Le blog Droit administratif

Aller à l'accueil | Aller à la table des matières |
06 07 2018

Quelques précisions sur la surveillance des communications électroniques internationales

Par un avis du 4 mai 2018[1], le Conseil d’Etat s’est prononcé, à la demande du ministre des Armées, sur les menaces que la surveillance des communications internationales était susceptible de faire peser sur les intérêts fondamentaux de la Nation. Saisi par le Gouvernement de nombreuses questions, le Conseil d’Etat devait notamment examiner de probables modifications du code de la sécurité intérieure, sous l’angle de leur constitutionnalité et de leur conformité au droit au respect de la vie privée.

En premier lieu, était concerné le III de l’article L. 854-2 du code de la sécurité intérieure[2], et plus précisément l’exploitation des numéros d’abonnés ou des adresses techniques des cibles visées par la surveillance de ces communications internationales. En deuxième lieu, le Gouvernement souhaitait aussi savoir s’il était possible de recueillir le contenu des données, au titre de ce même article, dans le cas de la surveillance liée à une cyber-attaque ou à une menace terroriste. En troisième lieu, le Conseil d’Etat devait aussi se prononcer sur la potentialité du recueil de données techniques rattachables au territoire national dans le cadre de la surveillance des communications internationales, et cela sur le fondement de toutes les menaces inscrites à l’article L. 811-3 du code de la sécurité intérieure[3]. En quatrième lieu, et dans le but de compléter l’article L. 854-1 du code de la sécurité intérieure[4], le Gouvernement avait aussi souhaité demander au Conseil d’Etat s’il était possible que les données recueillies dans la surveillance internationale puissent être exploitées avec des autorisations de surveillance sur le territoire national, à savoir les accès administratifs aux données de connexion[5], le recueil de données en temps réel pour prévenir une menace terroriste[6], la sonorisation et la captation d’images[7], mais encore la captation de données informatiques[8].

Si de nombreuses questions techniques ont donc été posées au Conseil d’Etat, ce qui retiendra notre attention sera l’interprétation et les précisions apportées sur le caractère rattachable au territoire national de ces mesures de surveillance portant sur les communications internationales.

L’enjeu est clair : s’il y a bien une différence entre les interceptions effectuées sur le territoire et celles mises en œuvre avec la surveillance des communications internationales, le Gouvernement souhaite régulariser une situation qui permettrait d’harmoniser les renseignements recueillis dans le cadre de la surveillance des communications internationales ayant un intérêt pour le renseignement public, et, in fine, de protéger la sécurité nationale[9] au regard des différentes menacées listées à l’article L. 811-3 CSI.

Si le Conseil d’Etat s’est ainsi exprimé sur des modifications éventuelles aux dispositions relatives à la surveillance des communications internationales, il ne faut pas oublier qu’il existe déjà un cadre légal, fixé par la loi du 30 novembre 2015 pour les communications rattachables au territoire national. Celui-ci étant néanmoins imparfait, le Gouvernement a souhaité y apporter des modifications. Ce qu’il est aussi intéressant d’observer, c’est que le Conseil d’Etat a retenu comme fil conducteur dans cet avis la sécurité nationale.

 

I. – UN CADRE DÉJA EXISTANT DANS LA LOI DU 30 NOVEMBRE 2015 POUR LES COMMUNICATIONS RATTACHABLES AU TERRITOIRE NATIONAL

La surveillance des communications internationales dispose d’un cadre juridique depuis la loi du 30 novembre 2015[10], même si elle avait été comprise dans la loi du 24 juillet 2015 relative au renseignement[11]. C’est en raison d’une censure constitutionnelle en juillet 2015[12] que le Gouvernement a préféré aujourd’hui saisir le Conseil d’Etat pour avis, afin d’éviter une censure potentielle, si des modifications devaient être apportées à ces mesures de renseignement. Le texte actuel comprend de manière exceptionnelle, la possibilité d’intercepter des communications rattachables au territoire national, et l’intérêt de cet avis réside dans les précisions apportées par le Conseil d’Etat.

1. Une demande d’avis justifiée par la crainte d’une nouvelle censure

Adopté le 24 juin 2015, le texte initial concernant l’encadrement juridique des activités de renseignement avait pour but d’inscrire, à l’article L. 854-1 du Code de la sécurité intérieure, la surveillance des communications internationales[13]. Dans le cadre du vote de la loi, certains sénateurs avaient critiqué l’absence de précisions apportées aux surveillances des communications internationales. En effet, la formulation « de communications qui sont émises ou reçues à l’étranger »[14] était trop floue. De telle sorte que le sens de cette disposition risquait « ensuite de couvrir un grand nombre de communications électroniques entre personnes pourtant basées en France mais utilisant des services électroniques localisés à l’étranger »[15], ce qui posait la question de la surveillance de Français qui communiqueraient entre eux à l’aide de réseaux sociaux ou de messageries basés hors du territoire national. Dans le cadre du contrôle de constitutionnalité, cette disposition avait été déclarée non conforme à la Constitution par le Conseil constitutionnel, car la mesure telle qu’elle avait été rédigée ne définissait aucun élément sur la procédure suivie ni même les garanties accordées aux citoyens[16].

Le législateur a ainsi souhaité pallier le vide juridique en la matière et remédier à la précédente censure constitutionnelle. Par la loi du 30 novembre 2015 relative aux mesures de surveillance des communications électroniques internationales[17], le Parlement a ainsi donné un cadre légal à la surveillance de ces communications, une activité effectuée par la Direction générale de la sécurité extérieure (DGSE). Déférée au Conseil constitutionnel, ce dernier a considéré les dispositions de la loi du 30 novembre 2015 conformes à la Constitution, notamment l’article L. 854-1 du Code de la sécurité intérieure dont la nouvelle rédaction prévoit désormais des garanties procédurales[18]. Désormais, la loi du 30 novembre 2015[19] pointe clairement les cibles étrangères comme faisant l’objet de telles surveillances électroniques, tout en évacuant en principe les cibles françaises. La surveillance des communications internationales concerne deux types de mesures : les mesures non individualisées, et les mesures ciblées.

