L’Assemblée nationale a voté en première lecture, le 16 avril 2015, le fameux projet de loi relatif au renseignement, dit PJL renseignement.

Ce PJL fait l’objet d’une littérature considérable, notamment sur le Web qui s’inquiète de la limitation des libertés individuelles et collectives que la loi contiendrait. Voici donc décortiquée la loi telle qu’elle a été votée en première lecture. Naturellement, le parcours législatif de ce texte n’étant pas terminé, la loi n’est pas en vigueur et reste susceptible d’être modifiée.

La loi crée un Livre VIII « Du renseignement » dans le Code de la sécurité intérieure (CSI). Les députés ont rajouté à la version initiale du projet de loi la protection des données personnelles comme élément garanti par la loi (art. L. 811-1). Le législateur signe là son attachement à la protection généralisée et son intention de faire de la surveillance une exception strictement encadrée.

Nature des intérêts protégés par les services de renseignement

Le PJL permet aux services de renseignement d’agir pour défendre, entre autres, « les intérêts majeurs de la politique étrangère et la prévention de toute forme d’ingérence étrangère », « les intérêts économiques, industriels et scientifiques majeurs de la France », « la prévention des atteintes à la forme républicaine des institutions, des violences collectives de nature à porter atteinte à la sécurité nationale », « la prévention de la criminalité et de la délinquance organisées » (art. L. 811-3). 

On voit bien que les domaines d’intervention réservés aux services sont larges. On note en particulier que la loi concerne également les domaines économique et industriel, ce qui permettra aux services d’agir en conformité avec la loi sur les terrains de l’intelligence économique et de l’espionnage industriel pour défendre les intérêts des groupes français. 

Les autorisations nécessaires

Les techniques de recueil de renseignement devront toutes faire l’objet d’une autorisation du Premier ministre, après avis de la Commission nationale du contrôle des techniques de renseignement (CNCTR) créée par cette même loi (art. L. 821-1). L’autorisation délivrée comportera notamment la mention de la durée de validité de la mesure (art. L. 821-2), et ne pourra excéder 4 mois. Le Premier ministre pourra se passer de l’avis de la CNCTR en cas d’urgence absolue, mais devra l’en informer sans délai (art. L. 821-5). La CNCTR qui constate un manquement à ces règles d’autorisation adresse une recommandation pour obtenir l’interruption des mesures et la destruction des renseignements collectés. Si la recommandation n’est pas suivie d’effets elle saisit le Conseil d’État (art. L. 821-6). Lorsque les mesures concernent un magistrat, un avocat, un parlementaire ou un journaliste, le Premier ministre doit motiver spécialement son autorisation, après avoir réuni la CNCTR (art. L. 821-7).

On comprend donc bien ici que le système d’autorisation doit permettre que les mesures ne puissent être prises abusivement. Cela écarte clairement tout système de surveillance généralisée. On note que les avocats, magistrats, parlementaires et journalistes bénéficient d’une protection particulière.

La conservation des données collectées répond également à des règles strictes (art. L. 822-1) : entre 30 et 90 jours, jusqu’à 5 ans pour les données de connexion. Ces délais, courts pour les premiers, conduiront les services à devoir travailler très rapidement. Il n’est pas exclu que ceux-ci aient besoin de personnels supplémentaires pour respecter la loi, d’où la question encore non clairement posée du coût de mise en oeuvre.

La CNCTR, contrôleur incontournable

La CNCTR est composée comme suit (art. L. 831-1 et s.) : 3 députés et 3 sénateurs désignés par le président de leur assemblée, 3 membres du Conseil d’État, 3 magistrats de la Cour de cassation, et un spécialiste des communications électroniques, le tout en respectant la représentation équilibrée de chaque sexe. Leur mandat dure 6 ans et n’est pas renouvelable. Le président de la CNCTR est nommé par le Président de la République. Les travaux de la Commission sont couverts par le secret de la défense nationale. Elle dresse chaque année un rapport public de son activité (nombre de demandes, nombre d’autorisations données, nombre de recommandations adressées au Premier ministre, le nombre de fois où celui-ci a décidé de ne pas s’y plier, et le nombre de procédures d’urgence et de saisines du Conseil d’État). Le Conseil d’État est la juridiction compétente pour connaître des litiges relatifs à une technique de renseignement (art. L. 841-1).

