Les techniques de renseignement contrôlées par la CNCTR

Cet accès peut être demandé pour deux cas d’usage :

• Il peut avoir pour but l’identification d’un abonné ou le recensement de ses numéros d’abonnement : il s’agit alors d’un acte préparatoire à d’éventuelles mesures de surveillance ; 

• De telles mesures de surveillance commencent dès l’obtention de la liste des communications d’une personne, à savoir ses « factures détaillées » : un tel accès peut en effet révéler la date, la durée, le lieu de ces communications ainsi que le numéro ou l’identifiant technique du correspondant de la personne concernée.

Cette technique consiste à recueillir en temps réel, sur les réseaux des opérateurs de communications électroniques, les données de connexion d’une personne suspectée d’être en lien avec une menace terroriste. Ce recueil peut inclure les URL utilisées par cette personne, comme des adresses de pages consultées sur Internet. 

Plus intrusif que l’accès aux données de connexion en temps différé mais moins attentatoire à la vie privée qu’une interception de sécurité, dès lors qu’il ne permet pas d’écouter des correspondances, ce dispositif de surveillance a pour but de détecter des menaces terroristes effectives, soit pour en écarter l’hypothèse, soit pour en confirmer l’existence. 

Sa mise en œuvre vise des personnes regardées comme entretenant un lien plausible avec une telle menace : elle peut concerner les membres de l’entourage d’une personne surveillée à titre principal s’il existe des raisons sérieuses de penser qu’ils sont susceptibles de fournir des informations pertinentes pour prévenir des actes de terrorisme. 

La mise en œuvre de cette technique obéit à des conditions restrictives destinées à limiter le nombre de personnes susceptibles d’être visées : le législateur a prévu que le nombre d’autorisations de recueil de données de connexion en temps réel simultanément en vigueur doit respecter un contingent global, fixé par une décision du Premier ministre prise après avis de la CNCTR. Conçu comme une incitation pour les services à n’y recourir qu’en cas de nécessité et à mettre un terme aux autorisations devenues inutiles avant de pouvoir en obtenir de nouvelles, ce principe de contingentement a été jugé nécessaire par le Conseil constitutionnel afin d’éviter un usage trop large de la technique à l’encontre des « entourages », c’est-à-dire des personnes qui ne constituent pas une menace. 

Ce quota a été fixé à 720 autorisations simultanées.

La technique dite de l’« algorithme » ne peut être mise en œuvre, comme le recueil de données de connexion en temps réel, que pour les seuls besoins de la prévention du terrorisme.

Elle permet aux services de détecter, sur les données transitant par les réseaux des opérateurs de communications électroniques et des fournisseurs de services sur Internet, dont les URL consultées par leurs utilisateurs, des connexions susceptibles de révéler une menace terroriste. L’intelligence artificielle permet d’analyser un nombre important de données en fonction de critères définis sous le contrôle de la commission. Les connexions inquiétantes sont isolées et peuvent donner lieu à des vérifications, toujours sous le contrôle de la commission. 

La loi encadre strictement le recours à ce dispositif : 

• Aucun algorithme ne peut être mis en œuvre sans autorisation préalable du Premier ministre, délivrée après avis de la CNCTR : si une demande d’autorisation reçoit un avis défavorable de la commission, le chef du Gouvernement ne peut invoquer l’urgence pour ordonner sa mise en œuvre immédiate ;
• Les services de renseignement concernés ne peuvent accéder eux-mêmes aux données recueillies par l’algorithme, ni même, en cas de détection, procéder à l’identification des personnes concernées sans en avoir reçu l’autorisation préalable : ce n’est que lorsque la menace est avérée que le Premier ministre peut, après avis de la CNCTR, autoriser l’identification de la personne en cause et le recueil des données de connexion afférentes.

Le groupement interministériel de contrôle (GIC), service du Premier ministre chargé de centraliser la mise en œuvre des techniques pour le compte des services de renseignement mais n’exerçant pas de mission de renseignement, est seul responsable de l’exécution des traitements automatisés : préconisé à l’origine par la CNCTR, ce dispositif de mise en œuvre est conçu pour prévenir tout accès prohibé par la loi.  