Il y a d’abord les autorisations concernant « l’exploitation non individualisée des données de connexion interceptées »[20], à savoir l’exploitation des communications par un système de surveillance de masse[21], ce qui rentrerait en toute logique dans la compétence de la plateforme nationale de cryptanalyse et de décryptement (PNCD)[22].

Ensuite, la demande de surveillance peut aussi porter sur « l’exploitation de communications, ou de seules données de connexion »[23] de la personne surveillée. Cette autorisation a aussi bien trait à l’interception des données de connexion qu’au contenu de ces données. Cette autorisation « délivrée dans les mêmes conditions que l’exploitation de premier niveau, désignera les ‘zones géographiques, les organisations ou les personnes ou groupes de personnes objets de cette surveillance’. L’autorisation pourra ainsi avoir un caractère collectif, à la différence du régime des interceptions de sécurité sur le territoire national »[24]. C’est sur cette seconde catégorie d’autorisation, que, depuis fin mai 2016, la Commission nationale de contrôle des techniques de renseignement effectue un contrôle a priori[25].

Au demeurant, qu’elles soient individualisées ou non, le Conseil d’Etat devait se focaliser ici sur les interceptions de communications rattachables au territoire national, même si celles-ci existaient déjà de manière conditionnée depuis 2015.

2. Les interceptions conditionnées de communications françaises

La règle d’une surveillance des communications internationales primant, il est permis d’y déroger, le législateur ayant prévu la possibilité d’intercepter des numéros d’abonnement ou identifiants français concernées par la surveillance des communications internationales. En effet, si « les mesures prises à ce titre ne peuvent avoir pour objet d’assurer la surveillance individuelle des communications de personnes utilisant des numéros d’abonnement ou des identifiants techniques rattachables au territoire national »[26], il faut cependant noter qu’un Français communiquant à l’étranger peut être la cible d’interceptions des internationales, si ce dernier faisait déjà l’objet d’une interception de sécurité en France ou, s’il portait atteinte aux intérêts fondamentaux de la Nation[27] inscrits sur la liste des motifs de l’article L. 811-3[28].

Il existe en outre, à l’article L. 854-8 du même Code, la possibilité de surveiller un individu résidant en France avec le dispositif des interceptions de sécurité, par ricochet à la surveillance de ces communications internationales, « lorsque les correspondances interceptées renvoient à des numéros d’abonnement ou à des identifiants techniques rattachables au territoire national ». Ainsi, lors de surveillances de communications internationales, le fait que des correspondances se rattachent au territoire français transfère la surveillance de l’article L. 854-1 du Code de la sécurité intérieure à l’article L. 852-1 du même Code, c’est-à-dire d’une procédure appliquée aux cibles étrangères à la procédure des interceptions de sécurité appliquées sur le territoire national.

Ces interceptions conditionnées ont été rappelées et approuvées par le Conseil d’Etat, en tant qu’elles devaient rester exceptionnelles[29].

Plus encore, et conformément à l’article R. 823-1 du Code de la sécurité intérieure, il est indiqué que c’est au Groupement interministériel de contrôle (GIC)[30] d’enregistrer et rassembler toutes les demandes et autorisations de demandes, tenant aux interceptions de l’article L. 854-2 II et III du Code de la sécurité intérieure, concernant l’accès et/ou l’exploitation des données ou contenus de connexion pour les communications internationales. En toute logique, cette structure va aussi concentrer les interceptions de sécurité, si la communication internationale est rattachable au territoire national[31].

De manière pratique, le lien entre la plateforme (PNCD), relevant de la direction technique de la Direction générale de la sécurité extérieure, et le Groupement interministériel de contrôle (GIC) existe, avec une probable synergie, puisque le directeur du Groupement nommé le 29 janvier 2016, Pascal Chauve[32], a travaillé auparavant avec Patrick Pailloux[33], directeur technique de la Direction générale de la sécurité extérieure, quand ils étaient à la Direction centrale de la sécurité des systèmes d’information (DCSSI) – actuelle Agence nationale de la sécurité des systèmes d’information (ANSSI)[34]. Pour autant, les communications électroniques recueillies par la plateforme nationale de cryptanalyse et de décryptement (PNCD) ne sont pas soumises au contrôle de la Commission nationale de contrôle des techniques de renseignement (CNCTR)[35], et ne sont donc pas les communications internationales entendues par l’article L. 854-1 du Code de la sécurité intérieure, car il est difficile d’imaginer que cette Commission puisse contrôler les milliards de données qui ont été récoltées quand il s’agit d’une surveillance non individualisée[36].

Là encore, la différence réside donc entre les mesures ciblées de surveillance soumises à contrôle, et les surveillances non individualisées qui ne peuvent, techniquement, entrer dans un contrôle administratif.

3. Les précisions apportées par le Conseil d’Etat

Par l’avis du 4 mai 2018, le Conseil d’Etat a ainsi souhaité apporter une précision (et une confirmation de la position du Gouvernement[37]) à ce sujet en expliquant que l’étranger visé par la surveillance des communications internationales « n’est pas défini par référence au territoire sur lequel se trouve l’utilisateur ou à sa nationalité mais en fonction du pays où l’abonnement a été souscrit ou l’identifiant technique constitué »[38]. Cette précision ouvre donc la possibilité d’effectuer une surveillance à l’égard d’un étranger qui se trouverait sur le territoire national, en tant que son numéro d’abonnement ou son identifiant serait lié à un hébergement à l’étranger. Inversement, et sauf exception, seront donc exclus les numéros ou identifiants « rattachables au territoire national »[39] stricto sensu. Cette précision est très importante, car elle permet donc de bien faire la différence entre l’étranger au sens géographique, et des identifiants étrangers, les identifiants rattachables au territoire national pouvant être soumis aux mesures de captation des données de connexion[40] ou de captation du contenu même des données informatiques[41] – soumises quant à elle au régime commun des techniques de recueil de renseignement, à savoir une procédure préalable devant la Commission de recueil des techniques de renseignement[42].

