Le renseignement saisi par la loi

Lorsque l'on évoque les services de renseignement, on pense spontanément au Bureau des légendes, à OSS 117…, autrement dit, à l'activité d'espionnage ou de contre-espionnage. En réalité, ces services exercent bien d'autres missions qui les conduisent à mener des enquêtes que l'on pourrait confondre avec celles conduites par la police judiciaire. C'est le cas en particulier de la prévention du terrorisme, ou de ce que l'on appelle la délinquance organisée (par exemple le trafic de drogues), ou encore de la surveillance de certains extrémistes politiques adeptes de la violence. L'activité du renseignement se distingue toutefois de l'enquête judiciaire par trois différences essentielles :

• en premier lieu, c'est une activité de "police administrative". Elle n'est donc pas placée sous la direction de l'autorité judiciaire, c'est-à-dire d'un magistrat. Elle est au service du pouvoir exécutif ;
• en deuxième lieu, elle ne peut avoir qu'un caractère préventif. En vertu d'un principe constitutionnel, si le renseignement conduit à la découverte de faits constitutifs d'un crime ou d'un délit et a fortiori si l'auteur de l'infraction est identifié, le renseignement administratif doit s'interrompre et laisser la place à l'autorité judiciaire ;
• enfin, le produit du renseignement, ce qu'il révèle, est couvert par le secret de la défense nationale. Il n'est donc accessible qu'aux personnes habilitées à connaître ce secret.

Ces caractères spécifiques expliquent que le renseignement s'est longtemps exercé sans autre régulation qu'un contrôle interne au service. La définition d'un vrai cadre légal fut laborieuse.

On peut sommairement distinguer trois étapes dans la mise en place d'une régulation externe du renseignement.

La première fut la création, en mars 1960, d'un service rattaché au Premier ministre, le Groupement interministériel de contrôle (GIC), chargé de centraliser les demandes et la mise en œuvre des écoutes téléphoniques. Il s'agissait pour le Gouvernement de "se protéger lui-même", c'est-à-dire de s'assurer de la maîtrise des écoutes en évitant que les services de renseignement puissent passer directement commande aux opérateurs de téléphone de leurs projets d'écoutes.

La deuxième étape, c'est la naissance, en 1991, de la première institution indépendante chargée du contrôle des écoutes. La création de la Commission nationale de contrôle des interceptions de sécurité (CNCIS), à l'initiative de Michel Rocard, répondait à des décisions de la Cour européenne des droits de l'homme, qui avait jugé que, faute d'un contrôle indépendant exercé sur l'usage des techniques de renseignement, la France n'assurait pas la protection de la vie privée garantie par la convention européenne.

Cette commission, comme son nom l'indique, n'était explicitement chargée que du seul contrôle des "interceptions", c'est-à-dire des écoutes téléphoniques. Pendant ce temps, se développait un ensemble d'autres techniques, plus intrusives et plus modernes : sonorisation de lieux privés (micros), installations vidéo, copie de données informatiques… Puis ce fut la mise en place, dans le secret, par la Direction générale de la sécurité extérieure (DGSE), d'un dispositif de captation des données passant par les systèmes de communications internationales, câbles ou satellites, le fruit de cette "pêche au chalut" pouvant ensuite être mutualisé entre les divers services de renseignement.

La commission, consciente de l'écart entre la modeste base légale dont elle disposait et la réalité des progrès du renseignement, essaya de le combler en élaborant une "doctrine". Cet effort pour encadrer ce que la loi ignorait fut finalement jugé insatisfaisant, et, en guise de troisième étape, le gouvernement de Jean-Marc Ayrault s'engagea dans la préparation d'une refonte d'ensemble du dispositif législatif. C'est dans ce contexte que fut adoptée la loi du 24 juillet 2015.

Les dispositions de cette loi relative au renseignement ont été codifiées au livre VIII du code de la sécurité intérieure. Elles constituent un solide cadre légal, qui n'a été modifié qu'à la marge depuis 2015.

Ce que la loi ne saisit pas

Pour bien comprendre l'économie de la loi, il est bon peut-être de commencer par préciser ce qu'elle n'entend pas encadrer. 

D'abord, pour l'essentiel, la loi de 2015 entend régir, non l'ensemble de l'activité de renseignement, mais le seul usage, à des fins de renseignement, de certaines techniques. Ainsi, si la géolocalisation d'une personne grâce à ses données de connexion téléphonique ou celle d'un véhicule à l'aide d'une balise relève du champ de la loi, la "filature" physique en est exclue, de même que le recours à des "sources" humaines. S'agissant de l'évaluation d'ensemble de la politique du renseignement, elle relève quant à elle de la délégation parlementaire au renseignement, commune aux deux assemblées. Mais celle-ci ne peut connaître des opérations en cours non plus que des méthodes opérationnelles.

Ensuite, à la différence d'autres pays, comme l'Allemagne, le législateur français a choisi de limiter le champ d'application géographique de la loi. La surveillance de la personne entre dans le cadre légal si elle est mise en œuvre "sur le territoire national". Les opérations menées en territoire étranger, notamment par la DGSE, n'entrent donc pas dans le champ du contrôle.

