Interdiction de conserver en masse des données personnelles

Interdiction de conserver en masse des données personnellesLa CJUE a rendu un arrêt très important concernant la surveillance de masse des citoyens par l’intermédiaire de leurs données personnelles.

La mise en place d’une réglementation nationale visant à la conservation généralisée et indifférenciée des données de localisation des citoyens a, en effet, été déclarée non conforme au droit de l’Union européenne.

A ce titre, les Etats membres ne peuvent pas imposer aux intermédiaires (hébergeurs, FAI) de collecter et de conserver toutes les données de connexion et de localisation des utilisateurs sans limite de temps et sans limiter cette obligation à certaines catégories et quantités de données.

Toutefois, les Etats membres ne sont pas démunis face au terrorisme puisqu’ils sont autorisés à mettre en place, à titre préventif, des règles de conservation ciblées des données dans le seul but de lutter contre la criminalité grave.

Une décision dans le prolongement de l’arrêt Digital Rights

En 2014, la CJUE a invalidé, par la décision Digital Rights du 8 avril 2014, la directive 2006/24/CE du 15 mars 2006 relative à la conservation des données personnelles au motif qu’elle ne garantissait pas suffisamment la protection des données au regard de la vie privée, alors même que la conservation des données permet de tirer des conclusions très précises sur la vie privée des individus.

Il n’en fallait pas plus pour remettre en cause les lois des Etats membres mettant en œuvre une surveillance de masse par l’intermédiaire d’une collecte et d’une conservation, sans limite, des données de connexion et de localisation, comme cela était le cas au Royaume-Uni et en Suède.

Une saisine par question préjudicielle

Des fournisseurs d’accès à internet et des hébergeurs ont, dès le lendemain du prononcé de la décision Digital Rights, demandé l’arrêt de l’obligation de conserver toutes les données de connexion, sans limite de temps et sans différenciation entre chacun des utilisateurs.

La directive de 2006 étant invalidée, les Etats membres se sont déportés sur la directive 2002/58/CE du 12 juillet 2002, dite « directive vie privée », pour justifier la collecte et la conservation des données. En effet, l’article 15 de cette directive permet aux Etats membres de déroger au respect de la vie privée et de la confidentialité des communications pour des raisons de sécurité nationale. Ainsi, la directive de 2002 permet à un Etat membre de fonder les interceptions de conservation et donc, de déroger au droit à la confidentialité dans certains cas.

Dès lors, il convenait de déterminer si ces réglementations nationales, qui imposaient une surveillance de masse en dérogeant au droit à la confidentialité des communications, étaient compatibles avec le droit de l’Union européenne et notamment avec la directive 2002/58/CE interprétée au regard des articles 7 8 de la Charte des droits fondamentaux du 7 décembre 2000 qui garantissent la vie privée et la protection des données personnelles.

La conservation autorisée dans les limites du strict nécessaire

De jurisprudence constante, la CJUE considère que les mesures nationales pouvant déroger à la protection des données personnelles ne sont admissibles que dans les limites du strict nécessaire.

Par conséquent, la collecte et la conservation des données ne sont autorisées que dans la limite d’un temps nécessaire et pour une quantité et pour une catégorie de données nécessaires.

Il est donc autorisé de conserver des données mais cette obligation ne peut jamais être généralisée ou indifférenciée ; elle doit être ciblée afin de respecter l’obligation de proportionnalité.

Ainsi, il faut que la réglementation nationale propose des éléments objectifs permettant de cibler une personne ou une catégorie de personnes pouvant être susceptibles d’être soumises à une telle surveillance.

A défaut, la Cour estime que cette ingérence résultant d’une réglementation nationale est particulièrement grave.

Un contrôle préalable du juge indispensable sauf urgence

La Cour précise enfin que ce type de réglementation nationale doit impérativement être soumis à un contrôle préalable effectué notamment par un juge ou une entité indépendante, sauf cas d’urgence (1).

Sur ce point, il n’est pas impossible qu’en France la loi renseignement du 24 juillet 2015 soit, un jour, invalidée puisqu’elle donne un pouvoir central au Premier ministre qui peut décider de prendre des mesures de renseignement concernant un individu, sans l’accord préalable d’un juge.

Toutefois, le Conseil d’Etat a considéré que la loi sur le renseignement n’était pas concernée par l’arrêt Digital Rights. Par conséquent, la loi sur le renseignement n’a pas fait, pour le moment, l’objet d’un renvoi préjudiciel devant la CJUE.

Alain Bensoussan Avocats
Lexing Droit des télécoms

(1) CJUE, Aff. jointes C‑203/15 et C‑698/15, 21-12-2016




Transmissions hertziennes : Recommandations de la CNCTR

Transmissions hertziennes : Recommandations de la CNCTRLa CNCTR a publié, le 10 novembre 2016, une délibération sur une mesure de surveillance issue de la loi renseignement.

Le Conseil constitutionnel avait censuré l’article L811-5 du Code de la sécurité intérieure. La CNCTR donne son interprétation des dispositions de l’article L811-5 du Code de sécurité intérieure.

Interprétation stricte par la CNCTR de l’article L811-5 du Code de la sécurité intérieure

La délibération (1) de la CNCTR sur les mesures de surveillance des transmissions hertziennes (2) rejoint l’avis de l’ancienne Commission Nationale de Contrôle des Interceptions de Sécurité (CNCIS) (3).

En effet la CNCIS avait pris position sur la portée des dispositions de l’article 20 de la loi n° 91-646 du 10 juillet 1991 (4). Ces dispositions ont été d’abord codifiées à l’article L. 241-3 du Code de la sécurité intérieure. Elles ont été transférées (sans modification) dans l’article L. 811-5 du même code par la loi du 24 juillet 2015 (5).

Au regard des évolutions technologiques dans les années 90, s’est rapidement posée la question des téléphones portables, dont les communications passent par la voie hertzienne.

Dans son rapport d’activité de 2011-2012 la CNIS (6) indiquait que l’évolution technologique ne pouvait occulter le but poursuivi par le législateur en 1991, c’est-à-dire la protection du secret de la correspondance en son principe, sans en résumer le support à « l’existant technologique » ou à sa possible évolution.

La CNCIS rappelait ainsi la primauté du principe de liberté publique sur l’évolution technique. Elle retenait que l’exception à son contrôle prévue par l’article 20 (désormais) devait s’interpréter strictement : « Toute interception de correspondance échangée par la voie des télécommunications, qui n’entre pas dans le champ de l’article 20, est soumise quel que soit le mode de transmission filaire ou hertzien aux conditions et aux procédures fixées par la loi du 10 juillet 1991 ».

Selon la CNIS, cette interprétation stricte ne pouvait servir de fondement à la mise en œuvre d’interceptions de communications individualisables.

Cette règle a été rappelée dans les avis rendus par la CNCIS. Notamment pour définir les modalités des demandes et du contrôle en matière de recueil des données techniques de communications.

Elle a en outre mis en doute leur utilité et suggéré qu’elles ne soient pas reprises par la loi du 24 juillet 2015. Elle n’a pas été suivie par le législateur sur ce point.

Exerçant son contrôle sur un champ de techniques de renseignement plus large que celui couvert par la CNCIS, la CNCTR a la même approche que cette dernière sur la portée à donner aux dispositions de l’article L. 811-5 du Code de la sécurité intérieure.

Cette exception au régime de contrôle institué par la loi du 24 juillet 2015 et par celle du 30 novembre 2015 (7) pour assurer la protection de la vie privée, notamment du secret des correspondances, doit, selon elle, être interprétée strictement.

La CNCTR a estimé ainsi que l’article L. 811-5 ne doit pas faire échapper l’une quelconque des techniques de renseignement au régime d’autorisation préalable et de contrôle établi par cette loi.

C’est notamment le cas du recueil de données de connexion et des interceptions de sécurité des communications émises ou reçues par un téléphone portable. Ces mesures doivent faire l’objet d’une autorisation préalable du Premier ministre, après avis de la CNCTR, dans les conditions fixées par les articles L. 851-1 et L. 852-1 du Code de la sécurité intérieure. Et ce bien que les communications interceptées empruntent la voie hertzienne. La CNCTR a constaté que son interprétation de la loi était partagée par les pouvoirs publics.

Période transitoire accordée par le Conseil constitutionnel

Dans sa décision du 21 octobre 2016 (8), le Conseil constitutionnel a déclaré contraire à la Constitution l’article L811-5 du Code de la sécurité intérieure dans sa rédaction issue de la loi sur le renseignement du 24 juillet 2015 (9).

Le Conseil constitutionnel a estimé que l’abrogation immédiate de l’article L811-5 priverait les pouvoirs publics de toute possibilité de surveillance des transmissions hertziennes.

Il a donc reporté la déclaration d’inconstitutionnalité de l’article L811-5 au 31 décembre 2017.

Le Conseil constitutionnel a donc créé une période transitoire jusqu’au 31 décembre 2017 pendant laquelle les pouvoirs publics peuvent utilisés l’article L811-5.

Il a exigé que la CNCTR soit régulièrement informée sur le champ et la nature des mesures prises en application de l’article L811-5.

Suivi de la mise en œuvre de la CNCTR dans la période transitoire

La CNCTR est chargée par le Conseil de suivre la mise œuvre de l’article L811-5.

Elle doit s’assurer qu’aucune technique d’interception de correspondance et de recueil de données individualisables n’est mise en œuvre dans le cadre de l’article L. 811-5 sans avoir été préalablement autorisée en application des dispositions du livre VIII du code de la sécurité intérieure.

Aux fins de ce contrôle, la CNCTR doit être régulièrement informée sur le champ et la nature des mesures prises en application de l’article L. 811-5.

Information régulière de la CNCTR

Cette information doit la mettre à même de vérifier la conformité de ces mesures à la réserve d’interprétation émise par le Conseil constitutionnel. Et de recommander, si elle les estime non conformes à cette réserve, leur interruption et la destruction des renseignements collectés et, dans l’hypothèse où sa recommandation ne serait pas suivie, de saisir le Conseil d’État. Cette saisine doit intervenir dans les conditions prévues aux articles L. 833-6 à L. 833-8 et L. 854-9 du Code de la sécurité intérieure.

La CNCTR examine avec chacun des services concernés les modalités précises lui permettant d’être régulièrement informée des mesures prises par eux en application de l’article L. 811-5 du Code de la sécurité intérieure.

La CNCTR souhaite enfin être consultée sur les dispositions nouvelles que le législateur pourrait élaborer pour tirer les conséquences de la déclaration d’inconstitutionnalité de l’article L. 811-5 du code de la sécurité intérieure. »

Recommandations de la CNCTR

La CNCTR recommande au Premier ministre de demander à chaque ministre exerçant la tutelle de services de renseignement de veiller à ce que toutes les techniques de renseignement ne puissent être mises en œuvre qu’après avoir été préalablement autorisées par lui, conformément à ces lois.

Elle recommande que chacun des ministres définisse dans une instruction adressée aux services concernés relevant de son autorité les conditions dans lesquelles ces services pourront être autorisés à invoquer les dispositions de l’article L. 811-5 du Code de la sécurité intérieure. Elle recommande en outre que ces instructions soient soumises à son avis.

La CNCTR reconnait ainsi la nécessité d’appliquer le régime d’autorisation préalable et de contrôle pour toute techniques de renseignement. Et notamment pour le recueil de données de connexion et des interceptions de sécurité des communications émises ou reçues par un téléphone portable.

Un arrêté du 11 août 2016 (10) a modifié l’arrêté du 4 juillet 2012 permettant ainsi de compléter la liste des appareils et dispositifs techniques soumis à autorisation du Premier ministre (article R.226-3 du Code pénal).

Didier Gazagne
Audrey Jouhanet
Lexing Droit Sécurité & Défense

(1) Délibération 2/2016 du 10-11-2016
(2) Les transmissions sont juridiquement une phase particulière d’une communication électronique (entre l’émission et la réception). La voie hertzienne, quant à elle, est un des modes d’acheminement des ondes électromagnétiques.
(3) La loi sur le renseignement, institue une nouvelle autorité administrative indépendante : la Commission nationale de contrôle des techniques de renseignement (CNCTR). La CNCTR prendra la suite de la Commission nationale de contrôle des interceptions de sécurité (CNCIS) mais avec un champ de compétence étendu à l’ensemble des techniques de recueil de renseignement.
(4) Loi 91-646 du 10-7-1991
(5) Loi 2015-912 du 24-7-2015 relative au renseignement
(6) CNCIS, 20e Rapport d’activité 2011-2012
(7) Loi 2015-1556 du 30-11-2015
(8) Conseil Constitutionnel, Décision 2016-590 QPC du 21-10-2016
(9) Post du 4-11-2016 (Analyse de la décision)
(10) Arrêté du 11-8-2016 modifiant l’arrêté du 4-7-2012




Quelles dispositions dans la loi sur le renseignement Suisse ?

Quelles dispositions dans la loi sur le renseignement Suisse ?La Suisse a adopté une loi sur le renseignement qui est plus large que la loi française existante. Le 25 septembre  2016, le peuple suisse a accepté la nouvelle loi fédérale sur le renseignement (LRens) lors d’un référendum à 65.5% des votants (1).

