La CNCTR : vivre et laisser mourir le contrôle du renseignement ?

« Le nouveau cadre législatif de la lutte contre le terrorisme

à l’épreuve des droits fondamentaux« 

Journée d’étude organisée par l’Institut de droit européen

des droits de l’homme (IDEDH – EA 3976)

Faculté de droit de Montpellier * Février 2017

La loi sur le renseignement[1] fut présentée comme un élément indispensable à la lutte contre les nouvelles menaces, et en premier lieu le terrorisme. Ce texte[2] a ainsi consacré et encadré une activité habituellement reléguée aux simples bruits créés par les actions de nos services de renseignement.

Un des rouages de cette loi est l’instauration de la Commission nationale de contrôle des techniques de renseignement (ci-après la CNCTR), autorité publique indépendante qui a remplacé la Commission nationale de contrôle des interceptions de sécurité (CNCIS). Ses rôles sont multiples : du contrôle a priori (sauf urgence) des techniques de renseignement jusqu’au contrôle a posteriori des interceptions internationales, la CNCTR élabore également des recommandations et un rapport annuel qui fut riche d’enseignements à la fin de l’année 2016.

Pilier du contrôle des techniques de renseignement, avec le Conseil d’Etat en seconde ligne, la CNCTR reste une interrogation. Sans entrer dans le débat des nominations qui impliquent sans doute des préjugés subjectifs, son intégration, son budget, et ses moyens permettent a minima de questionner son rôle dans une architecture du renseignement souvent brouillonne et une culture assez hostile à la diffusion des informations. Le spectre qui se dessinait était celui d’une Commission dont le contrôle ne pouvait être effectif faute de moyens de contrainte, et de ressources humaines et techniques suffisantes pour assurer ses missions.

A l’heure où la Cour européenne[3] a déjà eu l’occasion de se prononcer notamment sur le système russe de renseignement concluant à une violation de l’article 8 malgré l’existence de recours judiciaire a priori, il semble possible d’étudier le spectre (I) de son activité et de vérifier si elle peut être menacée par les bons baisers de Russie (II) lancés par la Cour européenne.

I – Spectre

Un contrôle a priori de la CNCTR. La loi a mis en place un contrôle à double détente : la commission nationale de contrôle des techniques du renseignement intervient ainsi en première ligne ; le Conseil d’Etat, en section spécialisée, intervient a posteriori.

La loi relative au renseignement a choisi de remplacer la CNCIS par une nouvelle autorité administrative indépendante[4] composée[5] de neuf membres « désignés » au sein du Parlement (4), du Conseil d’État (2) et de la Cour de cassation (2) et une personnalité qualifiée en raison de sa connaissance en matière de communications électroniques[6]. Leur mandat est de six ans et leur président[7] est nommé par décret du Président de la République au sein des magistrats composant la commission. Les membres ne peuvent exercer aucune activité professionnelle ou élective autre que celle peur permettant de composer la Commission. La loi précise en outre que le président ne peut être titulaire d’un mandat électif[8]. Enfin, l’article L. 832-1  CSI ajoute que, « dans l’exercice de leurs fonctions, les membres de la commission ne reçoivent d’instruction d’aucune autorité ». Logiquement habilités, et soumis, au secret de la défense nationale, les membres de la CNCTR ont pour mission de contrôler les activités de renseignement.

Ces missions de contrôle telles que dévolues par la loi (A) peuvent être confrontées à la pratique (B) telle que révélée par le rapport de la CNCTR.

A – La lettre du contrôle

Selon la loi du 24 juillet 2015 sur le renseignement, le successeur de la Commission nationale de contrôle des interceptions de sécurité (CNCIS) est chargé de formuler un avis sur les projets de surveillance des communications nationales. Cette commission intervient également a posteriori pour contrôler la légalité des données glanées aussi bien sur le territoire qu’à l’égard des communications internationales, cette fois en application de la loi du 30 novembre 2015[9].