C’est en raison de la précision sur les cibles étrangères que le renseignement extérieur peut intercepter des communications sur le territoire national, quand bien même il ne peut techniquement pas agir sur le territoire national, le Code de la défense prévoyant que « la Direction générale de la sécurité extérieure a pour mission, au profit du Gouvernement et en collaboration étroite avec les autres organismes concernés, de rechercher et d’exploiter les renseignements intéressant la sécurité de la France, ainsi que de détecter et d’entraver, hors du territoire national, les activités d’espionnage dirigées contre les intérêts français afin d’en prévenir les conséquences »[43]. Dérogeant à la règle, cette possibilité était nécessaire en raison des impératifs de sécurité nationale, sans pour autant remettre « en cause la constitutionnalité du dispositif, admise par le Conseil constitutionnel dans sa décision du 26 novembre 2015 »[44].

II. – LA SÉCURITÉ NATIONALE COMME FIL CONDUCTEUR ET FONDEMENT DES MESURES DE RENSEIGNEMENT

Rappelée par le Conseil d’Etat dans cet avis comme motif légitime et nécessaire des mesures de surveillance[45], la sécurité nationale justifie ici légitimement que les doutes ainsi émis pourraient être levés grâce à la captation des « données de contenu », en tant que cette captation est circonscrite géographiquement, quantitativement, ou s’il y a situation d’urgence, à savoir une menace terroriste ou une cyber-attaque[46].

Proche des intérêts fondamentaux de la Nation[47], la sécurité nationale apparaît textuellement au sein du Livre blanc sur la défense et la sécurité nationale de 2008[48]. A la suite de ce Livre Blanc, la loi du 29 juillet 2009 relative à la programmation militaire pour les années 2009 à 2014 et portant diverses dispositions concernant la défense[49] apporta une définition, non de la sécurité nationale en elle-même, mais de la stratégie de sécurité nationale, à l’article L. 1111-1 du Code de la défense, et selon lequel « la stratégie de sécurité nationale a pour objet d’identifier l’ensemble des menaces et des risques susceptibles d’affecter la vie de la Nation, notamment en ce qui concerne la protection de la population, l’intégrité du territoire et la permanence des institutions de la République, et de déterminer les réponses que les pouvoirs publics doivent y apporter ». Il en ressort ainsi une conception élargie, proche de la définition américaine de la sécurité nationale, telle qu’elle a été formulée aux Etats-Unis, en 1947[50]. Toujours outre-Atlantique, une autre vision de la sécurité nationale fut donnée par Pénélope Hartland-Thunberg, qui considéra que « la sécurité nationale est la capacité d’une Nation à poursuivre avec succès ses intérêts nationaux tels qu’elle les voit à n’importe quel endroit du monde »[51].

Ainsi, la sécurité nationale englobe autant la défense nationale que la sécurité intérieure, c’est-à-dire les menaces justifiant les missions des services de renseignement telles qu’elles sont listées à l’article L. 811-3 CSI, à savoir les menaces pouvant porter atteinte aux intérêts fondamentaux de la Nation[52]. De manière plus précise, cette notion « centrale et dominante »[53] pourrait être définie comme « un intérêt essentiel, comprenant les politiques de sécurité et de défense dans leur ensemble, qui justifierait des moyens régaliens et exorbitants du droit commun pour assurer la pérennité de la Nation »[54].

Cette proposition de définition permet de mieux mettre en avant le lien entre sécurité nationale et mesures de renseignement, ainsi qu’avec les finalités qui lui sont associées, allant de la lutte contre le terrorisme, en passant par la criminalité organisée, mais encore les ingérences classiques ou de type informatique (cyberattaques). De telle sorte que c’est donc par le fil conducteur de la sécurité nationale que le Gouvernement a saisi le Conseil d’Etat pour avis, puisque les mesures de surveillance des communications électroniques internationales, qui relèvent par essence de la Direction générale de la sécurité extérieure, seraient complétées pour y associer des mesures de surveillance relevant, quant à elles, de la sécurité intérieure[55], ou pour effectuer des surveillances de communications internationales rattachables au territoire national.

Pour conclure, non seulement la saisine du Conseil d’Etat montre une certaine technicité de ce dernier quant aux différentes techniques de recueil de renseignement[56], mais elle met surtout en avant la nécessité d’assouplir cette mesure de renseignement dans la pratique, avec comme justification la protection de la sécurité nationale au regard de menaces mouvantes, non plus cantonnées à la seule sécurité intérieure, ou extérieure, mais comprenant les deux. Les interceptions s’appliqueraient donc à un Français qui aurait un numéro d’abonnement ou un identifiant technique situé à l’étranger, à un étranger localisé en France avec ces mêmes numéros ou identifiants étrangers, et, bien sûr, à toutes les autres cibles étrangères au sens propre. Si le cadre juridique du renseignement de 2015 était nécessaire, il reste un frein important pour la Direction générale de la sécurité extérieure dans l’ensemble de ses actions de surveillance, et cet avis favorable du Conseil d’Etat permet ainsi une évolution bienvenue du régime de surveillance de ces communications internationales.

 

ANNEXE

CONSEIL D’ÉTAT  

Séance du 4 mai 2018

Section de l’administration       

N° 394761

EXTRAIT DU REGISTRE DES DELIBERATIONS

Le Conseil d’État (section de l’administration), saisi le 26 avril 2018 par la ministre des armées d’une demande d’avis portant sur la conformité à la Constitution de dispositions permettant de vérifier l’existence de menaces pour les intérêts fondamentaux de la Nation dans les données recueillies dans le cadre de la surveillance des communications internationales et qui présenteraient les caractéristiques suivantes :

1° Il s’agirait, en premier lieu, de préciser que l’autorisation d’exploitation, prévue au III de l’article L. 854-2 du code de la sécurité intérieure, des données de connexion recueillies dans le cadre de la surveillance des communications internationales afin de procéder à des « levées de doutes » peut se faire en les interrogeant avec un numéro d’abonné ou une adresse technique rattachable au territoire national et pas seulement à partir d’un numéro d’abonné ou d’une adresse technique qui ne s’y rattache pas ; l’utilisation d’un même numéro d’abonné ou d’une même adresse technique serait ponctuelle ; cette exploitation ne donnerait pas lieu à une autorisation distincte de celle prévue au III et serait, pour le surplus, entourée des mêmes garanties que celles prévues pour ces autorisations d’exploitation « personnelles », notamment en termes de traçabilité et de contrôle a posteriori de la Commission nationale de contrôle des techniques de renseignement (CNCTR) ;