Historique sur la loi sur le renseignement

Le 25 septembre 2015, le Conseil national avait adopté la loi renseignement (LRens) (2).

Un premier référendum avait été lancé par une alliance de représentants de la Jeunesse socialiste, des Verts et du PS, ainsi que des organisations comme droitsfondamentaux.ch ou encore « Digitale Gesellschaft ».

Objectif de la LRens

La LRens a pour objectif de renforcer la protection contre des menaces actuelles, telles que :

  • le terrorisme ;
  • l’espionnage ;
  • la prolifération ou les attaques contre les infrastructures critiques.

Elle vise aussi à préserver les intérêts essentiels du pays en donnant des pouvoirs plus étendus aux services de renseignement. Ces nouveaux pouvoirs permettent de surveiller des moyens de communication utilisés également par des particuliers.

La loi sur le renseignement permet désormais d’étayer ou d’écarter des soupçons de menace contre la Suisse. Auparavant, la surveillance de la sphère privé était interdite. Le droit de collecter des informations était donné sur le seul domaine public.

Entrée en vigueur de la loi

La loi entrera en vigueur le 1 er septembre 2017.

Trois ordonnances seront soumises à la consultation. Ces consultation portent sur :

  • le service de renseignement ;
  • les systèmes d’information et de stockage électronique du Service de renseignement de la Confédération (SRC) ;
  • l’autorité de surveillance indépendante.
Nouveaux moyens de surveillance

La nouvelle loi sur le renseignement met à disposition du Service de renseignement de la Confédération de nouveaux moyens de surveillance.

Les nouvelles mesures du SRC portent sur :

  • la surveillance de la correspondance par poste et par télécommunication ;
  • l’utilisation des appareils de localisation et de surveillance également hors de la sphère publique ;
  • l’introduction dans des systèmes et réseaux informatiques ;
  • la fouille de véhicules ou de conteneurs ;
  • l’exploration du réseau câblé.

Un zoom est accordé sur l’une des mesures les plus discutées : l’exploration du réseau câblé.

Cette mesure consiste à surveiller les signaux transfrontaliers transmis par le biais de réseaux câblés.

Les télécommunications à l’échelle internationale sont majoritairement transmises via des câbles de fibre optique et de moins en moins via des liaisons satellite.

Les exploitants suisses de réseaux câblés, ainsi que les fournisseurs suisses de prestations de télécommunications, seront impliqués dans l’exécution de cette mesure de surveillance.

Ils devront fournir des renseignements sur les itinéraires des flux de données et pourront sur ordre détourner les flux de données en question.

L’exploration du réseau câblé sera exécutée par le Centre des opérations électroniques, déjà compétent pour l’exploration radio.

Les résultats sont exclusivement transmis au SRC.

Les informations présentant potentiellement un intérêt du point de vue du renseignement sont séparées des informations non pertinentes grâce à l’utilisation de mots-clés.

Le moins d’interventions possible dans la sphère privée des personnes est privilégié.

Les indications sur des personnes physiques et juridiques suisses ne peuvent pas être utilisées comme mots-clés.

Seules les informations pertinentes sont examinées manuellement par des analystes du Centre pour les opérations électroniques.

Ceux-ci ne transmettent au SRC que les informations se rapportant à des opérations à l’étranger significatives sur le plan de la politique de sécurité.

Conditions de recours aux mesures de surveillance

Des conditions pour recourir aux nouvelles mesures de surveillance et de recherche d’informations sont posées par la loi sur le renseignement.

Tout d’abord ces mesures ne pourront être utilisées par le SRC que lors de :

  • menaces concrètes pour la sécurité intérieure ou extérieure ;
  • menaces en rapport avec des activités terroristes ;
  • propagation des armes de destruction massive ;
  • attaque visant les infrastructures critiques ;
  • sauvegarde des intérêts essentiels du pays.

Un processus de graduation de la mesure est également appliqué. La menace doit s’avérer suffisamment grave pour employer l’une de ces mesures.

D’autres moyens de renseignement auront dû être auparavant utilisés et être restés sans résultat ou sans chance d’aboutir.

Obligation d’autorisation préalable

Chaque mesure de recherche doit être approuvée par le Tribunal administratif fédéral (TAF) et avalisée par le chef du Département fédéral de la défense, de la protection de la population et des sports (DDPS) après consultation de ses homologues du Département des affaires étrangères (DFAE) et du Département fédéral de justice et police (DFJP).

Le Conseil fédéral estime à une dizaine par an le nombre de cas susceptibles de faire l’objet de mesures de recherche d’informations soumises à autorisation.

Plus précisément, lors de l’introduction dans les ordinateurs, cette ingérence doit être autorisée par le TAF et avalisée par le chef du DDPS après consultation du DFAE et du DFJP.

Pour s’introduire dans des ordinateurs à l’étranger, le SRC a également besoin de l’aval du chef du DDPS, qui doit avoir consulté au préalable le DFAE et le DFJP.

Concernant l’exploration du réseau câblé, cette mesure nécessite l’autorisation du TAF, ainsi que l’aval du chef du DDPS, lequel aura préalablement consulté le DFAE et le DFJP.

La réalisation des missions d’exploration du réseau câblé qui ont été avalisées est en outre vérifiée par l’Autorité de contrôle indépendante (ACI). L’ACI est un organe de contrôle indépendant pour l’exploration radio et l’exploration du réseau câblé.

Autorité indépendante chargée de la surveillance du SRC

La loi sur le renseignement prévoit une nouvelle autorité indépendante chargée de la surveillance du SRC.

Cette autorité aura le pouvoir de contrôler la légalité, l’adéquation et l’efficacité des activités de renseignement du SRC et des organes cantonaux d’exécution.

Elle pourra émettre des recommandations et publier un rapport annuel de ses activités.

Risque d’une surveillance de masse disproportionnée

Les nouvelles mesures de surveillance mises à disposition du SRC pourraient donner naissance à un risque de surveillance de masse.

Il est nécessaire de rappeler que la Suisse avait déjà adopté la révision de la loi sur la surveillance de la correspondance par poste et télécommunication (LSCPT) (3).

Cette loi permet à la police et aux autorités de poursuite d’accéder aux métadonnées stockées pendant six mois par les opérateurs téléphoniques en cas de soupçon d’infraction.

Le SRC, aurait, lui aussi, accès à ces données, même si aucun soupçon fondé d’infraction ne pèse sur l’individu.

Il faut ajouter que l’exploration du réseau câblé permettrait également au SRC d’enregistrer tous les flux de données et de les analyser au moyen de mots-clés.

Ces services auraient ainsi accès à une quantité importante de données et au contenu de communications électroniques telles que les mels, la téléphonie ou les recherches via internet.

Toutes les personnes se trouvant sur le territoire Suisse seraient alors touchées par ces mesures de surveillance.

Vision française du renseignement

L’acceptation de la loi sur le renseignement en Suisse est à mettre en parallèle de la décision du Conseil constitutionnel du 21 octobre 2016 (4).

Le Conseil constitutionnel avait retenu que l’article L811-5 du Code de la sécurité intérieure donnait l’autorisation aux pouvoirs publics de prendre des mesures de surveillance et de contrôle de toute transmission en empruntant la voie hertzienne.

Le Conseil Constitutionnel avait alors reconnu que, faute de garanties, l’article L811-5 du Code de la sécurité intérieure portait une atteinte manifestement disproportionnée au droit au respect de la vie privée et au secret des correspondances.

L’article L811-5 du Code de la sécurité intérieure avait donc été déclaré contraire à la Constitution par le Conseil constitutionnel.

Il est également intéressant de rappeler l’entrée en vigueur, au 1er octobre 2016, de l’arrêté du 11 août 2016 modifiant l’arrêté du 4 juillet 2012 fixant la liste d’appareils et de dispositifs techniques prévue par l’article 226-3 du Code pénal (5).

En effet, un projet d’arrêté avait été notifié auprès de la Commission européenne le 26 février 2016. (6). Ce projet d’arrêté a été repris entièrement dans l’arrêté du 11 août 2016. Il concerne les opérateurs du secteur des communications électroniques et leurs équipementiers.

Dans un premier temps, l’arrêté modifie en conséquence les termes de l’arrêté du 4 juillet 2012 fixant la liste d’appareils et de dispositifs techniques prévue par l’article 226-3 du code pénal.

L’article 1, 1° de l’arrêté remplace les mots « conçus pour réaliser » par « de nature à permettre ».

Seront donc soumis à une autorisation du Premier ministre, après avis de la Commission, non plus les appareils « conçus pour réaliser » des atteintes à la vie privée ou au secret des correspondances, mais désormais tous ceux « de nature à permettre » de telles atteintes.

Dans un second temps, l’arrêté complète l’arrêté du 4 juillet 2012 en soumettant désormais à contrôle certains appareils d’accès aux réseaux mobiles.

L’article 2, 2° de l’arrêté précise que :

« Les appareils qui permettent aux opérateurs de communications électroniques de connecter les équipements de leurs clients au cœur de leur réseau radioélectriques mobile ouvert au public, dès lors que ces appareils disposent de fonctionnalités, pouvant être configurées et activées à distance, permettant de dupliquer les correspondances des clients, à l’exclusions des appareils installés chez ceux-ci. »

Les produits concernés sont certains appareils d’accès aux réseaux de radiocommunications mobiles de 3e et 4e générations mis en œuvre par les opérateurs de communications électroniques. Il s’agit de stations de base, appelées aussi « antennes relais », dont les versions récentes ou à venir sont susceptibles d’intégrer des fonctionnalités de duplication des communications à des fins d’interception légale.

L’arrêté vise à soumettre à contrôle certains appareils d’accès aux réseaux de radiocommunications mobiles, dès lors qu’ils intègrent des fonctionnalités de duplication des flux configurables à distance, afin de protéger le secret des correspondances, la vie privée et la sécurité nationale.

Sur ce dernier point, l’arrêté prévoit une entrée en vigueur différée de cinq ans, pour tenir compte des investissements déjà réalisés par les opérateurs de communications électroniques et leur permettre de se mettre progressivement en conformité avec les nouvelles dispositions.

Des mesures de surveillance plus intrusives mais encadrées ont été acceptées en Suisse. En effet, la France tant à encadrer les mesures de surveillance qui portent atteinte à la vie privée. Cet encadrement n’est cependant pas un frein au panel large que les mesures de surveillance peuvent prendre.

Didier Gazagne
Audrey Jouhanet
Lexing Droit Sécurité & Défense

(1) Résultats du référendum du 25 septembre 2016 sur la loi sur le renseignement en Suisse
(2) Loi fédérale sur le renseignement (LRens)
(3) Loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT)
(4) Décision 2016-590 QPC du Conseil constitutionnel du 21 octobre 2016
(5) Arrêté du 11 août 2016 modifiant l’arrêté du 4 juillet 2012 fixant la liste d’appareils et de dispositifs techniques prévue par l’article 226-3 du code pénal




Renseignement et transmissions hertziennes : censure

Renseignement et transmissions hertziennes : censure

Plusieurs questions prioritaires de constitutionnalité (QPC) ont été déposées contre la loi renseignement.

La loi renseignement (n° 2015-912) promulguée le 24 juillet 2015 (1) a autorisé les services de renseignement à mettre en œuvre des techniques de renseignement sur autorisation du Premier ministre.

Ce ne sont pas moins de sept recours qui ont été déposés devant le Conseil d’Etat et le Conseil Constitutionnel contre les décrets d’application de la loi renseignement. Ces sept recours sont toujours pendants.

Les requêtes (2) ont été déposées devant le Conseil d’Etat par La Quadrature du Net(LQDN), la French Data Netwok (FDN) et la Fédération des fournisseurs d’accès à Internet associatifs (FFDN) ainsi que par le Conseil National du Numérique (CNN), Génération Libre (GL), le French American Bar Association et le Conseil des barreaux européens, le Bâtonnier de Paris, le Conseil National des Barreaux et l’Association de la Presse Judiciaire.

Quelle est la situation des recours et les décrets d’application concernés de la loi renseignement ?

Les recours sont dirigés contre :

  • le décret du 28 septembre 2015 (3) portant désignation des services spécialisés de renseignement ;
  • le décret du 1er octobre 2015 (4) relatif aux contentieux de la mise en œuvre des techniques de renseignement soumises à autorisation et des fichiers intéressant la sûreté de l’Etat ;
  • le décret du 11 décembre 2015 (5) relatif à la désignation de services autres que les services spécialisés de renseignent ;
  • le décret du 29 janvier 2016 (6) relatif aux techniques de recueil de renseignement.

Ces recours ont pour objectif de :

  • démontrer que les décrets d’application de la loi renseignement sont contraires aux libertés et droits fondamentales ;
  • soulever une question préjudicielle de constitutionnalité relative à une disposition de la loi renseignement permettant de ne pas encadrer par des procédures de contrôle instituées par les techniques de renseignement empruntant les transmissions de communications par voie hertzienne.

Ces recours sont toujours pendants.

Quelles sont les dispositions du Code de la sécurité intérieure visées par les questions prioritaires de constitutionnalité ?