Une critique récurrente de ce PJL estime que la protection des libertés publiques aurait ici dû être assurée par le juge judiciaire. En effet, d’aucuns avancent que le rôle donné à la CNCTR, qui est en réalité une autorité administrative indépendante (AAI), est trop important eu égard à sa responsabilité : qui contrôle la CNCTR ? Le juge judiciaire serait une autorité saisissable plus rapidement et plus à même de protéger les libertés publiques. Mais la mise en pratique de cette idée, qui est attrayante en théorie, relève du miracle : le juge judiciaire n’est nullement habilité au secret de la défense nationale, et quand bien même il le serait il ne prendrait pas moins de temps qu’un autre pour apprécier l’opportunité d’une mesure. Par ailleurs, si l’autorisation n’est pas soumise à un juge mais à une AAI, le juge exerce bien un contrôle a posteriori de celle-ci. Enfin, la composition de la CNCTR est faite de telle sorte qu’elle soit composée de six magistrats.

En outre, il est aussi expliqué que la primauté du Premier ministre pourrait devenir dangereuse si le Premier ministre décidait un jour de ne plus considérer le respect des libertés publiques comme le fil rouge de son action. Or il faut rappeler que l’autorisation du Premier ministre qui aurait été prise en méconnaissance des dispositions de la loi est susceptible d’être déférée devant le Conseil d’État par la CNCTR. Le juge a donc toute latitude pour sanctionner d’éventuels abus.

L’obligation de coopération des opérateurs

Le projet de loi insère la possibilité qu’a le Premier ministre « pour les seuls besoins de la prévention du terrorisme », après avis de la CNCTR, d’imposer aux opérateurs la mise en place d’un dispositif qui permet le traitement automatisé des données (art. L.851-4). En clair, il peut être décidé d’obliger les opérateurs à permettre l’espionnage des données d’une ligne téléphonique (localisation du terminal, des numéros appelés, de la date des appels reçus et passés). D’un point de vue strict, la loi ne permet donc pas l’écoute des communications comme imaginé par le grand public mais seulement un listing qui se rapproche des ‘fadettes’ bien connues. Ces mesures sont strictement limitées au domaine de la prévention du terrorisme, bien que cette prévention soit suffisamment large pour couvrir différentes activités. Ces mesures sont prises pour une durée de 4 mois renouvelable.

Cependant, et c’est ce que soulignent les opérateurs, rien n’est dit sur les modalités de cette obligation : quel sera le coût et qui paiera la mise en place de ces systèmes ? Les hébergeurs notamment craignent de devoir supporter ces coûts qui seront considérables.

L’article L. 851-9-1 permet « en cas d’urgence liée à une menace imminente ou à un risque très élevé de ne pas pouvoir effectuer l’opération ultérieurement » d’installer les dispositifs d’écoute et de surveillance sans autorisation préalable. Cela doit cependant se faire en informant le Premier ministre (qui peut ordonner l’interruption de ces mesures), le ministre concerné et la CNCTR.

L’espionnage des proches

En ce qui concerne les mesures relatives aux proches des personnes surveillées, elles sont possibles « lorsqu’il existe des raisons sérieuses de croire » que ces proches jouent un rôle d’intermédiaire, volontairement ou non, ou qu’ils pourraient fournir des informations. La ‘surveillance généralisée’ est donc strictement bornée à une autorisation, à des liens entre la personne premièrement surveillée et ses proches, et à « des raisons sérieuses » de croire que cette surveillance aurait un intérêt. Cet article L. 852-1 est sans doute celui qui fait craindre une ‘surveillance généralisée’, car les « raisons sérieuses de croire » ouvrent de larges possibilités. Ainsi, même si la mise en place de cet espionnage des proches est sérieusement limitée par le texte lui-même, la pratique connaîtra sûrement son lot d’erreurs et d’abus.

Le régime de la mise sur écoute

Lorsque les renseignements relatifs aux intérêts définis à l’article L. 811-3 ne peuvent être recueillis par un moyen légal, l’article L. 853-1 du PJL autorise la « sonorisation » des lieux privés (ie. les écoutes) et le recueil de données informatiques même privées. Ces mesures sont enfermées dans un délai de 2 mois renouvelable, sous réserve d’autorisation du Premier ministre de la CNCTR. Dans les mêmes conditions, l’article L. 853-2 autorise « l’introduction dans un véhicule ou dans un lieu privé » à la seule fin de mettre en place ou de retirer ces dispositifs, réservée aux agents habilités. Le pratique permettra probablement de considérer tous les espaces de stockage (dématérialisés ou non) comme des « lieux privés » où peuvent être mises en oeuvre ces mesures. Encore une fois, le seul filet de sécurité que permet la loi est le régime des autorisations a priori et le contrôle du juge a posteriori.