2° Le Gouvernement souhaite, en deuxième lieu, permettre que cette levée de doute se fasse par une mise en relation ponctuelle avec des « correspondances » – c’est-à-dire des données de contenu – circonscrites géographiquement ou thématiquement, lorsqu’une cyber-attaque ou une urgence tenant à une menace terroriste le justifie ; cette exploitation s’inscrirait soit dans le cadre d’une autorisation délivrée en application du III de l’article L. 854-2, soit dans une autorisation-cadre délivrée par le Premier ministre, précédée d’un avis de la CNCTR, qui préciserait notamment le type d’interrogation possible, les services autorisés à la mettre en œuvre, les paramètres techniques des outils de vérification garantissant le caractère ponctuel de l’exploration et la conservation des seuls éléments caractérisant une menace ; cette nouvelle forme d’exploration donnerait lieu à des dispositifs de traçabilité, sous le contrôle de la CNCTR, afin de garantir son contrôle a posteriori ;

3° Il s’agit, en troisième lieu, de permettre d’exploiter toutes les données relatives à un identifiant technique rattachable au territoire national qui sont issues de la surveillance des communications internationales alors que son utilisateur se trouve en France et pour les seules finalités mentionnées aux 1°, 2°, 4°, 6° et 7° de l’article L. 811-3, avec des garanties comparables à celles qui s’appliquent aux techniques de renseignement sur le territoire national ;

4° Le Gouvernement souhaite, enfin, compléter l’article L. 854-1 du code de la sécurité intérieure pour préciser que les autorisations accordées au titre de la surveillance nationale sur le fondement de l’article L. 851-1, de l’article L. 851-2, du I de l’article L. 853-1 et 1° du I de l’article L. 853-2 permettent d’exploiter aussi des données interceptées dans le cadre de la surveillance des communications internationales, dans la limite de l’autorisation délivrée par le Premier ministre ;

Vu la Constitution, notamment son Préambule ;

Vu la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales ;

Vu le code de justice administrative, notamment ses articles L. 773-1 à L. 773-7 ;

Vu le code de la sécurité intérieure, notamment son livre VIII ;

EST D’AVIS

qu’il y a lieu de répondre aux questions posées dans le sens des observations suivantes :

1. La loi n° 2015-912 du 21 juillet 2015 relative au renseignement a, pour la première fois, défini un cadre légal commun aux activités de renseignement pour autoriser et permettre la mise en œuvre des techniques de recueil de renseignement.

L’article L. 801-1 du code de la sécurité intérieure définit les principes qui gouvernent cette surveillance, dont le régime juridique est précisé par les quatre premiers titres du livre VIII « Du renseignement » introduit dans ce code par cette loi. Afin de ne porter au respect de la vie privée garantie par la loi dans toutes ses composantes que des atteintes rendues nécessaires par un intérêt public, la mise en œuvre de ces techniques sur le territoire national est subordonnée à la délivrance d’une autorisation, au profit des services de sécurité limitativement énumérés et dans le respect de leurs missions ; elles doivent être justifiées par des menaces, risques ou enjeux pour les intérêts fondamentaux de la Nation mentionnés à l’article L. 811-3. La Commission nationale de contrôle des techniques de renseignement (CNCTR) a été créée pour veiller au respect de ces principes et une formation spécialisée du Conseil d’Etat est chargée de statuer sur les contentieux relatifs à la délivrance de ces autorisations, à leur mise en œuvre et à la conservation des données issues de l’usage de ces techniques.

Le titre V de ce livre précise ces techniques de renseignement. Ses trois premiers chapitres sont consacrés aux trois catégories de techniques qui peuvent être mises en œuvre sur le territoire national, à savoir les accès administratifs aux données de connexion, les interceptions de sécurité des communications qui donnent accès au contenu des communications et enfin la sonorisation de certains lieux et véhicules ou la captation d’images et de données informatiques. Son cinquième chapitre est relatif aux interceptions hertziennes. Son chapitre IV est consacré aux mesures de surveillance des communications électroniques internationales qui obéissent à un régime adapté. Issu de la loi n° 2015-1556 du 30 novembre 2015 relative aux mesures de surveillance des communications électroniques internationales, ce chapitre, qui ne fait l’objet d’aucun décret d’application, régit de façon exclusive le cadre juridique qui leur est applicable.

L’article L. 854-1 définit ces mesures comme étant celles qui sont émises ou reçues de l’étranger. L’ « étranger » n’est pas défini par référence au territoire sur lequel se trouve l’utilisateur ou à sa nationalité mais en fonction du pays où l’abonnement a été souscrit ou l’identifiant technique constitué. Sont en principe exclues de ce régime les communications entre personnes utilisant des numéros d’abonnements ou des identifiants techniques rattachables au territoire national. Les données recueillies présentant ces caractéristiques doivent être immédiatement détruites. L’une au moins de ces terminaisons doit correspondre à un numéro d’abonnement ou identifiant technique non rattachable au territoire national.