Des questions prioritaires de constitutionnalités ont également été déposées devant le Conseil d’Etat (7). Ces QPC ont toutes pour objet les dispositions de l’article L811-5 du Code de la sécurité intérieure (8).

Cet article dans sa rédaction issu de la loi relative au renseignement dispose que « les mesures prises par les pouvoirs publics pour assurer, aux seules fins de défense des intérêts nationaux, la surveillance et le contrôle des transmissions empruntant la voie hertzienne ne sont pas soumises aux dispositions » du livre du Code de la sécurité intérieure.

Quels étaient les arguments de droit soulevés ?

Les recours engagés sont fondés sur la Charte des droits fondamentaux de l’Union  européenne et la Convention européenne de sauvegarde des droits de l’homme.

Les arguments de droit soulevés devant le Conseil d’Etat pour les quatre décrets d’application sont relatifs aux atteintes aux droits et libertés fondamentales, par la mise en œuvre d’un dispositif légal de surveillance qui implique notamment des accès administratifs aux données de connexion.

La méconnaissance du droit au respect de la vie privée et du droit à un recours effectif en raison de l’absence de possibilité effective de contestation des mesures de surveillance est soulevée dans les quatre mémoires complémentaires.

Ainsi que l’atteinte au droit au respect de la vie privée et à un droit au recours effectif garantis par les articles 8 et 13 de la Convention européenne de sauvegarde des droits de l’homme (9).

En effet, les demandeurs précisent que les quatre décrets contiennent des dispositions qui ne garantissent pas une possibilité effective de contester rétrospectivement les techniques de renseignement mises en œuvre.

Les dispositions en cause issues de la loi relative au renseignement ne prévoient aucun mécanisme destiné à compenser effectivement et suffisamment l’absence de toute notification a posteriori.

Le décret n° 2015-1639 du 11 décembre 2015 soulève également un autre moyen relatif à la méconnaissance de la Constitution par l’article L811-5 du Code de la sécurité intérieure tel qu’issu de la loi relative au renseignement

L’article L. 811-4 de la loi renseignement prévoit que la surveillance des transmissions empruntant la voie hertzienne ne peuvent être utilisées que par les services spécifiquement désignés.

Le décret contesté exclut implicitement mais nécessairement la surveillance des transmissions empruntant la voie hertzienne des mesures susceptibles d’être utilisées par les services ainsi désignés.

Il s’abstient totalement de déterminer les autorités compétentes pour recourir aux dix techniques de surveillance des transmissions empruntant la voie hertzienne.

Les QPC visent à déterminer les conditions d’application de l’article L811-5 du Code de la sécurité intérieure. Cet article est la reprise d’un ancien article abrogé en 2012.

« En édictant les dispositions de l’article L811-5 du code de la sécurité intérieure – lesquelles excluent « les mesures prises par les pouvoirs publics pour assurer, aux seules fins de défense des intérêts nationaux, la surveillance et le contrôle des transmissions empruntant la voie hertzienne » de tout encadrement légal –, le législateur a-t-il, d’abord, méconnu sa propre compétence en affectant des droits et libertés que la Constitution garantit, en l’occurrence le droit au respect de la vie privée et le droit au recours effectif, en ce qu’il s’est abstenu, d’une part, de définir dans la loi les conditions de collecte, d’exploitation, de conservation et de destruction des « transmissions empruntant la voie hertzienne » et, d’autre part, de prévoir un quelconque contrôle de ces opérations ; et ensuite porté une atteinte disproportionnée à ces mêmes droits et libertés ? ».

Persistance des dispositions de l’ancien article 20 de la loi de 1991

La loi n°91-646 du 10 juillet 1991 relative au secret des correspondances émises par voie des communications électroniques encadrait les activités de surveillance en France.

L’article 20 de cette loi (10) disposait que « les mesures prises par les pouvoirs publics pour assurer, aux seules fins de défense des intérêts nationaux, la surveillance et le contrôle des transmissions empruntant la voie hertzienne ne sont pas soumises aux dispositions » d’encadrement des services de renseignement.

La transmission d’information par voie hertzienne permet une absence de support matériel et la possibilité de transmission à longue portée, elle comprend les communications par la téléphonie mobile sur les réseaux GSM, 3G/4G, par satellite, ainsi que le Wi-Fi, le Bluetooth, une balise GPS, une puce NFC (Near Filed Communcation), une clé 3G/4G, un badge de télépéage.

Ces types de communication n’étaient déjà pas pris en compte dans l’encadrement des services de renseignement issu de la loi de 1991.

Au surplus, l’article 20 de la loi de 1991 a été abrogé par une ordonnance n°2012-351 du 12 mars 2012.

Cependant, l’article L811-5 du Code de la sécurité intérieure (7) reprend in extenso l’article 20 abrogé dans sa rédaction issue de la loi 1991.

Les conséquences de la reprise de cet article 20 de la loi de 1991 dans le Code de la sécurité intérieure sont multiples :

  • les pouvoirs publics non définis dans l’article peuvent comprendre des ministres, des préfets, des directions relatives aux services de renseignement, DGSI, DGSE ;
  • toutes les dispositions encadrant la surveillance n’ont aucun impact sur les techniques employées pour la « défense des intérêts nationaux », sur les transmissions empruntant la voie hertzienne ;
  • toutes les communications hertziennes sont de droit exclues du champ des procédures de contrôle instituées par les techniques de renseignement.

La loi renseignement n’encadre que les techniques de communication intégralement filaires.

Or, les communications hertziennes représentent de vastes moyens de transmission de l’information qui ne sont pas encadrées par la loi renseignement et sont donc hors de tous contrôles.

Les dispositions de l’article L811-5 du Code de la sécurité intérieure semble contraire à la volonté première de la loi renseignement qui était d’encadrer les techniques de surveillance utilisées par les agents de renseignement dans des situations illégales.

Risque de détournement possible de l’article L811-5 du Code de la sécurité intérieure

La surveillance permise par l’article L811-5 du Code de la sécurité intérieure permet la surveillance de masse allant au-delà de la collecte de métadonnées. Cette collecte peut être effectuée sur les communications empruntant la voie hertzienne.

La décision du Conseil d’Etat du 22 juillet 2016

Dans sa décision du 22 juillet 2016, le Conseil d’Etat a décidé que la question de la conformité à la Constitution de l’article L811-5 du Code de la sécurité intérieure est renvoyée au Conseil Constitutionnel.

La motivation de la décision du Conseil d’Etat du 22 juillet 2016

Le Conseil d’Etat a pour renvoyer la question de la conformité à la Constitution des dispositions de l’article L811-5 du Code de la sécurité intérieure motivé sa décision en trois axes.

Il a d’abord rappelé que les dispositions de l’article L811-5 du Code de la sécurité intérieure n’ont pas été déclarées conformes à la Constitution par le Conseil constitutionnel.

Il a en outre précisé que le législateur n’avait pas exercé pleinement la compétence qui lui est confiée par l’article 34 de la Constitution. Et que la soustraction de la surveillance et du contrôle des transmission par voie hertzienne à tout dispositif d’encadrement et de contrôle, méconnaissait le droit au respect de la vie privée et familiale. Ce droit étant garanti par les articles 2 et 4 de la Déclaration des droits de l’homme et du citoyen de 1789.

Le droit à un recours effectif garanti par l’article 16 de la Déclaration soulevait une question présentant un caractère sérieux.

Le projet d’arrêté notifié par la France devant la Commission européenne

Un parallèle peut être fait entre les recours, les QPC devant le Conseil d’Etat, la décision du Conseil d’Etat et le projet d’arrêté notifié par la France devant la Commission européenne. Ce projet d’arrêté a pour objet la modification de l’arrêté du 4 juillet 2012. Cet arrêté fixe en effet la liste d’appareils et de dispositifs techniques prévue par l’article R226-3 du Code pénal.

Ce projet d’arrêté notifié auprès de la Commission européenne sous le numéro 2016/96/F (France) le 26 février 2016 concerne certains appareils d’accès aux réseaux de communications mobiles de 3e et 4e générations. Ces appareils sont mis en œuvre par les opérateurs de communications électroniques. Ils sont susceptibles d’intégrer des fonctionnalités de duplication des communications à des fins d’interception légale.

Les investissements à réaliser par les opérateurs de communications électroniques sur ce type d’appareils sont importants. L’article 2 du projet d’arrêté prévoit une entrée en vigueur différée de cinq ans pour permettre aux opérateurs une mise en conformité.

La décision attendue du Conseil Constitutionnel

Le Conseil Constitutionnel a trois mois pour se prononcer sur la constitutionnalité des dispositions de l’article L811-5 du Code de la sécurité intérieure.

Le Conseil Constitutionnel pourra, soit le déclarer conforme à la Constitution, soit apporter une règle d’interprétation, soit annuler purement et simplement cet article s’il n’est pas considéré conforme à la Constitution.

Pour en savoir plus sur le contenu des décrets d’application contestés

Le décret n°2015-1185 du 28 septembre 2015 désigne les services spécialisés de renseignement et notamment les services dont les agents peuvent être autorisés à recourir aux techniques de sonorisation de certains lieux et véhicules ainsi que de captation d’images et de données informatiques.

C’est l’article L811-2 du Code de la sécurité intérieure issu de cette loi qui prévoit le recours aux techniques de renseignement.

Parmi les techniques de renseignement visées aux articles L853-1 et L853-3 du Code de la sécurité intérieure figure la sonorisation de certains lieux et véhicules et la captation d’images et de données informatiques.

Le décret n°2015-1186 du 29 septembre 2015 prévoit que la Commission nationale de contrôle des techniques de renseignement (CNCTR) peut employer des fonctionnaires civils et militaires, des fonctionnaires des assemblées parlementaires et des magistrats placés auprès d’elle dans une position conforme à leurs statuts respectifs.

Les articles L. 243-1 à L. 243-11 du Code de la sécurité intérieure sont relatifs à l’organisation administrative et financière de la Commission nationale de contrôle des techniques de renseignement.

Le décret n° 2015-1211 du 1er octobre 2015 fixe la procédure contentieuse concernant la mise en œuvre des techniques de renseignement et l’accès aux fichiers intéressant la sûreté de l’Etat.

Le décret n° 2015-1639 du 11 décembre 2015 détermine les services relevant des ministres de la Défense et de l’Intérieur qui peuvent être autorisés à recourir aux techniques mentionnées au titre V du livre VIII de la partie législative du Code de la sécurité intérieure, dans les conditions prévues au même livre, à l’exclusion des techniques prévues aux articles L. 851-2 et L. 851-3.

La censure de l’article L811-5 par le Conseil constitutionnel

La décision du Conseil constitutionnel vient d’être rendue ce 21 octobre 2016 (11).

Le Conseil constitutionnel retient que l’article L811-5 du Code de la sécurité intérieure donne l’autorisation aux pouvoirs publics de prendre des mesures de surveillance et de contrôle de toute transmission en empruntant la voie hertzienne.

Ces mesures de surveillance ne permettent pas d’exclure que puissent être interceptées des communications ou recueillies des données individualisables.

C’est pourquoi le Conseil affirme que ces dispositions portent atteinte au droit au respect de la vie privée et au secret des correspondances.

En outre, le Conseil précise également que bien que ces mesures de surveillance et de contrôle ne peuvent être prises qu’aux seules fins de la défense des intérêts nationaux, l’article L811-5 du Code de la sécurité intérieure n’interdit pas que ces mesures puissent être utilisées à des fins plus larges.

Enfin, le Conseil constitutionnel estime que l’article L811-5 du Code de la sécurité intérieure ne définit pas la nature des mesures de surveillance et de contrôle que peuvent prendre les pouvoirs publics. Le recours à ces mesures n’est d’ailleurs soumis à aucune condition de fond ni de procédure. La mise en œuvre de ces mesures n’est également encadrée par aucune garantie.

Le Conseil Constitutionnel reconnait alors que faute de garanties, l’article L811-5 du Code de la sécurité intérieure porte une atteinte manifestement disproportionnée au droit au respect de la vie privée et au secret des correspondances.

L’article L811-5 du Code de la sécurité intérieure est donc déclaré contraire à la Constitution par le Conseil constitutionnel.

Afin de permettre au législateur de remédier à l’inconstitutionnalité constatée, il y a donc lieu de reporter au 31 décembre 2017 la date de cette abrogation.

Le Conseil a cependant reporté au 31 décembre 2017 la date d’effet de cette déclaration d’inconstitutionnalité étant donné que l’abrogation immédiate de l’article L811-5 du Code de la sécurité intérieure entraînerait des conséquences manifestement excessives.

Elle aurait pour effet selon le Conseil constitutionnel de priver les pouvoirs publics de toute possibilité de surveillance des transmissions empruntant la voie hertzienne.

Il est alors précisé par le Conseil que jusqu’à l’entrée en vigueur d’une nouvelle loi ou, au plus tard, jusqu’au 30 décembre 2017, les dispositions de l’article L811-5 du Code de la sécurité intérieure ne pourront servir de fondement à des mesures d’interception de correspondances, de recueil de données de connexion ou de captation de données informatiques.

Les dispositions de l’article L811-5 du Code de la sécurité intérieure ne pourront être mises en œuvre sans que la Commission nationale de contrôle des techniques de renseignement (CNCTR) soit régulièrement informée sur le champ et la nature des mesures prises en application de cet article.

