La compétence de la CNCTR s’étend à toutes les techniques de renseignement prévues par la loi. Son contrôle couvre, a priori et a posteriori, diverses techniques d’accès aux métadonnées, différentes catégories d’interceptions de correspondances, et l’utilisation de dispositifs de surveillance plus intrusifs, tels que la captation de paroles et d’images dans un lieu privé ou le recueil de données informatiques. Les services peuvent être autorisés à pénétrer dans un lieu privé pour la mise en œuvre de certaines techniques.
La commission exerce la même mission de contrôle, a priori et a posteriori, sur la surveillance des communications électroniques internationales.
La loi a défini un ensemble de techniques de renseignement, en précisant les conditions de mise en œuvre de chacune d’entre elles.
Elles sont présentées, au titre V du livre VIII du code de la sécurité intérieure, selon l’atteinte qu’elles peuvent porter à la vie privée, en partant de la technique réputée la moins intrusive, le recueil de données de connexion.
Les opérateurs de communications électroniques ou les fournisseurs de services sur internet peuvent être légalement requis de communiquer, à des fins de renseignement, des informations et documents traités ou conservés par leurs réseaux ou services : il peut s’agir de données relatives à l’identification d’une personne, au recensement de l’ensemble des numéros d’abonnement d’une personne désignée, à la localisation d’équipements terminaux ou encore à la liste de numéros appelés et appelants, à la durée et à la date des communications.
Plusieurs types d’accès sont prévus par la loi :
L’accès aux données de connexion en temps différé
Cet accès peut être demandé pour deux cas d’usage :
L’accès en temps réel aux données de connexion
Cette technique consiste à recueillir en temps réel, sur les réseaux des opérateurs de communications électroniques, les données de connexion d’une personne suspectée d’être en lien avec une menace terroriste. Ce recueil peut inclure les URL utilisées par cette personne, comme des adresses de pages consultées sur Internet.
Plus intrusif que l’accès aux données de connexion en temps différé mais moins attentatoire à la vie privée qu’une interception de sécurité, dès lors qu’il ne permet pas d’écouter des correspondances, ce dispositif de surveillance a pour but de détecter des menaces terroristes effectives, soit pour en écarter l’hypothèse, soit pour en confirmer l’existence.
Sa mise en œuvre vise des personnes regardées comme entretenant un lien plausible avec une telle menace : elle peut concerner les membres de l’entourage d’une personne surveillée à titre principal s’il existe des raisons sérieuses de penser qu’ils sont susceptibles de fournir des informations pertinentes pour prévenir des actes de terrorisme.
La mise en œuvre de cette technique obéit à des conditions restrictives destinées à limiter le nombre de personnes susceptibles d’être visées : le législateur a prévu que le nombre d’autorisations de recueil de données de connexion en temps réel simultanément en vigueur doit respecter un contingent global, fixé par une décision du Premier ministre prise après avis de la CNCTR. Conçu comme une incitation pour les services à n’y recourir qu’en cas de nécessité et à mettre un terme aux autorisations devenues inutiles avant de pouvoir en obtenir de nouvelles, ce principe de contingentement a été jugé nécessaire par le Conseil constitutionnel afin d’éviter un usage trop large de la technique à l’encontre des « entourages », c’est-à-dire des personnes qui ne constituent pas une menace.
Ce quota a été fixé à 720 autorisations simultanées.
Le traitement des données de connexion par algorithme
La technique dite de l’« algorithme » ne peut être mise en œuvre, comme le recueil de données de connexion en temps réel, que pour les seuls besoins de la prévention du terrorisme.
Elle permet aux services de détecter, sur les données transitant par les réseaux des opérateurs de communications électroniques et des fournisseurs de services sur Internet, dont les URL consultées par leurs utilisateurs, des connexions susceptibles de révéler une menace terroriste. L’intelligence artificielle permet d’analyser un nombre important de données en fonction de critères définis sous le contrôle de la commission. Les connexions inquiétantes sont isolées et peuvent donner lieu à des vérifications, toujours sous le contrôle de la commission.