Ce régime distingue clairement le recueil des données, qui doit faire l’objet d’une décision motivée du Premier ministre définissant les réseaux de communications électroniques sur lesquels est autorisée l’interception des communications émises ou reçues de l’étranger (I de l’article L. 854-2), de leur exploitation qui nécessite une autre décision du Premier ministre ou de l’une des personnes qu’il a déléguées. L’article L. 854-2 distingue deux catégories d’autorisations d’exploitation. La première autorise une exploitation « non individualisée » de données de connexion pour une durée qui ne peut excéder un an, renouvelable dans les mêmes conditions, et précise les finalités poursuivies, les motifs des mesures, les services habilités à procéder à l’exploitation et le traitement automatisé pouvant être mis en œuvre (II du même article). La seconde catégorie, dénommée « autorisation d’exploitation personnelle » permet l’exploitation tant du contenu des communications que des données de connexion à partir d’interrogations éventuellement personnalisées (III du même article). Délivrée pour une durée limitée à quatre mois renouvelable dans les mêmes conditions, elle doit préciser non seulement les finalités poursuivies, les motifs des mesures et les services habilités à procéder à l’exploitation mais aussi les zones géographiques, organisations, groupe de personnes ou personnes concernées par l’exploitation. Enfin, par exception à l’interdiction d’exploitation des données provenant de communication ayant à chaque terminaison un numéro ou un identifiant technique rattachable à la France, l’article L. 854-1 permet cette exploitation dans le cas particulier où, d’une part, ces personnes communiquent depuis l’étranger et où, d’autre part, soit elles constituent une menace au regard des intérêts fondamentaux de la Nation mentionnés à l’article L. 811-3, soit elles font l’objet d’une autorisation d’interception de sécurité délivrée en application de l’article L. 852-1 à la date à laquelle elles ont quitté le territoire national. Cette exploitation est également soumise à une autorisation d’exploitation personnelle du III de l’article L. 854-2.

Outre l’exigence d’une double autorisation de recueil puis d’exploitation des données, le régime juridique applicable à la surveillance de ces communications internationales présente plusieurs autres différences avec le régime applicable à la surveillance nationale. Aucune de ces catégories d’autorisation n’est soumise à l’avis préalable de la CNCTR. Les durées de conservation des données ainsi recueillies sont plus longues (article L. 854-5). Enfin, si toutes ces décisions et mesures peuvent être soumises au contrôle du juge, seule la CNTR peut le saisir d’une irrégularité qu’elle aurait constatée dans la mise en œuvre de la surveillance des communications internationales et à laquelle il n’aurait pas été intégralement mis fin malgré sa recommandation (article L. 854-9).

Ce dispositif a été déclaré conforme à la Constitution par le Conseil constitutionnel dans sa décision n° 2015-722 DC du 26 novembre 2015. 

2. Le Conseil d’Etat constate, en premier lieu, qu’aucune des diverses modifications envisagées par le Gouvernement n’a pour objet de réduire les garanties ainsi instituées pour les mesures de surveillance des communications internationales. Il relève que le Gouvernement n’exclut pas, parmi ces modifications, de rendre obligatoire l’avis préalable de la CNCTR pour la délivrance de toute autorisation d’exploitation personnelle prévue au III de l’article L. 854-2 et de préciser le caractère immédiat de l’accès ouvert à la CNCTR sur les données recueillies ou extraites ainsi que sur les éléments de traçabilité. De telles modifications, qui renforceraient les garanties du dispositif, ne se heurtent ainsi à aucun obstacle constitutionnel ni conventionnel.

Les autres modifications envisagées visent, selon le cas, à préciser davantage les exploitations auxquelles il est possible de procéder dans le cadre des deux catégories d’autorisation déjà prévues pour permettre notamment des vérifications ponctuelles de « levée de doutes » que l’article L. 854-2 n’interdit pas, le cas échéant à aménager une nouvelle catégorie d’autorisation entourée de garanties qui ne seraient pas moindres que celles déjà organisées et, enfin, à préciser la portée de mesures de surveillance nationale autorisées à l’égard de données interceptées dans le cadre de la surveillance des communications internationales.

Le Conseil d’Etat considère que le fait de préciser les vérifications possibles dans le cadre des autorisations déjà prévues va dans le sens des exigences posées tant par le Conseil constitutionnel que par la Cour européenne des droits de l’homme quant à la précision des normes qui viennent apporter des limitations au respect de la vie privée et, en particulier, au secret des correspondances par la mise en œuvre secrète de moyens de surveillance afin de garantir les intérêts fondamentaux de la Nation. Il importe cependant que la rédaction qui sera retenue ne fasse pas naître d’a contrario quant à d’autres vérifications possibles sans être à ce point précisées. Le Conseil d’Etat souligne que la possibilité de procéder à une exploitation des données recueillies plus étendue que ce que la loi permet déjà, ainsi que l’envisagent certains des points de la demande d’avis, requiert de modifier la rédaction des dispositions législatives en vigueur pour les préciser. Le Gouvernement devra veiller à ce que les dispositions correspondantes comportent les éléments utiles et pertinents pour caractériser la mesure de surveillance permise et préciser les garanties dont elles seront assorties.

3. La modification envisagée au 1° de la demande d’avis consiste à préciser que les autorisations délivrées en application du III de l’article L. 854-2 peuvent notamment consister à autoriser l’exploitation des données de connexion par la mise en œuvre de vérifications ponctuelles visant à mettre en relation les données de connexion recueillies dans le cadre de la surveillance des communications internationales avec un numéro d’abonné ou une adresse technique rattachable au territoire national. Elle viserait à expliciter que ces vérifications ne sont pas limitées à des mises en relation avec un numéro d’abonné ou une adresse technique non rattachable au territoire national. Compte tenu du fait que le III de l’article L. 854-2 permet déjà l’exploitation des données de connexion, ainsi d’ailleurs que de données de contenu, à partir d’éléments relatifs à des personnes, le caractère limité de la précision ainsi apportée, qui ne constitue pas une mesure de surveillance individuelle, ne remet pas en cause la constitutionnalité du dispositif, admise par le Conseil constitutionnel dans sa décision du 26 novembre 2015 déjà citée.

Le Conseil d’Etat s’interroge toutefois sur la pertinence des distinctions que le Gouvernement envisage d’établir selon que le numéro d’abonné ou l’adresse technique employé se rapporterait à une personne « connue » des services, ce critère ne semblant pas correspondre à celui d’une personne faisant déjà l’objet d’une mesure de surveillance nationale, et selon que cette personne serait ou non localisée, sur le territoire national ou hors de celui-ci. Aucune exigence constitutionnelle ni conventionnelle ne vient étayer le recours à ces critères, qui pourraient soulever des difficultés opérationnelles dans leur utilisation.

4. La modification envisagée au 2° de la demande d’avis consisterait à permettre, à titre dérogatoire, que cette levée de doute se fasse par une mise en relation ponctuelle avec des « correspondances » – c’est-à-dire des données de contenu – circonscrites géographiquement ou thématiquement lorsqu’une urgence tenant à une menace terroriste ou une menace de cyber-attaque le justifie.

