C'est la question de la surveillance par algorithme qui motive la soumission du projet de loi au Parlement. La technique avait été autorisée en 2015 à titre expérimental pour une période de trois ans, ensuite prolongée de deux ans puis d'une année encore en 2020 en raison de la crise sanitaire. L'expérimentation va venir à péremption à la fin de cette année ; si le Gouvernement souhaite que l'utilisation de cette technique se poursuive, des dispositions législatives nouvelles sont donc nécessaires. Comme toutes les dispositions principales figurant dans le texte, celles-ci ont été discutées entre le Gouvernement et nous depuis assez longtemps : nous parlons de l'algorithme depuis un an. À dire vrai, le Parlement devait être saisi d'un projet de loi sur le renseignement au printemps 2020 et la CNCTR, elle-même saisie par le Premier ministre en mars 2020 des dispositions sur l'algorithme, avait fait connaître au Gouvernement ses premières réactions. Celles-ci ont amené le Gouvernement à faire évoluer son texte initial. Des échanges très nourris, pendant plusieurs mois, l'ont aussi conduit à modifier très sensiblement les dispositions initiales relatives aux échanges entre les services de renseignement français. De même, le Gouvernement a beaucoup revu sa copie au sujet de la conservation des données pour les besoins de la recherche et du développement pour tenir compte des observations faites par la CNCTR dès l'année dernière.
Faut-il pérenniser la technique de surveillance par algorithme ? Nous indiquons dans notre avis que nous sommes convaincus par l'argumentation présentée par le Gouvernement dans un rapport public et surtout dans un rapport classifié transmis à la délégation parlementaire au renseignement et à la CNCTR. En matière de terrorisme, il est bien sûr très important de continuer d'assurer la surveillance ciblée de certaines personnes qui suscitent l'inquiétude. Mais comme on l'a malheureusement constaté il y a peu, des attentats peuvent être perpétrés par des personnes qui ne s'étaient aucunement signalées. Aussi, même si l'on peut avoir des doutes sur l'efficacité du procédé, il est difficile de se priver d'un outil qui vise à détecter un risque de menace terroriste et qui fait l'objet d'un contrôle étroit.
D'autre part, l'expérimentation a permis d'affiner la technique. L'étude d'impact qui sera publiée après le Conseil des ministres montre un écart entre ce qui a été imaginé en 2015 en matière de surveillance par algorithme et ce qui a été mis en œuvre. Lorsque le texte a été présenté au Parlement, en 2015, nul ne savait comment le mécanisme fonctionnerait. Une modalité particulière d'exécution de ce projet expérimental, consistant à demander aux opérateurs de mettre en œuvre eux-mêmes les algorithmes, avait été exposée au législateur, mais le Gouvernement s'est vite rendu compte qu'un tel mécanisme ne pouvait fonctionner. Outre que les opérateurs ne voulaient pas mettre en œuvre ce dispositif pour des raisons que l'on comprend aisément, eussent-ils accepté que l'on aurait bâti un système curieux dans lequel quatre opérateurs auraient dû se coordonner, sans que l'on sache très bien comment, pour que le dispositif fonctionne. Il a donc fallu imaginer, dans le cadre légal prévu pour la mise en œuvre de cette technique, un dispositif différent – celui qui est décrit de façon détaillée dans le texte que vous examinerez.
C'est le groupement interministériel de contrôle (GIC), service placé sous l'autorité du Premier ministre, qui n'est pas un service de renseignement et avec lequel nous travaillons quotidiennement, qui récupère les données sur les réseaux des opérateurs, opère les traitements automatisés et s'assure que les données recueillies – de manière non ciblée, je le rappelle – ne sont pas accessibles aux services de renseignement, sauf si l'algorithme décèle une alerte. En ce cas, le service est informé qu'il y a eu une alerte et peut demander que la personne concernée soit identifiée et que des techniques de renseignement soient utilisées. Ces années d'expérimentation ont donc permis d'affiner le dispositif, et nous constatons que le contrôle étroit de la CNCTR sur la surveillance par algorithme fonctionne bien. Nous avons acquiescé au dispositif confiant au GIC la mise en œuvre des algorithmes, par une délibération classifiée de 2016, en posant des conditions très strictes à la mise en œuvre de ce dispositif. Le Gouvernement les a acceptées et en a informé, à notre demande, la délégation parlementaire au renseignement.