Didier Gazagne
Audrey Jouhanet
Lexing, Sécurité & Défense

(1) Loi renseignement 2015-912 du 24-7-2015
(2) Mémoire sur la requête n° 394.922, n° 394.924, n°394.925, n°397.844
(3) Décret 2015-1185 du 28-9-2015
(4) Décret 2015-1211 du 1-10-2015
(5) Décret 2015-1639 du 11-12-2015
(6) Décret 2016-67 du 29-1-2016
(7) QPC posée à l’appui des requêtes n°397.844, n°394.922, n°394.925, n°397.851
(8) Code de la sécurité intérieure, art. L811-5
(9) Convention européenne des droits de l’homme, art. 8 et 13
(10) Loi 91-646 du 10-7-1991, art. 20
(11) Décision 2016-590 QPC du Conseil constitutionnel du 21-10-2016




Loi du 3 juin 2016 : utilisation des IMSI-catchers autorisée

Loi du 3 juin 2016 : utilisation des IMSI-catchers autoriséeLa Loi n°2016-731 du 3 juin 2016 élargit les pouvoirs d’enquête et d’instruction en recourant aux IMSI-catchers.

La loi du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale a inséré une nouvelle section dans le Code de procédure pénale intitulée « Des interceptions de correspondances émises par la voie des communications électroniques et du recueil des données techniques de connexion ».

Désormais, le Code de procédure pénale permet, dans le cadre de l’enquête ou de l’instruction, aux article 706-95 à 706-95-10, de nouvelles modalités d’interceptions de communication (1).

L’article 706-95-4 du Code de procédure pénale dispose ainsi que les officiers de police judiciaire peuvent, sur autorisation du juge des libertés et de la détention, à la requête du procureur de la République, « utiliser un appareil ou un dispositif technique mentionné au 1° de l’article 226-3 du code pénal afin de recueillir les données techniques de connexion permettant l’identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur, ainsi que les données relatives à la localisation d’un équipement terminal utilisé ».

Ainsi, le recours aux IMSI-catchers peut s’effectuer dans deux cas :

  • d’une part, pour recueillir des données techniques de connexion permettant l’identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur ou encore les données relatives à la localisation d’un équipement terminal ;
  • d’autre part, pour intercepter des correspondances émises ou reçues par un équipement terminal.

Le recours à ces dispositifs techniques est encadré par le procédure pénale et soumis au respect de règles procédurales strictes.

Le recueil des données techniques

L’IMSI-catcher est un outil d’espionnage permettant de capter toutes les données de communication dans un rayon donné.

Concrètement, les IMSI-catchers ressemblent à des petites valises transportables pouvant aussi être montées à l’intérieur d’un véhicule. Ce dispositif imite le fonctionnement d’une antenne-relais de manière à ce que les appareils téléphoniques qui sont situés à proximité s’y connectent. Ce dispositif, en exploitant une faille de sécurité, reçoit les communications de ces téléphones et peut accéder au contenu grâce à l’IMSI (International Mobile Subscriber Identity) qui est un numéro identifiant unique contenu dans la carte SIM des appareils de téléphonie.

Certains de ces outils d’espionnage sont dotés de fonctionnalités complémentaires, comme la lecture ou l’envoi de SMS, l’interception du trafic Internet Mobile, ou la capacité de bloquer tout appel tentant de parvenir à un téléphone donné.

Interception des communications émises par la voie électronique

Le recours aux IMSI-catchers peut s’effectuer dans deux cas. D’une part, pour recueillir des données techniques de connexion permettant l’identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur ou encore les données relatives à la localisation d’un équipement terminal. D’autre part, pour intercepter des correspondances émises ou reçues par un équipement terminal.

En effet, l’article 706-95-5 du Code de procédure pénale autorise les services de police à « utiliser un appareil ou un dispositif technique mentionné au 1° de l’article 226-3 du code pénal afin de recueillir les données techniques de connexion permettant l’identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur, ainsi que les données relatives à la localisation d’un équipement terminal utilisé ».

Les officiers de police judiciaire sont ainsi autorisés à procéder à la « fabrication, l’importation, la détention, l’exposition, l’offre, la location ou la vente d’appareils ou de dispositifs techniques de nature à permettre la réalisation d’opérations pouvant constituer » les infractions prévues :

  • par l’article 226-1 du Code pénal sur l’atteinte à l’intimité de la vie privée et donc à « capt[er], enregistr[er] ou transmet[tre], sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel » ;
  • par l’article 226-15 du Code pénal qui concerne l’atteinte au secret des correspondances privées et donc à « intercepter, détourner, utiliser ou divulguer des correspondances émises, transmises ou reçues par la voie électronique ou de procéder à l’installation d’appareils de nature à permettre la réalisation de telles interceptions ».
Procédure d’autorisation des interceptions

Au regard des intérêts en balance, notamment le respect de l’intimité de la vie privée et le principe de secret des correspondances privées, ce dispositif fait l’objet d’un encadrement strict. Outre l’autorisation donnée par le juge des libertés et de la détention ou le juge d’instruction qui doivent veiller au bon déroulement de ces opérations, le recours aux IMSI-catcher est limité dans le temps.

Ainsi, deux hypothèses sont prévues par l’article 706-95-4 du Code de procédure pénale :

  • soit le juge des libertés et de la détention autorise, sur requête du procureur de la République, la mise en œuvre des mesures techniques ;
  • soit, en « cas d’urgence résultant d’un risque imminent de dépérissement des preuves ou d’atteinte grave aux personnes ou aux biens », le procureur de la République peut donner cette autorisation directement. Dans cette hypothèse, l’autorisation donnée par le procureur doit comporter « l’énoncé des circonstances de fait établissant l’existence du risque imminent ». Cette autorisation doit ensuite être « confirmée par le juge des libertés et de la détention dans un délai maximal de vingt-quatre heures. A défaut, il est mis fin à l’opération, les données ou correspondances recueillies sont placées sous scellés fermés et elles ne peuvent pas être exploitées ou utilisées dans la procédure ».

Dans tous les cas, l’article 706-95-6 du Code de procédure pénale précise que les autorisations du juge des libertés et de la détention doivent faire l’objet d’une ordonnance « écrite et motivée ».

Les opérations sont ensuite menées sous le contrôle permanent du magistrat qui les a autorisées et « et ne peuvent, à peine de nullité, avoir un autre objet que la recherche et la constatation des infractions visées dans la décision de ce magistrat ».

Virginie Bensoussan-Brulé
Chloé Legris
Lexing Contentieux numérique

(1) CPP, art. 706-95 à 706-95-10.




Surveillance électronique de masse des citoyens européens

surveillance électroniqueLa résolution sur la surveillance électronique de masse des citoyens européens soulève d’importantes questions.

Objectifs de la résolution du Parlement européen du 29 octobre 2015. Cette résolution du Parlement européen (2015/2635 (RSP)) sur la surveillance électronique de masse proposée par le député anglais Claude Moraes appelait les Etats membres à interdire les activités de surveillance de masse aveugle et le traitement massif de données à caractère personnel de citoyens et dénonçait les actions de services de renseignement signalées comme ayant gravement nui à la confiance et aux droits fondamentaux des citoyens de l’Union européenne.

Observations du Parlement Européen sur la surveillance de masse. L’article 3 de la résolution du Parlement Européen sur la surveillance électronique de masse est à relever. Le Parlement Européen s’inquiète de certaines lois, qui adoptées récemment dans certains Etats membres, étendent les capacités de surveillance des services de renseignements. Le Parlement cite la France et notamment la nouvelle loi adoptée par l’Assemblée nationale le 24 juin 2015, dont plusieurs dispositions soulèvent, selon la Commission, d’important problèmes juridiques.

Dans la proposition de la résolution en date du 23 octobre 2015 (1), le Parlement Européen demandait à la Commission Européenne d’initier sans délai une évaluation de l’ensemble des dispositions de la loi française sur le renseignement et de déterminer sa conformité avec le droit de l’Union Européenne.

Une question peut alors se poser le Parlement Européen estime-t-il que la loi sur le renseignement adopté le 24 juin 2015 n’est pas conforme aux normes de la convention européenne des droits de l’homme.

La réponse est donnée dans la résolution relative à la surveillance électronique de masse adoptée le 29 octobre 2015 (2). La demande d’évaluation par la Commission européenne de la loi française n’a pas été retenue. Seul l’appel à tous les Etats membres de veiller à ce que leurs cadres législatifs et mécanismes de surveillance régissant les activités des agences de renseignement actuels et futurs soient conformes aux normes de la convention européenne des droits de l’homme et à tous les actes législatifs pertinents de l’Union.

L’article 43 de la résolution relative à la surveillance électronique de masse précise également que la surveillance de masse remet sérieusement en question le secret professionnel des professions réglementées comme les médecins, les journalistes et les avocats.

Le Parlement européen insiste sur l’intérêt de la protection des droits des citoyens de l’Union européenne qui devraient être protégés contre toute surveillance de communications confidentielles avec leurs avocats.

Didier Gazagne
Audrey Jouhanet
Lexing Cybersécurité – IE- Technologies de sécurité & Défense

(1) Résolution adoptée (2015/2635 (RSP)) du 29-10-2015.
(2) Proposition de résolution du 23-10-2015.




Surveillance des communications et interceptions de sécurité

Surveillance des communications et interceptions de sécuritéQuelle est l’articulation entre le régime de la surveillance des communications électroniques internationales et celui des interceptions de sécurité ?

La proposition de loi sur la surveillance des communications électroniques internationales comprend deux articles. Le premier article de la proposition de loi (1) insère dans le Code de la sécurité intérieure l’article L.854-1, et le second modifie l’article L.773-1 du Code de la sécurité intérieure.

Le projet d’article 854-1 du Code de la sécurité intérieure encadre la technique de renseignement relative à la surveillance des communications électroniques internationales.

Il crée alors un cadre juridique spécifique pour les interceptions de communications électroniques émises ou reçues à l’étranger.

En quoi consiste la surveillance des communications électroniques internationales ? Le projet d’article L.854-1 I du Code de la sécurité intérieure permet de définir la surveillance des communications internationales.

La surveillance des communications électroniques concerne les communications « émises et reçues à l’étranger ».

La catégorie des communications émises ou reçues à l’étranger est définie en fonction des deux extrémités de la communication et non des territoires par lesquels la communication peut transiter à raison des modes de transport des communications électroniques.

La surveillance des communications électroniques internationales concerne alors les communications dont au moins l’une des extrémités est située à l’étranger.

La notion de communication comprend aussi bien les correspondances (« contenus ») que les données de connexion (« contenants »).

Articulation entre le régime de la surveillance des communications électroniques internationales et celui des interceptions de sécurité. Pour surveiller les communications d’une personne communiquant depuis le territoire français, le régime des interceptions de sécurité sera applicable.

En effet, les communications échangées entre deux identifiants rattachables au territoire français ne sont pas concernées par le dispositif et sont immédiatement détruites, la surveillance de ces communications entrant dans le régime des interceptions de sécurité, défini par l’article L. 852-1 du Code de la sécurité intérieure introduit par la loi relative au renseignement du 24 juillet 2015.

Si cette même personne utilise son abonnement français alors qu’elle séjourne à l’étranger le régime des interceptions de sécurité sera une nouvelle fois applicable.

Il peut s’agir de résidants français en voyage à l’étranger. La loi exclut que des résidents français puissent faire l’objet d’une surveillance individuelle de leurs communications alors qu’ils sont en voyage à l’étranger.

Par exception, le régime de la surveillance des communications électroniques internationales pourrait être applicable sur le fondement de l’article L854-1 du Code de la sécurité intérieure à des communications émises à l’étranger utilisant un numéro ou un identifiant français qui faisait déjà l’objet d’une surveillance par interception de sécurité avant son déplacement à l’étranger.

L’exemple qui peut être donné pour illustrer cette hypothèse est celui d’une personne en France qui après s’être radicalisée part en Syrie avec son téléphone portable français. Cette exception permet de continuer à écouter cette personne.

A leur retour sur le territoire national, la surveillance ne pourrait continuer qu’en application du droit commun par la délivrance d’une autorisation du Premier ministre conformément à l’article L.821-1 du Code de la sécurité intérieure.

Pour éviter une rupture de la surveillance, la loi autorise l’accomplissement anticipé de cette formalité, comme le renouvellement d’une interception arrivant à échéance peut être demandé et autorisé (article 852-1 du Code de la sécurité intérieure) Le régime des interceptions de sécurité prendrait le relais de la surveillance des communications internationales. L’identité des personnes surveillées serait alors communiquée à la Commission nationale de contrôle des techniques du renseignement (CNCTR).

La loi prévoit également que la surveillance internationale de personnes, utilisant des identifiants français, qui représenteraient une menace est permise.

Didier Gazagne
Audrey Jouhanet
Lexing Cybersécurité – IE- Technologies de sécurité & Défense

(1) PLO AN 3042 du 9-9-2015.