Les explications données et les précisions apportées par le Gouvernement démontrent l’intérêt incontestable de la possibilité de procéder à cette vérification pour protéger les intérêts fondamentaux de la Nation et font ressortir la nature limitée des données qu’elles ont pour objet d’interroger, toute exploitation plus poussée de ces données devant se faire au titre d’un des régimes qui le permettent. Elles conduisent à ne pas déceler d’obstacle constitutionnel, que la modification fasse l’objet d’une procédure ad hoc d’autorisation-cadre du Premier ministre ou qu’elle s’inscrive dans le cadre des autorisations du III de l’article L. 854-2, dans la mesure où les dispositions introduites feront apparaître le caractère limité des données susceptibles d’être ainsi interrogées et l’impossibilité de les exploiter davantage sur le fondement de cette seule autorisation. Les garanties particulières de traçabilité de ces exploitations qui sont prévues renforceront la conformité du dispositif. 

5. La modification envisagée au 3° de la demande d’avis consisterait à autoriser l’exploitation de données de communications, c’est-à-dire de données de contenu issues de la surveillance des communications internationales et correspondant à un numéro d’abonnement ou un identifiant technique rattachable au territoire national alors que son utilisateur est en France. Cette exploitation donnerait lieu à une autorisation propre et ne pourrait intervenir que pour la poursuite de l’une des finalités prévues au 1°, 2°, 4°, 6° et 7° de l’article L. 811-3 du code de la sécurité intérieure. Délivrée selon la procédure du III de l’article L. 854-2, elle serait précédée d’un avis de la CNCTR et les personnes souhaitant vérifier si elles font l’objet d’une telle exploitation pourraient saisir elles-mêmes le Conseil d’Etat pour qu’il s’en assure, dans les conditions prévues aux articles L. 773-1 à L. 773-7 du code de justice administrative. Le Conseil d’Etat comprend que cette interrogation pourrait aussi, par dérogation au troisième alinéa de l’article L. 854-1, porter sur des données recueillies dont les deux terminaisons correspondent à un numéro ou un identifiant rattachable à la France, lesquelles ne seraient pas détruites. Dans la mesure où cette interrogation renvoie à un numéro d’abonnement ou un identifiant technique rattachable au territoire national, s’appliqueront les dispositions de l’article L. 854-8 qui rendent applicables à ces données des conditions plus strictes d’exploitation et de conservation ainsi que de destruction prévues dans le cadre de la surveillance nationale.

Dès lors que cette exploitation bénéficierait des mêmes garanties que celles qui s’appliquent aux interceptions de sécurité effectuées dans le cadre de la surveillance nationale, elle ne paraît pas constituer une atteinte manifestement disproportionnée au respect de la vie privée.

6. Enfin, la modification envisagée au 4° de la demande d’avis consisterait à prévoir que les autorisations prévues à l’article L. 851-1, à l’article L. 851-2 et au I de l’article L. 852-1 peuvent valoir autorisation d’exploitation des communications, ou des seules données de connexion, interceptées dans le cadre de la mise en œuvre de mesures de surveillance des communications internationales. Le Gouvernement envisage de préciser que cette mise en œuvre n’est possible que dans la limite de la portée des autorisations délivrées, notamment celles relatives à l’ancienneté des données exploitées, à leur durée de conservation ou à la durée des autorisations délivrées, et dans le respect des garanties qui les entourent, notamment quant au droit de recours ouvert.

Compte tenu de ces garanties et dès lors que cette nouvelle possibilité ne s’appliquera qu’aux autorisations délivrées postérieurement à la modification de la loi sur ce point, le Conseil d’Etat est d’avis que cette extension de la portée d’autorisations délivrées au titre de la surveillance nationale est conforme à la Constitution.

7. Le Conseil d’Etat est également d’avis que ces différentes modifications appellent la même appréciation au regard du droit au respect de la vie privée garanti par l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.

8. Le Conseil d’Etat constate que le Gouvernement ne modifie pas le droit au recours « médiatisé » par la CNCTR prévu par l’article L. 854-9 du code de la sécurité intérieure, que le Conseil constitutionnel a déclaré conforme aux exigences du droit à un recours effectif garanti par l’article 16 de la Déclaration des droits de l’homme et du citoyen pour les vérifications de levée de doute. Il relève qu’il prévoit d’ouvrir le recours direct prévu à l’article L. 841-1 de ce code pour les autres exploitations qu’il envisage de permettre. Dans ces conditions, ces nouveaux dispositifs ne remettent pas en cause l’appréciation, portée par le Conseil constitutionnel, d’absence d’atteinte manifestement disproportionnée à ce droit au recours.

S’agissant du droit au recours effectif garanti par l’article 13 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, le Conseil d’Etat a, dans l’avis d’assemblée générale sur une proposition de loi relative aux mesures de surveillance des communications électroniques internationales (15 octobre 2015, n° 390578), estimé que le recours organisé par l’article L. 854-9 ne porte pas non plus atteinte excessive à ce droit. Les modifications envisagées par le Gouvernement ne modifient en rien l’appréciation ainsi portée.

Cet avis a été délibéré et adopté par le Conseil d’Etat (section de l’administration) dans sa séance du 4 mai 2018.

 

[1]CE avis, 4 mai 2018, Mise en place d’un dispositif visant à vérifier l’existence de menaces pour les intérêts fondamentaux de la Nation dans les données recueillies dans le cadre de la surveillance des communications internationales, n°394761.

[2]« III.- Sur demande motivée des ministres ou de leurs délégués mentionnés au premier alinéa de l’article L. 821-2, le Premier ministre ou l’un de ses délégués peut également délivrer une autorisation d’exploitation de communications, ou de seules données de connexion, interceptées.

