépendante...
Ce qui est marquant cette année, c'est une augmentation du nombre des personnes surveillées, qui passe de 21 000 à 24 000. Il ne faut pas confondre le nombre des personnes surveillées, que nous sommes le seul organisme à connaître et à publier, et le nombre des techniques utilisées, qui est d'environ 95 000. Pourquoi cette augmentation du nombre des personnes surveillées ? C'est un indicateur sensible du point de vue de la démocratie. L'année précédente, ce nombre avait diminué.
Une explication est à trouver dans la manière dont les techniques sont utilisées. En effet, l'augmentation du nombre des personnes surveillées est principalement due à celle du nombre des personnes suivies au titre de la lutte contre la criminalité organisée. Il s'agit de la sixième finalité prévue par la loi. Cela montre un véritable investissement du renseignement administratif dans un domaine qui est traditionnellement judiciaire.
Cela donne à la CNCTR une sorte de responsabilité spéciale, qui est de vérifier que la frontière tracée par le Conseil constitutionnel entre la police administrative et la police judiciaire est bien respectée. Le Conseil constitutionnel a jugé, de manière très abrupte, que la police administrative est chargée de la prévention et n'est donc légitime que tant qu'une infraction n'est pas encore constituée, que son auteur n'est pas encore connu. À partir du moment où l'infraction est constituée et que son auteur est connu, toute l'enquête doit se faire sous l'autorité de la police judiciaire.
Mais quand on connaît le développement de la criminalité organisée, notamment en matière de trafic de stupéfiants, on admet que la mobilisation du renseignement administratif peut être bienvenue. Sur ce point, la CNCTR rejoint les analyses faites par le Sénat. Notre préoccupation, à cet égard, est de contribuer à la surveillance de cette frontière, qui fait partie des garanties de l'État de droit. Notre responsabilité, au titre de cet équilibre dont vous parliez, monsieur le président, est de voir jusqu'où peut aller le renseignement administratif, parce qu'il est utile et peut-être même nécessaire vu les formes que prend la criminalité organisée - entrisme, corruption, etc. En même temps, nous devons faire en sorte que la justice ne soit pas dépossédée.
Nous discutons donc régulièrement avec la direction des affaires criminelles et des grâces du ministère de la justice de la manière dont on peut concevoir ce contrôle de la frontière. La jurisprudence du Conseil constitutionnel est très nette ; dans la pratique, c'est toujours plus compliqué. Que faire s'il y a un soupçon, mais que celui-ci ne se confirme pas tout de suite ? Faut-il continuer ? Un premier indice peut être insuffisant pour ouvrir un dossier judiciaire. Dans la pratique, cela se règle par de bons échanges entre les services de renseignement et le parquet. Autrement dit, il faut veiller à ce qu'à partir d'un certain stade de l'enquête administrative le parquet soit informé afin qu'il puisse prendre le relais quand il l'estime nécessaire ou faire arrêter l'enquête s'il juge que le dossier est trop faible. La CNCTR veille donc à l'existence de ce dialogue, notamment lors des enquêtes douanières.
Cela soulève une question de principe en termes de gouvernance : faut-il mobiliser davantage les services de renseignement dans la lutte contre les trafics ? Des instructions ont été données il y a quelques années ; il semble que, sur le terrain, elles soient diversement suivies.
En matière de lutte contre le terrorisme, on constate en 2023 une légère augmentation du nombre des personnes surveillées. Cette hausse s'explique notamment par les diverses formes que peut prendre le terrorisme. En particulier, il s'agit souvent d'individus qui sont, au moins en apparence, isolés et qui, en tout cas, ne sont pas dans des filières organisées.
