J'ai l'honneur d'accueillir M. Francis Delon, président de la Commission nationale de contrôle des techniques de renseignement (CNCTR), que je rencontre régulièrement dans mes fonctions de présidente de la délégation parlementaire au renseignement et que je remercie d'avoir accepté mon invitation à venir prendre la parole, à huis clos, devant notre commission. Votre audition, Monsieur le président, conclut notre cycle sur le renseignement. Elle vient à point nommé, puisque nous examinerons la semaine prochaine le projet de loi relatif à la prévention d'actes de terrorisme et au renseignement et parce que vous avez remis la semaine dernière au président de la République le rapport d'activité de la CNCTR pour 2020 ; ce rapport a été envoyé à l'ensemble des membres de notre commission.

Si nous avons choisi de clore ce cycle d'auditions par la vôtre, c'est que la CNCTR est la clé de voûte de la loi du 24 juillet 2015 relative au renseignement. Autorité administrative indépendante, la Commission nationale, entité juridique unique dans notre système institutionnel, exerce un double contrôle de légalité sur le recours aux techniques de renseignement par les services de l'État. Vous intervenez en amont de la surveillance, en rendant au Premier ministre un avis sur les demandes d'autorisation de recourir aux techniques de renseignement, et a posteriori par des contrôles sur pièces et sur place qui se traduisent par de nombreuses visites dans les locaux de la direction générale de la sécurité intérieure (DGSI), de la direction générale de la sécurité extérieure (DGSE) et des autres services du renseignement du premier et du deuxième cercle. Ces services sont sans doute, grâce à vous, parmi les mieux ou les plus contrôlés au monde, dans l'intérêt de nos concitoyens et de notre démocratie.

La CNCTR est la gardienne et la garante de la bonne application d'un texte fondateur, conçu par le législateur pour concilier le droit au respect de la vie privée et donc des libertés individuelles d'une part, la sécurité nationale d'autre part. Nous aimerions vous entendre présenter le bilan du rôle joué par la CNCTR depuis sa création en 2015 ; évoquer la nature des relations que vous entretenez avec les services que vous contrôlez ; dire si vous jugez que la loi de 2015 assure un équilibre efficace entre la sauvegarde des libertés et la garantie de la sécurité nationale. Vous nous présenterez synthétiquement vos activités et nous indiquerez comment celles-ci ont évolué au fil des ans.

Nous avons beaucoup débattu au cours des derniers mois de la jurisprudence dite Tele2 établie par la Cour de Justice de l'Union européenne (CJUE) le 21 décembre 2016 et confirmée le 6 octobre 2020. Cet arrêt a remis en cause la faculté pour les États membres d'obliger les opérateurs de télécommunications à conserver les données de trafic et les données de localisation de leurs utilisateurs de façon généralisée et indifférenciée à des fins de lutte contre la criminalité. Pour tenir compte de cet arrêt, le Conseil d'État a rendu le 21 avril dernier une décision par laquelle il concilie le respect du droit de l'Union européenne et l'objectif d'efficacité de la lutte contre le terrorisme et la criminalité. Le Conseil d'État constate que le contrôle préalable exercé par la CNCTR est insuffisant en ce que l'avis qu'elle rend au Premier ministre n'est pas contraignant, et il juge que notre droit doit être modifié sur ce point, même si aucun Premier ministre n'a jamais outrepassé un avis défavorable de la CNCTR. Quel est votre sentiment sur les conséquences des décisions de la CJUE et du Conseil d'État sur votre activité et sur celle des services de l'État ?

Enfin, la seconde partie du projet de loi relatif à la prévention d'actes de terrorisme et au renseignement que nous examinerons la semaine prochaine tend à actualiser la loi du 24 juillet 2015. L'avis que la CNCTR a rendu sur ce texte a été distribué aux commissaires ; je ne doute pas que mes collègues vous interrogeront à ce sujet, particulièrement sur les dispositions concernant l'algorithme contenu dans la lettre rectificative à ce projet à l'examen du Conseil des ministres en ce moment même.

Je suis heureux de prendre la parole devant la commission de la défense, comme je l'ai fait en des temps plus anciens, alors que j'étais secrétaire général de la défense et de la sécurité nationale.

La CNCTR, créée par la loi du 24 juillet 2015 relative au renseignement, est une jeune autorité administrative indépendante (AAI). Mais après presque six ans d'activité, elle dispose d'un recul suffisant pour tirer des enseignements de la façon dont fonctionne le cadre juridique du renseignement établi par cette loi.

Le législateur a confié à la Commission la mission de veiller à ce que les techniques de renseignement prévues par la loi soient légalement mises en œuvre sur le territoire national. Pour accomplir cette mission, la CNCTR est dotée d'une instance collégiale de neuf membres : deux députés et deux sénateurs respectivement nommés par les présidents des deux assemblées, deux membres du Conseil d'État, deux membres de la Cour de cassation et une personnalité qualifiée choisie pour sa connaissance en matière de communications électroniques. Trois d'entre eux exercent leurs fonctions à plein temps : le président, un membre issu de la Cour de cassation et la personnalité qualifiée. Nous sommes assistés par une équipe d'une quinzaine d'agents recrutés pour leurs compétences juridiques et techniques.

En dépit de la modestie de ses effectifs, la CNCTR s'est imposée dans le paysage du renseignement. Son statut et sa composition lui confèrent une complète indépendance par rapport à ces services, et une certaine autorité pour mener sa mission. Sa compétence, qui s'étend à toutes les techniques de renseignement prévues par la loi, fait de la Commission un acteur central de la chaîne opérationnelle du renseignement puisqu'elle est chargée d'exercer un contrôle préalable sur chacune des demandes des services de renseignement visant à recourir à des techniques de surveillance dont la mise en œuvre, si elle n'était pas autorisée, constituerait une infraction. En outre, la CNCTR contrôle a posteriori la mise en œuvre des techniques pour lesquelles une autorisation a été délivrée. Elle le fait en sélectionnant les affaires qui nécessitent un suivi particulier de sa part. Ces contrôles a priori et a posteriori s'exercent également sur les mesures de surveillance des communications électroniques internationales qui font l'objet de l'encadrement juridique spécifique défini par un autre texte, la loi du 30 novembre 2015.