Toutefois, la loi distingue le cas particulier des communications émises ou reçues de l'étranger, mais interceptées depuis la France. C'est le dispositif de captation des communications internationales évoqué plus haut. Il est soumis à un régime de contrôle plus souple, les autorisations d'exploitation pouvant porter aussi bien sur des organisations, des groupes de personnes que des zones géographiques. L'exploitation de ces données pour la surveillance de personnes utilisant un téléphone avec un identifiant national est en principe interdite. Mais il existe des dérogations, notamment en cas de menace terroriste.

L'architecture d'ensemble du cadre légal

Le cadre légal adopté en 2015 est fondé sur trois grands piliers :

• Premier pilier : on ne peut utiliser les techniques de renseignement que si sont en cause les "intérêts fondamentaux de la nation". La loi définit de manière exhaustive ces intérêts. 
  De manière synthétique, il s'agit de se protéger contre les ingérences étrangères, de défendre et promouvoir les intérêts de l'économie et de la recherche françaises, de prévenir les actes terroristes et les "violences collectives" (sont visés les extrémistes usant de la violence), enfin de prévenir la délinquance et la criminalité organisées. L'usage du terme "prévenir" est important. La surveillance administrative ne doit pas être confondue avec les enquêtes de police menées sous la direction de l'autorité judiciaire. Les techniques utilisées peuvent être identiques, les services en charge également. Mais le renseignement est une activité de police administrative qui ne peut avoir qu'un caractère préventif et qui doit céder la place à l'autorité judiciaire, agissant selon les règles du code de procédure pénale, dès qu'une infraction pénale est constatée.
• Deuxième pilier : la loi fixe également, de manière exhaustive, la liste des techniques légalement utilisables – accès aux données de connexion, interceptions téléphoniques, géolocalisation en temps réel, sonorisation de locaux ou de véhicules, captation d'images, recueil de données informatiques, recours à un algorithme… Certaines sont évidemment plus intrusives que d'autres. Les services de renseignement doivent choisir celle(s) qu'ils vont utiliser de manière à assurer un bon équilibre entre l'enjeu de la surveillance et la gravité de l'atteinte portée à la vie privée. C'est le principe de proportionnalité, principe de base pour la régulation du renseignement. Encore faut-il que son respect soit efficacement contrôlé.
• Troisième pilier : la loi soumet donc le recours aux techniques de renseignement à un double contrôle.
  L'un a un caractère hiérarchique. Tout usage de l'une des techniques prévues par la loi est subordonné à une autorisation du Premier ministre. En outre, à partir d'un certain degré d'intrusivité, le service doit préalablement s'assurer de l'accord du ministre sous l'autorité duquel il est placé.
  L'objet de cette procédure est évidemment de prévenir les dérapages inopportuns. Elle conduit en même temps à ce que le chef du gouvernement lui-même assume la responsabilité politique de l'atteinte à la vie privée. Cette prise de responsabilité est d'autant plus marquée que la décision du Premier ministre est précédée de l'avis d'une autorité indépendante : s'écarter de cet avis risque d'avoir un coût politique.
  Chaque demande soumise au Premier ministre doit en effet être accompagnée de l'avis rendu par la Commission nationale de contrôle des techniques de renseignement (CNCTR). Jusqu'en 2021, le Premier ministre était juridiquement libre de ne pas suivre cet avis. En pratique, il n'est jamais passé outre un avis défavorable : la procédure conjuguant un avis indépendant et une prise de responsabilité politique au plus haut niveau a montré son efficacité. Depuis la modification de la loi intervenue en 2021, un volet juridictionnel est venu s'ajouter à la procédure sous la pression de la jurisprudence européenne : si le Premier ministre passait outre un avis défavorable de la commission, c'est au Conseil d'État, la plus haute juridiction administrative, qu'il reviendrait désormais d'arbitrer. 

La CNCTR émet un avis sur chaque demande de technique de renseignement adressée au Premier ministre. L'instruction des demandes est faite par un groupe de chargés de mission réunissant magistrats, policiers et informaticiens. La majorité des avis sont rendus, dans les 24 heures au maximum, par l'un des quatre membres issus de juridictions. La loi prévoit certains cas où l'avis ne peut être rendu qu'en formation collégiale (technique supposant une intrusion dans le domicile ; surveillance de professions ou mandats spécialement protégés, comme les magistrats, avocats, journalistes ou parlementaires). La commission dispose alors d'un délai maximum de 72 heures.

Il arrive souvent que la commission ne s'estime pas suffisamment éclairée pour statuer. Elle engage alors le dialogue avec le service demandeur, sous une forme dématérialisée. La commission ne peut vérifier la matérialité des faits invoqués par le service. Mais elle exige que ceux-ci soient suffisamment précis et cohérents pour faire apparaître la réalité d'une menace crédible pour les intérêts fondamentaux de la nation.