Je constate avec une certaine satisfaction une nouvelle diminution du nombre des personnes surveillées au titre de l'activisme violent. La CNCTR avait en effet dénoncé une tendance des services à faire du « chalutage » assez large, notamment face à des phénomènes nouveaux comme l'écologie radicale. Nous avions expliqué aux services que c'était un domaine sensible, puisque cela concernait non seulement la vie privée - les militants ont le droit eux aussi à une vie privée -, mais également la liberté d'expression, la liberté d'association, la liberté d'action politique. Il faut donc faire très attention. Nous avions même fabriqué un manuel à l'usage des services qui détaillait de manière très précise, très concrète, avec des exemples - raison pour laquelle il est classifié - de cas dans lesquels on a le droit ou non d'utiliser les techniques pour suivre des activités politiques. Les services nous ont entendus : le nombre des personnes surveillées à ce titre diminue. Cette tendance s'explique aussi par une tactique opérationnelle qui consiste à concentrer les efforts sur des cadres, qui ont des responsabilités particulières en matière de logistique, de préparation des manifestations, etc.
Le nombre des techniques utilisées augmente de 6 %. Mais le phénomène le plus frappant est de voir l'évolution du spectre des techniques utilisées, du bas vers le haut de la pyramide de proportionnalité, puisque notre contrôle consiste à vérifier non seulement si la technique est légitime, mais aussi si elle est proportionnée. La technique la moins intrusive est l'accès aux données de connexion ; viennent ensuite la géolocalisation, le suivi par géolocalisation du téléphone, la pose de balises et les écoutes. Ensuite, vous pouvez installer des micros dans l'appartement ou dans la voiture, vous pouvez installer une caméra dans la chambre. Et on peut aussi capter, soit à distance, soit sur place, toutes les données contenues dans les ordinateurs et les téléphones de la personne. On constate que l'usage de ces techniques s'est très fortement développé. Autrement dit, la part des techniques les plus intrusives croît plus rapidement que le nombre de techniques en général. En particulier, l'utilisation de micros placés dans des lieux privés a augmenté de 15 % en un an.
Comment expliquer cette évolution ? D'abord, par le fait que, si les services ont fait des progrès techniques, ils doivent faire face à une difficulté croissante d'accès aux données. On a pu imaginer un moment que l'usage des techniques allait révolutionner le fonctionnement des services, que les filatures ne seraient plus nécessaires, que les sources humaines n'étaient pas fiables et qu'on allait tout régler par la technique. C'est un vieux débat dans les services. Mais cette évolution ne se constate pas. Les écoutes classiques, qui sont la technique la plus utilisée dans la partie haute du spectre, ne donnent plus beaucoup de résultats. Il suffit d'utiliser WhatsApp et le service ne pourra pas faire grand-chose. Il aura des données, mais illisibles. De nombreuses applications permettent d'avoir des échanges chiffrés par téléphone. On peut parfois arriver à les déchiffrer, mais cela demande un énorme travail, ce qui rend l'écoute non productive.
On a vu se développer sur le terrain, c'est-à-dire du côté des cibles, du côté des personnes que l'on veut surveiller, des pratiques impressionnantes de protection, d'« hygiène » numérique comme disent certains. Au sein de l'ultragauche, par exemple, certains mouvements, comme les Soulèvements de la terre, organisent des stages de protection numérique, où l'on enseigne comment faire pour que les services n'utilisent pas votre téléphone pour vous surveiller. On y apprend quelle sorte de téléphone privilégier, où le mettre quand on va manifester, etc. Certains utilisent ce qu'ils appellent un téléphone de guerre, qu'ils jettent aussitôt après, ou donnent leur téléphone à quelqu'un d'autre, qui se promène au loin pendant qu'ils participent à l'action...
Les services ont donc un problème concret d'accès à la donnée. Pour le résoudre, il y a deux solutions. La première est la haute technicité, en développant des systèmes de captation des données à distance. Mais comme c'est un savoir qui est assez concentré, cela peut provoquer des files d'attente dans les services. La seconde est le recours à l'intrusion physique, en plaçant des micros chez les gens.
La CNCTR ne saurait prendre de position de principe contre cette évolution, qui est indispensable si l'on considère que l'accès à ces données est nécessaire pour la protection de la sécurité nationale. Mais celle-ci reporte les enjeux auxquels nous sommes confrontés du côté du contrôle a posteriori. Puisque nous sommes, d'une certaine manière, contraints d'accepter que les techniques les plus intrusives soient de plus en plus utilisées, l'enjeu devient de plus en plus de savoir si elles sont utilisées à bon escient.