La commission exerce un contrôle continu sur la mise en œuvre des algorithmes et effectue un examen approfondi de leur fonctionnement, notamment sur le plan technique : elle vérifie, pour chaque demande d’autorisation, que le dispositif envisagé offre toutes garanties de protection des données recueillies, qu’il s’agisse de la procédure de collecte de ces données, de leurs caractéristiques, de la durée de leur conservation, des conditions de leur stockage et de la traçabilité des accès. Elle dispose d’un accès permanent, complet et direct aux traitements concernés ainsi qu’aux informations et données recueillies. La CNCTR est en outre obligatoirement informée de toute modification apportée à ces traitements afin qu’elle s’assure de la légalité du dispositif concerné à tout moment de sa mise en œuvre. 
 

Quatre algorithmes ont été autorisés depuis l’entrée en vigueur de la loi du 24 juillet 2015 relative au renseignement.

Les services de renseignement peuvent être autorisés à recourir à deux types de dispositifs de localisation : 

• Une technique permet la géolocalisation en temps réel d’équipements terminaux de communication, comme un téléphone portable : à cette fin, les opérateurs concernés sollicitent leur réseau et transmettent au GIC les données obtenues ;
• Une autre modalité de surveillance autorise l’emploi de dispositifs techniques, tels que des balises, pour localiser une personne, un véhicule ou un objet.

Les services de renseignement ont la possibilité de mettre en œuvre des dispositifs techniques, dénommés IMSI catchers, pour capter directement les données de connexion d’appareils téléphoniques mobiles.

Ces dispositifs de captation de proximité se comportent comme des antennes relais factices : en se substituant, dans leur périmètre de captation, aux antennes relais des opérateurs, ils permettent de recueillir les données recherchées parmi celles qui transitent sur les terminaux qui s’y sont connectés.

Peuvent être recueillies les données d’identification d’un équipement terminal, ou IMEI (International Mobile Equipment Identity), et de son utilisateur, via le numéro de sa carte SIM ou IMSI (International Mobile Subscriber Identity), ou des informations de localisation de cet équipement : l’interception de ces données de connexion sert ainsi à identifier une cible ou à la localiser dans un périmètre donné. 

Le recueil de données de connexion par IMSI catcher fait partie des techniques de renseignement soumises à contingentement : le nombre total d’appareils ou de dispositifs techniques pouvant être simultanément autorisés ne peut excéder un maximum fixé par décision du Premier ministre après avis de la CNCTR. 

Ce nombre a été fixé à 100.

La loi prévoit enfin que le recensement et les caractéristiques techniques de chacun des appareils font l’objet d’une inscription dans un registre spécial, régulièrement mis à jour, tenu à la disposition de la CNCTR.

L’exécution des interceptions auprès des opérateurs de communications électroniques est confiée à un organisme distinct des services de renseignement : c’est le GIC, service du Premier ministre, qui centralise l’exécution et met à la disposition des services demandeurs les résultats pour exploitation. Ce mécanisme interdit par conséquent à ces services d’avoir des relations directes avec les opérateurs en vue de solliciter leur concours. 

Comme la loi le prévoit également pour le recueil de données de connexion en temps réel, l’entourage d’une personne concernée par l’autorisation d’interception peut également faire l’objet d’interception lorsque ses membres sont susceptibles de fournir des informations au titre de la finalité qui motive l’autorisation. 

Le nombre d’interceptions pouvant être réalisées simultanément est contingenté : cette limite est fixée à 3 800 autorisations simultanées.

Certains services de renseignement peuvent également être autorisés à recourir à un IMSI catcher pour recueillir le contenu d’une communication : ce dispositif de recueil de proximité, qui impose à des terminaux mobiles situés dans son périmètre de captation de se connecter à lui, permet alors d’intercepter les correspondances recherchées. 

L’autorisation de procéder à une telle interception ne peut être accordée que pour une durée maximale de quarante-huit heures, soit une durée plus courte que celle prévue par le droit commun des techniques de renseignement, qui est de quatre mois. 