1. Organisation du contrôle

Missions. La CNCTR veille à ce que les techniques de recueil de renseignement soient mises en œuvre sur le territoire national conformément au livre VIII du CSI[10], sans que son avis ne lie le Premier ministre[11]. Pour ce faire[12], elle :

« 1o Reçoit communication de toutes demandes et autorisations mentionnées au livre VIII ;

2o Dispose d’un accès permanent, complet et direct aux relevés, registres, renseignements collectés, transcriptions et extractions mentionnés au présent livre, ainsi qu’aux dispositifs de traçabilité des renseignements collectés et aux locaux où sont centralisés ces renseignements en application de l’article L. 822-1 ;

3o Est informée à tout moment, à sa demande, des modalités d’exécution des autorisations en cours ;

4o Peut solliciter du Premier ministre tous les éléments nécessaires à l’accomplissement de ses missions, y compris lorsque la technique de recueil de renseignement mise en œuvre n’a fait l’objet ni d’une demande, ni d’une autorisation ou ne répond pas aux conditions de traçabilité, à l’exclusion des éléments communiqués par des services étrangers ou par des organismes internationaux ou qui pourraient donner connaissance à la commission, directement ou indirectement, de l’identité des sources des services spécialisés de renseignement ;

5o Peut solliciter du Premier ministre tout ou partie des rapports de l’inspection des services de renseignement ainsi que des rapports des services d’inspection générale des ministères portant sur les services qui relèvent de leur compétence, en lien avec les missions de la commission ».

Avis facultatif. En vertu de l’article L. 821-4, al. 2, CSI, les avis rendus par la CNCTR sont donc purement facultatifs. En conséquence, on peut aisément constater que la « CNCTR ne dispose d’aucun pouvoir de contrainte directe sur les opérations de recueil du renseignement qu’elle juge illégales »[13]. Le principe consiste en outre à répondre à membre unique[14]. La demande relève de la formation restreinte (hors les parlementaires) ou plénière (en leur présence) en cas de « question nouvelle ou sérieuse »[15] ou de nécessité de s’introduire dans un lieu d’habitation[16]. Si la réponse est formulée par un seul membre, alors ce dernier dispose de 24 heures pour répondre. Si la demande est examinée en formation[17] la réponse est rendue dans les 72 heures[18]. En cas de dépassement des délais impartis, l’avis est réputé rendu. En vertu de l’article L. 833-5, tout avis doit conduire la CNCTR à vérifier que la mesure respecte les principes formulés à l’article L. 801-1 CSI : compétence de l’autorité requérante ; procédure régulière ; respect des missions confiées aux services ; justification au regard des menaces, les risques et les enjeux liés aux intérêts fondamentaux de la Nation mentionnés à l’article L. 811-3 CSI ; proportionnalité de l’atteinte à la vie privée au regard des motifs invoqués.

La CNCTR est également amenée à contrôler la mise en œuvre d’une technique de renseignement. Si une irrégularité est constatée, elle peut demander à ce que les entités responsables cessent de recourir à une telle technique ou détruisent les informations[19]. Le Premier ministre a alors l’obligation d’informer immédiatement la Commission des suites données à cette « recommandation »[20]. S’il n’y procède pas ou si sa réponse ne satisfait pas la Commission, le Conseil d’État[21] pourra alors être saisi[22] par le  Président de la Commission ou encore par trois membres[23].Enfin, en application de l’article L. 822-1 CSI, le recueil du renseignement est accompli sous l’autorité du chef du Gouvernement. Le Premier Ministre doit, à ce titre, organiser « la traçabilité de l’exécution des techniques autorisées » et « les modalités de la centralisation des renseignements collectés ».  A cette fin, un relevé de chaque mise en œuvre d’une technique de recueil de renseignement est établi et laissé en libre accès à la CNCTR[24].