La loi encadre strictement le recours à ce dispositif :
Le groupement interministériel de contrôle (GIC), service du Premier ministre chargé de centraliser la mise en œuvre des techniques pour le compte des services de renseignement mais n’exerçant pas de mission de renseignement, est seul responsable de l’exécution des traitements automatisés : préconisé à l’origine par la CNCTR, ce dispositif de mise en œuvre est conçu pour prévenir tout accès prohibé par la loi.
La commission exerce un contrôle continu sur la mise en œuvre des algorithmes et effectue un examen approfondi de leur fonctionnement, notamment sur le plan technique : elle vérifie, pour chaque demande d’autorisation, que le dispositif envisagé offre toutes garanties de protection des données recueillies, qu’il s’agisse de la procédure de collecte de ces données, de leurs caractéristiques, de la durée de leur conservation, des conditions de leur stockage et de la traçabilité des accès. Elle dispose d’un accès permanent, complet et direct aux traitements concernés ainsi qu’aux informations et données recueillies. La CNCTR est en outre obligatoirement informée de toute modification apportée à ces traitements afin qu’elle s’assure de la légalité du dispositif concerné à tout moment de sa mise en œuvre.
Quatre algorithmes ont été autorisés depuis l’entrée en vigueur de la loi du 24 juillet 2015 relative au renseignement.
La localisation des personnes ou des objets
Les services de renseignement peuvent être autorisés à recourir à deux types de dispositifs de localisation :
Le recueil de données de connexion par IMSI catchers
Les services de renseignement ont la possibilité de mettre en œuvre des dispositifs techniques, dénommés IMSI catchers, pour capter directement les données de connexion d’appareils téléphoniques mobiles.
Ces dispositifs de captation de proximité se comportent comme des antennes relais factices : en se substituant, dans leur périmètre de captation, aux antennes relais des opérateurs, ils permettent de recueillir les données recherchées parmi celles qui transitent sur les terminaux qui s’y sont connectés.
Peuvent être recueillies les données d’identification d’un équipement terminal, ou IMEI (International Mobile Equipment Identity), et de son utilisateur, via le numéro de sa carte SIM ou IMSI (International Mobile Subscriber Identity), ou des informations de localisation de cet équipement : l’interception de ces données de connexion sert ainsi à identifier une cible ou à la localiser dans un périmètre donné.
Le recueil de données de connexion par IMSI catcher fait partie des techniques de renseignement soumises à contingentement : le nombre total d’appareils ou de dispositifs techniques pouvant être simultanément autorisés ne peut excéder un maximum fixé par décision du Premier ministre après avis de la CNCTR.
Ce nombre a été fixé à 100.
La loi prévoit enfin que le recensement et les caractéristiques techniques de chacun des appareils font l’objet d’une inscription dans un registre spécial, régulièrement mis à jour, tenu à la disposition de la CNCTR.
Les interceptions de sécurité permettent d’accéder au contenu des communications et aux données de connexion qui y sont associées.
Peuvent faire l’objet de telles interceptions des communications acheminées par les réseaux des opérateurs de communications électroniques et des fournisseurs de service en ligne, ou des communications n’impliquant pas l’intervention de ces opérateurs, dans le cas d’une correspondance entre des personnes communiquant entre elles au moyen d’appareils de type « private mobile radio », ou talkies walkies numériques.
Quatre modalités distinctes d’interceptions sont prévues par la loi :
L’interception de sécurité via le GIC
L’exécution des interceptions auprès des opérateurs de communications électroniques est confiée à un organisme distinct des services de renseignement : c’est le GIC, service du Premier ministre, qui centralise l’exécution et met à la disposition des services demandeurs les résultats pour exploitation. Ce mécanisme interdit par conséquent à ces services d’avoir des relations directes avec les opérateurs en vue de solliciter leur concours.
Comme la loi le prévoit également pour le recueil de données de connexion en temps réel, l’entourage d’une personne concernée par l’autorisation d’interception peut également faire l’objet d’interception lorsque ses membres sont susceptibles de fournir des informations au titre de la finalité qui motive l’autorisation.