Seules trois finalités peuvent alors être invoquées par les services pour obtenir cette autorisation : la prévention du terrorisme, d’une part, l’indépendance nationale, l’intégrité du territoire et la défense nationale, d’autre part, et la prévention des atteintes à la forme républicaine des institutions, enfin. Ce type d’utilisation correspond à des situations opérationnelles exceptionnelles qui ne se sont présentées que dans un nombre infime de cas depuis l’entrée en vigueur de la loi du 24 juillet 2015 relative au renseignement.

Échappant à l’origine au contrôle de la CNCTR, la surveillance des transmissions empruntant la voie hertzienne a pour l’essentiel été intégrée dans le droit commun des techniques de renseignement qui impose aux services de renseignement l’obtention d’une autorisation du Premier ministre et la consultation préalable de la commission avant de pouvoir y recourir. Cette évolution fait suite à une décision du Conseil constitutionnel.

Une technique de renseignement permettant d’intercepter des correspondances échangées exclusivement par un réseau hertzien privatif a été encadrée par une loi du 30 octobre 2017 : sont concernées notamment des communications radio revêtant un caractère privé, telles que des communications par « private mobile radio », qui peuvent impliquer plusieurs personnes, mais aussi des transmissions entre objets connectés, qui peuvent n’appartenir qu’à une seule personne.

Une « exception hertzienne » résiduelle a été maintenue pour l’interception de communications exclusivement acheminées par des réseaux hertziens ouverts : ce champ d’application est essentiellement réduit aux besoins de la défense militaire et de l’action de l’État en mer. Le contrôle de la CNCTR consiste à vérifier qu’aucune technique soumise à autorisation préalable du Premier ministre sous le contrôle de la commission n’est mise en œuvre sur le fondement de ce régime dérogatoire.

Dans le cadre d’une expérimentation autorisée par le législateur jusqu’au 31 juillet 2025, les services de renseignement disposent de la faculté d’intercepter eux-mêmes, grâce à un dispositif de captation spécifique, des correspondances émises ou reçues par la voie satellitaire, sans avoir à solliciter le concours des opérateurs de communications concernés. 

Il s’agit par conséquent d’un dispositif dérogatoire au droit commun des interceptions de sécurité, qui repose sur la réquisition de ces opérateurs pour effectuer une telle interception. 

Sa mise en œuvre est strictement encadrée : 

• Elle n’est autorisée qu’à titre subsidiaire, c’est-à-dire uniquement lorsque des raisons techniques ou des motifs de confidentialité font obstacle au concours de ces opérateurs ; 
• Elle obéit à un principe de contingentement en application duquel le nombre maximal d’autorisations simultanément en vigueur ne peut dépasser un quota arrêté par le Premier ministre après avis de la CNCTR ; 
• Elle ne peut être autorisée que pour un nombre restreint de finalités, telles que la défense nationale, la contre-ingérence, la lutte contre le terrorisme ou la prévention de la criminalité et de la délinquance organisées ; 
• Elle est soumise à des conditions plus restrictives que celles prévues pour les interceptions de sécurité réalisées auprès des opérateurs de communication : la durée de validité d’une autorisation ne peut excéder trente jours alors qu’elle est de quatre mois pour les interceptions de sécurité effectuées via le GIC ;
• Enfin, un service n’appartenant pas au « premier cercle » des services spécialisés de renseignement ne peut être autorisé à participer à cette expérimentation, que s’il y est spécialement habilité par un décret en Conseil d’Etat pris après avis de la CNCTR.

L’autorisation d’installer un dispositif de sonorisation ou de prises d’images, comme l’enregistrement de vidéos, est délivrée pour une durée maximale de deux mois, soit une durée plus courte que celle prévue pour les techniques moins intrusives.

Cette technique permet d’accéder à des données informatiques stockées dans un système informatique, de les capter telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de traitement automatisé de données, telles qu’il les y introduit par saisie de caractères ou telles qu’elles sont reçues et émises par des périphériques audiovisuels, comme un microphone ou une caméra. 

Un tel recueil peut, selon les cas, impliquer la pénétration dans un lieu privé ou nécessiter le concours d’un opérateur de communications électroniques. 

Il peut être autorisé pour une durée maximale de deux mois.