Or, pour contrôler, nous avons deux possibilités. Si ce sont des écoutes téléphoniques, nous avons un accès direct aux données, qui sont conservées et centralisées par un service du Premier ministre. Le contrôle est très facile, d'autant qu'il s'agit de simples enregistrements. Ce qui est compliqué, c'est plutôt l'exploitation, parfois dans des langues peu connues.
Cependant, toutes les données recueillies ne sont pas centralisées. Lorsque la DGSI et la DGSE mettent en oeuvre des procédés de surveillance par sonorisation, elles récupèrent directement les données. En ce cas, la CNCTR peut prendre rendez-vous au siège de la DGSE, boulevard Mortier, pour accéder aux données. Or cette démarche prend du temps et se révèle particulièrement laborieuse et aléatoire : à partir des quelques postes mis à notre disposition, il s'agit d'entrer dans des systèmes d'information que nous connaissons mal pour déceler des traces d'éventuelles irrégularités.
Voilà pourquoi nous demandons de pouvoir accéder à distance aux stocks de données détenus par les services de renseignement. Un tel accès présente-t-il des dangers ? En réalité, la DGSE mutualise déjà son stock de données internationales. Les services de renseignement étrangers jouissent ainsi de possibilités de liaison et d'accès.
J'en reviens à l'amendement que vous évoquiez tout à l'heure, dont le Gouvernement avait demandé le rejet. Après avoir remis au Président de la République notre rapport sur l'année 2022, je l'ai finalement convaincu de sauter le pas.
Nous sommes passés d'une situation de blocage apparent, voire d'antagonisme total - le directeur d'un grand service de renseignement commençait à dire pis que pendre de la CNCTR -, à une situation parfaitement vertueuse. Les services de renseignement ont cessé d'opposer toute résistance au point qu'ils manifestent désormais leur enthousiasme vis-à-vis du projet engagé. Celui-ci assure à la CNCTR d'obtenir les données qu'elle souhaite et permet aux services de renseignement de faire leur travail.
Dès lors, nous pourrons accéder à toutes les données que détient le groupement interministériel de contrôle (GIC) et les agents n'auront plus besoin de se déplacer pour récupérer les écoutes téléphoniques. Bref, c'est un système gagnant-gagnant.
Nous sommes très satisfaits du cercle vertueux qui s'est enclenché. La DGSE a accepté de nous donner des facilités d'accès à partir d'un seul point : ainsi, depuis le boulevard Mortier, nous pouvons mener notre contrôle sur tous les services qui recourent à la surveillance internationale.
Ce contrôle, nous l'avons globalement renforcé. Si nous attendons 2027 pour profiter de l'accès à distance, nous ne renonçons pas à mener un contrôle physique ; les agents y sont très attachés.
D'un point de vue stratégique, nous nous efforçons de disposer de davantage de facilités techniques pour connaître les systèmes d'information exploités par les services de renseignement. D'ailleurs, les grands services jouent le jeu.
Cela étant - j'y insiste -, nous ne renonçons pas aux échanges physiques directs. L'évolution de notre travail nous amène à nous déplacer de plus en plus sur le territoire pour aller à la rencontre des antennes territoriales des services de renseignement. C'est ainsi que nous nous sommes rendus à Montpellier, à Toulouse et à Bordeaux, entre autres. Cela nous permet d'observer la façon dont ces antennes se servent des techniques de surveillance et de connaître les problèmes éventuellement rencontrés. À cet égard, nous avons pu constater que certaines rigidités, notamment en matière de délais d'utilisation des techniques, procèdent non pas de la procédure en tant que telle, mais du fonctionnement interne des services.
Les services de renseignement s'accordent à dire de façon unanime que le cadre légal en place est solide, bien qu'il soit toujours perfectible. Globalement, nous pouvons nous satisfaire d'une acculturation des services : ils ne remettent plus en cause notre contrôle et sont, d'un point de vue juridique, de plus en plus aptes à discuter avec nous.
Les contrôles menés ne nous ont pas conduits à découvrir des irrégularités particulièrement graves et inquiétantes. Les services de renseignement prennent non seulement des mesures disciplinaires adaptées à l'encontre des agents qui utilisent les techniques de surveillance de façon illégale, mais aussi des mesures d'information générale.