Le nombre d’interceptions pouvant être réalisées simultanément est contingenté : cette limite est fixée à 3 800 autorisations simultanées.
L’interception de sécurité par IMSI catchers
Certains services de renseignement peuvent également être autorisés à recourir à un IMSI catcher pour recueillir le contenu d’une communication : ce dispositif de recueil de proximité, qui impose à des terminaux mobiles situés dans son périmètre de captation de se connecter à lui, permet alors d’intercepter les correspondances recherchées.
L’autorisation de procéder à une telle interception ne peut être accordée que pour une durée maximale de quarante-huit heures, soit une durée plus courte que celle prévue par le droit commun des techniques de renseignement, qui est de quatre mois.
Seules trois finalités peuvent alors être invoquées par les services pour obtenir cette autorisation : la prévention du terrorisme, d’une part, l’indépendance nationale, l’intégrité du territoire et la défense nationale, d’autre part, et la prévention des atteintes à la forme républicaine des institutions, enfin. Ce type d’utilisation correspond à des situations opérationnelles exceptionnelles qui ne se sont présentées que dans un nombre infime de cas depuis l’entrée en vigueur de la loi du 24 juillet 2015 relative au renseignement.
L’interception de sécurité dite « hertzienne »
Échappant à l’origine au contrôle de la CNCTR, la surveillance des transmissions empruntant la voie hertzienne a pour l’essentiel été intégrée dans le droit commun des techniques de renseignement qui impose aux services de renseignement l’obtention d’une autorisation du Premier ministre et la consultation préalable de la commission avant de pouvoir y recourir. Cette évolution fait suite à une décision du Conseil constitutionnel.
Une technique de renseignement permettant d’intercepter des correspondances échangées exclusivement par un réseau hertzien privatif a été encadrée par une loi du 30 octobre 2017 : sont concernées notamment des communications radio revêtant un caractère privé, telles que des communications par « private mobile radio », qui peuvent impliquer plusieurs personnes, mais aussi des transmissions entre objets connectés, qui peuvent n’appartenir qu’à une seule personne.
Une « exception hertzienne » résiduelle a été maintenue pour l’interception de communications exclusivement acheminées par des réseaux hertziens ouverts : ce champ d’application est essentiellement réduit aux besoins de la défense militaire et de l’action de l’État en mer. Le contrôle de la CNCTR consiste à vérifier qu’aucune technique soumise à autorisation préalable du Premier ministre sous le contrôle de la commission n’est mise en œuvre sur le fondement de ce régime dérogatoire.
Dans le cadre d’une expérimentation autorisée par le législateur jusqu’au 31 juillet 2025, les services de renseignement disposent de la faculté d’intercepter eux-mêmes, grâce à un dispositif de captation spécifique, des correspondances émises ou reçues par la voie satellitaire, sans avoir à solliciter le concours des opérateurs de communications concernés.
Il s’agit par conséquent d’un dispositif dérogatoire au droit commun des interceptions de sécurité, qui repose sur la réquisition de ces opérateurs pour effectuer une telle interception.
Sa mise en œuvre est strictement encadrée :
Lorsque les renseignements ne peuvent être recueillis par un autre moyen légalement autorisé (notamment du fait du chiffrement des conversations téléphoniques), la loi prévoit la possibilité pour certains services de renseignement d’utiliser des dispositifs de captation de paroles prononcées à titre privé ou confidentiel, de captation d’images dans un lieu privé ou de recueil de données informatiques.
La captation de paroles prononcées à titre privé ou confidentiel et la captation d’images dans des lieux privés
L’autorisation d’installer un dispositif de sonorisation ou de prises d’images, comme l’enregistrement de vidéos, est délivrée pour une durée maximale de deux mois, soit une durée plus courte que celle prévue pour les techniques moins intrusives.
Le recueil de données informatiques
Cette technique permet d’accéder à des données informatiques stockées dans un système informatique, de les capter telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de traitement automatisé de données, telles qu’il les y introduit par saisie de caractères ou telles qu’elles sont reçues et émises par des périphériques audiovisuels, comme un microphone ou une caméra.