Contrôle de la CNCTR sur la surveillance internationale

Contrôle de la CNCTR sur la surveillance internationaleLa CNCTR, autorité administrative indépendante, a des pouvoirs de contrôle des mesures de surveillance internationale.

Contrôle exercé par la CNCTR sur la surveillance. La loi relative au renseignement (1) a défini une politique publique de renseignement avec une autorité administrative indépendante aux pouvoirs renforcés, la Commission nationale de contrôle des techniques de renseignement (CNCTR).

Les modalités du contrôle qui s’exerce sur la surveillance des communications internationales sont précisées par la proposition de loi en son projet d’article L.854-1 VII du Code de la sécurité intérieure.

La CNCTR disposera de tous les outils de droit commun prévus par le droit commun pour exercer un contrôle a posteriori effectif jamais avant le déploiement de la surveillance. Elle ne pourra pas empêcher la mesure mais seulement contrôler qu’elle ne porte aucune atteinte.

Pour ce faire, elle disposera d’un accès permanent, direct et complet aux dispositifs de traçabilité des opérations d’interception et d’exploitation, de transcription et d’extraction réalisées.

Elle pourra solliciter du Premier ministre tous les éléments nécessaires à l’accomplissement de ses missions.

Recours contre les mesures de surveillance. La CNCTR et le Conseil d’Etat statuant en formation spécialisée permettent de contrôler la surveillance des communications internationales afin de respecter le secret de la défense nationale.

Le projet d’article L.854-1 VII (2) du Code de la sécurité intérieure décrit la portée du contrôle. Comme pour les communications nationales, ce contrôle fera intervenir successivement un contrôle administratif, assuré par la CNCTR, et un contrôle juridictionnel, assuré par une formation spécialisée du Conseil d’État.

Par rapport à la version censurée par le Conseil constitutionnel, le nouveau texte ne comprend plus de restriction au droit au recours.

L’ensemble des mesures de surveillance des communications internationales pourra donc faire l’objet d’un contrôle juridictionnel, renforçant le contrôle de ces activités de renseignement.

La CNCTR sera également en charge de contrôler la conformité des mesures mises en œuvre permises par l’article L.854-1 du Code de sécurité intérieure et des autorisations délivrées par le Premier ministre ou ses délégués.

Par rapport au régime applicable aux communications nationales, la proposition de loi prévoir un passage obligé par la CNCTR : ce filtrage préalable doit permettre de dissuader toute stratégie d’engorgement de la juridiction par des acteurs qui poursuivraient un objectif de déstabilisation de la politique française de renseignement extérieur.

La CNCTR, de sa propre initiative ou sur réclamation de toute personne souhaitant vérifier qu’aucune mesure de surveillance n’est irrégulièrement mise en œuvre à son égard, pourra adresser une recommandation au Premier ministre.

La CNCTR pourra saisir le Conseil d’État soit par son président, soit par au moins trois de ses membres.

Didier Gazagne
Audrey Jouhanet
Lexing Cybersécurité – IE- Technologies de sécurité & Défense

(1) Loi 2015-912 du 24-7-2015.
(2) PLO Sénat 3173 du 28-10-2015.




La surveillance des communications internationales

La surveillance des communications internationalesLe recours à la surveillance des communications internationales est effectué par autorisation du Premier ministre.

Il permet de répondre à la protection des intérêts publics de la France.

Conditions de recours aux techniques de surveillance. Les conditions de recours à ces techniques de surveillance des communications internationales seront identiques à celles prévues sur le territoire national, à savoir la protection des intérêts publics énumérés par l’article L. 811-3 du Code de la sécurité intérieure (1) :

  • la sécurité nationale ;
  • les intérêts essentiels de la politique étrangère et l’exécution des engagements européens et internationaux de la France ;
  • les intérêts économiques et scientifiques essentiels de la France ;
  • la prévention du terrorisme ;
  • la prévention de la reconstitution ou du maintien de groupement dissous en application de l’article L. 212-1 ;
  • la prévention de la criminalité et de la délinquance organisées ;
  • la prévention des violences collectives de nature à porter gravement atteinte à la paix publique ».

Régime des autorisations de surveillance des communications internationales. La procédure d’autorisation de surveillance des communications internationales prévue par la proposition de loi reprend celle du texte initial, qui a été validée par le Conseil constitutionnel.
Les autorisations de surveillance des communications internationales seront délivrées par le Premier ministre, ou l’un de ses délégués, c’est-à-dire des « collaborateurs directs habilités au secret de la défense nationale » selon les termes de l’article L. 821-4 du Code de la sécurité intérieure (2).

À la différence du régime des interceptions de sécurité, l’autorisation de surveillance des communications internationales du Premier ministre n’est pas soumise à l’avis préalable de la Commission nationale de contrôle des techniques de renseignement (CNCTR). Cela est justifié par la nature des missions qui ne peuvent être confiée à une autorité administrative indépendante.

Une autre différence par rapport au régime des interceptions de sécurité est à observer, la phase d’interception et la phase d’exploitation sont distinctes.

Le Premier ministre délivrera, dans un premier temps, une autorisation d’interception sur des systèmes de communication. Puis dans un second temps, il pourra accorder des autorisations d’exploitation.

Didier Gazagne
Audrey Jouhanet
Lexing Cybersécurité – IE- Technologies de sécurité & Défense

(1) Code de la sécurité intérieure, art. L. 811-3.
(2) Code de la sécurité intérieure, art. L.821-4.




Loi sur le renseignement : une avancée démocratique

Loi sur le renseignement : une avancée démocratiqueLa loi sur le renseignement est une avancée démocratique, un Patriot Act à la française, affirme Alain Bensoussan.

En affirmant cela, il prend le contre-pied de beaucoup de points de vue. Ce texte constitue, pour l’ensemble de la démocratie, notamment dans le monde digital, une avancée. Jusque là, le renseignement n’avait pas le cadre juridique adapté à ce type d’activité, un cadre offrant la souplesse et la protection nécessaires. Par exemple, de même que les particuliers, le personnel du renseignement a besoin de sécurité.

Le texte de la loi sur le renseignement commence par « Le respect de la vie privée est garanti par la loi« . La protection de l’individu est le point central de cette loi : le secret des correspondances, la protection des données personnelles et l’inviolabilité du domicile en sont les points essentiels. Cette loi est indissolublement liée à la loi Informatique, fichiers et libertés offrant ainsi une protection basée sur les trois éléments suivants :

  • le Premier ministre qui donne les autorisations,
  • la Commission nationale de contrôle des technologies de renseignements (CNCTR, autorité indépendante comme la Cnil) qui régule et vérifie, enfin
  • le Conseil d’Etat qui peut être saisi ex post.

Les services spécialisés de renseignement peuvent aujourd’hui utiliser des techniques de surveillance particulières : capter des images à domicile, sonoriser les domiciles, intercepter des métadonnées et du contenu, intercepter des conversations sur toute une zone… toutes ces possibilités de techniques invasives ne peuvent être mises en oeuvre que dans le cadre de la loi sur le renseignement (lutte contre le terrorisme, défense des intérêts de la France, sa sécurité, sa défense) et sont soumises à des « gardes-fous »…

La loi sur le renseignement : une avancée démocratique, vidéo réalisée par MyD-Business-Accenture dans sa collection Mémo et publiée le 23 septembre 2015.




La loi sur le renseignement soumise au Conseil Constitutionnel

La loi sur le renseignement soumise au Conseil ConstitutionnelAprès l’adoption du projet de loi sur le renseignement, le Conseil Constitutionnel doit se prononcer dans les tous prochains jours sur la conformité de la loi.

Si pour l’essentiel, il y a un consensus pour inscrire la politique publique ainsi que les activités des services de renseignement dans le cadre du droit, les préoccupations suscitées, parmi lesquelles figurent la protection des libertés fondamentales restent nombreuses (1).

En effet, suite à l’adoption du projet de loi relatif au renseignement par l’Assemblée nationale le 24 juin 2015, la loi sur le renseignement a été déférée au Conseil Constitutionnel par le Président la République, par le Président du Sénat et par plus de 60 députés, sur le fondement de l’alinéa 2 de l’article 61 de la Constitution.

La loi sur le renseignement n’aurait pas nécessité une triple saisine si l’étude d’impact du projet de loi avait notamment été réalisée de manière à éclaircir l’utilisation des notions « d’informations ou documents » et de « données techniques de connexion ».

Le Conseil d’Etat avait déjà jugé dans son arrêt du 5 juin 2015 (2) que la conformité à la Constitution des articles L. 246-1 à L. 246-5 du Code de la sécurité intérieure ayant pour objet l’accès administratif aux données de connexion était renvoyée au Conseil Constitutionnel.

La saisine du Conseil Constitutionnel devra permettre de déterminer si les dispositions du projet de loi renseignement présentent les garanties appropriées et spécifiques répondant aux exigences de l’article 34 de la Constitution et si le législateur ne prive pas de garanties légales des exigences constitutionnelles.

Un mémoire porté par un groupe de réflexion et trois amicus curiae (« amis de la cour ») déposés par des associations ou une fédération régie par la loi du 1er juillet 1901 et un think tank et des fédérations professionnelles du numérique.

Dans son mémoire déposé le 25 juin 2015 (3), GenerationLibre y soutient notamment que l’article 1er de la loi déférée devrait être déclaré contraire à la Constitution, le législateur ayant entendu laisser au pouvoir réglementaire le soin de garantir la nécessaire proportionnalité entre les objectifs poursuivis par le renseignement et l’exercice des libertés publiques.

GenerationLibre stigmatise également les carences de la Commission nationale de contrôle des techniques de renseignement ainsi que la faiblesse des recours prévus par la loi déférée.
Dans un amicus curiae également déposé au Conseil Constitutionnel par French Data Network (FDN), la Quadrature du Net et la FFDN le 29 juin 2015 (4), les associations après avoir apporté de nombreux éclairages techniques sur la loi déférée, dénonce l’absence de procédure de signalement des abus et le caractère illusoire de la procédure contentieuse.

Dans un second amicus curiae du 1er juillet 2015 (5), le Syntec numérique, l’AFDEL, l’Asic et Renaissance numérique réitère notamment la nécessité d’accroître les pouvoirs de la CNCTR notamment en lui conférant un pouvoir contraignant.

Dans un troisième et dernier amicus curiae déposé le 2 juillet 2015 (6), un avocat souligne notamment l’absence de définitions légales de neuf termes utilisés dans la loi renseignement et le fait que ces définitions sont laissés à l’appréciation du pouvoir exécutif.

Le Conseil constitutionnel doit statuer dans un délai d’un mois. La saisine du Conseil constitutionnel suspend le délai de promulgation de la loi relative au renseignement

Didier Gazagne
Lexing Droit Intelligence économique

(1) Consultez nos précédents articles sur le projet de loi : post du 20-4-2015, post du 22-4-2015, post du 24-4-2015.
(2) CE, 10ème / 9ème SSR, n°388134, Arrêt du 5-6-2015.
(3) Mémoire Génération Libre, 25-6-2015.
(4) Amicus curiae FDN, Quadrature du Net, FFDN, 29-6-2015.
(5) Amicus curiae Syntec, Afdel, Asic, Renaissance numérique, 1-7-2015.
(6) Amicus curiae, Me Ledieu, 2-7-2015.




Les autres dispositions du projet de loi sur le renseignement

Les autres dispositions du projet de loi sur le renseignementLe projet de loi relatif au renseignement, examiné en procédure accélérée à l’Assemblée nationale en séance publique à partir du 13 avril 2015 (1), comporte d’autres dispositions que celles qui ont été abordées dans de précédents articles.

I. L’obligation faite aux opérateurs de communications électroniques

L’obligation déjà à la charge des opérateurs de communications électroniques et des prestataires de services en matière de déchiffrement de données ou de transmission d’information et de documents pour préparer des interceptions de sécurité est adaptée par le projet de loi relatif au renseignement.

Les opérateurs et les prestataires de services devront être en mesure de respecter les dispositions relatives au secret de la défense nationale.

Les pouvoirs d’investigation de la CNCTR sont renforcés. Les membres et les agents de la CNCTR pourront pénétrer aux fins de contrôle, dans les locaux des opérateurs et des prestataires de service (2).

II. La protection de l’identité des agents

La protection de l’anonymat des agents des services spécialisés de renseignement est renforcée par le projet de loi relatif au renseignement.

Certains actes réglementaires et individuels concernant l’organisation, la gestion et le fonctionnement de ces services sont opposables, bien que non publiés, après enregistrement dans un recueil spécial tenu par le Premier ministre.

En effet le projet d’article L.861-4 du code de la sécurité intérieure prévoit :

  • une publication aménagée des actes individuels des agents devant faire l’objet d’une publication, à un recueil spécial tenu par le SGDSN, Secrétariat général de la défense et de la sécurité nationale ;
  • une signature par numéro d’identification de leur auteur attribué avec la délégation de signature, se substituant aux mentions des noms, prénoms et qualité.

III. L’exercice d’un droit de communication au profit de Tracfin

La modification de l’article L.561-26 du code monétaire et financier. Tracfin est un service de renseignement rattaché aux ministères financiers. Il lutte contre les circuits financiers clandestins, le blanchiment d’argent et le financement du terrorisme. Ces services est chargé de recueillir, analyser et enrichir les déclarations de soupçons que les professionnels sont tenus par la loi de lui déclarer.

