Aucune technique de recueil du renseignement concernant la collecte de données rendues publiques sur internet ou les réseaux sociaux n’est présente dans le projet de loi relatif au renseignement (1).
I. Accès administratif aux données de connexion
Les projets d’articles L.851-1 à L.851-9 du Code de la sécurité intérieure. L’accès administratif aux données de connexion sont actuellement régis par les articles L.246-1 à L.246-5 du code de la sécurité intérieure.
Le projet de loi relatif au renseignement va harmoniser le régime d’autorisation de l’accès administratif aux données de connexion.
Le projet d’article L.851-1 du Code de la sécurité intérieure définira le champ d’application de la mesure : finalité, définition des données, source de données.
Le projet d’article L.851-2 du Code de la sécurité intérieure précisera la procédure d’autorisation.
Un nouveau mode d’exploitation des données de connexion et de réseau est introduit dans le projet de loi relatif au renseignement pour les besoins de prévention du terrorisme.
Est autorisée la collecte, en temps réel, sur les réseaux des opérateurs, de la totalité des données, informations et documents relatifs aux communications de personnes préalablement identifiées comme des menaces (2).
Afin d’identifier l’existence de menaces, les services de renseignement doivent pouvoir recueillir, traiter et analyser un nombre important d’élément techniques anonymes pour détecter les signaux de faible intensité traduisant une menace à l’encontre de la France.
Cette détection anonymisée de certains comportements de communication est prévue dans le projet de loi relatif au renseignement. La levée de l’anonymat pesant sur les données collectées, justifiée par la révélation d’une menace, sera effectuée par la procédure de droit commun d’autorisation par le Premier ministre après avis de la CNCRT.
La localisation en temps réel d’une personne, d’un véhicule ou d’un objet est encadrée par le projet de loi relatif au renseignement.
Les services spécialisés de renseignement auront la possibilité en vue des atteintes aux intérêts publics de recourir à la technique du « balisage » actuellement réservée à la police judiciaire.
Deux modalités de géolocalisation sont possibles (3) :
- le suivi d’un terminal de télécommunication, actuellement autorisé par le Code de la sécurité intérieure ;
- l’utilisation d’une balise GSM ou GPS placée sur un objet ou un véhicule ou à l’intérieure de celui-ci.
Les possibilités de géolocalisation simultanée ou géolocalisation en temps réelle consiste à surveiller en simultané les déplacements d’une personne ou d’un objet sur l’ensemble du territoire, soit de reconstituer a posteriori son itinéraire grâce aux données de connexion et à l’usage du téléphone connecté à un réseau GSM.
Le balisage d’un véhicule ou de tout autre objet par les services spécialisés de renseignement est autorisé par le projet de loi relatif au renseignement.
Cette technique de recueil de données est soumise au régime de droit commun d’autorisation, sur demande du ministre compétent au Premier ministre après avis de la CNCRT.
Des dispositions spéciales sont présentées dans le projet de loi en cas d’urgence liées à une menace imminente ou d’un risque très élevé de ne pouvoir effectuer l’opération ultérieurement. Dans ce cas précis, l’installation et l’exploitation de la technique de géolocalisation est effectuée sans autorisation préalable (4).
Un dispositif technique de proximité est également introduit dans le projet de loi relatif au renseignement.
Ce dispositif est une technique complémentaire des surveillances physiques. Un capteur permet de recueillir les données techniques de connexion strictement nécessaire à l’identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur ou des données de géolocalisation d’un équipement terminal.
En pratique ce dispositif qui consiste à placer une fausse antenne relais à proximité de la personne dont on souhaite intercepter les échanges électroniques, afin de capter les données transmises entre le périphérique électronique et la véritable antenne relais
L’utilisation de ce dispositif est encadrée par plusieurs garanties (5) :
- inscription du dispositif dans un registre spécial, qui est tenu à la disposition de la CNCRT ;
- mise en œuvre par un agent individuellement désigné et habilité ;
- autorisation du Premier ministre, prise après avis de la CNCRT ;
- autorisation qui peut être portée sur un lieu ou une période déterminée, dans la limite de 6 mois après autorisation motivée et avis de la CNCRT.