Je me félicite de la réactivité des services de renseignement face aux anomalies constatées. Nous entretenons avec eux des relations de qualité, dans un climat de bonne entente vigilante.
Notez que nous ne faisons pas partie de la communauté du renseignement : nous sommes des contrôleurs, ce qui ne nous empêche pas de rester ouverts. Ainsi, nous sommes toujours prêts à supprimer les gênes bureaucratiques.
Je ne ferai pas l'économie de la question des moyens. Face à une accélération constante des dossiers à traiter, nous commençons à tirer la langue. Nous avons réussi à obtenir la création de deux ou trois postes par an. Pour l'instant, nous disposons de quatorze chargés de mission qui travaillent de façon efficace et pluridisciplinaire - il s'agit de magistrats des deux ordres, de policiers, de gendarmes, d'ingénieurs. Ainsi, notre productivité est forte.
Aujourd'hui, il est nécessaire de nous adapter aux nouveaux enjeux techniques, en particulier l'intelligence artificielle. En la matière, notre rapport sonne l'alerte : bien que j'apprécie la forme de start-up administrative que prend notre institution - small is beautiful, diraient certains -, cela finira par poser problème. En effet, en raison d'un effectif réduit, nos agents ne sont pas interchangeables pour l'exercice de fonctions spécialisées.
L'accès à distance des données informatiques stockées par la DGSI et la DGSE nécessitera des moyens supplémentaires d'ici à 2027. Le Premier ministre en exercice a garanti que ces moyens seront bel et bien disponibles : j'espère que son successeur ne le contredira pas.
Pour conclure, je souhaite dire quelques mots de l'algorithme, une technique que nous contrôlons parfaitement bien. En vertu d'une loi adoptée en 2021, l'algorithme est construit sous la responsabilité du GIC, lequel opère comme tiers de confiance. Les services de renseignement commencent par établir un cahier des charges en vue d'obtenir des résultats spécifiques, à la suite de quoi le GIC fabrique l'algorithme en échangeant avec nous.
La période d'essai qui succède à ces échanges permet de vérifier que l'algorithme fonctionne correctement. Nous devons notamment nous assurer qu'il n'outrepasse pas son objectif en lançant un trop grand nombre d'alertes.
Notez que ces alertes sont anonymes : l'interception de la communication téléphonique d'un individu classifié comme terroriste ne permet pas de connaître son identité. Les services de renseignement doivent alors demander l'autorisation de lever l'anonymat ; c'est une procédure un peu lourde.
Si les alertes se multiplient, une correction des paramètres de l'algorithme s'impose.
Contrairement à ce qui a pu être pensé ou ressenti, nous estimons que l'algorithme, en l'état, ne présente pas un danger particulier. Une loi actuellement examinée par le Conseil constitutionnel permettrait d'utiliser l'algorithme contre les ingérences étrangères. Cela nécessiterait de construire une économie spécifique, car, à l'origine, le dispositif concerne seulement la lutte contre le terrorisme et fonctionne à partir de listes de personnes présumées.
En matière de lutte contre les ingérences étrangères, nous n'y voyons pas encore très clair : comment les services de renseignement envisagent-ils concrètement de construire l'algorithme ? Par exemple, il est possible de formaliser un certain nombre de comportements révélateurs.
Dernier élément sur lequel nous devons porter notre attention : l'intelligence artificielle. Sur ce sujet, nous avons inséré une étude ad hoc dans notre rapport. Le recueil massif de données informatiques particulièrement volumineuses - elles résultent à la fois de la surveillance internationale et des captations effectuées - et hétérogènes - son, image, écrit - pose un problème d'exploitation que l'intelligence artificielle peut résoudre très facilement.
Les services de renseignement recourent de plus en plus à cette technique pour assurer le traitement préliminaire des données, mais aussi pour rechercher des cibles, ce qui appelle à faire preuve d'une grande vigilance. En effet, il faut pouvoir contrôler la manière dont les soupçons se portent sur telle ou telle personne : si la machine choisit elle-même ses critères, nous devons vérifier qu'ils sont connus.
Par ailleurs, l'intelligence artificielle peut servir à toute une palette des moyens de surveillance qui relèvent parfois d'autres organismes : je pense aux caméras de surveillance installées à l'occasion des jeux Olympiques et Paralympiques ou aux drones utilisés par la préfecture de police.