Le contrôle de la CNCTR s'étend à tous les services de renseignement : les six services spécialisés dits du premier cercle et aussi ceux dits du second cercle qui relèvent pour l'essentiel du ministère de l'intérieur, soit au total une trentaine de services.

Enfin, la Commission remplit une mission de conseil auprès du Gouvernement et du Parlement sur le droit applicable aux techniques de renseignement. Elle a été consultée de nombreuses fois par le Gouvernement depuis 2015 sur des projets de règlements d'application de la loi relative au renseignement et sur des projets de révision de cette loi, déjà modifiée huit fois et qui pourrait l'être à nouveau cette année si le projet de loi relatif à la prévention d'actes de terrorisme et au renseignement est adopté par le Parlement. À la demande du Premier ministre, la CNCTR s'est prononcée récemment sur les dispositions de ce texte relatives au renseignement – elle lui a rendu trois avis, car elle a été saisie successivement de plusieurs dispositions ; les dernières, vous l'avez rappelé, Madame la présidente, sont examinées ce matin même par le conseil des ministres.

Le contrôle exercé par la CNCTR a-t-il démontré son utilité et apporte-t-il satisfaction au regard de ce que le législateur a voulu ? Je commencerai par rappeler que la Commission intervient dans un domaine qui a longtemps échappé à toute forme de contrôle. Le renseignement est par définition la part la plus secrète de ce que font les États : les objectifs et les méthodes des services de renseignement ne peuvent à l'évidence être révélés sans nuire à l'efficacité de leur action. Mais tous les États ont besoin de renseignement et tous, démocraties comprises, se sont dotés d'un appareil de sécurité plus ou moins étendu pour le recueillir. Les chefs des services de renseignement ne me contrediront pas si j'affirme qu'en matière de sécurité et de défense un renseignement peut faire la différence et que la première raison d'être des services est de l'obtenir efficacement. Mais les informations recherchées sont souvent cachées et il faut déployer des moyens parfois importants pour y avoir accès de façon discrète, à l'insu des personnes qui les détiennent.

Les personnes surveillées subissent donc une atteinte plus ou moins grave à leurs libertés, notamment au droit au respect de la vie privée. La différence entre pays autoritaire et démocratie réside dans la prise en considération des conséquences que les mesures de surveillance font subir aux personnes concernées. En démocratie, seuls des motifs d'intérêt général tenant à la protection de la sécurité nationale peuvent justifier le recours à des moyens de surveillance, et ce recours doit être prévu par un cadre légal qui prend en compte la protection du droit au respect de la vie privée.

Or, jusqu'aux années 1990, aucune règle ne définissait ni les conditions d'autorisation des techniques de surveillance ni les modalités de leur contrôle, y compris par l'autorité politique. Il faut attendre la loi du 10 juillet 1991 relative au secret des correspondances émises par la voie des télécommunications pour que le législateur borne l'horizon des services à la poursuite de finalités d'intérêt général et fixe les conditions et les limites de leur action dans le domaine des interceptions de sécurité, c'est-à-dire des écoutes administratives, à l'époque uniquement téléphoniques.

Le législateur a alors chargé une nouvelle autorité administrative indépendante (AAI), la Commission nationale de contrôle des interceptions de sécurité (CNCIS), de contrôler l'exécution des autorisations de mise en œuvre d'écoutes téléphoniques. Ce cadre général, novateur à l'époque, ne s'appliquait qu'à une seule technique, les écoutes téléphoniques ; il n'évoluera que marginalement pendant près de vingt-cinq ans, jusqu'à l'adoption de la loi du 24 juillet 2015.

Jusqu'à cette date, si l'on excepte les interceptions de sécurité et, à partir de 2005, certains accès aux données de connexion, les agents des services de renseignement exerçaient dans une forme de clandestinité qui les plaçait, ainsi que leurs responsables, dans une insécurité juridique peu conforme aux besoins de protection qu'ils pouvaient attendre de la loi. Cette situation était aussi problématique sur le plan de la protection des libertés en ce qu'elle ne permettait pas l'exercice, nécessaire dans une société démocratique, du contrôle de l'action des services de renseignement couvrant de façon crédible toutes les techniques auxquelles ces services recourent.

En adoptant la loi du 24 juillet 2015, le législateur instaurait le premier cadre juridique général pour les activités de renseignement, sécurisant sur le plan juridique l'action des services tout en renforçant et en modernisant leurs moyens d'action, notamment par des dispositions novatrices permettant la mise en œuvre de dispositifs expérimentaux – la technique de l'algorithme. En contrepartie, le législateur créait des mécanismes de contrôle permettant de s'assurer que l'utilisation des techniques de renseignement ne porte pas une atteinte excessive aux libertés.

Ce dispositif fait intervenir plusieurs acteurs, au premier rang desquels le Premier ministre, autorité décisionnaire. Pour mettre en œuvre une technique, un service de renseignement doit obtenir l'autorisation préalable du Premier ministre, après avoir présenté une demande écrite motivée, validée par le ministre de tutelle. Le Premier ministre se trouve ainsi au sommet de la chaîne opérationnelle du renseignement ; sur le plan politique, cela signifie que chaque autorisation engage la responsabilité du chef du Gouvernement.

L'autre acteur du dispositif est la CNCTR. Elle rend un avis, favorable ou défavorable, sur chaque demande de technique de renseignement, en faisant la part entre l'atteinte portée à la vie privée et la gravité des enjeux ou l'importance des intérêts de la Nation invoqués par le service de renseignement. Là est le cœur de sa mission : concilier en permanence par un contrôle de proportionnalité la protection des libertés et les impératifs de la sécurité nationale.

La Commission nationale peut assortir ses avis favorables d'observations, voire de restrictions, qui peuvent tenir aux conditions de mise en œuvre de la technique, et aussi demander aux services de lui fournir plus d'informations lorsqu'elle estime une demande insuffisamment motivée. Enfin, elle motive toujours ses avis défavorables, éclairant ainsi le service sur le raisonnement qui sous-tend chacun de ses avis.