Saisine par un administré. La CNCTR peut également être saisie par toute personne « souhaitant vérifier qu’aucune technique de renseignement n’est irrégulièrement mise en œuvre à son égard »[25]. Toutefois, si la Commission doit notifier à l’auteur de la réclamation « qu’il a été procédé aux vérifications nécessaires », elle ne peut ni « confirmer ni infirmer leur mise en œuvre »[26]. Cette vision assez rétreinte du droit à l’information des administrés, justifiée par la sensibilité intrinsèque aux actes de renseignement, ne manque pas d’interroger à l’aune de la jurisprudence européenne. En effet, devant se prononcer sur des recours judiciaires à l’endroit de techniques de renseignement, la juridiction strasbourgeoise a pu estimer que : « L’effectivité de ces recours est (…) compromise par l’absence d’obligation de donner notification à un stade quelconque à la personne visée par l’interception, et par l’inexistence d’une possibilité satisfaisante de demander et d’obtenir auprès des autorités des informations sur les interceptions »[27].

2. L’exercice du contrôle

Principes généraux. L’article L. 821-1 du code de la sécurité intérieure affirme qu’en principe les techniques de recueil de renseignement sont mises en œuvre par les seuls agents individuellement désignés et habilités, sur autorisation préalable du Premier ministre après avis positif ou non de la CNCTR. Cette autorisation est, conformément à l’article L. 821-2 CSI, délivrée sur demande écrite et motivée des ministres de la défense, de l’intérieur, ou chargés de l’économie, du budget ou des douanes[28]. Cette demande doit comporter six précisions :

  • La ou les techniques à mettre en œuvre ;
  • Le service pour lequel elle est présentée ;
  • La ou les finalités poursuivies ;
  • Le ou les motifs des mesures ;
  • La durée de validité de l’autorisation ;
  • La ou les personnes, le ou les lieux ou véhicules concernés.

L’autorisation est délivrée par le Premier ministre[29] pour une durée maximale de quatre mois et doit comporter les motivations et mentions de l’article L. 821-2[30]. Elle doit par la suite être communiquée sans délai au ministre responsable de son exécution ainsi qu’à la CNCTR. L’alinéa 2 de l’article L. 821-4 CSI précise que si l’autorisation est délivrée après un avis défavorable de la CNCTR, elle doit indiquer les motifs pour lesquels cet avis n’a pas été suivi. En cas d’urgence absolue et pour les seules finalités de l’indépendance nationale, l’intégrité du territoire et la défense nationale, de la prévention du terrorisme et de certaines formes graves de criminalité[31], le Premier ministre peut se passer des services de la CNCTR et répondre directement au Ministre le sollicitant[32]. Au plus tard dans les vingt-quatre heures, il devra aviser la Commission en lui notifiant les raisons à la fois de l’autorisation et de l’urgence[33].

Variété des techniques autorisées par la CNCTR. La loi sur le renseignement organise en premier lieu un accès administratif aux connexions de données. Le Groupement interministériel est chargé de recueillir des données de connexion[34] (métadonnées donc) auprès des fournisseurs d’accès internet, hébergeurs de sites et opérateurs de communications électroniques[35]. La loi permet également d’imposer aux opérateurs et hébergeurs de détecter des connexions susceptibles de révéler une menace terroriste[36] et ce par le truchement d’un algorithme (également appelé « boite noire »)[37]. L’article L. 851-5 CSI permet quant à lui la géolocalisation en temps réel d’une personne, d’un véhicule ou d’un objet. Et dans cette dynamique, l’article L. 851-6 permet l’utilisation d’un IMSI-catcher. Il s’agit d’un dispositif technique recueillant les données techniques de connexion permettant l’identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur ainsi que les données relatives à la localisation des équipements terminaux utilisés[38].

La CNCTR doit également être sollicitée afin d’autoriser des interceptions de correspondances émises par la voie des communications électroniques[39], avec cette précision que la surveillance peut être étendue à une ou plusieurs personnes appartenant à l’entourage d’une personne visée par l’autorisation à la condition qu’il existe des « raisons sérieuses » d’estimer que cette personne est à même de fournir des informations[40]. Si la gestion (comme l’exploitation) des interceptions est confiée au GIC, la CNCTR est censée disposer d’un accès permanent et direct[41].