En l'occurrence, nous parvenons à un système éclaté où les mêmes procédés passent sous le contrôle d'autorités totalement hétérogènes - la Commission nationale de l'informatique et des libertés (Cnil), la CNCTR, l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) ou l'inspection générale de la police nationale (IGPN) - sans qu'il existe de véritable coordination.
C'est pourquoi j'alerte sur un risque de dispersion du contrôle.
M. Olivier Cadic. - Dans le cadre des travaux que je conduis pour le compte de la commission des affaires étrangères et de la défense en matière de cybersécurité, j'ai été amené à rencontrer les membres du GIC pour évoquer ces questions.
Depuis 2015, plusieurs dizaines de recours ont été formés par des citoyens qui s'estimaient illégalement surveillés. Quelles suites y ont été données ? Ces recours sont-ils bien justifiés ?
Les services de renseignement rencontrent parfois des difficultés pour collecter les informations. Par exemple, l'écoute, telle qu'elle se pratiquait par le passé, est moins utilisée, car les individus surveillés ont compris qu'il fallait éviter de communiquer par téléphone.
Par ailleurs, il est souvent nécessaire d'obtenir l'autorisation d'acteurs extérieurs, tels que les Gafam (Google, Apple, Facebook, Amazon, Microsoft). Or certaines sociétés se disent incapables de fournir des clés de déchiffrement - je pense notamment aux communications effectuées via WhatsApp.
Il faudrait sans doute intervenir au niveau légal pour garantir le partage de l'information et améliorer la coopération des sociétés extérieures. Le secret qui couvre les personnes placées sous surveillance se heurte parfois à l'urgence vitale de protéger la population, surtout lorsqu'il s'agit de combattre le terrorisme ou le crime organisé.
Enfin, la France sera bientôt amenée à transposer la directive NIS 2 - cela a été évoqué. Quelle est votre position sur ce sujet ?
Mme Marie Mercier. - La CNCTR travaille-t-elle en lien avec la Défenseure des droits ?
Mme Agnès Canayer. - Je partage votre constat d'une acculturation des services de renseignement au contrôle effectué par la CNCTR, lequel préserve l'équilibre entre les nécessités de surveillance et la garantie des libertés.
Le contrôle sur la levée de l'anonymat est-il encore utile ? Ne serait-il pas nécessaire d'en revoir la nature ? Il pourrait sans doute s'exercer plus en amont, de façon systématique et allégée.
M. François Bonneau. - Certaines plateformes de messagerie cryptée, telles que Telegram, Signal ou Snapchat, jouent le jeu ; d'autres moins. Quelles mesures sont prises pour remédier aux difficultés qui peuvent survenir, surtout dans le cadre de la lutte contre le trafic de drogue ?
Par ailleurs, vous prétendez qu'il existe une utilisation inappropriée des renseignements pris lors des contrôles a posteriori. Pourriez-vous apporter quelques précisions sur ce sujet ?
M. Philippe Bas. - Le contrôle exercé par la CNCTR est la contrepartie d'un avantage considérable donné aux services de renseignement, celui de la légalisation de techniques extrêmement intrusives qui portent atteinte à la vie privée.
L'efficacité même du renseignement repose sur le caractère opérationnel du contrôle. Aussi, vous avez abordé la question des moyens. Il ne peut être envisagé un seul instant que la CNCTR opère comme un goulet d'étranglement dans la mise en oeuvre des actions de renseignement ordonnées par les pouvoirs publics.
Enfin, si d'aventure le Premier ministre ne suivait pas l'avis de la CNCTR, saisiriez-vous le Conseil d'État au titre de la procédure qui a été créée en 2015 sur l'initiative du Sénat ?
M. Serge Lasvignes. - Lorsqu'un individu estime être surveillé, deux types de réclamations s'offrent à lui : il peut d'abord saisir la CNCTR ; s'il n'est pas satisfait par notre décision, il peut ensuite former un recours juridictionnel devant le Conseil d'État.