L’espionnage à l’étranger

En ce qui concerne l’étranger, l’article L. 854-1 permet « la surveillance et le contrôle des communications qui sont émises ou reçues à l’étranger » lorsque sont concernés les intérêts de l’article L. 811-3. C’est le Premier ministre qui autorise ces mesures, et le Conseil d’État qui décide comment sont gérées et exploitées ces données. Toute personne intéressée peut demander à la CNCTR (ou elle peut le faire elle-même) de vérifier la régularité des mesures appliquées sur le fondement de cet article. Si la CNCTR constate une irrégularité elle saisit le Conseil d’État (cette disposition était absente du PJL présenté par le gouvernement et a été rajoutée par les députés).

Le fait que ces dispositions concernent aussi les communications à l’étranger autorise de facto la mise en oeuvre de systèmes qui permettent de capter ces conversations à l’étranger. Ces systèmes existent déjà, et la captation de ces données est déjà une réalité grâce à la coopération inter-services entre les pays. La loi donne donc ici un cadre légal à des pratiques qui existent déjà. Elle permet aussi que des données captées à l’étranger puissent être versées aux débats à l’occasion d’un procès, puisqu’elles seront légalement obtenues.

La protection des agents des services de renseignement

Lorsqu’un agent des services de renseignement constate, dans l’exercice de ses fonctions, une irrégularité des procédures, il « peut porter ces faits à la connaissance de la seule CNCTR » (art. L. 855-3). La CNCTR qui estime que l’illégalité constatée est susceptible de constituer une infraction en avise le procureur de la République. Aucun agent qui révèlerait ainsi, de bonne foi, des informations ne peut être sanctionné pour cela.

Ici on aurait pu imaginer une obligation plutôt qu’une simple possibilité. Mais une obligation n’a de sens que si elle est sanctionnée en justice, or il est irréalisable de sanctionner tous les agents qui auraient eu, ou auraient pu avoir, connaissance d’une telle information.

Le PJL (art. L. 855-5) autorise les agents des services de renseignement, dans l’accomplissement de leurs missions, sans être pénalement responsables, à faire plusieurs actions : se faire passer pour quelqu’un d’autre dans des échanges de courriels, rencontrer ou surveiller des personnes visées, ou même détenir « des contenus provoquant directement à la commission d’actes de terrorisme » (sic). En clair, la loi autorise ici les activités d’espionnage et d’infiltration des agents des services spécialisés. Aucune autorisation préalable n’est requise pour que ces agents se livrent à ces activités. Cela se comprend en raison de l’inutile lourdeur procédurale que cela représenterait, et par la protection déjà importante prévue par les dispositions déjà vues.

Le contentieux lié aux mesures

En ce qui concerne le contentieux lié aux techniques de renseignement, il est intégralement laissé au Conseil d’État, le cas échéant réuni dans une formation spécialement accréditée au secret de la défense nationale (art. L. 773-2). La procédure de jugement peut être adaptée aux exigences du secret de la défense nationale, par exemple avec le huis-clos.

Le juge qui constate une irrégularité dans l’autorisation ou la conservation d’un renseignement peut en ordonner la destruction, et avise le procureur de la République s’il estime que cette irrégularité pourrait constituer une infraction.

Les opérateurs de communications électroniques, les FAI et opérateurs télécoms, qui mettent en oeuvre des techniques de recueil de renseignement, ont l’obligation de laisser opérer sur leurs systèmes les membres de la CNCTR à des fins de contrôle. En clair, lorsque des opérateurs privés ont dû mettre en place des moyens automatisés de surveillance des personnes, ils sont tenus de permettre à la CNCTR de contrôler les opérations. L’amende qu’ils encourent s’ils ne le font pas passe de 30 000€ (actuellement) à 375 000€ sous l’empire de la loi nouvelle.

Le reste du PJL renseignement (art. 8 du PJL) contient des dispositions relatives à l’Outre-Mer que nous n’étudierons pas ici.

Le président de la République a annoncé son intention de déferrer ce texte au Conseil constitutionnel pour qu’il en vérifie la conformité à la Constitution. Un groupe de députés est également en train de se constituer pour faire de même (ils seraient ce 29 avril 58 sur les 60 nécessaires). Cette double saisine s’explique par la crainte des députés que le président de la République limite ses questions dans sa saisine du Conseil. Il est probable que les députés opposés à ce PJL se montreront nettement plus précis dans leur propre saisine.