Il est également possible de recourir à l’utilisation de dispositifs techniques permettant la captation, la fixation, la transmission et l’enregistrement de paroles prononcées à titre privé ou confidentiel, ou d’images dans un lieu privé[42]. La Commission donne pareillement son avis quant à l’accession subsidiaire à des données informatiques stockées dans un système informatique[43]. Les services de renseignement peuvent enfin « accéder à des données informatiques, (…) les enregistrer, (…) les conserver et (…) les transmettre, telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de traitement automatisé de données, telles qu’il les y introduit par saisie de caractères ou telles qu’elles sont reçues et émises par des périphériques audiovisuels ».

Introduction dans un lieu privé ou un véhicule. Nombre des techniques de renseignement ci-dessus évoquées peuvent nécessiter une telle introduction[44]. L’autorisation relève, en principe de la procédure classique. Cependant, s’il s’agit  d’un lieu d’habitation ou d’un véhicule, l’autorisation ne peut être donnée qu’après avis exprès de la CNCTR, statuant en formation restreinte ou plénière[45]. Si la CNCTR émet un avis défavorable, le Conseil d’État est immédiatement saisi soit par le président de la commission soit par un des autres magistrats la composant. En attendant la réponse du palais Royal[46], l’introduction ne peut être réalisée. Il en va autrement s’il s’agit de prévention du terrorisme et si le Premier ministre a prescrit une mise en œuvre  immédiate[47].

B – La pratique du contrôle

Présentation. La loi sur le renseignement a imposé à la CNCTR de dresser chaque année un bilan de son activité[48]. En décembre 2016 la CNCTR rendait ainsi son rapport[49] annuel qui livre, ce que la Commission, appelle « une doctrine »[50]. Observons de manière liminaire que le rapport ne laisse pas trace d’une occasion au cours de laquelle le Premier ministre aurait refusé de suivre l’avis de la CNCTR. Le rapport rappelle que la CNCTR désirait que l’accès aux techniques les plus intrusives fût réservé aux services de renseignement stricto sensu[51], mais le décret du 11 décembre 2015[52] n’a pas suivi ces vœux. Toutefois, si le second cercle est immense la CNCTR précise que ces services n’ont eu que très peu recours à ces techniques en pratique. Par ailleurs, si la question de la boite noire est abordée, la CNCTR laisse clairement comprendre que cela avance lentement puisqu’elle n’a pu examiner qu’un « projet d’architecture général »[53].

Tableau n° 1. Avis préalables émis par la CNCTR entre le 3 octobre 2015 et le 2 octobre 2016 [54].

Les actes. Le rapport relève qu’entre le 3 octobre 2015 et le 2 octobre 2016, la CNCTR a rendu 48 208 avis relatifs à l’accès aux données de connexion en temps différé (art. L. 851-1 CSI). La majorité des avis a eu pour objectif d’identifier des numéros d’abonnement ou de connexion à des sites, ou d’obtenir l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée. 15 211 demandes ont visé à obtenir la liste des appels et des correspondants de la personne surveillée. Le rapport précise que 0,14 % de ces demandes ont fait l’objet d’un avis négatif en raison de leur caractère incomplet ou de l’absence de lien avec l’une des finalités limitativement prévues à l’article L. 811-3 du code de la sécurité intérieure pour recourir à une technique de renseignement[55].

Quant à la géolocalisation en temps réel, le rapport précise que 2 127 avis ont été rendus, et ce en nette progression par rapport à 2015 puisque la CNCTR identifie ici une hausse de 87 %[56]. S’agissant des interceptions de sécurité, 8 538 avis ont été émis par la Commission, le terrorisme étant ici surreprésenté puisqu’il atteint 43% des demandes à partir du 3 octobre 2015[57]. Enfin, 7 711 demandes ont concerné la mise en place des autres techniques de renseignement (balises, IMSI catcher, captation des données informatiques, sonorisation, …).  La CNCTR a préféré présenter les chiffres de façon consolidée. Les informations ne sont donc pas ventilées au nom du secret de la défense nationale[58]. L’article L. 833-9 du code de la sécurité intérieure précise en effet que le rapport de la Commission ne peut contenir d’informations couvertes par ce secret, ni bien évidemment révéler des procédures ou des méthodes opérationnelles des services de renseignement