Afin de remplir sa mission de lutte contre le blanchiment et le financement du terrorisme, Tracfin dispose de pouvoirs encadrés par la loi et bénéficie d’un droit de communication(3).

L’article L.561-26 du Code monétaire et financier est modifié par le projet de loi pour permettre à Tracfin de recueillir auprès des entreprises de transport ou des opérateurs de voyage et de séjour des données identifiant leurs clients ou concernant les prestations (date, heure, lieu de départ et d’arrivée, bagages et marchandises transportées) qu’ils ont fournies (4).

IV. Etendue de l’excuse pénale pour les actions des agents de l’Etat

L’excuse pénale créée par la loi de programmation militaire du 18 septembre 2013 pour les actions des agents de l’Etat répondant à une attaque informatique est étendue aux agents de services de renseignement lorsqu’ils :

  • portent atteinte par des actions intrusives depuis le territoire national à des systèmes d’information situés à l’étranger ;
  • pour des motifs d’intérêts public limité.

V. Le renseignement en milieu pénitentiaire

La création de deux articles dans le code de procédure pénale. La surveillance des détenus est précisée par le projet de loi, s’agissant du contrôle des communications téléphoniques et s’agissant du contrôle des équipements informatiques.

Deux projets d’articles sont crées dans le code de procédure pénale :

  • l’article 727-2 permettant à l’administration pénitentiaire de disposer des prérogatives nécessaires à la détection, au brouillage, et à l’interruption des correspondances illicites émises ou reçues par voie des communications électroniques ou radioélectriques par une personne détenue (communication téléphoniques, échanges de messages écrits, communications par talkie-walkie) ;
  • l’article 727-3 prévoit le cadre dans lequel les ordinateurs des personnes détenues peuvent être contrôlés, y compris en temps réel, pour détecter une éventuelle connexion illicite.

L’avis de la Cnil. Dans son avis du 5 mars 2015, la Cnil estime que la mise en œuvre de mesures de surveillance des matériels introduits de manière frauduleuse dans les établissements pénitentiaires ne soulève pas de difficultés.

Didier Gazagne
Audrey Jouhanet
Lexing Droit Intelligence économique

(1) Voir « Projet de loi sur le renseignement : vers un cadre légal unifié », post du 14-3-2015.
(2) Projet d’article L.871-4 du Code de la sécurité intérieure.
(3) Article L.561-26 du Code monétaire et financier.
(4) Article 9 du projet de loi relative au renseignement.




Les techniques de recueil du renseignement

Les techniques de recueil du renseignementAucune technique de recueil du renseignement concernant la collecte de données rendues publiques sur internet ou les réseaux sociaux n’est présente dans le projet de loi relatif au renseignement (1).

I. Accès administratif aux données de connexion

Les projets d’articles L.851-1 à L.851-9 du Code de la sécurité intérieure. L’accès administratif aux données de connexion sont actuellement régis par les articles L.246-1 à L.246-5 du code de la sécurité intérieure.

Le projet de loi relatif au renseignement va harmoniser le régime d’autorisation de l’accès administratif aux données de connexion.

Le projet d’article L.851-1 du Code de la sécurité intérieure définira le champ d’application de la mesure : finalité, définition des données, source de données.

Le projet d’article L.851-2 du Code de la sécurité intérieure précisera la procédure d’autorisation.

Un nouveau mode d’exploitation des données de connexion et de réseau est introduit dans le projet de loi relatif au renseignement pour les besoins de prévention du terrorisme.

Est autorisée la collecte, en temps réel, sur les réseaux des opérateurs, de la totalité des données, informations et documents relatifs aux communications de personnes préalablement identifiées comme des menaces (2).

Afin d’identifier l’existence de menaces, les services de renseignement doivent pouvoir recueillir, traiter et analyser un nombre important d’élément techniques anonymes pour détecter les signaux de faible intensité traduisant une menace à l’encontre de la France.

Cette détection anonymisée de certains comportements de communication est prévue dans le projet de loi relatif au renseignement. La levée de l’anonymat pesant sur les données collectées, justifiée par la révélation d’une menace, sera effectuée par la procédure de droit commun d’autorisation par le Premier ministre après avis de la CNCRT.

La localisation en temps réel d’une personne, d’un véhicule ou d’un objet est encadrée par le projet de loi relatif au renseignement.

Les services spécialisés de renseignement auront la possibilité en vue des atteintes aux intérêts publics de recourir à la technique du « balisage » actuellement réservée à la police judiciaire.

Deux modalités de géolocalisation sont possibles (3) :

  • le suivi d’un terminal de télécommunication, actuellement autorisé par le Code de la sécurité intérieure ;
  • l’utilisation d’une balise GSM ou GPS placée sur un objet ou un véhicule ou à l’intérieure de celui-ci.

Les possibilités de géolocalisation simultanée ou géolocalisation en temps réelle consiste à surveiller en simultané les déplacements d’une personne ou d’un objet sur l’ensemble du territoire, soit de reconstituer a posteriori son itinéraire grâce aux données de connexion et à l’usage du téléphone connecté à un réseau GSM.

Le balisage d’un véhicule ou de tout autre objet par les services spécialisés de renseignement est autorisé par le projet de loi relatif au renseignement.

Cette technique de recueil de données est soumise au régime de droit commun d’autorisation, sur demande du ministre compétent au Premier ministre après avis de la CNCRT.

Des dispositions spéciales sont présentées dans le projet de loi en cas d’urgence liées à une menace imminente ou d’un risque très élevé de ne pouvoir effectuer l’opération ultérieurement. Dans ce cas précis, l’installation et l’exploitation de la technique de géolocalisation est effectuée sans autorisation préalable (4).

Un dispositif technique de proximité est également introduit dans le projet de loi relatif au renseignement.

Ce dispositif est une technique complémentaire des surveillances physiques. Un capteur permet de recueillir les données techniques de connexion strictement nécessaire à l’identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur ou des données de géolocalisation d’un équipement terminal.

En pratique ce dispositif qui consiste à placer une fausse antenne relais à proximité de la personne dont on souhaite intercepter les échanges électroniques, afin de capter les données transmises entre le périphérique électronique et la véritable antenne relais

L’utilisation de ce dispositif est encadrée par plusieurs garanties (5) :

  • inscription du dispositif dans un registre spécial, qui est tenu à la disposition de la CNCRT ;
  • mise en œuvre par un agent individuellement désigné et habilité ;
  • autorisation du Premier ministre, prise après avis de la CNCRT ;
  • autorisation qui peut être portée sur un lieu ou une période déterminée, dans la limite de 6 mois après autorisation motivée et avis de la CNCRT.

Dans un contexte de prévention d’un acte de terrorisme, l’autorisation est donnée aux d’intercepter directement des correspondances émises et reçues par un équipement terminal, pour des lieux et période déterminé dans la limite de 72 H.

L’avis du Conseil d’état. Dans son avis du 12 mars 2015, le Conseil d’Etat n’a pas commenté cette technique de recueil de données.

L’avis de la Cnil. La Cnil prend acte que le projet de loi relatif au renseignement ne modifie pas la formulation des dispositions du Code de la sécurité intérieure, elle en déduit alors que les informations concernées par l’accès aux données de connexion, ne pourront porter sur le contenu des correspondances électroniques.

Elle émet une réserve quant à l’augmentation de la durée de conservation des données portée à cinq ans compte tenu de la sensibilité des données.

Concernant la géolocalisation, elle estime que cette mesure doit réellement être encadrée dans la mesure où elle touche les libertés individuelles.

Elle indique que le périmètre exact des données concernées par l’accès administratifs aux données de connexions n’est pas clair.

Selon elle, les garanties prévues pour préserver les droits et libertés ne sont pas suffisamment garanties face au caractère intrusif de cette technique et son utilisation à l’insu des opérateurs sur leurs propres systèmes.

La Cnil rappelle que le traitement automatisé de détection des signaux faibles doivent faire l’objet de formalités préalables conformément aux dispositions de la loi du 6 janvier 1978.

Le décret en Conseil d’Etat pris après avis de la CNCRT devra prévoir les conditions de transmission adéquate des données une fois l’anonymat levé entre les operateurs et le service de renseignement demandeur.

Concernant les dispositifs technique de proximité (« IMSI catcher »), la Cnil précise que ce dispositif permettant de recueillir des données de connexion, il devrait figurer au sein de la liste des techniques de recueil du renseignement.

La Cnil fait remarquer que les techniques de sondes, dispositif de détection de « signaux faibles » et dispositif mobile de proximité permettent de collecter de manière indifférenciée, un volume important de données qui peuvent être relatives à des personnes étrangères à la mission de renseignement.

Elle estime alors que des conditions de mises en œuvre plus précises, limitant l’atteinte à des droits fondamentaux et des modalités de contrôle doivent être très encadrées.

La Cnil se réserve sur l’application d’un seul régime commun d’autorisation et de la seule information du Premier ministre et de la CNCTR s’agissant des dispositifs mobiles de proximité.

II. Les interceptions de sécurité

Le projet d’article L.852-1 du Code de la sécurité intérieure. Les interceptions de sécurité sont actuellement régies par les articles L.241-1 à L.245-3 du code de la sécurité intérieure.

Le projet de loi relatif au renseignement va inscrire ces interceptions de sécurité dans le cadre légal du régime général applicable à l’ensemble des techniques de recueil de l’information mise en œuvre par les services spécialisés de renseignement.

Deux garanties supplémentaires ont été ajoutées au régime de ces interceptions :

  • les interceptions seront soumis à l’avis préalable de la CNCRT ;
  • la durée de conservation des données recueillies est diminuée passant de un an à un mois à compter de l’enregistrement des correspondances.

Le projet d’articles L.852-1 du Code de la sécurité intérieure élargit la portée des écoutes. Dans la mesure où il permet que les écoutes puissent porter sur les correspondances échangées par des personnes appartenant à l’entourage de la personne visée, lorsqu’elle sont susceptible de jouer un rôle d’intermédiaire, volontaire ou non pour son compte, ou de fournir des informations au titre de la finalité faisant l’objet de l’autorisation.

L’avis du Conseil d’état. Dans son avis du 12 mars 2015, le Conseil d’Etat n’a pas commenté cette technique de recueil de données.

L’avis de la Cnil. Dans son avis du 5 mars 2015, la Cnil estime que le projet de loi relatif au renseignement modifie le cadre juridique applicable aux interceptions de sécurité déjà existantes.

Elle fait remarquer que le caractère exceptionnel présent à l’article L.241-2 du Code de la sécurité n’est plus mentionné dans le projet d’article L.852-1 du même code. Elle n’apporte pas plus d’observations les modalités de contrôle de ces techniques ayant été renforcées.

En revanche la Commission, souligne le caractère intrusif des écoutes qui peuvent être portées sur les personnes appartenant à l’entourage de la personne visée. Elle considère que des garanties doivent être apportées par le projet de loi relatif au renseignement.

La Cnil ajoute également le projet d’article L.852-1 du Code de la sécurité intérieure précise que l’autorisation de mise en œuvre d’une interception de sécurité vaut autorisation automatique du recueil des données de connexion. Elle estime que ce caractère automatique d’interception des données de contenu et des données de connexion ne peut être maintenu par le projet de loi. Une appréciation au cas par cas des interceptions de sécurité devrait être envisagée.

III. La captation des données.

Les projets d’articles L.853-1 et L.853-2 du Code de la sécurité intérieure. Les dispositifs techniques de captation de données réservées actuellement à la police judiciaire seront étendus aux services de renseignement (6) :

  • la captation, la fixation, la transmission et l’enregistrement de parole prononcées à titre privé ou confidentiel (sonorisation de lieux privés par micros) ;
  • la captation, la fixation, la transmission et l’enregistrement d’images dans les lieux privés ;
  • la captation, la transmission et l’enregistrement de données informatiques transitant par un système automatisé de données ou contenues dans un tel système.

Ces dispositifs techniques de captation de données ne sont pas actuellement prévus et encadré par un aucun texte.

Le projet de loi compte tenu de l’ingérence important porté à la vie privée par ces mesures a précisé que l’autorisation d’utilisation devrait être délivrée pour une durée de deux mois renouvelable (7).

Lorsque la mise en œuvre de ces techniques doit s’accompagner de l’introduction dans un véhicule ou dans un lieu privé, ou dans un système de traitement automatisé de données, des garanties supplémentaires sont ajoutées (8) :

  • la demande devra expressément justifier cette nécessité et préciser tous éléments permettant d’encadrer strictement cette pénétration ;
  • les opérations matérielles nécessaires à la mise en place, l’utilisation ou au retrait de ces dispositifs techniques ne pourront être effectuées que par des agents spécialement habilités aux seules fins de mise en place, l’utilisation ou le retrait du dispositif technique ;
  • l’avis de la CNCTR ne peut être rendu que de manière expresse ;
  • l’autorisation n’est délivrée que pour une durée maximale de 30 jours renouvelable ;
  • même en cas d’urgence, l’autorisation ne peut être donnée qu’après avis de la CNCTR, sauf lorsque l’autorisation ne concerne pas un lieu privé à usage d’habitation ;
  • lorsque l’autorisation est donnée en connaissance d’un avis défavorable de la CNCTR, deux de ses membres seulement peuvent saisir le Conseil d’Etat.