Dans un contexte de prévention d’un acte de terrorisme, l’autorisation est donnée aux d’intercepter directement des correspondances émises et reçues par un équipement terminal, pour des lieux et période déterminé dans la limite de 72 H.
L’avis du Conseil d’état. Dans son avis du 12 mars 2015, le Conseil d’Etat n’a pas commenté cette technique de recueil de données.
L’avis de la Cnil. La Cnil prend acte que le projet de loi relatif au renseignement ne modifie pas la formulation des dispositions du Code de la sécurité intérieure, elle en déduit alors que les informations concernées par l’accès aux données de connexion, ne pourront porter sur le contenu des correspondances électroniques.
Elle émet une réserve quant à l’augmentation de la durée de conservation des données portée à cinq ans compte tenu de la sensibilité des données.
Concernant la géolocalisation, elle estime que cette mesure doit réellement être encadrée dans la mesure où elle touche les libertés individuelles.
Elle indique que le périmètre exact des données concernées par l’accès administratifs aux données de connexions n’est pas clair.
Selon elle, les garanties prévues pour préserver les droits et libertés ne sont pas suffisamment garanties face au caractère intrusif de cette technique et son utilisation à l’insu des opérateurs sur leurs propres systèmes.
La Cnil rappelle que le traitement automatisé de détection des signaux faibles doivent faire l’objet de formalités préalables conformément aux dispositions de la loi du 6 janvier 1978.
Le décret en Conseil d’Etat pris après avis de la CNCRT devra prévoir les conditions de transmission adéquate des données une fois l’anonymat levé entre les operateurs et le service de renseignement demandeur.
Concernant les dispositifs technique de proximité (« IMSI catcher »), la Cnil précise que ce dispositif permettant de recueillir des données de connexion, il devrait figurer au sein de la liste des techniques de recueil du renseignement.
La Cnil fait remarquer que les techniques de sondes, dispositif de détection de « signaux faibles » et dispositif mobile de proximité permettent de collecter de manière indifférenciée, un volume important de données qui peuvent être relatives à des personnes étrangères à la mission de renseignement.
Elle estime alors que des conditions de mises en œuvre plus précises, limitant l’atteinte à des droits fondamentaux et des modalités de contrôle doivent être très encadrées.
La Cnil se réserve sur l’application d’un seul régime commun d’autorisation et de la seule information du Premier ministre et de la CNCTR s’agissant des dispositifs mobiles de proximité.
II. Les interceptions de sécurité
Le projet d’article L.852-1 du Code de la sécurité intérieure. Les interceptions de sécurité sont actuellement régies par les articles L.241-1 à L.245-3 du code de la sécurité intérieure.
Le projet de loi relatif au renseignement va inscrire ces interceptions de sécurité dans le cadre légal du régime général applicable à l’ensemble des techniques de recueil de l’information mise en œuvre par les services spécialisés de renseignement.
Deux garanties supplémentaires ont été ajoutées au régime de ces interceptions :
- les interceptions seront soumis à l’avis préalable de la CNCRT ;
- la durée de conservation des données recueillies est diminuée passant de un an à un mois à compter de l’enregistrement des correspondances.
Le projet d’articles L.852-1 du Code de la sécurité intérieure élargit la portée des écoutes. Dans la mesure où il permet que les écoutes puissent porter sur les correspondances échangées par des personnes appartenant à l’entourage de la personne visée, lorsqu’elle sont susceptible de jouer un rôle d’intermédiaire, volontaire ou non pour son compte, ou de fournir des informations au titre de la finalité faisant l’objet de l’autorisation.
L’avis du Conseil d’état. Dans son avis du 12 mars 2015, le Conseil d’Etat n’a pas commenté cette technique de recueil de données.
L’avis de la Cnil. Dans son avis du 5 mars 2015, la Cnil estime que le projet de loi relatif au renseignement modifie le cadre juridique applicable aux interceptions de sécurité déjà existantes.