La loi du 30 novembre 2015 relative aux mesures de surveillance des communications électroniques internationales a institué un régime juridique spécial propre à cette modalité de recueil du renseignement : les finalités permettant de surveiller les communications électroniques internationales sont identiques à celles qui encadrent l’emploi des techniques pour la seule surveillance du territoire français. La procédure est en revanche différente.

La surveillance de ces communications, qui peut porter sur les données de connexion ou sur les correspondances, suppose en effet la délivrance de deux types d’autorisations successives, l’une d’interception, l’autre d’exploitation : 

• En premier lieu, le Premier ministre autorise l’interception de communications sur des réseaux qu’il désigne, par décision motivée, sans pouvoir déléguer sa signature ; 
• En second lieu, les communications interceptées sur ces réseaux ne peuvent être exploitées de façon individualisée par un service sans une nouvelle autorisation du Premier ministre, qu’il accorde après avoir consulté l’avis de la CNCTR : ces autorisations peuvent porter aussi bien sur des données de connexion que sur des correspondances. Leur durée de validité est limitée à quatre mois. Le régime est plus souple que lorsque sont en cause des communications nationales. L’autorisation peut en effet porter non seulement sur une personne mais aussi un groupe de personnes, une « organisation » de quelque nature que ce soit, ou même l’ensemble d’une zone géographique.

Les mesures de surveillance internationale ne peuvent porter, de manière individuelle, sur les communications de personnes se trouvant sur le territoire national. Elles ne peuvent pas plus viser les communications des personnes utilisant des numéros d’abonnement ou des identifiants techniques rattachables au territoire national, comme un numéro de téléphone commençant par l’indicatif + 33. Dès qu’il apparaît que des communications interceptées sont échangées entre des personnes ou des équipements se trouvant sur le territoire national ou  utilisant des numéros de téléphone ou des identifiants techniques rattachables au territoire national, y compris lorsqu’elles transitent par des équipements situés à l’étranger, ces communications sont instantanément détruites.

Le législateur a prévu les conditions dans lesquelles les services peuvent, exceptionnellement, être autorisés à recourir aux moyens de la surveillance internationale à l’encontre de personnes utilisant des identifiants techniques rattachables au territoire national. 

Une telle faculté peut être autorisée à leur égard : 

• Lorsqu’elles communiquent depuis l’étranger et soit faisaient l’objet d’une autorisation d’interception de sécurité à la date à laquelle elles ont quitté le territoire national ("droit de suite"), soit sont identifiées comme présentant une menace au regard des intérêts fondamentaux de la Nation mentionnés à l’article L. 811-3 du CSI ;
• alors même qu’elles communiquent depuis la France, lorsque sont en cause certaines menaces présentant un caractère transnational et pour un nombre limité de finalités, telles que la défense nationale, la contre-ingérence, la prévention du terrorisme, la prévention de la criminalité et de la délinquance organisées ainsi que la lutte contre la prolifération d’armes de destruction massive : cette mesure d’exploitation, comparable dans son principe aux interceptions de sécurité relevant du régime de la surveillance nationale, est subordonnée, comme cette dernière technique, au respect d’un contingent que le Premier ministre détermine après avis de la CNCTR. Ce quota, fixé à 1 000 autorisations simultanément en vigueur, est cependant plus limité que celui applicable aux interceptions de sécurité.
• pour effectuer des vérifications ponctuelles sur les données de connexion voire, pour la prévention du terrorisme ou des cyberattaques, sur les correspondances, à la seule fin de détecter des menaces affectant les intérêts fondamentaux de la Nation : ces vérifications ponctuelles ne peuvent être effectuées que sur le fondement d’une autorisation d’exploitation de communications électroniques internationales déjà en vigueur, à l’exclusion de toute surveillance individuelle et uniquement dans le but d’une levée de doute ;
• si les autorisations de recueillir et d’exploiter des données de connexion en temps différé ou en temps réel ainsi que des interceptions de sécurité dans le cadre de la surveillance nationale permettent d’enrichir le résultat de ces techniques par l’exploitation des communications ou des données de connexion issues de la surveillance internationale