Les personnes. Le rapport est l’occasion pour la CNCTR de présenter un nouvel indicateur : le nombre d’individus surveillés. Ainsi, entre le 3 octobre 2015 et 2 octobre 2016, 20 282 personnes ont fait l’objet d’une technique de renseignement au moins. Il s’agit néanmoins d’une estimation car tous les intéressés n’ont pas été identifiés et il apparaît complexe d’harmoniser le traitement informatique[59]. Le rapport précise au demeurant que ce chiffre ne prend toutefois pas en considération les accès aux données de connexion en temps différé prévus au deuxième alinéa de l’article L. 851-1 du code de la sécurité intérieure, principalement l’identification des numéros d’abonnement ou de connexion à des services de communications électroniques ainsi que le recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée[60]. Le rapport révèle en outre que 9 624 personnes (soit 47 % du total) ont été surveillées au titre de la prévention du terrorisme, alors que 5 848 personnes l’ont été au nom de la prévention de la criminalité organisée ou des violences collectives.

La procédure prioritaire. Une précision apportée par le rapport semble de première importance quant à la pratique mise en place par la CNCTR en vue d’un traitement plus rapide des demandes présentées comme prioritaires. Il s’agit essentiellement de demandes motivées par la prévention du terrorisme. Non prévue par la loi mais résultant de la pratique instaurée auparavant par la CNCIS, la CNCTR a choisi de reprendre à son compte l’ancienne procédure prioritaire. A titre informel donc, la procédure prioritaire conduit la commission à rendre des avis de manière quasi immédiate puisqu’elle répond ici en moins d’une heure en moyenne[61]. La CNCTR affirme ainsi que lors des attaques terroristes du 13 novembre 2015, elle a pu rendre certains avis en quelques minutes dès lors que les circonstances l’exigeaient et que les éléments soumis à son appréciation le permettaient. Cette adaptation se comprend au regard de la « menace » de l’article L. 821-5 du code de la sécurité intérieure permettant au chef du Gouvernement de court-circuiter la Commission. En instaurant cette procédure prioritaire, la procédure d’urgence est, de facto, réservée à des cas exceptionnels. Plutôt que d’être évincée du contrôle, la CNCTR a donc préféré ajusté temporellement son contrôle aux critères impérieux de l’urgence.

Problème. S’agissant du contrôle a posteriori portant sur les données collectées, le rapport met en exergue l’absence de centralisation quant aux techniques les plus intrusives[62]. Certes, le Groupement interministériel de contrôle (GIC) centralise en ses locaux les recueils de données de connexion en temps différé, les géolocalisations en temps réel et les interceptions de sécurité. La CNCTR dispose d’ailleurs d’un accès direct lui permettant vérifier la conformité des renseignements collectés avec les finalités et l’autorisation initiale. Néanmoins, en ce qui concerne les autres techniques (balise, ISMI catcher, captation dans les lieux privés, recueil et captation de données informatiques), la CNCTR s’est heurté à une absence de centralisation rendant impossible son contrôle. Dans son rapport, la Commission rappelle que la loi, à l’article L. 822-1 CSI, impose au Premier ministre d’assurer la traçabilité de toutes les techniques de renseignement. La CNCTR demande donc à ce que cette centralisation soit mise en place. A titre transitoire, est proposé un stockage informatique au sein des administrations centrales de renseignement[63].

Progrès. En revanche, le rapport permet de constater qu’à la demande du Premier ministre, la CNCTR exerce, à titre expérimental, non pas un contrôle a posteriori comme la loi le prévoit, mais bel et bien un contrôle a priori des communications internationales. Cette extension du contrôle sera expérimentée jusqu’au 31 mars 2017 : avant cette date, « la commission se prononcera sur la pérennisation de ce contrôle, notamment au regard des conditions dans lesquelles il intervient et de l’intérêt qu’il présente pour la protection des libertés publiques »[64].