Un tel recueil peut, selon les cas, impliquer la pénétration dans un lieu privé ou nécessiter le concours d’un opérateur de communications électroniques.
Il peut être autorisé pour une durée maximale de deux mois.
Le code de la sécurité intérieure impose aux services de renseignement d’obtenir une autorisation spécifique pour s’introduire dans un lieu privé ou un véhicule à des fins d’installation, d’utilisation, de maintenance et de retrait d’une technique de renseignement (voir article L. 853-3 du CSI). Cette mesure n’est pas, en elle-même, une technique de renseignement et ne permet pas d’accomplir d’autres actes que ceux relatifs à la mise en œuvre de balises (voir article L. 851-5 du CSI), de dispositifs de captation de paroles ou d’images (voir article L. 853-1 du CSI) et de dispositifs de recueil ou de captation de données informatiques (voir article L. 853-2 du CSI). Toute utilisation de cette mesure pour d’autres types d’actes, par exemple une fouille, est exclue.
Compte tenu de l’atteinte à la vie privée représentée par l’introduction dans un lieu privé, celle-ci est entourée de garanties renforcées.
Elle n’est autorisée qu’à titre subsidiaire, si les renseignements recherchés ne peuvent pas être recueillis par un autre moyen légalement autorisé (voir article L. 853-3 du CSI).
Le service doit mentionner dans sa demande, lorsqu’ils sont connus, tous les éléments permettant d’identifier le lieu, son usage, son propriétaire ou toute personne bénéficiaire d’un droit, ainsi que la nature détaillée du dispositif envisagé.
L’avis de la CNCTR est rendu à l’issue d’une procédure renforcée, modulée selon le degré d’atteinte à la vie privée que représente l’introduction dans le lieu privé sollicitée :
L’autorisation est accordée pour une durée maximale de 30 jours, soit très inférieure à la durée de 4 mois prévue en général pour les autres techniques.
Seuls des agents individuellement désignés et habilités appartenant à un nombre limité de services peuvent s’introduire dans un lieu privé.
Le législateur a défini le cadre juridique dans lequel certains services de renseignement peuvent intercepter et exploiter des communications électroniques internationales.
Les communications concernées sont celles émises ou reçues à l’étranger : leur surveillance vise à recueillir du renseignement uniquement sur des personnes ou des entités situées à l’étranger, sauf exception prévue par la loi et sous le contrôle de la CNCTR.
La commission accomplit dans ce domaine la même mission de contrôle, a priori et a posteriori, qu’en matière de surveillance nationale.
Un régime juridique spécial…
La loi du 30 novembre 2015 relative aux mesures de surveillance des communications électroniques internationales a institué un régime juridique spécial propre à cette modalité de recueil du renseignement : les finalités permettant de surveiller les communications électroniques internationales sont identiques à celles qui encadrent l’emploi des techniques pour la seule surveillance du territoire français. La procédure est en revanche différente.
La surveillance de ces communications, qui peut porter sur les données de connexion ou sur les correspondances, suppose en effet la délivrance de deux types d’autorisations successives, l’une d’interception, l’autre d’exploitation :
… qui prohibe la surveillance individuelle des communications de personnes se trouvant sur le territoire national et/ou utilisant des identifiants techniques rattachables au territoire national…
Les mesures de surveillance internationale ne peuvent porter, de manière individuelle, sur les communications de personnes se trouvant sur le territoire national. Elles ne peuvent pas plus viser les communications des personnes utilisant des numéros d’abonnement ou des identifiants techniques rattachables au territoire national, comme un numéro de téléphone commençant par l’indicatif + 33. Dès qu’il apparaît que des communications interceptées sont échangées entre des personnes ou des équipements se trouvant sur le territoire national ou utilisant des numéros de téléphone ou des identifiants techniques rattachables au territoire national, y compris lorsqu’elles transitent par des équipements situés à l’étranger, ces communications sont instantanément détruites.