L’autorisation désigne : 1° La ou les finalités poursuivies parmi celles mentionnées à l’article L. 811-3 ; 2° Le ou les motifs des mesures ; 3° Les zones géographiques ou les organisations, groupes de personnes ou personnes concernés ; 4° Le ou les services mentionnés à l’article L. 811-2 en charge de cette exploitation. L’autorisation, renouvelable dans les mêmes conditions que celles prévues au présent III, est délivrée pour une durée maximale de quatre mois. »

[3]« Pour le seul exercice de leurs missions respectives, les services spécialisés de renseignement peuvent recourir aux techniques mentionnées au titre V du présent livre pour le recueil des renseignements relatifs à la défense et à la promotion des intérêts fondamentaux de la Nation suivants :  1° L’indépendance nationale, l’intégrité du territoire et la défense nationale ;  2° Les intérêts majeurs de la politique étrangère, l’exécution des engagements européens et internationaux de la France et la prévention de toute forme d’ingérence étrangère ;  3° Les intérêts économiques, industriels et scientifiques majeurs de la France ;  4° La prévention du terrorisme ;  5° La prévention :  a) Des atteintes à la forme républicaine des institutions ;  b) Des actions tendant au maintien ou à la reconstitution de groupements dissous en application de l’article L. 212-1 ;  c) Des violences collectives de nature à porter gravement atteinte à la paix publique ;  6° La prévention de la criminalité et de la délinquance organisées ;  7° La prévention de la prolifération des armes de destruction massive. »

[4]« Dans les conditions prévues au présent chapitre, peut être autorisée, aux seules fins de défense et de promotion des intérêts fondamentaux de la Nation mentionnés à l’article L. 811-3, la surveillance des communications qui sont émises ou reçues à l’étranger. Cette surveillance, qu’elle porte sur des correspondances ou sur des données de connexion, est exclusivement régie par le présent chapitre. Les mesures prises à ce titre ne peuvent avoir pour objet d’assurer la surveillance individuelle des communications de personnes utilisant des numéros d’abonnement ou des identifiants techniques rattachables au territoire national, à l’exception du cas où ces personnes communiquent depuis l’étranger et, soit faisaient l’objet d’une autorisation d’interception de sécurité, délivrée en application de l’article L. 852-1, à la date à laquelle elles ont quitté le territoire national, soit sont identifiées comme présentant une menace au regard des intérêts fondamentaux de la Nation mentionnés à l’article L. 811-3. Sous réserve des dispositions particulières du troisième alinéa du présent article, lorsqu’il apparaît que des communications électroniques interceptées sont échangées entre des personnes ou des équipements utilisant des numéros d’abonnement ou des identifiants techniques rattachables au territoire national, y compris lorsque ces communications transitent par des équipements non rattachables à ce territoire, celles-ci sont instantanément détruites. »

[5]CSI, art. L. 851-1.

[6]Ibid., art. L. 851-2.

[7]Ibid., art. L. 853-1 I.

[8]Ibid., art. L. 853-2 I 1°.

[9]En effet, comme l’indique expressément l’article L. 811-1 CSI : « La politique publique de renseignement concourt à la stratégie de sécurité nationale ainsi qu’à la défense et à la promotion des intérêts fondamentaux de la Nation. Elle relève de la compétence exclusive de l’Etat. »

[10]L. n°2015-1556 du 30 novembre 2015 préc..

[11]L. n°2015-912 du 24 juillet 2015 relative au renseignement, JORF, n°171, 26 juillet 2015, p. 12 735, texte n°2.

[12]Cons. const., 23 juillet 2015, Loi relative au renseignement, déc. n°2015-713 DC.

[13]Projet de loi relatif au renseignement, Assemblée nationale, texte adopté n°542, 24 juin 2015, art. 6.

[14]CSI, art. L. 854-1.

[15]ARFI (F.) (dir.), La République sur écoute. Chroniques d’une France sous surveillance, Ed. du Seuil, Paris, 2015, p. 187.

[16]Les éléments sur cette mesure ne définissaient « dans la loi ni les conditions d’exploitation, de conservation et de destruction des renseignements collectés en application de l’article L. 854-1, ni celles du contrôle par la Commission nationale de contrôle des techniques de renseignement de la légalité des autorisations délivrées en application de ce même article et de leurs conditions de mise en œuvre, le législateur n’a pas déterminé les règles concernant les garanties fondamentales accordées aux citoyens pour l’exercice de leurs libertés publiques »  Cons. const., 23 juillet 2015, Loi relative au renseignement, déc. n°2015-713 DC, § 78.

[17]L. n°2015-1556 du 30 novembre 2015 relative aux mesures de surveillance des communications électroniques internationales, JORF, n°278p. 22 185, texte n°1.

[18]« Hormis ces hypothèses [à savoir les articles L. 852-1 et L. 811-3], les communications électroniques qui sont échangées entre des personnes ou des équipements utilisant des numéros d’abonnement ou des identifiants techniques rattachables au territoire national, lorsqu’elles sont interceptées au moyen des mesures de surveillance prévues par le chapitre IV susmentionné, sont instantanément détruites », Cons. const., 26 novembre 2015, Loi relative aux mesures de surveillance des communications électroniques internationales, déc. n°2015-722 DC, § 6.

[19]La loi inscrit au Titre V du Livre VIII, un chapitre IV intitulé « Des mesures de surveillance des communications électroniques internationales », comprenant les articles L. 854-1 à L. 854-9 du Code de la sécurité intérieure.

[20]CSI, art. L. 854-2 II.

[21]En ce sens, « la DGSE vient de désigner le bureau d’études Wavetel pour lui fournir deux systèmes de surveillance des réseaux IP. Le service souhaite déployer ces matériels à l’étranger afin d’analyser en temps réel des flux de communications web, détectés automatiquement sur la base de critères prédéfinis », in « Qui pour aider la DGSE à surveiller les IP ? », Intelligence online, n°767, 28 septembre 2016.

[22]Rattachée à la Direction générale de la sécurité extérieure, cette structure a pour but de participer comme son nom l’indique au cryptage des données françaises, mais aussi au décryptement, et plus encore, au recueil des données électroniques tout autour de la planète, in https://www.lemonde.fr/societe/article/2015/04/11/la-plateforme-nationale-de-cryptage-et-de-decryptement-un-projet-construit-a-partir-de-2007_4614352_3224.html, consulté le 5 juin 2018.