Pour que la chaîne opérationnelle ne souffre d'aucune lenteur, la loi a enserré le contrôle préalable de la CNCTR dans des délais de procédure très contraignants. Quand l'avis peut être rendu par un seul de ses membres ayant la qualité de magistrat, ce qui est le cas pour l'essentiel des demandes, la Commission dispose d'un délai maximal de 24 heures pour statuer. Certaines demandes exigent toutefois que le collège se réunisse en formation restreinte ou plénière ; en ce cas, le délai est porté à 72 heures à compter de la réception de la demande. Cela vaut pour les demandes les plus intrusives, notamment celles qui impliquent de pénétrer dans un lieu d'habitation, et lorsque la demande concerne un parlementaire, un journaliste, un avocat ou un magistrat.

La CNCTR s'est organisée pour être en mesure de statuer sur toutes les demandes des services dans le respect des délais légaux et dans des conditions adaptées à l'urgence de certaines d'entre elles : un dispositif de permanence nous permet de rendre à tout moment un avis en moins d'une heure si c'est nécessaire. La Commission ne s'est jamais trouvée dans la situation de ne pouvoir rendre un avis au Premier ministre dans le délai légal. Ce mode de fonctionnement a été maintenu en 2020, même au plus fort de la crise sanitaire, et l'est encore aujourd'hui. Pour des raisons de sécurité, nous avons travaillé uniquement dans nos locaux sans évidemment jamais interrompre cette activité de contrôle préalable.

Enfin, la procédure de contrôle est placée sous le contrôle du juge administratif : non seulement le législateur a confié au Conseil d'État un rôle d'arbitre en cas de différend entre le Premier ministre et la Commission mais le Conseil d'État peut également être saisi de recours par toute personne souhaitant vérifier qu'elle n'a pas fait l'objet d'une surveillance illégale.

S'agissant des demandes de surveillance des services, eu égard à ses responsabilités constitutionnelles en matière de défense et de sécurité nationale, c'est le Premier ministre qui décide. Il est libre de ne pas suivre un avis défavorable de la CNCTR ; celle-ci a alors la faculté de saisir une formation spécialisée du Conseil d'État statuant au contentieux d'un recours tendant à l'annulation de la décision du Premier ministre. Ce recours est obligatoire lorsque le Premier ministre autorise l'introduction dans un lieu d'habitation contre l'avis de la CNCTR.

Le dispositif fixé par la loi de 2015 a plusieurs conséquences. Il renforce le poids des avis que la CNCTR rend au Premier ministre : face au risque de contentieux, le chef du Gouvernement est incité à la prudence dans l'exercice de son droit de ne pas tenir compte des avis défavorables de la Commission. De fait, pas une fois depuis 2015 un chef du Gouvernement n'est passé outre à un avis défavorable. Cela mérite d'être noté, car on lit dans les rapports de la CNCIS, l'autorité indépendante qui a précédé la création de la CNCTR, qu'il s'est parfois produit que le Premier ministre ne suive pas son avis. Le dispositif de 2015 a pour autre conséquence que les services de renseignement sont eux-mêmes incités à se conformer à la doctrine forgée par la Commission dans ses avis : ils savent en effet que ses avis pèsent d'un poids particulièrement lourd auprès du Premier ministre.

La CJUE considère que ce dispositif est insuffisant. Dans l'affaire Tele2, la Cour a en effet jugé que l'accès aux données conservées par les opérateurs de communications devait être soumis à l'autorisation d'une juridiction ou d'une AAI dotée d'un pouvoir de décision contraignant. Le Conseil d'État a tiré les conséquences de cet arrêt dans une décision du 21 avril dernier, jugeant que les avis rendus par la CNCTR au Premier ministre devront être des avis conformes. Le projet de loi qui vous sera soumis prévoit de modifier en conséquence la loi du 24 juillet 2015 ; cela fait partie des dispositions qu'examine ce matin le conseil des ministres.

Le contrôle de la CNCTR porte aussi sur la mise en œuvre des techniques de renseignement. Pour mener ce contrôle a posteriori, la Commission dispose d'un accès permanent, complet, direct et, pour certaines techniques, immédiat aux renseignements collectés ainsi qu'aux transcriptions et extractions réalisées à partir de ces données pour les rendre exploitables.

À cette fin, la CNCTR utilise deux méthodes. D'une part, elle procède à des vérifications sur pièces et sur place, dans les locaux des services. Nous avons procédé à un peu plus d'une centaine de ces contrôles en 2019, à quatre-vingt en 2020 en raison de la crise sanitaire ; nous avons en effet dû interrompre les contrôles de ce type au printemps 2020 mais nous les avons repris ensuite et avons en large partie rattrapé notre retard. Dans le même temps, nous avons renforcé les contrôles que nous menons à distance depuis nos propres locaux grâce aux outils informatiques sécurisés que lui fournit le groupement interministériel de contrôle (GIC), organisme placé sous l'autorité du Premier ministre. Ils nous permettent l'accès en ligne à tout ce que recueillent et produisent les services pour un assez grand nombre de techniques : c'est le cas par exemple des interceptions de sécurité.

La Commission se professionnalisant au fil des ans, les contrôles a posteriori n'ont cessé de gagner en profondeur depuis 2015, mais des progrès restent à accomplir. Ainsi, nous n'avons toujours pas accès aux fichiers de souveraineté où sont conservées les traces des renseignements récoltés par les services grâce aux techniques de surveillance ; nous regrettons cette limitation.

Même s'il n'est pas parfait, le cadre juridique fonctionne globalement bien et il est mis en œuvre d'une manière plus équilibrée que ce qui avait été redouté lors des débats sur la loi sur le renseignement en 2015.

Parmi les principaux indicateurs calculés par la CNCTR figure le nombre des personnes surveillées : c'est l'indicateur qui à notre sens, reflète le mieux l'état de la surveillance intérieure en France. En 2020, 21 952 personnes ont fait l'objet d'au moins une technique de renseignement. Ce nombre est, pour la première fois depuis 2016, en légère diminution, avec une réduction de 1,2 % par rapport à 2019 alors même que les demandes des services n'ont jamais été aussi nombreuses. Parmi les personnes surveillées, 8 786 l'ont été au titre de la prévention du terrorisme, ce qui représente 40 % du total. Cette finalité est, de façon constante depuis 2015, le principal motif de surveillance.

Au cours des cinq dernières années, le nombre de personnes surveillées a augmenté d'environ 8 % et il se stabilise autour de 22 000 depuis 2018. En revanche, le nombre global des demandes d'utilisation de techniques de renseignement formulées par les services a augmenté d'environ 18 % depuis 2016 ; en 2020, nous avons été saisis de 80 000 demandes, car un service peut formuler plusieurs demandes d'utilisation de techniques de renseignement à l'égard d'une même personne.