Nous avons rénové notre site internet l'an dernier. En conséquence, le nombre de réclamations a doublé : nous en avons reçu quatre-vingts. Sachez qu'il n'est pas possible de saisir la CNCTR par internet ; un courrier est nécessaire.
Lorsque nous sommes saisis d'une réclamation, nous tentons de savoir s'il existe des traces de la personne concernée dans les données exploitées par les services de renseignement. La plupart du temps, les requérants se croient à tort surveillés, souvent en raison d'antécédents psychiques.
Nous vérifions ensuite si la surveillance est intégrale, mais nous nous heurtons ici à un angle mort. En effet, si nous pouvons accéder à tous les systèmes d'information des services de renseignement, il nous est interdit d'accéder aux fichiers de souveraineté, qui recueillent l'ensemble des informations qu'on estime devoir être conservées. Ainsi, même si nous détectons en amont un cas de surveillance illégale et que nous demandons aux services de supprimer les données, il peut en rester quelques éléments dans les fichiers de souveraineté.
Pour arriver à ses fins, le requérant doit faire face à toute une ingénierie administrative : il ne sait sans doute pas qu'il est autorisé à saisir la Cnil pour qu'un magistrat habilité vérifie l'existence de données au sein des fichiers de souveraineté. Voilà pourquoi la CNCTR réclame de pouvoir y accéder : comme nous sommes l'institution qui détient le plus d'informations classifiées, cela ne changerait pas grand-chose.
Les fichiers de souveraineté contiennent non seulement le résultat des techniques de renseignement, mais aussi les données des sources humaines et les échanges avec les services de surveillance étrangers. Il faudra bien un jour qu'on nous donne la compétence d'y accéder, car la Cour européenne des droits de l'homme (CEDH) l'exige. On peut d'ailleurs très bien concevoir que la CNCTR n'ait qu'un accès sélectif et différencié à ces fichiers.
Si le requérant est toujours insatisfait par notre décision, il peut saisir le Conseil d'État devant la formation habilitée à connaître du secret de la défense nationale. Toutefois, il n'aura pas accès au dossier.
Le Conseil d'État va nous demander de présenter nos observations, au GIC de présenter les observations du Gouvernement, mais la personne surveillée ne sera informée de rien. Certes, l'audience est orale et elle peut y assister, mais dès lors que sont abordés des sujets classifiés, elle doit quitter la salle avec son avocat pour laisser le juge du Conseil d'État échanger avec les représentants du Gouvernement et ceux de la commission.
Ce système quasi exclusivement inquisitorial, en l'absence de facto de contradictoire, n'est pas très satisfaisant, même si la loi, qui est bien faite, permet au juge de soulever d'office toute question, et donc de se faire en quelque sorte l'avocat du requérant.
Lors de mon audition devant la délégation parlementaire au renseignement, j'ai évoqué une proposition de notre commission : pourquoi ne pas s'inspirer du système en vigueur au Royaume-Uni, en vertu duquel un très petit nombre d'avocats, âgés, bien sous tous rapports, connus, sont habilités au secret-défense ? Auquel cas, une personne saisissant le Conseil d'État choisirait l'un de ces avocats, qui aurait alors accès au dossier et serait autorisé à rester dans la salle d'audience pendant les débats contradictoires, sans être, cependant, autorisé à communiquer avec son client sur le dossier.
Je ne vois pas d'obstacle de principe dirimant à un tel système. J'en ai parlé avec les autorités du Conseil d'État, qui pensent que le sujet est digne d'intérêt.
J'en viens aux opérateurs. Faut-il leur dire pourquoi tel ou tel numéro est surveillé ? Cela me paraît compliqué. Si les services disposent désormais du matériel nécessaire pour leur permettre de procéder à l'interception de communications échangées par satellite, c'est précisément parce qu'ils ne voient pas très bien comment obtenir satisfaction de la part d'opérateurs qui, dans leur majorité, ne sont plus français. M. Musk permettrait-il l'interception de communications satellitaires ? Ce n'est pas certain.
Je ne suis pas vraiment qualifié pour vous répondre sur ce point, car les relations avec les opérateurs relèvent principalement de la responsabilité du GIC, qui sait ce qu'on peut en attendre et les limites de la transparence dans nos relations avec eux.