L’avis du Conseil d’Etat. Dans son avis du 12 mars 2015, le Conseil d’Etat a estimé le principe de proportionnalité et de subsidiarité devait s’appliquer au techniques de captation des données étant des mesures intrusives.

Il a limité à six mois la possibilité d’utiliser ses dispositifs sur la base d’une autorisation portant sur un service, des lieux et périodes déterminées et à 72 heures la validité de l’autorisation.

L’avis de la Cnil. Dans son avis du 5 mars 2015, la Cnil n’est pas opposée à ce que les services spécialisés de renseignement utilisent les techniques dont bénéficient-les services de polices judiciaires, sous réserves de garanties appropriées.

Cependant elle relève que la nature exacte des données informatiques qui peuvent faire l’objet de captation ne sont pas précisés.

Elle relève également que le projet de loi relatif au renseignement n’a pas prévu de mesures particulières s’agissant de la captation de données envers des personnes ayant un statut spécifique (avocats, journalistes, médecins, parlementaires, etc.).

IV. Les mesures de surveillance internationale

Le projet d’article L.854-1 du Code de la sécurité intérieure. Le projet de loi relatif au renseignement permet d’encadrer les interceptions de communications électroniques émises ou reçues à l’étranger.

Les mesures de surveillance et de contrôle mises en œuvre ne peuvent être effectuées que pour les finalités prévues dans le projet d’article L811-4 du Code de la sécurité intérieure.

Des communications rattachées au territoire national peuvent être concernées par la mesure de surveillance internationale, si les personnes surveillées entrent en communication avec des personnes utilisant des identifiants français (9).

Dans ce cas précis, le régime applicable est celui des interception de sécurité prévu au projet d’article L.822-2 du Code la sécurité intérieure. La seule différence réside dans la détermination du point de départ du délai de conservation des correspondances qui court à compter de la date de leur première exploitation dans la mesure où me contenu de ces correspondances sera vraisemblablement en langue étrangère.

Les conditions d’application de ces mesures seront précisées par décret en Conseil d’Etat, précisant ainsi les règles de conservation et de destruction des données collectées et des modalités de délivrance de l’autorisation d’exploitation des correspondances interceptées.

La CNCTR veillera à ce que la mise en œuvre de ces mesures par les services de renseignement soit conforme aux décisions du Premier ministre. Elle fera au moins chaque semestre un rapport de son contrôle au Premier ministre qui sera tenu de répondre aux recommandations et observations de la Commission.

L’avis du Conseil d’Etat. Dans son avis du 12 mars 2015, le Conseil d’Etat indique que ces dispositions remplissent les exigences de prévisibilité de la loi découlant de l’article 8 de la Convention européenne de sauvegardes des droits de l’homme et des libertés fondamentales, les garanties étant suffisantes et proportionnées au but poursuivi.

Il prend acte que les conversations qui renvoient à des numéros d’abonnement ou à des identifiants rattachables au territoire national ou des personnes surveillées seront conservées et détruites dans les conditions du droit commun et sous le contrôle de la CNCTR.

Il note que de sa propre initiative ou sur réclamation de toute personne y ayant un intérêt personnel et direct, la CNCTR s’assurera du respect des règles et garanties prévues pour ces mesures.

Le Conseil admet que face aux impératifs de défense et de sécurité nationale il est possible d’instaurer un régime d’exonération des actions offensives contre certains systèmes de traitement automatisés de données.

L’avis de la Cnil. Dans son avis du 5 mars 2015, la Cnil observe qu’aucune précision n’est donnée sur les techniques utilisées dans le projet de loi relatif au renseignement.

Elle relève également qu’une procédure distincte de celle de la procédure unique à l’article L.821-1 et suivant du Code de la sécurité intérieure. Les mesures sont mises en œuvre sur seule autorisation de Premier ministre, sans avis de la CNCTR dont le contrôle a posteriori est limité à la simple formulation de recommandations et d’observations.

La Cnil considère alors que les décrets du Conseil d’Etat indiqué dans le projet d’article L.854-1 du Code de la sécurité intérieure devront apporter des précisions quant aux techniques utilisées et au contrôle de ces dispositifs.

Didier Gazagne
Audrey Jouhanet
Lexing Droit Intelligence économique

(1) Voir « Projet de loi sur le renseignement : vers un cadre légal unifié », post du 14-3-2015.
(2) Projet d’article L.851-3 du Code de la sécurité intérieure.
(3) Projet d’article L.851-6 du Code de la sécurité intérieure.
(4) Projet d’article L.851-6 du Code de la sécurité intérieure.
(5) Projet d’article L.851-7 du Code de la sécurité intérieure.
(6) Projet d’article L.853-1 du Code de la sécurité intérieure.
(7) Projet d’article L.853-1 du Code de la sécurité intérieure.
(8) Projet d’article L.853-2 du Code de la sécurité intérieure.
(9) Projet d’article L.854-1 du Code de la sécurité intérieure.




Renseignement : un droit de recours reconnu devant le Conseil d’Etat

Renseignement : un droit de recours reconnu devant le Conseil d’EtatLe projet de loi relatif au renseignement, examiné en procédure accélérée à l’Assemblée nationale en séance publique à partir du 13 avril 2015 (1), prévoit l’instauration d’un droit de recours devant le Conseil d’Etat.

La compétence est donnée au Conseil d’Etat pour exercer un contrôle juridictionnel renforcé sur la mise en œuvre des techniques de renseignement. Le Conseil d’Etat peut être saisi par :

  • toute personne justifiant d’un intérêt direct et personnel d’une requête relative à la mise en œuvre des techniques de renseignement ;
  • la CNCRT, lorsque ses avis ou ses recommandations n’ont pas été suivis d’effet ;
  • à titre préjudiciel, dans les cas où la solution d’un litige devant une autre juridiction dépendrait de la régularité de la mise en œuvre d’une technique.

Le projet de loi vise à confier à une juridiction administrative spécialisé, l’ensemble du contentieux de la régularité des techniques de renseignement.

Le Code de la justice administrative est modifié par l’article 4 due projet de loi pour fixer les règles applicables au contentieux de la mise en œuvre des techniques de renseignement, relevant de la compétence de premier et de dernier ressort du Conseil d’Etat.

Pour concilier le recours effectif et le secret de la défense nationale, les aménagements du code de la justice administrative portent sur :

  • le principe de contradictoire : la formation de jugement peut se fonder sur tous éléments relatifs à la mise en œuvre des techniques alléguées sans les verser au contradictoire (2) ;
  • la publicité des audiences : le huit clos peut être ordonné par le président de la formation (3) ;
  • la motivation de la décision (4).

En conséquence, les pouvoirs d’instruction du Conseil d’Etat sont renforcés :

  • les membres de la formation de jugement et le rapporteur public sont habilités au secret de la défense nationale et peuvent avoir accès à l’ensemble des pièces détenus par la CNCRT et les services de renseignement (5) ;
  • les membres de la formation de jugement sont autorisés à relever tout moyen d’office (6) ;
  • les membres de la formation de jugement peuvent entendre, à tout moment de la procédure lors d’audience séparées, le plaignant et les représentants du premier ministre ou des services de renseignement ayant mis en œuvre la technique incriminée (7) ;
  • la CNCTR reçoit communication de toutes les pièces produites par les parties et peut présenter des observations (8).

Le Conseil d’Etat peut annuler une autorisation jugée irrégulière, ordonner la destruction des renseignements recueillis et indemniser le requérant.

Il est précisé dans l’étude d’impact de la loi que les pouvoirs de la formation de jugement sont ceux d’une juridiction de plein contentieux de droit commun.

Lorsque cette formation de jugement constate qu’une technique de renseignement est ou a été mise en œuvre ou exploitée en méconnaissance du Code de la sécurité intérieure, elle peut annuler l’autorisation et ordonner la destruction des renseignements irrégulièrement collectés. Elle peut également lorsque cette formation est saisie de conclusion le demandant, condamner l’Etat à indemniser le plaignant du préjudice qu’il a subi.

L’avis de Conseil d’Etat. Dans son avis du 12 mars 2015, le Conseil d’Etat précise que le fait que la mise en œuvre des techniques de recueil de renseignement relève de la police administrative, cela permettra à la juridiction d’exercer un contrôle complet sur la procédure suivie et d’accéder à l’ensemble des pièces nécessaires, ses membres étant habilités au secret de la défense nationale.

Le Conseil d’Etat estime possible d’adapter les exigences de publicité de l’audience et du caractère contradictoire de la procédure aux exigences du secret de la défense nationale.

Le Conseil d’Etat estime également que pour renforcer l’effectivité du recours, il serait nécessaire qu’un recours juridictionnel soit précédé d’une réclamation obligatoire devant la CNCRT.

L’avis de la Cnil. Dans son avis du 5 mars 2015, la Cnil précise qu’il serait nécessaire que les dispositions relatives au rôle de la nouvelle juridiction soient clarifiées.

Didier Gazagne
Audrey Jouhanet
Lexing Droit Intelligence économique

(1) Voir « Projet de loi sur le renseignement : vers un cadre légal unifié », post du 14-3-2015.
(2) Projet d’article L.773-3 du Code de la justice administrative.
(3) Projet d’article L.773-4 du Code de la justice administrative.
(4) Projet d’article L.773-6 du Code de la justice administrative.
(5) Projet d’article L.773-2 du Code de la justice administrative.
(6) Projet d’article L.773-3 du Code de la justice administrative.
(7) Projet d’article L.773-5 du Code de la justice administrative.
(8) Projet d’article L.773-4 du Code de la justice administrative.




Renseignement : création d’une commission de contrôle

Renseignement : création d'une commission de contrôleLe projet de loi relatif au renseignement, examiné en procédure accélérée à l’Assemblée nationale en séance publique à partir du 13 avril 2015 (1), prévoit la création de la Commission nationale de contrôle des techniques de renseignement, qui succédera à la CNCIS.

Composition de la Commission. La Commission national de contrôle des techniques de renseignement, CNCTR, est l’organe principal du contrôle administratif externe sur la mise en œuvre des techniques de renseignement.

Cette Autorité administrative indépendante sera composée de neuf membres :

  • membres du Conseil d’Etat ;
  • magistrats de la Cour de cassation ;
  • une personnalité qualifiée pour ses connaissances en matière de communications électroniques ; et
  • parlementaires (2).

La CNCTR succèdera à la Commission nationale de contrôle des interceptions de sécurité (CNCIS).

Règles de déontologie et de fonctionnement de la Commission. Les règles de déontologie et d’incompatibilité applicables aux membres de la CNCRT sont précisées dans le projet de loi.

L’indépendance de la CNCRT est garantie par :

  • un mandat de 6 ans non renouvelable, une nomination de ses membres par décret et leur inamovibilité (3) ;
  • une règle, où dans l’exercice de leur mission, les membres de la CNCRT ne reçoivent d’instruction d’aucune autorité (4) ;
  • incompatibilité avec tout intérêt direct ou indirect avec les opérateurs de communication électroniques.

Les règles de fonctionnement de la CNCRT sont également prévues par le projet de loi et notamment les conditions de validité des délibérations et l’habilitation des membres à connaître des éléments couvents par le secret de la défense nationale (5).

Missions de la Commission. La CNCRT a pour mission de contrôler la régularité de la mise en œuvre sur le territoire national des techniques de recueil de renseignement (6).

Outre l’avis qu’elle devra formuler avant toute autorisation de mettre en œuvre une technique de renseignement, elle pourra demander que lui en soit communiquées toutes les informations utiles (relevés, enregistrements et transcriptions de produits) pendant la mise en œuvre de la technique, ou une fois le recours à cette technique terminé (7).

Lorsqu’elle est saisie d’un simple soupçon de mise en œuvre d’une mesure de surveillance, elle procède au contrôle de la technique invoquée (8).

Les règles de quorum sont précisées dans le projet d’article L.832-3 du Code de la sécurité intérieure.

Elle peut inviter le Premier ministre à ordonner l’interruption de la mesure concernée et la destruction des données collectées ou prendre des mesures correctrices nécessaires (9).

La Commission peut à la majorité absolue de ses membres, saisir le Conseil d’Etat lorsque ses avis ou recommandations au Premier ministre ne sont pas suivies d’effet.

La CNCRT participe par ses rapports et recommandations à l’information du public et des assemblées parlementaires (10).

L’avis du Conseil d’Etat. Dans son avis du 12 mars 2015, le Conseil d’Etat juge préférable de réduire le nombre de membres qui composeront la CNCRT à 5 personnalités indépendantes et disponibles et une présidence à plein temps ainsi que des personnes possédant des qualifications en matière de réseaux de communications et de protections des données personnelles.

L’avis de la Cnil. Dans son avis du 5 mars 2015, la Cnil relève que la CNCRT, nouvelle autorité administrative indépendante, est dotée de pouvoirs de contrôle plus effectif.