L'évolution est contrastée selon les techniques. Les demandes d'accès en temps différé aux données de connexion – c'est-à-dire notamment le recueil des fadettes, l'historique des personnes qui appellent ou qui sont appelées – pèsent le plus lourd : elles représentent 60 % de l'ensemble. Les deux tiers des demandes d'accès aux données de connexion ont pour objet l'identification de personnes ou de leurs numéros d'abonnement. C'est ainsi la technique la moins intrusive dans l'échelle des techniques de renseignement qui est la plus utilisée. Elle l'a été particulièrement en 2020, quand la crise sanitaire empêchait les services d'utiliser certaines techniques de surveillance au plus près de la cible, si bien que le nombre de demandes relatives à ces techniques a baissé – pour certaines de 40 % par rapport à 2019. On peut penser qu'elles reprendront au niveau antérieur à 2020 à partir de la fin de la crise sanitaire.

Les services respectent-ils le cadre légal ? À ce jour, la CNCTR n'a jamais détecté d'irrégularités qui témoigneraient de l'intention délibérée d'un service de contourner le cadre légal. Les irrégularités que nous observons sont dans la plupart des cas rapidement corrigées par les services eux-mêmes sans que la Commission ait besoin, comme la loi le lui permet en cas de différend, de saisir le ministre de tutelle, le Premier ministre, voire le Conseil d'État, pour faire annuler un refus de se conformer à la loi. Nous pouvons même saisir le juge pénal si nous découvrons des infractions pénales à l'occasion d'un contrôle ; cela ne s'est jamais produit.

D'autre part, les services de renseignement s'efforcent de se conformer à la doctrine de la CNCTR en présentant des demandes mieux proportionnées à la défense et à la promotion des intérêts fondamentaux de la Nation définis par la loi.

S'établissant à 6,9 % lors de la première année d'activité, le taux d'avis défavorables de la Commission était relativement élevé. Il n'a cessé de diminuer et, en 2020, il était de 0,8 %, proportion pour la première fois inférieure à 1 %. Cette évolution positive témoigne de la réussite du dialogue engagé depuis l'origine avec les services et qui a permis de réduire significativement les sujets de désaccord. La CNCTR ne vit pas dans une tour d'ivoire : elle exerce sa mission au contact direct des services de renseignement, les côtoie quotidiennement, connaît bien leurs besoins opérationnels. De nombreuses réunions thématiques sont organisées entre les services et nous pour faire le point sur les affaires qui appellent de notre point de vue une attention particulière ainsi que sur les méthodes utilisées. Les services sont créatifs et nous consultent pour vérifier la légalité des méthodes qu'ils imaginent pour contourner les obstacles dressés par les cibles.

En résumé, si les services ont accompli des efforts importants pour se conformer à la doctrine de la CNCTR, celle-ci a montré qu'elle savait aussi évoluer pour prendre en compte leurs arguments. Il est arrivé que nous rendions un avis défavorable, suivi par le Premier ministre, et que le service de renseignement concerné réitère sa demande en faisant valoir des arguments nouveaux et étayés susceptibles de convaincre la Commission.

Cela veut dire que si les services se sont adaptés aux exigences imposées par la loi, ils ne pratiquent pas pour autant l'autocensure ; il suffit pour s'en convaincre de constater l'augmentation continue du nombre des demandes depuis 2016. Cela montre que le contrôle tel qu'il est pratiqué n'entrave pas l'action opérationnelle des services. En revanche, il leur apporte plus de sécurité, en délimitant plus précisément ce qu'ils sont en droit de faire.

Je vous remercie pour cette présentation à la fois générale et précise de l'activité de vos services.

Rapporteur pour avis sur le projet de loi relatif à la prévention des actes de terrorisme et au renseignement, je tiens à vous dire que nous sommes pleinement impliqués dans ce dossier et que nous avons en grande estime le travail accompli par la CNCTR. En cette période de bouleversement mondial et de guerre hybride – économique aussi –, alors que notre pays fait face à des menaces importantes et diverses, le besoin d'adaptation du renseignement est vital, la nécessité étant, vous l'avez souligné, de trouver le juste équilibre entre efficacité collective et respect des libertés individuelles. La loi de 2015 a établi un cadre juridique novateur dont vous avez décrit les conséquences pour les services de renseignement. Je rends hommage à ces femmes et à ces hommes de l'ombre, qui vont parfois jusqu'au sacrifice suprême pour l'intérêt national sans que jamais leur héroïsme soit exposé publiquement. Que les avis défavorables rendus par la CNCTR soient passés en six ans de 6 % à moins de 1 % de tous ses avis traduit l'évolution des pratiques et l'intérêt des échanges entre la Commission nationale et les services. Que pensez-vous du projet de loi à venir tel que rectifié par le Gouvernement et particulièrement de ce qui concerne la surveillance par algorithme ? Les dispositions envisagées vous semblent-elles équilibrées ?

J'ai mesuré votre expérience unique de premier président de la CNCTR lors de vos auditions par la délégation parlementaire au renseignement dont je suis membre. Elle nous est précieuse alors que l'Assemblée nationale va se saisir d'un texte qui s'inscrit dans la lignée de la loi de 2015. Cette mise à jour permettra de pérenniser une myriade de techniques de renseignement ayant prouvé leur efficacité. Pour assurer le juste équilibre entre sécurité nationale et libertés des citoyens, le mandat de l'Autorité que vous présidez doit s'étendre à mesure que ces techniques se compliquent. Les articles 8 et 9 du projet de loi placent la CNCTR au centre du dispositif de stockage des données de renseignement et de leur éventuel partage entre les services, votre avis éclairant directement la décision du Premier ministre. Le rôle de la Commission nationale est-il, comme je le souhaite, amené à croître au fur et à mesure que les techniques de renseignement se durcissent et deviennent plus complexes ? Étant donné l'augmentation nécessaire du recours à ces techniques pour combattre des menaces internes croissantes et diffuses, seul un contrôle strict et exhaustif gagnera la confiance des Français en leurs services de renseignement qui, par définition, ne peuvent être transparents.