En 2023, la commission a reçu plus de 90 000 demandes et 24 000 personnes ont été placées sous surveillance. Une personne peut en effet faire l'objet de plusieurs modes de surveillance (par exemple, une interception de sécurité et l'installation d'une balise sur le véhicule). En outre, les autorisations ayant une durée limitée, une partie des demandes correspond à des renouvellements. Certaines personnes, parmi les plus "menaçantes", peuvent être surveillées durant plusieurs années. La prévention du terrorisme est le motif le plus fréquemment invoqué. Vient ensuite la lutte contre les ingérences étrangères.

La proportion des avis défavorables rendus par la commission représente chaque année 1% environ du total des demandes. La modestie de ce taux montre que les services prennent désormais bien en compte le cadre légal. La commission, de son côté, veille à leur donner de la prévisibilité : les services aussi ont droit à la sécurité juridique (il s'agit d'un principe de droit destiné à prévenir les citoyens des potentiels effets secondaires de la loi : incohérence, contradictions, complexité excessive d'un texte). Les positions doctrinales prises par la commission sont ainsi rapidement diffusées et expliquées. 

Le contrôle des conditions d'utilisation des techniques autorisées

La commission ne se contente pas d'apprécier le bien-fondé des demandes d'utilisation des techniques de renseignement. Elle s'assure également de la légalité de leur utilisation. Une fois la technique mise en œuvre, elle vérifie que les données recueillies entrent bien dans le champ de l'autorisation, qu'elles sont conservées dans des conditions de sécurité suffisantes, détruites dans les délais légaux, etc. Le fait qu'à la différence d'autres pays, ce soit la même autorité qui effectue ainsi contrôle a priori et a posteriori est un facteur important d'efficacité de l'encadrement.

Le contrôle a posteriori a toutefois été rendu plus difficile du fait du développement de techniques (en particulier le recueil de données informatiques) conduisant à la captation d'ensembles de données volumineux et hétérogènes. La commission a donc entrepris de renforcer ses compétences techniques. Elle doit disposer à moyenne échéance d'un dispositif d'accès à distance, depuis ses locaux, à l'ensemble des stocks de données recueillies.

Ces contrôles n'ont toutefois pas qu'une dimension technique. La commission se déplace fréquemment dans les services, qu'il s'agisse de leur siège central ou de leurs antennes territoriales. C'est l'occasion d'échanges directs avec les agents prévenant ou dissipant les potentielles incompréhensions réciproques. 

Les possibilités de recours dont disposent les particuliers

Les personnes qui craignent d'être illégalement surveillées par les services de renseignement peuvent saisir la commission afin qu'elle vérifie leur situation.

Les particularités de ce recours risquent toutefois de les décevoir. Certes, la commission vérifiera bien, en toute indépendance, dans un premier temps, si la personne est effectivement surveillée (ce qui n'est généralement pas le cas, les personnes suspectées d'être une menace faisant rarement des recours) et, dans l'affirmative, si cette surveillance s'inscrit bien dans le cadre légal. Mais une fois cette vérification effectuée, elle ne pourra en communiquer le résultat au requérant : ce serait en effet violer le secret de la défense nationale, qui couvre l'ensemble des opérations des services de renseignement, que de révéler à une personne qu'elle est surveillée, ou même qu'elle ne l'est pas… On se bornera donc à lui indiquer que les "vérifications requises ont été accomplies…"

La personne aura certes la possibilité (sauf en matière de surveillance internationale) de saisir directement le Conseil d'État d'un recours contentieux. Mais, là encore, les contraintes du secret empêchent de respecter pleinement le caractère contradictoire de la procédure : la personne n'aura pas accès au mémoire présenté par les services expliquant au Conseil d'État quelle est sa situation.

Pour rétablir quelque peu l'équilibre des parties, le dispositif britannique pourrait être une source d'inspiration. Outre-Manche, un petit groupe d'avocats est spécialement habilité au secret de la défense nationale ; celui qui est choisi par le requérant a accès à l'ensemble du dossier, peut ainsi défendre efficacement son client, mais n'a pas le droit de lui dévoiler le contenu du dossier.

Le cadre légal résultant de la loi de 2015 a fait la démonstration, après bientôt une décennie de mise en œuvre, de son caractère robuste et efficace. Il est désormais bien connu et bien accepté par les services. L'expérience a montré qu'il n'entravait pas leurs missions. En outre, le dispositif d'autorisation préserve leurs agents du risque pénal qu'ils encouraient en s'introduisant sans titre dans des lieux privés. Enfin, l'état des menaces est tel que la défense de la démocratie ne peut aujourd'hui se passer du renseignement, et d'un renseignement efficace.

L'équilibre ainsi atteint doit néanmoins être appréhendé dans une approche dynamique. De nouvelles menaces peuvent se faire jour, conduisant à enrichir les moyens techniques des services. Réciproquement, il faut veiller à ce que la capacité de contrôle et de régulation reste en phase avec le développement de nouvelles capacités de surveillance. Il suffit de penser à ce que peut ou pourra permettre le recours à l'intelligence artificielle pour le traitement des données.