De même, nous n'avons pas été consultés sur la directive NIS 2.
Mme Mercier a demandé quelles relations nous entretenons avec la Défenseure des droits. Elles sont informelles, nous échangeons, de même que nous avons des relations nourries avec la Cnil. Ma conviction est que les autorités administratives indépendantes doivent se parler et non pas rester dans leur pré carré. Cependant, tenu au respect du secret-défense, je ne peux évoquer avec la Défenseure des droits que des sujets qui ne sont pas couverts à ce titre.
Selon les termes de la loi, si un lanceur d'alerte se manifestait au sein des services, ce n'est pas à la Défenseure des droits qu'il devrait s'adresser, mais à la CNCTR. Ce n'est encore jamais arrivé, et ce n'est pas dans la culture des services de renseignement de notre pays. En définitive, le système est bien contrôlé, sans que je puisse vous garantir que n'apparaisse pas un jour un système parallèle demandé par je ne sais qui et dont on ne connaîtra pas l'existence. C'est là que le lanceur d'alerte pourra être utile.
Madame Canayer, dans le fonctionnement des algorithmes, il est prévu que leur anonymisation ne peut être levée que sur autorisation du Premier ministre, après avis de la CNCTR. Le problème est que nous manquons de critères pour émettre cet avis. De fait, il faudrait revoir cette procédure. Pour la prévention du terrorisme, la réponse est évidente : si un algorithme lance une alerte, bien évidemment notre avis sera positif. Pour le reste, il faudrait que nous puissions contrôler comment fonctionnent ces algorithmes. Si nous avons la certitude qu'ils fonctionnent correctement, laissons-les fonctionner. Ce pourra être l'un des objets du rendez-vous législatif de 2025, le Parlement devant alors se prononcer sur la prolongation des interceptions satellitaires.
Monsieur Bonneau, comment obtenir plus des plateformes de messagerie cryptée ? Je ne sais pas ! WhatsApp dit ne pas pouvoir faire plus. Ne peut-il pas ou ne veut-il pas ? Et comment réagit-il face aux sollicitations d'autres entités ?
En revanche, je dois bien dire, tout en respectant le secret-défense, qu'il est arrivé qu'un de nos agents utilise le système de surveillance internationale pour surveiller des personnes se trouvant sur le territoire français, avec des identifiants nationaux. Notre service recrute des personnels venant d'horizons divers qui n'ont pas toujours à l'esprit ce que disent les textes de loi. Un hacker au service de l'État cherche les moyens les plus efficaces d'obtenir une information, mais il ne doit pas pour autant faire fi des règles déontologiques et des normes.
Ce que nous découvrons généralement, ce sont des anomalies qui ne résultent pas d'une volonté de tricher. Ainsi, les données brutes issues d'une surveillance doivent être détruites après un certain délai. Elles peuvent l'être soit automatiquement, soit par les agents, qui oublient parfois. Ce qui nous amène alors à nous demander ce que pourraient devenir de telles données qui n'auraient pas été détruites.
Pour autoriser la sonorisation d'un appartement, nous voulons savoir qui s'y trouve. On ne nous le dit pas toujours ou l'information est incomplète. Et si la personne surveillée se trouve en présence d'autres personnes, nous voulons être certains que le service demandeur conservera les seuls échanges de cette personne. Parfois, nous constatons qu'une erreur a été commise, mais c'est rare, car les services sont bien rodés.
Enfin, pour répondre à Philippe Bas qui me demandait si je saisirais le Conseil d'État si le Premier ministre passait outre un avis défavorable de la CNCTR, je lui indiquerai que, étant en situation de compétence liée, j'y suis obligé. Et la loi a même prévu que ce soient les membres de la CNCTR qui le fassent à ma place si, d'aventure, je m'en abstenais.
Je salue la loi, qui fait s'articuler le droit et la responsabilité politique de telle sorte que le Premier ministre ne prendra pas la responsabilité politique de demander une surveillance qui serait douteuse sur le plan légal.
M. François-Noël Buffet, président de la commission des lois. - Je vous remercie, monsieur le président. Nous attendons donc la publication de votre rapport, qui interviendra demain.
La réunion est close à 11 h 15.