L'avis rendu par le Conseil d'État soutient-il vraiment les services de renseignement ? La décision publiée ne souffre-t-elle pas d'une certaine fragilité ? Le Conseil d'État rappelle que la Constitution française demeure la norme suprême du droit national ; en réalité, le droit européen prime, si bien que le Conseil d'État s'en sort en soulignant que « les exigences constitutionnelles […] qui s'appliquent à des domaines relevant exclusivement ou essentiellement de la compétence des États membres en vertu des traités constitutifs de l'Union ne sauraient être regardées comme bénéficiant, en droit de l'Union, d'une protection équivalente à celle que garantit la Constitution ». Or, la notion de « protection équivalente » me paraît assez vague, et insuffisamment cadrée pour nous protéger d'un nouveau recours devant la CJUE.

Je vous remercie, Madame la présidente, d'avoir organisé cette excellente audition ; et c'est d'ailleurs parce que je ne veux assister qu'aux auditions de qualité que je ne suis pas venu à celle d'hier… Je vous salue, Monsieur le président, mais sur le fond, je suis de ceux qui doutent du bien-fondé des autorités administratives. Mes convictions, nourries par la réflexion qu'avait menée Henri Emmanuelli à ce sujet, demeurent : pour moi, le politique est seul souverain. Néanmoins, je voterai évidemment le projet de loi qui nous sera soumis.

Quel est l'état des échanges entre les services de renseignement au niveau international et au niveau européen ? D'autre part, au regard de l'importance de votre mission, on s'interroge sur le budget dont vous disposez : 2,3 millions d'euros pour les dépenses de personnel et 365 000 euros pour les dépenses de fonctionnement, c'est le budget d'une petite collectivité locale, alors que vos tâches n'ont pas le même champ. Vous suffit-il ?

En 2020, la crise sanitaire vous a contraints à travailler en mode dégradé. Votre rapport d'activité décrit comment vos services se sont organisés, et les permanences vous ont permis de répondre aux demandes d'avis dans les délais légaux. Mais qu'adviendrait-il si un péril majeur, une cyber-attaque par exemple, vous interdisait même ce fonctionnement ? Est-il prévu que l'on puisse s'exonérer temporairement de l'avis de la CNCTR ? D'autre part, un service du premier cercle ayant reçu un avis favorable de la Commission nationale à une demande d'utilisation d'une technique de renseignement dans un cas donné peut-il dans la foulée partager les informations recueillies avec d'autres services de renseignement ou le partage requiert-il un nouvel avis favorable ? Les 21 000 personnes qui ont été l'objet d'une surveillance par une technique de renseignement en 2020 en ont-elles été informées ? Je n'y suis pas favorable, mais il en est ainsi dans certains pays. Quels sont vos rapports avec les services qui dépendent du ministère des armées – direction du renseignement et de la sécurité de la défense (DRSD), direction générale de la sécurité extérieure (DGSE) et direction du renseignement militaire (DRM) ? Quelle est la ventilation du contingent des techniques de renseignement entre ces trois services ?

C'est la question de la surveillance par algorithme qui motive la soumission du projet de loi au Parlement. La technique avait été autorisée en 2015 à titre expérimental pour une période de trois ans, ensuite prolongée de deux ans puis d'une année encore en 2020 en raison de la crise sanitaire. L'expérimentation va venir à péremption à la fin de cette année ; si le Gouvernement souhaite que l'utilisation de cette technique se poursuive, des dispositions législatives nouvelles sont donc nécessaires. Comme toutes les dispositions principales figurant dans le texte, celles-ci ont été discutées entre le Gouvernement et nous depuis assez longtemps : nous parlons de l'algorithme depuis un an. À dire vrai, le Parlement devait être saisi d'un projet de loi sur le renseignement au printemps 2020 et la CNCTR, elle-même saisie par le Premier ministre en mars 2020 des dispositions sur l'algorithme, avait fait connaître au Gouvernement ses premières réactions. Celles-ci ont amené le Gouvernement à faire évoluer son texte initial. Des échanges très nourris, pendant plusieurs mois, l'ont aussi conduit à modifier très sensiblement les dispositions initiales relatives aux échanges entre les services de renseignement français. De même, le Gouvernement a beaucoup revu sa copie au sujet de la conservation des données pour les besoins de la recherche et du développement pour tenir compte des observations faites par la CNCTR dès l'année dernière.

Faut-il pérenniser la technique de surveillance par algorithme ? Nous indiquons dans notre avis que nous sommes convaincus par l'argumentation présentée par le Gouvernement dans un rapport public et surtout dans un rapport classifié transmis à la délégation parlementaire au renseignement et à la CNCTR. En matière de terrorisme, il est bien sûr très important de continuer d'assurer la surveillance ciblée de certaines personnes qui suscitent l'inquiétude. Mais comme on l'a malheureusement constaté il y a peu, des attentats peuvent être perpétrés par des personnes qui ne s'étaient aucunement signalées. Aussi, même si l'on peut avoir des doutes sur l'efficacité du procédé, il est difficile de se priver d'un outil qui vise à détecter un risque de menace terroriste et qui fait l'objet d'un contrôle étroit.

D'autre part, l'expérimentation a permis d'affiner la technique. L'étude d'impact qui sera publiée après le Conseil des ministres montre un écart entre ce qui a été imaginé en 2015 en matière de surveillance par algorithme et ce qui a été mis en œuvre. Lorsque le texte a été présenté au Parlement, en 2015, nul ne savait comment le mécanisme fonctionnerait. Une modalité particulière d'exécution de ce projet expérimental, consistant à demander aux opérateurs de mettre en œuvre eux-mêmes les algorithmes, avait été exposée au législateur, mais le Gouvernement s'est vite rendu compte qu'un tel mécanisme ne pouvait fonctionner. Outre que les opérateurs ne voulaient pas mettre en œuvre ce dispositif pour des raisons que l'on comprend aisément, eussent-ils accepté que l'on aurait bâti un système curieux dans lequel quatre opérateurs auraient dû se coordonner, sans que l'on sache très bien comment, pour que le dispositif fonctionne. Il a donc fallu imaginer, dans le cadre légal prévu pour la mise en œuvre de cette technique, un dispositif différent – celui qui est décrit de façon détaillée dans le texte que vous examinerez.