… sauf certaines exceptions, lorsque sont en cause des enjeux présentant un caractère transnational
Le législateur a prévu les conditions dans lesquelles les services peuvent, exceptionnellement, être autorisés à recourir aux moyens de la surveillance internationale à l’encontre de personnes utilisant des identifiants techniques rattachables au territoire national.
Une telle faculté peut être autorisée à leur égard :
Plus la technique sollicitée est intrusive, plus le service doit, pour convaincre la CNCTR, étayer la réalité et l’importance des menaces justifiant que sa mise en œuvre puisse être autorisée.
Pour les techniques les plus intrusives qui impliquent la pénétration dans un lieu privé, la commission vérifie en outre, à travers l’exercice d’un contrôle de subsidiarité, que les renseignements recherchés ne pourraient être efficacement collectés par d’autres moyens légaux moins attentatoires à la vie privée et au secret des correspondances.
Ce contrôle, prévu par la loi, lui permet de mener des vérifications approfondies, le cas échéant en engageant un dialogue avec les services concernés.
Dans le cadre de son contrôle a priori, la CNCTR peut ainsi :
- demander des informations complémentaires à l’auteur d’une demande qu’elle estimerait insuffisamment motivée, difficile à apprécier ou d’une légalité incertaine : la commission ne se prononce alors qu’à compter de la réception des éléments la complétant ;
- assortir ses avis favorables de restrictions liées aux conditions opérationnelles de mise en œuvre de la technique demandée, la commission pouvant recommander de limiter la durée de l’autorisation sollicitée en la liant à celle d’un évènement ponctuel, qui seul justifie l’usage de la technique, ou dans le but d’inciter le service concerné à identifier rapidement la personne visée, si son identité est inconnue au stade de la demande.
En cas d’autorisation, la CNCTR pourra s’assurer, dans l’exercice de son contrôle a posteriori, que les conditions prévues pour sa mise en œuvre ont été effectivement respectées par le service : à défaut, la commission fera usage de ses pouvoirs de contrôle afin que la technique litigieuse puisse être interrompue et les données collectées à travers elle détruites.
L’accès en temps différé aux données de connexion traitées ou conservées par les opérateurs de communications électroniques est la technique dont la mise en œuvre est la plus demandée : elle représente, chaque année, près de 60 % du nombre total des demandes des services de renseignement, essentiellement à des fins d’identification de personnes ou de leurs numéros d’abonnement.
Viennent en deuxième position les interceptions de sécurité, dont la mise en œuvre est soumise au respect d’un contingent global d’autorisations, puis, en troisième rang, les géolocalisations en temps réel, dont le nombre de demandes est celui qui a le plus progressé en volume depuis que la loi du 24 juillet 2015 relative au renseignement en a prévu l’utilisation à des fins de police administrative.
S’agissant des autres techniques, le décompte exhaustif de l’ensemble des demandes des services de renseignement témoigne d’évolutions plus contrastées, comme l’illustre le tableau suivant :
Sept techniques de renseignement sont soumises au principe de contingentement en application duquel le nombre d’autorisations simultanément en vigueur ne peut excéder un maximum fixé par décision du Premier ministre après avis de la CNCTR :
- les recueils de données de connexion en temps réel (720 autorisations simultanément en vigueur) ;
- les interceptions de sécurité via le GIC (3800) ;
- les recueils de données de connexion par IMSI catcher (100) ;
- les autorisations d’exploitation des communications internationales des personnes utilisant un identifiant technique rattachable au territoire national (1000) ;
- les techniques d’interception de sécurité sur les réseaux exclusivement hertziens, de captation de paroles prononcées à titre privé ou d’images dans un lieu privé et d’introduction dans un lieu privé mises en œuvre par le service national du renseignement pénitentiaire (20).
Les contingents, surveillés quotidiennement par le groupement interministériel de contrôle (GIC) qui en informe la commission, sont conçus comme des incitations à ne recourir aux techniques concernées que « dans les seuls cas de nécessité d’intérêt public prévus par la loi ».