Plus de personnes surveillées au titre de la « crim’ org », des techniques plus intrusives et les enjeux autour du recueil de données informatiques : la CNCTR publie son 8e rapport annuel
Dans ce document de 208 pages, l’Autorité administrative indépendante dresse le bilan de l’année 2023 et partage ses perspectives et interrogations.
Pour la première fois, il y a eu plus de personnes surveillées en France au titre de la prévention de la délinquance et de la criminalité organisées (7 058) que pour toute autre finalité, celle de la prévention du terrorisme totalisant 6 962 cibles, relève la Commission nationale de contrôle des techniques de renseignement (CNCTR), qui vient de publier son huitième rapport annuel, à la fin juin 2024. « Cette forte augmentation peut s’expliquer à la fois par une maîtrise croissante des techniques par les services spécialisés et par leur effort accru, notamment en ce qui concerne la lutte contre le trafic de stupéfiants, devenue en quelques années un enjeu majeur en termes de sécurité publique », souligne l’Autorité présidée par le conseiller d’État honoraire Serge Lasvignes.
La prévention du terrorisme représente toutefois 37,6 % des demandes en 2023, contre 20 % pour les intérêts majeurs de la France et 17 % pour la prévention de la criminalité et de la délinquance organisées. Une personne surveillée dans une affaire de terrorisme mobilise en effet en moyenne davantage de techniques.
Concrètement, en 2023, la CNCTR a reçu près de 95 000 demandes, en hausse de 6 %, un chiffre moindre que celui de la hausse des personnes surveillées (+ 15 %).
Le nombre d’avis défavorables rendus par la Commission est en baisse de 20 %, soit désormais 1,2 % du total des demandes. « Ce résultat s’explique sans doute par les progrès dans la maîtrise du cadre légal, avec un important travail de formation mené par les services et une politique de consolidation et de diffusion de sa doctrine par la Commission », souligne la CNCTR.
Techniques plus intrusives
Le « recours toujours croissant aux techniques les plus intrusives », précise l’Autorité, est « plus significatif » que l’augmentation des demandes. Une référence à la pose de micros dans des lieux privés, le recueil de l’ensemble des données informatiques de la personne, ou encore le piégeage des téléphones et des ordinateurs. Dans le détail, ce sont d’abord l’accès aux données de connexion en temps différé, des interceptions de sécurité et des géolocalisations en temps réel qui sont demandés. L’accès aux données de connexion en temps réel, la captation de paroles et d’images dans des lieux privés, et le recueil et la captation de données informatiques restent dans des volumes moindres.
« Cette forme d’escalade paraît difficilement résistible, les personnes surveillées étant de plus en plus conscientes du risque d’une surveillance technique et aptes à s’en prémunir », note la CNCTR. « Il convient donc de l’encadrer strictement », ajoute-t-elle, rappelant que le produit de ces surveillances est « difficilement accessible à la Commission » et que sa maîtrise « est complexe ». « Le risque est alors celui d’un affaiblissement progressif du contrôle », avertit-elle à ce sujet.
Les multiples formes du recueil de données informatiques
La Commission signale également, à propos des données informatiques, qu’elle a décidé « d’assortir ses avis favorables de restrictions destinées à encadrer les capacités de collecte de données ». Il s’agit « de mieux assurer le respect du principe de proportionnalité et de protéger les libertés individuelles ». Contrairement à d’autres techniques de renseignement, « le recueil de données informatiques recouvre des modalités d’action diverses ». Il peut ainsi « se concrétiser par de multiples dispositifs techniques et aboutir à des collectes de données très variées tant par leur ampleur que par leur nature ou leur qualité », rappelle la CNCTR.
« À titre d’exemple, les moyens à mettre en œuvre pour recueillir des données sont nécessairement différents et présentent un caractère plus ou moins intrusif selon qu’elles sont contenues dans un support de stockage amovible appartenant à la personne ciblée ou au sein d’un réseau de machines compromises par un groupe de pirates informatiques étranger », signale ainsi la Commission. « Il en résulte un contrôle particulièrement difficile pour la CNCTR y compris pour comprendre la démarche du service et parfois apprécier le lien avec la finalité invoquée », résume-t-elle.
Au sujet du droit au recours des personnes craignant d’être surveillées, la CNCTR estime enfin que les dispositions actuelles sont perfectibles. Si la loi prévoit que la Commission puisse vérifier après saisie « qu’aucune technique de renseignement n’est irrégulièrement mise en œuvre à son égard », « la capacité de "vérification" de la Commission se heurte à l’interdiction qui lui est faite, selon une interprétation d’ailleurs contestable de la loi, d’accéder aux fichiers dits "de souveraineté" », remarque l’autorité administrative indépendante.
« La vérification est donc incomplète », conclut-elle. Remarquant qu’il existe une possibilité de recours contentieux au Conseil d’État, sans que le requérant ne puisse avoir accès au dossier, la CNCTR recommande de s’inspirer de la procédure britannique. Il s’agirait alors de permettre « au requérant de faire appel à un avocat qui serait choisi parmi un tout petit nombre d’avocats spécialement habilités ».
La soft law pour encadrer le marché de l’intrusion numérique
La CNCTR a également ouvert les colonnes de son rapport à Henri Verdier, ambassadeur pour le numérique, et Léonard Rolland, le sous-directeur de la cybersécurité à la Direction des affaires stratégiques, de sécurité et du désarmement au ministère de l’Europe et des affaires étrangères. Ces derniers ont planché sur un éclairage sur le sujet des intrusions numériques.
Si les outils de cyber-intrusion « peuvent être utilisés légitimement par les services de renseignement et les forces de sécurité intérieure dans le respect d’un cadre légal strict », il s’est « développé depuis quelques années un marché des capacités d’intrusion, porté par des entreprises privées vendant aux plus offrants », rappellent-ils. Autant de produits qui peuvent être utilisés à des fins de cybersécurité, de sécurité nationale, ou détournés, par exemple pour surveiller des journalistes ou des opposants politiques.
« De cette complexité découle la nécessité d’éviter toute approche simpliste, de type prohibition, pour s’intéresser à la notion d’usage responsable et aux mécanismes de contrôle associés », en concluent les auteurs, signalant l’existence du processus de Pall Mall, lancé par la France et le Royaume-Uni en février 2024. Rassemblant des États, des entreprises et des représentants de la société civile, ce processus doit être suivi par une nouvelle conférence organisée en France l’année prochaine.
« À terme, l’ambition de ce processus de type soft law est d’aboutir à un corpus de règles de bonne conduite », poursuivent-ils. « Nul doute que la question du contrôle sera un élément clé de cet effort de régulation internationale », remarquent Henri Verdier et Léonard Rolland. Et de rappeler que la France peut justement « valoriser son modèle ». Ce dernier « subordonne l’utilisation des capacités attentatoires à la vie privée à l’autorisation d’un magistrat pour les enquêtes judiciaires, et à l’obtention obligatoire et préalable de l’avis d’une autorité administrative indépendante pour les enquêtes administratives », résument-ils.
© Lefebvre Dalloz