C'est le groupement interministériel de contrôle (GIC), service placé sous l'autorité du Premier ministre, qui n'est pas un service de renseignement et avec lequel nous travaillons quotidiennement, qui récupère les données sur les réseaux des opérateurs, opère les traitements automatisés et s'assure que les données recueillies – de manière non ciblée, je le rappelle – ne sont pas accessibles aux services de renseignement, sauf si l'algorithme décèle une alerte. En ce cas, le service est informé qu'il y a eu une alerte et peut demander que la personne concernée soit identifiée et que des techniques de renseignement soient utilisées. Ces années d'expérimentation ont donc permis d'affiner le dispositif, et nous constatons que le contrôle étroit de la CNCTR sur la surveillance par algorithme fonctionne bien. Nous avons acquiescé au dispositif confiant au GIC la mise en œuvre des algorithmes, par une délibération classifiée de 2016, en posant des conditions très strictes à la mise en œuvre de ce dispositif. Le Gouvernement les a acceptées et en a informé, à notre demande, la délégation parlementaire au renseignement.

On voit donc le bénéfice de l'expérimentation, et le contrôle constructif, me semble-t-il, mené par une instance qui s'attache à prendre en compte à la fois la protection des libertés et les exigences opérationnelles. Compte tenu du cadre de contrôle prévu et de la réalité du terrorisme, nous considérons qu'il est justifié de poursuivre la surveillance par algorithme.

La disposition relative à l'accès aux adresses des sites internet, les URL, est nouvelle. Depuis 2015, les seules données recueillies et exploitées sont des données de facturation téléphonique. Le Gouvernement propose d'aller plus loin, en collectant les données « IP ». Dès 2015, nous avons estimé que les adresses URL ne pouvaient être considérées comme des données de connexion pures, puisqu'elles mêlent données de connexion et données de contenu. La CNIL a fait la même analyse. La partie réglementaire du code de la sécurité intérieure traduit la position de la CNCTR. Le projet de loi prévoit qu'un nouveau type de données peut être recueilli : les adresses URL effectivement utilisées pour accéder à un site internet.

Cette disposition est-elle proportionnée à la menace, et cela va-t-il fonctionner ? Nous avons estimé que le besoin d'y recourir était avéré, dans la mesure où Internet est très utilisé pour inciter à la radicalisation de personnes qui passeront ensuite à l'acte, ou pour préparer des opérations. Il nous a donc semblé que se priver de l'accès aux URL serait sans doute un handicap. Mais il faut s'assurer que cela fonctionne et que cela apporte quelque chose. Aussi avons-nous recommandé au Gouvernement que le dispositif de recueil des URL soit évalué au terme de trois ans et qu'à cette fin le Gouvernement dépose un rapport au Parlement, qui en débattra. Cette recommandation figure dans l'avis de la CNCTR comme dans celui du Conseil d'État mais à ce stade on ne trouve pas cette disposition dans le projet de loi ; il serait souhaitable qu'elle y soit inscrite.

Le contrôle de la CNCTR est logiquement appelé à s'élargir à mesure que les techniques de renseignement deviennent plus nombreuses ou que les compétences des services s'accroissent, mais nous connaissons notre rôle et nous n'essayons pas de nous emparer de compétences qui ne sont pas les nôtres.

La décision du Conseil d'État donnant suite à l'arrêt de la CJUE inquiète Mme Thillaye. C'est en statuant sur une directive européenne concernant les obligations des opérateurs de téléphonie que la Cour a interprété le droit européen. Elle s'est prononcée à cette occasion sur la notion de sécurité nationale et sur ce que les États membres de l'Union peuvent faire en cette matière. Au terme de son analyse, la Cour a fortement limité la capacité des États membres d'imposer aux opérateurs de communications électroniques de conserver des données de connexion de leurs clients. Or, en matière de renseignement, 60 % des 80 000 demandes qui nous ont été faites en 2020 visaient l'accès à des données de connexion ; si l'on ajoute à cela les géolocalisations en temps réel, on en arrive à un chiffre assez élevé. L'impact risquait donc d'être extrêmement fort.

Aussi le Gouvernement a-t-il proposé au Conseil d'État d'appliquer un raisonnement que ce dernier n'avait jamais mis en œuvre en jugeant que la CJUE avait statué au-delà de ses compétences dans le domaine de la sécurité nationale et que la décision de la Cour européenne ne pouvait dès lors être appliquée. Le Conseil d'État n'a pas voulu s'engager dans cette voie. Mais il a rappelé que si, aux termes de l'article 88-1 de la Constitution, le droit européen et les traités ont une force supérieure à la loi, la Constitution est au sommet de l'édifice de la hiérarchie des normes. Parmi les exigences constitutionnelles figurent la sauvegarde des intérêts fondamentaux de la Nation, la prévention des atteintes à l'ordre public, la lutte contre le terrorisme et la recherche des auteurs d'infractions pénales. Et le droit européen ne contient pas de dispositions assurant une protection équivalente à celles garanties par notre Constitution.

La décision du Conseil d'État emporte deux conséquences en droit interne. D'une part, le Conseil a estimé que l'obligation faite aux opérateurs de conserver des données pouvait être fondée sur les exigences de la sécurité nationale. Cela conduit à modifier certaines dispositions du code des postes et télécommunications électroniques, ce que proposera le projet de loi. D'autre part, le Conseil d'État a estimé que l'arrêt de la CJUE n'était pas en conflit avec une norme constitutionnelle en demandant le contrôle préalable des demandes d'utilisation de techniques de renseignement soit par une juridiction soit par une AAI ayant un pouvoir contraignant que la CNCTR n'a pas à ce jour. Le projet de loi propose donc un dispositif selon lequel si le Premier ministre décide de passer outre un avis défavorable de la CNCTR, celle-ci devra obligatoirement saisir le Conseil d'État, qui devra statuer au contentieux dans un délai de 24 heures sur la décision du Premier ministre. Dans le cas où le Premier ministre, invoquant l'urgence, aurait mis en œuvre sa décision sans attendre le délai de 24 heures, cette mise en œuvre serait interrompue si le Conseil d'État invalidait la décision.

Le raisonnement suivi par le Conseil d'État est issu d'une jurisprudence du Conseil constitutionnel des années 2000 et d'une autre décision de l'assemblée du contentieux du Conseil d'État. Il est audacieux, mais il permet de concilier la décision de la CJUE et nos exigences de sécurité.