On voit donc le bénéfice de l'expérimentation, et le contrôle constructif, me semble-t-il, mené par une instance qui s'attache à prendre en compte à la fois la protection des libertés et les exigences opérationnelles. Compte tenu du cadre de contrôle prévu et de la réalité du terrorisme, nous considérons qu'il est justifié de poursuivre la surveillance par algorithme.
La disposition relative à l'accès aux adresses des sites internet, les URL, est nouvelle. Depuis 2015, les seules données recueillies et exploitées sont des données de facturation téléphonique. Le Gouvernement propose d'aller plus loin, en collectant les données « IP ». Dès 2015, nous avons estimé que les adresses URL ne pouvaient être considérées comme des données de connexion pures, puisqu'elles mêlent données de connexion et données de contenu. La CNIL a fait la même analyse. La partie réglementaire du code de la sécurité intérieure traduit la position de la CNCTR. Le projet de loi prévoit qu'un nouveau type de données peut être recueilli : les adresses URL effectivement utilisées pour accéder à un site internet.
Cette disposition est-elle proportionnée à la menace, et cela va-t-il fonctionner ? Nous avons estimé que le besoin d'y recourir était avéré, dans la mesure où Internet est très utilisé pour inciter à la radicalisation de personnes qui passeront ensuite à l'acte, ou pour préparer des opérations. Il nous a donc semblé que se priver de l'accès aux URL serait sans doute un handicap. Mais il faut s'assurer que cela fonctionne et que cela apporte quelque chose. Aussi avons-nous recommandé au Gouvernement que le dispositif de recueil des URL soit évalué au terme de trois ans et qu'à cette fin le Gouvernement dépose un rapport au Parlement, qui en débattra. Cette recommandation figure dans l'avis de la CNCTR comme dans celui du Conseil d'État mais à ce stade on ne trouve pas cette disposition dans le projet de loi ; il serait souhaitable qu'elle y soit inscrite.
Le contrôle de la CNCTR est logiquement appelé à s'élargir à mesure que les techniques de renseignement deviennent plus nombreuses ou que les compétences des services s'accroissent, mais nous connaissons notre rôle et nous n'essayons pas de nous emparer de compétences qui ne sont pas les nôtres.
La décision du Conseil d'État donnant suite à l'arrêt de la CJUE inquiète Mme Thillaye. C'est en statuant sur une directive européenne concernant les obligations des opérateurs de téléphonie que la Cour a interprété le droit européen. Elle s'est prononcée à cette occasion sur la notion de sécurité nationale et sur ce que les États membres de l'Union peuvent faire en cette matière. Au terme de son analyse, la Cour a fortement limité la capacité des États membres d'imposer aux opérateurs de communications électroniques de conserver des données de connexion de leurs clients. Or, en matière de renseignement, 60 % des 80 000 demandes qui nous ont été faites en 2020 visaient l'accès à des données de connexion ; si l'on ajoute à cela les géolocalisations en temps réel, on en arrive à un chiffre assez élevé. L'impact risquait donc d'être extrêmement fort.
Aussi le Gouvernement a-t-il proposé au Conseil d'État d'appliquer un raisonnement que ce dernier n'avait jamais mis en œuvre en jugeant que la CJUE avait statué au-delà de ses compétences dans le domaine de la sécurité nationale et que la décision de la Cour européenne ne pouvait dès lors être appliquée. Le Conseil d'État n'a pas voulu s'engager dans cette voie. Mais il a rappelé que si, aux termes de l'article 88-1 de la Constitution, le droit européen et les traités ont une force supérieure à la loi, la Constitution est au sommet de l'édifice de la hiérarchie des normes. Parmi les exigences constitutionnelles figurent la sauvegarde des intérêts fondamentaux de la Nation, la prévention des atteintes à l'ordre public, la lutte contre le terrorisme et la recherche des auteurs d'infractions pénales. Et le droit européen ne contient pas de dispositions assurant une protection équivalente à celles garanties par notre Constitution.