Elle fait remarquer que le caractère exceptionnel présent à l’article L.241-2 du Code de la sécurité n’est plus mentionné dans le projet d’article L.852-1 du même code. Elle n’apporte pas plus d’observations les modalités de contrôle de ces techniques ayant été renforcées.
En revanche la Commission, souligne le caractère intrusif des écoutes qui peuvent être portées sur les personnes appartenant à l’entourage de la personne visée. Elle considère que des garanties doivent être apportées par le projet de loi relatif au renseignement.
La Cnil ajoute également le projet d’article L.852-1 du Code de la sécurité intérieure précise que l’autorisation de mise en œuvre d’une interception de sécurité vaut autorisation automatique du recueil des données de connexion. Elle estime que ce caractère automatique d’interception des données de contenu et des données de connexion ne peut être maintenu par le projet de loi. Une appréciation au cas par cas des interceptions de sécurité devrait être envisagée.
III. La captation des données.
Les projets d’articles L.853-1 et L.853-2 du Code de la sécurité intérieure. Les dispositifs techniques de captation de données réservées actuellement à la police judiciaire seront étendus aux services de renseignement (6) :
- la captation, la fixation, la transmission et l’enregistrement de parole prononcées à titre privé ou confidentiel (sonorisation de lieux privés par micros) ;
- la captation, la fixation, la transmission et l’enregistrement d’images dans les lieux privés ;
- la captation, la transmission et l’enregistrement de données informatiques transitant par un système automatisé de données ou contenues dans un tel système.
Ces dispositifs techniques de captation de données ne sont pas actuellement prévus et encadré par un aucun texte.
Le projet de loi compte tenu de l’ingérence important porté à la vie privée par ces mesures a précisé que l’autorisation d’utilisation devrait être délivrée pour une durée de deux mois renouvelable (7).
Lorsque la mise en œuvre de ces techniques doit s’accompagner de l’introduction dans un véhicule ou dans un lieu privé, ou dans un système de traitement automatisé de données, des garanties supplémentaires sont ajoutées (8) :
- la demande devra expressément justifier cette nécessité et préciser tous éléments permettant d’encadrer strictement cette pénétration ;
- les opérations matérielles nécessaires à la mise en place, l’utilisation ou au retrait de ces dispositifs techniques ne pourront être effectuées que par des agents spécialement habilités aux seules fins de mise en place, l’utilisation ou le retrait du dispositif technique ;
- l’avis de la CNCTR ne peut être rendu que de manière expresse ;
- l’autorisation n’est délivrée que pour une durée maximale de 30 jours renouvelable ;
- même en cas d’urgence, l’autorisation ne peut être donnée qu’après avis de la CNCTR, sauf lorsque l’autorisation ne concerne pas un lieu privé à usage d’habitation ;
- lorsque l’autorisation est donnée en connaissance d’un avis défavorable de la CNCTR, deux de ses membres seulement peuvent saisir le Conseil d’Etat.
L’avis du Conseil d’Etat. Dans son avis du 12 mars 2015, le Conseil d’Etat a estimé le principe de proportionnalité et de subsidiarité devait s’appliquer au techniques de captation des données étant des mesures intrusives.
Il a limité à six mois la possibilité d’utiliser ses dispositifs sur la base d’une autorisation portant sur un service, des lieux et périodes déterminées et à 72 heures la validité de l’autorisation.
L’avis de la Cnil. Dans son avis du 5 mars 2015, la Cnil n’est pas opposée à ce que les services spécialisés de renseignement utilisent les techniques dont bénéficient-les services de polices judiciaires, sous réserves de garanties appropriées.
Cependant elle relève que la nature exacte des données informatiques qui peuvent faire l’objet de captation ne sont pas précisés.
Elle relève également que le projet de loi relatif au renseignement n’a pas prévu de mesures particulières s’agissant de la captation de données envers des personnes ayant un statut spécifique (avocats, journalistes, médecins, parlementaires, etc.).