Didier Gazagne
Audrey Jouhanet
Lexing Droit Intelligence économique

(1) Voir « Projet de loi sur le renseignement : vers un cadre légal unifié », post du 14-3-2015.
(2) Projet d’article L.831-1 du Code de la sécurité intérieure.
(3) Projet d’article L.831-2 du Code de la sécurité intérieure.
(4) Projet d’article L.832-1 du Code de la sécurité intérieure.
(5) Projet d’article L.832-5 du Code de la sécurité intérieure.
(6) Projet d’article L.833-1 du Code de la sécurité intérieure.
(7) Projet d’article L.833-2 du Code de la sécurité intérieure.
(8) Projet d’article L.833-3 du Code de la sécurité intérieure.
(9) Projet d’article L.833-4 du Code de la sécurité intérieure.
(10) Projet d’article L.833-4 du Code de la sécurité intérieure.




Procédure d’autorisation des techniques de recueil de renseignement

Le projet de loi relatif au renseignement, examiné en procédure accélérée à l’Assemblée nationale en séance publique à partir du 13 avril 2015 (1), prévoit une procédure d’autorisation des techniques de recueil de renseignement.

L’autorisation de mise en œuvre. Le projet d’article L.821-1 du Code de la sécurité intérieure crée une procédure unique pour l’ensemble des techniques de recueil du renseignement utilisées par les services spécialisés :

  • l’accès aux données de connexion ;
  • les interceptions de sécurité ;
  • les captations, fixation, transmission et enregistrement de parole prononcées à titre privé ou confidentiel ou d’image de personne se trouvant dans un lieu privé ;
  • les captations, transmission et enregistrement de données informatique.

Seules les mesures de surveillance internationale prévues dans le projet d’article L.854-1 du Code de la sécurité intérieure sont soumises à une procédure spécifique.

La procédure applicable à l’ensemble des techniques repose sur :

  • un formalisme strict de la demande d’autorisation formulée par les services (finalité recherchée, technique envisagée, personne, lieu ou véhicule ciblé) (2) ;
  • un avis préalable de la CNCTR, communiqué au Premier ministre (3);
    une autorisation de mise en œuvre par le Premier ministre (4).

Une procédure d’urgence absolue est prévue dans le projet d’article L.821-5 du Code de la sécurité intérieure. Le Premier ministre peut alors autoriser la technique à mettre en œuvre sans autorisation préalable de la CNCTR. La commission devra néanmoins en être immédiatement informée, et pourra recommander son interruption. Cette procédure n’a vocation à être utilisée qu’à titre exceptionnel et devra être expressément motivée.

Le projet d’article L821-6 du Code de la sécurité intérieure prévoit dans tous les cas, que la CNCTR peut émettre une recommandation motivée visant à interrompre et à détruire les données collectées, lorsqu’elle estime qu’une autorisation a été accordée en méconnaissance des dispositions présentées ci-dessus.

Renseignements collectés. Un régime de conservation des informations plus aboutit est crée par le projet de loi relatif au renseignement.

Une traçabilité de la mise en œuvre des mesures (date de début et fin de la mise en œuvre, nature des données recueillies) organisé le Premier ministre définit les modalités de centralisation des renseignements collectés (5). Ces relevés des opérations sont conservés par les services du Premier ministre et de la CNCRT.

Le projet d’article L.822-2 du Code de la sécurité intérieure, précise la durée de conservation des données recueillies en fonction de leur nature et en conciliant protection de la vie privée et usage opérationnel par les services spécialisés.

Les données recueillies doivent être détruites au terme d’une durée maximale de 12 mois à compter de leur recueil. Cette durée maximale est toutefois réduite à un mois, s’il s’agit d’interceptions de sécurité, ou portée à cinq ans, s’il s’agit de données de connexion.

Lorsque les renseignements recueillis sont chiffrés, la durée peut être prolongée pour les besoins de l’analyse technique du chiffrement.

Une durée peut également être prolongée s’agissant de données contenant des éléments de cyberattaque pour des besoins d’analyse technique (indentification et traitement de virus).

Le projet de loi relatif au renseignement indique que les données recueillies ne peuvent être extraites ou exploitées pour d’autres fins que les finalités des techniques de renseignement. Les extraits ou exploitations doivent être détruits lorsqu’ils ne sont plus indispensables à la réalisation de ces fins .

Toutes les destructions des données collectées font l’objet de relevés accessibles à la CNCTR .

L’avis du Conseil d’Etat. Dans son avis du 12 mars 2015, le Conseil d’Etat a relevé que l’avis de la CNCTR ne pourra être dérogé à son caractère préalable qu’en cas d’urgence.

Il a admis que la localisation en temps réel d’une personne, d’un véhicule ou d’un objet et le dispositif de proximité puissent être mises en œuvre sans autorisation préalable en cas d’urgence, sous réserve de régularisation dans les 48 heures.

Le Conseil a estimé nécessaire que soit confié au Premier ministre la centralisation des données collectées permettant un contrôle effectif du respect du cadre légal.

Concernant la durée de conservation des données collectées, il a souhaite qu’elle soit proportionnée à leur nature. Il a donc estimé possible que la durée de conservation des correspondances interceptées soit porté de 10 à 30 jours en cas de prévention du terrorisme. Il a jugé nécessaire que le délai court à compter du recueil des correspondances.

L’avis de la Cnil. Dans son avis du 5 mars 2015 sur le projet de loi relatif au renseignement, la Cnil ne relève pas de difficulté particulière quant au régime unique d’autorisation administrative.

Didier Gazagne
Audrey Jouhanet
Lexing Droit Intelligence économique

(1) Voir  « Projet de loi sur le renseignement : vers un cadre légal unifié », post du 14-3-2015.
(2) Projet d’article L.821-2 du Code de la sécurité intérieure.
(3) Projet d’article L.821-3 du Code de la sécurité intérieure.
(4) Projet d’article L.821-4 du Code de la sécurité intérieure.
(5) Projet d’article L.822-1 du Code de la sécurité intérieure.




Consécration d’une politique publique du renseignement

Consécration d’une politique publique du renseignementLe projet de loi relatif au renseignement, examiné en procédure accélérée à l’Assemblée nationale en séance publique à partir du 13 avril 2015 (1), consacre une politique publique du renseignement.

Missions des services spécialisés de renseignement. Les services concernés par le projet de loi sont les services spécialisés de renseignement définis par le Code de la défense (2).

Ils sont constitués de la Direction générale de la sécurité extérieure (DGSE), la direction de la protection et de la sécurité de la défense (DPSD), la direction du renseignement militaire (DRM), la Direction générale de la sécurité intérieure (DGSI), la Direction nationale du renseignement et des enquêtes douanières, Tracfin (Service de renseignement rattaché aux ministères financiers).

Les services spécialisés de renseignement ont pour mission en France et à l’étranger de rechercher, collecter, exploiter et de mettre à disposition du Gouvernement des renseignements relatifs aux enjeux géopolitiques et stratégiques ainsi qu’aux menaces et aux risques susceptibles d’affecter la vie de la Nation (3).

Finalités des techniques de renseignement. Afin de cadrer l’utilisation de l’ensemble des techniques de recueil de l’information par les services spécialisés de renseignement des finalités ont été précisées dans le projet de loi.

Les techniques de renseignement ne pourront être utilisées que pour des finalités limitativement énumérées à l’article L.241-2 du Code de la sécurité intérieure :

  • la sécurité nationale ;
  • les intérêts économiques et scientifiques essentiels de la France ;
  • la prévention du terrorisme ;
  • la prévention de la criminalité et de la délinquance organisées ;
  • la prévention de la reconstitution ou du maintien de groupements dissous (groupes de combat et milices privées) de l’article L.212-1 du Code de la sécurité intérieure ;

Deux finalités ont été ajoutées par le projet de loi :

  • les intérêts essentiels de la politique étrangère et l’exécution des engagements internationaux de la France ;
  • la prévention des violences collectives de nature à porter gravement atteinte à la paix publique.

Principe de proportionnalité. Les techniques portant le plus atteinte à la vie privée, secret des correspondances et à la violation du domicile ne seront employées qu’au regard des principes de proportionnalité et de subsidiarité. Elles doivent être adéquates et proportionnées au but poursuivi.

L’avis du Conseil d’état. Le Conseil d’état dans son avis du 12 mars 2015 prend acte du choix du gouvernement de définir une liste unique de finalités applicable sur le territoire national comme à l’étranger et a retenu les sept grandes catégories de finalités envisagées présentées ci-dessus.

L’avis de la Cnil. La Cnil précise dans son avis du 5 mars 2015, que de telles atteintes au droit au respect de la vie privé peuvent être justifiées au regard de la légitimité des objectifs poursuivis et des intérêts en cause.

La Cnil rappelle également le nécessaire respect du principe de proportionnalité dans l’atteinte au droit au respect de la vie privée.

Elle estime alors que la mention du droit à la protection des données personnelles, qui constitue une composante essentielle du respect de la vie privé, devrait être ajoutée à celles du secret des correspondances et de l’inviolabilité du domicile dans la rédaction de l’article L.811-1 du Code de la sécurité intérieure.

Didier Gazagne
Audrey Jouhanet
Lexing Droit Intelligence économique

(1) Voir  « Projet de loi sur le renseignement : vers un cadre légal unifié », post du 14-3-2015.
(2) Projet d’article L.811-4 du Code de la sécurité intérieure et article L.1122-1 du Code de la défense définit par le décret n°2014-474 du 12 mai 2014 pris pour l’application de l’article 6 nonies de l’ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires et portant désignation des services spécialisés de renseignement.
(3) Projet d’article L.811-2 du Code de la sécurité intérieure.




Projet de loi sur le renseignement : vers un cadre légal unifié

Projet de loi sur le renseignement : vers un cadre légal unifiéLe projet de loi relatif au renseignement, déposé au Parlement, a été présenté au Conseil des ministres du 19 mars 2015 et sera examiné en procédure accélérée à l’Assemblée nationale en séance publique à partir du 13 avril 2015.

Ce projet de loi définit pour la première fois un cadre légal unifié pour l’ensemble des activités de renseignement lesquels seront autorisées à recourir à des techniques d’accès à l’information.

Toutefois, malgré que ce projet de loi vise à donner pour la première fois en France un cadre légal unifié aux activités de renseignement, ce projet de loi dans sa rédaction actuelle prévoit que l’ensemble des techniques de renseignement sont mis en œuvre en l’absence total de contrôle de l’autorité judiciaire.

Ce projet n’est pas présenté comme un « Patriot Act » à la française au motif notamment que le premier article du projet de loi sur le renseignement garantit le respect de la vie privé.

Il ne viendrait à l’idée de personne de contester que la recherche du renseignement constitue un impératif majeur pour la sécurité de la France, de sa population et de son territoire. Toutefois, ce projet de loi exclu expressément tout recours direct auprès du Conseil d’Etat puisque tout recours devra être précédé d’une réclamation préalable devant la CNCTR. Les différents motifs légaux autorisant le recours aux différentes techniques de renseignement ainsi qu’à la mise en place de dispositions exceptionnelles pourrait bien ouvrir la voie à une surveillance massive et généralisée de la population et sans limites.

Dans un rapport d’information déposé en 2013 sur le cadre juridique applicable aux services de renseignement, les députés Jean-Jacques Urvoas et Patrice Verchère avaient recensé les lacunes de notre droit et démontré la nécessité urgente d’y remédier dans cette phrase: « Alors qu’il compte parmi les plus anciennes des nations démocratiques, notre pays est également le dernier à ne pas avoir établi un cadre normatif adapté ».

Ce projet qui consacre le renseignement en tant que politique publique, donne pour la première fois en France un cadre légal applicable aux techniques de recueil du renseignement. Le Livre blanc sur la défense et la sécurité nationale avait dès 2013, rappelé que la « fonction de connaissance et d’anticipation » était un élément fondamental de la stratégie de sécurité nationale et la « condition de décisions libres et souveraines ». D’autres pays n’ont pas attendus pour définir un cadre légal. L’instauration d’un cadre juridique pour les services de renseignement britanniques trouve ses origines dès 1989 avec le UK Security Service Act en réaction aux condamnations de la CEDH suivi par le Counter-Terrorism and Security Act de 2015.

Le contrôle des techniques de renseignement est confié à une autorité administrative indépendante ainsi qu’à une juridiction administrative spécialisée.

Le projet de loi comprend également d’autres dispositions relatives au renseignement concernant l’anonymat des agents de services spécialisés de renseignement, l’extension du droit de communication de Tracfin, les renseignements en milieu pénitentiaire.

Le décryptage de ce projet de loi est proposé selon six axes d’analyse, qui feront l’objet d’articles ultérieurs :

  • Consécration d’une politique publique du renseignement ;
  • Procédure d’autorisation des techniques de recueil de renseignement ;
  • Création de la Commission nationale de contrôle des techniques de renseignement (CNCTR) ;
  • Recours relatifs à la mise en œuvre des techniques de renseignement ;
  • Techniques de recueils du renseignement ;
  • Dispositions diverses du projet de loi.

Le décryptage des dispositions du projet de loi prend en compte les avis de la Cnil et du Conseil d’Etat.

Didier Gazagne
Audrey Jouhanet
Lexing Droit Intelligence économique