La décision du Conseil d'État emporte deux conséquences en droit interne. D'une part, le Conseil a estimé que l'obligation faite aux opérateurs de conserver des données pouvait être fondée sur les exigences de la sécurité nationale. Cela conduit à modifier certaines dispositions du code des postes et télécommunications électroniques, ce que proposera le projet de loi. D'autre part, le Conseil d'État a estimé que l'arrêt de la CJUE n'était pas en conflit avec une norme constitutionnelle en demandant le contrôle préalable des demandes d'utilisation de techniques de renseignement soit par une juridiction soit par une AAI ayant un pouvoir contraignant que la CNCTR n'a pas à ce jour. Le projet de loi propose donc un dispositif selon lequel si le Premier ministre décide de passer outre un avis défavorable de la CNCTR, celle-ci devra obligatoirement saisir le Conseil d'État, qui devra statuer au contentieux dans un délai de 24 heures sur la décision du Premier ministre. Dans le cas où le Premier ministre, invoquant l'urgence, aurait mis en œuvre sa décision sans attendre le délai de 24 heures, cette mise en œuvre serait interrompue si le Conseil d'État invalidait la décision.
Le raisonnement suivi par le Conseil d'État est issu d'une jurisprudence du Conseil constitutionnel des années 2000 et d'une autre décision de l'assemblée du contentieux du Conseil d'État. Il est audacieux, mais il permet de concilier la décision de la CJUE et nos exigences de sécurité.
Je comprends le point de vue de M. David Habib sur le rôle des AAI. Néanmoins, la pratique des AAI s'est développée dans notre droit et comme je l'ai dit à l'instant, le Conseil d'État a estimé qu'il n'y a pas d'obstacles constitutionnels à renforcer le pouvoir de la CNCTR. Effectivement, l'article 21 de la Constitution donne au Premier ministre le pouvoir de décider en matière de sécurité, et ce principe est maintenu.
Vous ne trouverez rien sur les échanges internationaux entre services de renseignement dans le projet de loi. Dans son rapport de 2018, la CNCTR a suggéré que le cadre légal soit modifié pour prévoir l'encadrement juridique des échanges entre nos services et leurs homologues étrangers. Nous pensons toujours que ce serait souhaitable. Un cadre juridique de ce type existe dans d'autres grands pays, l'Allemagne par exemple, ou encore le Royaume-Uni ; il n'entrave pas à ma connaissance les singulières performances britanniques en matière de renseignement.
Notre budget est modeste mais suffisant.
Monsieur Gassilloud, la crise sanitaire a été une alerte pour les services de renseignement. La baisse d'activité, importante, a davantage touché certains services que d'autres au printemps 2020 ; un rattrapage a eu lieu à partir de l'été et l'on n'a plus vu le même phénomène à l'automne lors du deuxième confinement : les services s'étaient adaptés. Nous-mêmes n'avons cessé d'aller au bureau, car il n'était pas question de télétravailler. C'est pourquoi nous avons souhaité développer les contrôles dématérialisés, en dépit des réticences des services. Il va sans dire que la CNCTR et les services n'utilisent pas internet pour communiquer mais des réseaux sécurisés. Vous trouverez dans le projet de loi les dispositions relatives au partage du renseignement entre services français que je ne détaillerai pas faute de temps. Les services peuvent partager les informations obtenues ; une autorisation préalable pour partager des renseignements n'est prévue que pour un nombre de cas très limité.
La CJUE a jugé dans l'arrêt Tele2 que les personnes surveillées devaient en être informées une fois la surveillance achevée ; le Conseil d'État a jugé le 21 avril que le droit français prenait déjà cet aspect en considération et qu'il n'y avait pas de conséquences à en tirer dans la loi. Vous ne trouverez donc aucune disposition à ce sujet dans le projet de loi.
Parmi les services de renseignement de la défense, le plus gros volume de demandes émane de la DGSE ; ensuite vient la DRSD. La DRM nous sollicite très peu car ce service travaille essentiellement sur les théâtres d'opérations à l'étranger, où la loi de 2015 ne s'applique pas.