Je comprends le point de vue de M. David Habib sur le rôle des AAI. Néanmoins, la pratique des AAI s'est développée dans notre droit et comme je l'ai dit à l'instant, le Conseil d'État a estimé qu'il n'y a pas d'obstacles constitutionnels à renforcer le pouvoir de la CNCTR. Effectivement, l'article 21 de la Constitution donne au Premier ministre le pouvoir de décider en matière de sécurité, et ce principe est maintenu.

Vous ne trouverez rien sur les échanges internationaux entre services de renseignement dans le projet de loi. Dans son rapport de 2018, la CNCTR a suggéré que le cadre légal soit modifié pour prévoir l'encadrement juridique des échanges entre nos services et leurs homologues étrangers. Nous pensons toujours que ce serait souhaitable. Un cadre juridique de ce type existe dans d'autres grands pays, l'Allemagne par exemple, ou encore le Royaume-Uni ; il n'entrave pas à ma connaissance les singulières performances britanniques en matière de renseignement.

Notre budget est modeste mais suffisant.

Monsieur Gassilloud, la crise sanitaire a été une alerte pour les services de renseignement. La baisse d'activité, importante, a davantage touché certains services que d'autres au printemps 2020 ; un rattrapage a eu lieu à partir de l'été et l'on n'a plus vu le même phénomène à l'automne lors du deuxième confinement : les services s'étaient adaptés. Nous-mêmes n'avons cessé d'aller au bureau, car il n'était pas question de télétravailler. C'est pourquoi nous avons souhaité développer les contrôles dématérialisés, en dépit des réticences des services. Il va sans dire que la CNCTR et les services n'utilisent pas internet pour communiquer mais des réseaux sécurisés. Vous trouverez dans le projet de loi les dispositions relatives au partage du renseignement entre services français que je ne détaillerai pas faute de temps. Les services peuvent partager les informations obtenues ; une autorisation préalable pour partager des renseignements n'est prévue que pour un nombre de cas très limité.

La CJUE a jugé dans l'arrêt Tele2 que les personnes surveillées devaient en être informées une fois la surveillance achevée ; le Conseil d'État a jugé le 21 avril que le droit français prenait déjà cet aspect en considération et qu'il n'y avait pas de conséquences à en tirer dans la loi. Vous ne trouverez donc aucune disposition à ce sujet dans le projet de loi.

Parmi les services de renseignement de la défense, le plus gros volume de demandes émane de la DGSE ; ensuite vient la DRSD. La DRM nous sollicite très peu car ce service travaille essentiellement sur les théâtres d'opérations à l'étranger, où la loi de 2015 ne s'applique pas.

L'article 7 du projet de loi traite de la transmission de renseignements à d'autres services. Ces échanges sont indispensables. Dans deux cas, ces transmissions devront faire l'objet d'une nouvelle autorisation du Premier ministre, après que la CNCTR aura été consultée. La collecte des renseignements transmis ayant déjà donné lieu à une autorisation, pouvons-nous être assurés que la deuxième demande sera traitée rapidement ?

L'article 7 du projet de loi dispose que « lorsque les transcriptions, extractions ou les transmissions poursuivent une finalité différente de celle au titre de laquelle les renseignements ont été recueillis, les relevés sont immédiatement transmis à la Commission nationale de contrôle des techniques de renseignement. » La difficulté tient aux données qui ont trait à des agissements relevant à la fois de l'activité terroriste et de la criminalité organisée, d'autant que l'activité terroriste n'a pas de définition internationale et qu'en France un acte terroriste est assimilé à un crime alors qu'il a une finalité politique. Comment faciliter un dispositif de contrôle a priori ? Faudrait-il redéfinir les données relatives à une activité terroriste et celles qui renvoient à des activités criminelles ? Avons-nous une possibilité de hiérarchiser de manière que les données les moins sensibles, celles qui concernent une activité criminelle, soient transmises systématiquement à la CNCTR lorsqu'elles apparaissent différentes de celles nécessaires aux services de renseignement ?

Le nombre de demandes d'accès aux données de connexion augmente plus que les demandes d'utilisation de techniques plus intrusives, nous avez-vous dit. N'est-ce dû qu'aux confinements, ou la tendance est-elle de recourir plus à la surveillance par l'algorithme qu'au renseignement humain ? On lit dans votre rapport d'activité que le nombre d'IMSI-catchers est passé de 60 à 100, et que cinq ont été affectés à la Chancellerie pour les services de renseignement pénitentiaire – pourquoi cela ?

On entend souvent dire que la France tente de contourner l'arrêt Tele2 de la CJUE. Notre position en ce domaine est-elle singulière ou est-ce celle d'une majorité d'États membres ? Si certains États ne se conforment pas à cet arrêt, ne peut-on craindre des risques de dérive, dans certains pays d'Europe centrale par exemple, quant à la protection de certaines informations, par exemple sur les sources des journalistes ? Sur un autre plan, avez-vous accès aux codes sources des algorithmes, que les sociétés qui les développent soient françaises ou, comme Palantir, étrangères ?

Si le Premier ministre passe outre l'avis défavorable de la CNCTR, le Conseil d'État, saisi par vous, disposera donc de 24 heures pour statuer. Cela signifie-t-il qu'après 24 heures, le renseignement ainsi obtenu ne serait pas utilisable comme preuve, ou que la technique ne peut être utilisée ? Tout repose finalement sur la réactivité du Conseil d'État et sur ce qui se passe au cours de ces 24 heures ; on peut donc s'interroger sur l'équilibre entre l'opérationnalité et la liberté. D'autre part, vous avez fait état d'environ 80 000 demandes et de 21 000 personnes surveillées ; comment s'explique cette différence ? Enfin, la DRM opère principalement hors nos frontières, mais les renseignements qu'il collecte à l'étranger pourraient vivement intéresser la police de l'air et des frontières ; qu'en pensez-vous ?

Le dispositif proposé pour les échanges entre services est-il trop lourd ? La loi de 2015 avait fixé le principe que les services peuvent échanger des renseignements mais qu'un décret en Conseil d'État préciserait les conditions de cet échange, sans toutefois rien dire ni de ses modalités ni de ses limites. Le décret en Conseil d'État n'a cependant jamais été pris. Le projet de loi précise désormais un cadre juridique. Le principe est que les services échangent entre eux sans qu'une autorisation préalable donnée par le Premier ministre après avis de la CNCTR soit nécessaire, si ce n'est dans les deux cas que je vais expliciter.