Les recommandations. Outre les recommandations propres à la mise en œuvre concrète d’une technique de renseignement, la CNCTR tire de l’article 833-10 CSI la faculté d’adresser au Premier ministre les observations qu’elle juge utiles. En dehors de l’algorithme et de la surveillance hertzienne[65], la CNCTR s’est penchée sur une incongruité issue de l’article L.871-2 du Code de la sécurité intérieure. Aux termes de cette disposition, il est acquis que le Premier ministre peut « requérir, auprès des personnes physiques ou morales exploitant des réseaux de communications électroniques ou fournisseurs de services de communications électroniques, les informations ou documents qui leur sont nécessaires (…) pour la réalisation et l’exploitation des interceptions autorisées par la loi ». Survivance de l’ancien article 22 de la loi du 10 juillet 1991[66], cette procédure ne requiert pas l’avis de la CNCTR alors que l’article L. 852-1 issu de la loi sur le renseignement impose cette démarche. Désirant faire prévaloir la loi nouvelle sur le texte ancien, la Commission a recommandé au Premier ministre ne plus recourir à l’article L. 871-2. Le rapport permet d’apprendre que par une note en date du 20 mai 2016, le Premier ministre a décidé de se conformer à cette recommandation en informant les services de renseignement qu’aucune autorisation de mise en œuvre de l’article L. 871-2 du code ne serait désormais accordée en matière de police administrative[67].

Le rapport met enfin en évidence que la CNCTR n’a été destinataire d’aucune alerte[68] relative aux éventuelles violations du cadre juridique des techniques de renseignement. L’article L. 861-3 CSI autorise pourtant les agents du renseignement à recourir à une telle procédure si une violation est constatée…

La loi et sa pratique permettent ainsi d’éclairer le contrôle d’une activité nécessairement secrète. Le rapport est rassurant quant aux intentions de la CNCTR. Si elle se heurte à des problèmes pratiques et logistiques, sa pratique témoigne du fait qu’elle entend jouer un rôle actif dans le contrôle des techniques de renseignement, parfois à côté de la loi mais toujours dans un sens, nous semble-t-il, favorable à un contrôle étendu de l’activité des services.

Reste à s’assurer de l’adéquation du dispositif avec les exigences européennes formulées à l’endroit de la Russie.

II –  Bons baisers de Russie

Le renseignement et son contrôle ne sont bien évidemment pas soumis au seul ordonnancement juridique interne, loin s’en faut. La Cour européenne entend ici jouer un rôle certain. Aussi, pour être parfaitement honnête, il faudrait ici parler en réalité de baisers envoyés vers la Russie… à partir de Strasbourg. Suivant les précédents Klass et Kennedy, la Cour européenne, dans la décision Zakharov en date du 2 décembre 2015[69], s’est en effet astreinte à justifier l’acceptation du contrôle in abstracto (A) du droit russe avant de se prononcer sur l’ingérence disproportionnée (B) que constitue en l’espèce le système d’écoute mis en place en Russie.

A – Un contrôle in abstracto

« L’approche Kennedy ». Saisi par un journaliste russe s’estimant victime d’écoutes illégales pratiquées par le FSB avec la complicité des opérateurs de téléphonie russes, la Cour européenne était confrontée à un problème connu des recours portées contre l’activité des services de renseignement. Il est souvent difficile, voire impossible de savoir si l’on fait ou non l’objet d’une technique de renseignement. Les décisions rendues par le Conseil d’Etat le 19 octobre 2017 le prouvent mieux que n’importe quelle démonstration[70]. Or, en ce que la Convention ne reconnaît pas l’actio popularis, la Cour « n’a pas normalement pour tâche d’examiner dans l’abstrait la législation et la pratique pertinentes, mais de rechercher si la manière dont elles ont été appliquées au requérant ou l’ont touché a donné lieu à une violation de la Convention »[71].

Aussitôt la Cour tempère cette incise pour affirmer « compte tenu des particularités des mesures de surveillance secrète et de l’importance qu’il y a à veiller à ce qu’elles fassent l’objet d’un contrôle et d’un encadrement effectifs ». Il en résulte que la Cour « admet les recours généraux dirigés contre la législation qui régit cette matière »[72]. La Cour rappelle alors sa jurisprudence Klass[73] par laquelle elle avait considéré que :

«  Les lois et pratiques autorisant et instaurant un système de surveillance secrète des communications créaient par leur simple existence, pour tous ceux auxquels on pourrait appliquer la législation, une menace de surveillance entravant forcément la liberté de communication entre usagers des services de télécommunications et constituant par là en soi une ingérence dans l’exercice par les requérants de leurs droits découlant de l’article 8, quelles que soient les mesures prises dans les faits à leur égard »[74].