[23]CSI, art. L. 854-2 III.

[24]Rapport sur la proposition de loi relative aux mesures de surveillance des communications électroniques internationales, Assemblée nationale, Commission de la défense nationale et des Forces armées, n°3066, 16 septembre 2015, p. 12.

[25]Commission nationale de contrôle des techniques de renseignement, 1er rapport d’activité 2015-2016, La documentation française, Paris, novembre 2016, p. 47.

[26]CSI, art. L. 854-1.

[27]« Les intérêts fondamentaux de la nation s’entendent au sens du présent titre de son indépendance, de l’intégrité de son territoire, de sa sécurité, de la forme républicaine de ses institutions, des moyens de sa défense et de sa diplomatie, de la sauvegarde de sa population en France et à l’étranger, de l’équilibre de son milieu naturel et de son environnement et des éléments essentiels de son potentiel scientifique et économique et de son patrimoine culturel. », CP, art. 410-1.

[28]CSI, art L. 852-1.

[29]« Par exception à l’interdiction d’exploitation des données provenant de communication ayant à chaque terminaison un numéro ou un identifiant technique rattachable à la France, l’article L. 854-1 permet cette exploitation dans le cas particulier où, d’une part, ces personnes communiquent depuis l’étranger et où, d’autre part, soit elles constituent une menace au regard des intérêts fondamentaux de la Nation mentionnés à l’article L. 811-3, soit elles font l’objet d’une autorisation d’interception de sécurité délivrée en application de l’article L. 852-1 à la date à laquelle elles ont quitté le territoire national. Cette exploitation est également soumise à une autorisation d’exploitation personnelle du III de l’article L. 854-2. », CE avis, 4 mai 2018, n°394761, § 1.

[30]Structure relevant du Premier ministre qui concentre toutes les interceptions de sécurité.

[31]CSI, art. R. 823-1 4°.

[32]Arr. du 29 janvier 2016 portant nomination du directeur du Groupement interministériel de contrôle, JORF, n°26, 31 janvier 2016, n°59.

[33]D. du 17 février 2014 portant nomination d’un directeur à la Direction générale de la sécurité extérieure – M. PAILLOUX (Patrick), JORF, n°41, 18 février 2014, texte n°66.

[34]« Pascal Chauve », Intelligence online, n°752, 3 février 2016.

[35]De surcroît, l’autorité administrative indépendante « n’a aucune maîtrise du logiciel utilisé par la DGSE », in DUBOIS (C.) et PELLETIER (E.), Où sont passés nos espions ?, Albin Michel, Paris, 201, p. 191.

[36]http://www.lepoint.fr/chroniqueurs-du-point/guerric-poncet/france-terribles-revelations-sur-la-surveillance-massive-13-04-2015-1920630_506.php, consulté le 5 juin 2018.

[37]Dans ses observations complémentaires sur l’art. L. 854-1 du Code de la sécurité intérieure et, relatives à la décision du Conseil constitutionnel n°2015-713 DC, le Gouvernement a précisé que « ces mesures concernent l’interception des communications émises ou reçues à l’étranger, c’est-à-dire des communications dont l’une des terminaisons au moins n’est pas située sur le territoire national ».

[38]CE avis, 4 mai 2018, n°394761, § 1.

[39]Ibid..

[40]CSI, art. L. 851-1.

[41]Ibid., art. L. 853-2 I 1°.

[42]« La mise en œuvre sur le territoire national des techniques de recueil de renseignement mentionnées aux chapitres Ier à IV du titre V du présent livre est soumise à autorisation préalable du Premier ministre, délivrée après avis de la Commission nationale de contrôle des techniques de renseignement. », Ibid., art. L. 821-1.

[43]C. déf., art. D3126-2.

[44]CE avis, 4 mai 2018, n°394761, § 3.

[45]Ibid., § 1.

[46]Ibid., § 2.

[47]CP, art. 410-1.

[48]« Sa première finalité est de défendre la population et le territoire, car il s’agit du devoir et de la responsabilité de premier rang de l’Etat. Le deuxième est d’assurer la contribution de la France à la sécurité européenne et internationale : elle correspond à la fois aux nécessités de sa sécurité propre, qui se joue aussi à l’extérieur de ses frontières, et aux responsabilités que la France assume, dans le cadre des Nations unies et des alliances et traités auxquelles elle a souscrit. La troisième finalité est de défendre les valeurs du pacte républicain qui lie tous les Français à l’Etat : les principes de la démocratie, en particulier les libertés individuelles et collectives, le respect de la dignité humaine, la solidarité et la justice », in Défense et sécurité nationale : le Livre blanc, La Documentation française, Paris, 2008, p. 62.

[49]L. n°2009-928 du 29 juillet 2009 relative à la programmation militaire pour les années 2009 à 2014 et portant diverses dispositions concernant la défense, JORF, n°175, p. 12 713, texte n°1, art. 5.

[50]WARUSFEL (B.), « La sécurité nationale, nouveau concept du droit français », in CATTOIR-JONVILLE (V.) et SAISON (J.), Les différentes facettes du concept juridique de sécurité. Mélanges en l’honneur de Pierre-André Lecocq, Imprimerie centrale du Nord, 2011, p. 462.

[51]BELLEFACE (A.) et DELBECQUE (E.), « Les logiques de sécurité nationale ou les différents moyens de la puissance », in ARPAGIAN (N.) et DELBECQUE (E.) (dir.), Pour une stratégie globale de sécurité nationale, Dalloz, Paris, 2008, p. 240-241.

[52]CP, art. 410-1.

[53]WARUSFEL (B.), op. cit., 2011, p. 463.

[54]DEPRAU (A.), Renseignement public et sécurité nationale, Thèse soutenue le 29 novembre 2017 à l’Université Paris II Panthéon-Assas, p. 20.

[55]CSI, art. L. 854-8.

[56]Cette technicité est liée à la formation spécialisée du Conseil d’Etat pour connaître des techniques de recueil de renseignement créée avec la L. n°2015-912 du 24 juillet 2015 relative au renseignement, inscrivant la compétence du juge administratif à l’article L. 841-1 du Code de la sécurité intérieure.

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.