Si un service de renseignement est, par exemple, autorisé à surveiller quelqu'un au titre de la prévention du terrorisme, il n'est pas autorisé à rechercher des renseignements relatifs à la criminalité organisée – car la prévention du terrorisme et la prévention de la criminalité organisée sont des finalités distinctes, et le Conseil constitutionnel, dans sa décision de 2015, a défini précisément de quoi il s'agit. Si ce service découvre des informations relatives à l'autre finalité, ce qui peut arriver, il ne lui sera pas interdit de les utiliser et le texte lui permet de le faire, mais il devra nous rendre compte pour que nous puissions contrôler a posteriori que le service considéré n'a pas interprété la loi à sa manière. S'il veut partager des renseignements liés à cette autre finalité avec un autre service, il devra être autorisé à le faire par le Premier ministre après avis de la CNCTR.

D'autre part, si un service de renseignement du premier cercle a utilisé une des techniques très pointues auxquelles ces seuls services ont accès et qu'il veut partager les renseignements obtenus avec un service du deuxième cercle, il lui faudra également une autorisation du Premier ministre après avis de la CNCTR. Le délai d'examen par la CNCTR est de 24 heures. C'est très court, et l'on tiendra compte des urgences particulières, soyez-en assurés. Notre intention n'est pas de créer une usine à gaz et d'être encombrés par des demandes futiles relatives à des échanges légitimes.

Sans même parler de 2020, année particulière en raison de la pandémie, les demandes de techniques relatives aux données de connexion constituent une part importante de l'ensemble des demandes formulées par les services de renseignement. C'est qu'ils peuvent ainsi, sans engager de moyens sur le terrain, faire appel au GIC, lequel interroge les opérateurs pour avoir les relevés de l'« environnement électronique » des personnes qu'ils veulent surveiller. L'augmentation du recours aux données de connexion est continue depuis 2015 et la tendance restera celle-là.

Certaines techniques de renseignement sont soumises à contingentement. Il en est ainsi, en particulier, du recueil de données de connexion par IMSI-catchers. Le nombre de techniques de cette nature pouvant être mises en œuvre simultanément a été augmenté de 60 à 100 en 2020. Le total reste néanmoins limité, et le tableau récapitulatif qui figure en page 34 du rapport d'activité de la CNCTR montre une utilisation elle aussi limitée au fil des ans : 254 recueils de données de connexion par IMSI-catchers en 2016, 277 en 2017, 272 en 2018, 288 en 2019 et 311 en 2020. Pour des raisons que je ne peux détailler, il nous a paru légitime d'autoriser une augmentation du nombre d'IMSI-catchers, et cinq ont été alloués au ministère de la justice pour le service national du renseignement pénitentiaire, désormais autorisé à utiliser cette technique mais qui n'avait pas cette compétence lorsque le précédent contingent a été fixé.

Sur l'arrêt Tele2, je ne connais que la position de la Cour constitutionnelle belge, qui a jugé que la loi nationale belge devait être révisée, ce qui ne signifie pas que la Belgique appliquera tout ce qu'a dit la CJUE. C'est la seule indication dont je dispose ; le Quai d'Orsay pourra, le cas échéant, vous indiquer la position des autres États de l'Union.

Trois algorithmes prévus à l'article L. 851-3 du code de la sécurité intérieure fonctionnent actuellement, sur lesquels nous n'avons bien entendu donné un avis favorable qu'après avoir vérifié leur code-source, sans nous contenter des explications littéraires données à leur sujet. L'utilisation de Palantir par la DGSI est un tout autre sujet.

Le projet de loi prévoit que si la CNCTR donne un avis défavorable et que le Premier ministre décide de passer outre, nous devons saisir immédiatement le Conseil d'État, dont la formation spécialisée en renseignement, qui a accès au secret-défense, statue dans un délai de 24 heures. Le Premier ministre ne peut invoquer l'urgence lorsqu'il s'agit précisément de l'autorisation de l'algorithme, non plus que lorsque la demande d'utilisation d'une technique de renseignement concerne un parlementaire, un journaliste, un avocat ou un magistrat : il est normal que si un différend se présente entre la CNCTR et le Premier ministre, ce soit le juge qui tranche et que le Premier ministre ne puisse mettre en œuvre la technique demandée sans attendre la décision du Conseil d'État. Quelques restrictions concernent aussi certaines techniques très intrusives. L'urgence ne peut être invoquée que pour certaines finalités. Dans les autres cas, le Premier ministre autorisera le service à mettre en œuvre la technique demandée et le Conseil d'État statuera. S'il valide la décision du Premier ministre, la surveillance continuera au moyen de la technique demandée ; si le Conseil d'État annule la décision du Premier ministre, l'opération sera arrêtée et tout ce qui a été recueilli sera détruit. Tel est le dispositif.

Nous avons reçu 80 000 demandes en 2020, et 21 000 personnes ont été surveillées. L'écart entre les deux nombres s'explique par le fait qu'une même personne peut faire l'objet d'une surveillance par plusieurs techniques de renseignement, et nous contrôlons chacune des 80 000 demandes.

Enfin, la loi ne prévoit de contrôle par la CNCTR que si la technique de surveillance est mise en œuvre sur le territoire national, et la DRM investigue pour l'essentiel à l'étranger ; la question est donc d'ordre juridique.

Je retiens de vos explications précises que le contrôle exercé par la CNCTR fonctionne : il préserve les libertés individuelles tout en sécurisant les services de renseignement sans entraver leur action. Le pari de la loi 2015 est donc réussi grâce à la pugnacité et à la compétence de vos services et du collège auquel des parlementaires participent ; je leur rends hommage et salue leur travail discret. Je vous remercie pour les éclairages que vous avez donnés sur le projet de loi qui va nous être soumis. Je retiens votre appel à la vigilance sur la surveillance par algorithme, qui demande un bilan à moyen terme ; nous aurons l'occasion d'en préciser les modalités au cours du travail parlementaire. Je vous remercie enfin de nous avoir permis de réfléchir encore à l'équilibre démocratique entre protection de la sécurité nationale et protection des libertés individuelles.