IV. Les mesures de surveillance internationale
Le projet d’article L.854-1 du Code de la sécurité intérieure. Le projet de loi relatif au renseignement permet d’encadrer les interceptions de communications électroniques émises ou reçues à l’étranger.
Les mesures de surveillance et de contrôle mises en œuvre ne peuvent être effectuées que pour les finalités prévues dans le projet d’article L811-4 du Code de la sécurité intérieure.
Des communications rattachées au territoire national peuvent être concernées par la mesure de surveillance internationale, si les personnes surveillées entrent en communication avec des personnes utilisant des identifiants français (9).
Dans ce cas précis, le régime applicable est celui des interception de sécurité prévu au projet d’article L.822-2 du Code la sécurité intérieure. La seule différence réside dans la détermination du point de départ du délai de conservation des correspondances qui court à compter de la date de leur première exploitation dans la mesure où me contenu de ces correspondances sera vraisemblablement en langue étrangère.
Les conditions d’application de ces mesures seront précisées par décret en Conseil d’Etat, précisant ainsi les règles de conservation et de destruction des données collectées et des modalités de délivrance de l’autorisation d’exploitation des correspondances interceptées.
La CNCTR veillera à ce que la mise en œuvre de ces mesures par les services de renseignement soit conforme aux décisions du Premier ministre. Elle fera au moins chaque semestre un rapport de son contrôle au Premier ministre qui sera tenu de répondre aux recommandations et observations de la Commission.
L’avis du Conseil d’Etat. Dans son avis du 12 mars 2015, le Conseil d’Etat indique que ces dispositions remplissent les exigences de prévisibilité de la loi découlant de l’article 8 de la Convention européenne de sauvegardes des droits de l’homme et des libertés fondamentales, les garanties étant suffisantes et proportionnées au but poursuivi.
Il prend acte que les conversations qui renvoient à des numéros d’abonnement ou à des identifiants rattachables au territoire national ou des personnes surveillées seront conservées et détruites dans les conditions du droit commun et sous le contrôle de la CNCTR.
Il note que de sa propre initiative ou sur réclamation de toute personne y ayant un intérêt personnel et direct, la CNCTR s’assurera du respect des règles et garanties prévues pour ces mesures.
Le Conseil admet que face aux impératifs de défense et de sécurité nationale il est possible d’instaurer un régime d’exonération des actions offensives contre certains systèmes de traitement automatisés de données.
L’avis de la Cnil. Dans son avis du 5 mars 2015, la Cnil observe qu’aucune précision n’est donnée sur les techniques utilisées dans le projet de loi relatif au renseignement.
Elle relève également qu’une procédure distincte de celle de la procédure unique à l’article L.821-1 et suivant du Code de la sécurité intérieure. Les mesures sont mises en œuvre sur seule autorisation de Premier ministre, sans avis de la CNCTR dont le contrôle a posteriori est limité à la simple formulation de recommandations et d’observations.
La Cnil considère alors que les décrets du Conseil d’Etat indiqué dans le projet d’article L.854-1 du Code de la sécurité intérieure devront apporter des précisions quant aux techniques utilisées et au contrôle de ces dispositifs.
Didier Gazagne
Audrey Jouhanet
Lexing Droit Intelligence économique
(1) Voir « Projet de loi sur le renseignement : vers un cadre légal unifié », post du 14-3-2015.
(2) Projet d’article L.851-3 du Code de la sécurité intérieure.
(3) Projet d’article L.851-6 du Code de la sécurité intérieure.
(4) Projet d’article L.851-6 du Code de la sécurité intérieure.
(5) Projet d’article L.851-7 du Code de la sécurité intérieure.
(6) Projet d’article L.853-1 du Code de la sécurité intérieure.
(7) Projet d’article L.853-1 du Code de la sécurité intérieure.
(8) Projet d’article L.853-2 du Code de la sécurité intérieure.
(9) Projet d’article L.854-1 du Code de la sécurité intérieure.