Cette approche, compréhensive, est toutefois bien trop large. La Cour préfère se référer à « l’approche Kennedy[75](…) la mieux adaptée à la nécessité de veiller à ce que le caractère secret des mesures de surveillance ne conduise pas à ce qu’elles soient en pratique inattaquables et qu’elles échappent au contrôle des autorités judiciaires nationales et de la Cour ». De manière un peu plus resserrée,  un requérant peut ainsi se prétendre victime d’une violation entraînée par la simple existence de mesures de surveillance secrète ou d’une législation permettant de telles mesures si les conditions suivantes sont remplies.

1°/ La Cour prend en considération la portée de la législation autorisant les mesures de surveillance secrète et recherchera à cette fin si le requérant peut éventuellement être touché par la législation litigieuse.  Deux méthodes permettent de le démontrer : soit il appartient à un groupe de personnes visées par les textes, soit la législation concerne directement l’ensemble des usagers des services de communication en instaurant un système dans lequel tout un chacun peut voir intercepter ses communications.

2°/ La Cour tiendra compte de la disponibilité de recours au niveau national et ajustera le niveau de son contrôle en fonction de l’effectivité de ces recours[76].

Application. La Cour ne manque pas d’observer[77] que la législation litigieuse a instauré un système de surveillance secrète exposant tout usager de services russes de téléphonie mobile à l’interception de ses communications sans jamais en être informé. La législation frappe donc directement tout usager des services de téléphonie mobile.

Puisque, aux termes des paragraphes 286 à 300, la Cour en vient à la conclusion que le droit russe n’offre pas de recours effectifs à une personne qui pense avoir fait l’objet d’une surveillance secrète, elle estime que le requérant n’a pas l’obligation de prouver qu’il est exposé au risque de faire l’objet d’une surveillance secrète en raison de sa situation personnelle[78].

En d’autres termes, en raison du caractère secret des mesures de surveillance mises en place par la loi russe, de leur large application et de l’absence de moyens effectifs qui permettraient de contester au niveau interne l’application alléguée de telles mesures, « la Cour estime justifié l’examen in abstracto de cette législation »[79].

B – Ingérence disproportionnée

Fort logiquement, la Cour considère que l’interception secrète de communications de téléphonie mobile, dénoncée par le requérant dans un grief général, constitue une ingérence dans l’exercice du droit garanti par l’article 8[80]. Dès lors, pour trancher la question de savoir si cette ingérence se justifie sous l’angle de l’article 8 § 2, elle est conduite à déterminer si la loi était prévisible (1) dans son application et pouvait faire l’objet d’un contrôle effectif (2).

1. Législation prévisible

« Risques d’abus ».La Cour initie son raisonnement en observant qu’une législation relative au renseignement ne saurait détailler l’intégralité des comportements pouvant justifier la surveillance secrète d’un individu. Les menaces à l’endroit de la sécurité nationale peuvent évidemment prendre plusieurs formes et être dès lors rétives à toute anticipation normative. Néanmoins, la loi irait à l’encontre de la prééminence du droit, « l’un des principes de base d’une société démocratique consacrés par la Convention », si elle amenait le pouvoir exécutif à jouir d’un pouvoir sans limite en matière de sécurité nationale[81]. La Cour européenne a déjà affirmé par le passé que le pouvoir relatif au renseignement devait être défini « avec une clarté suffisante », compte tenu du but légitime poursuivi, pour garantir à l’individu une protection adéquate contre l’arbitraire[82]. Or, en l’espèce, la Cour ne manque pas d’observer que la législation russe relative aux interceptions administratives de communications « ne donne aucune indication sur les circonstances dans lesquelles les communications d’une personne peuvent être interceptées en raison de faits ou d’activités qui mettent en péril la sécurité nationale, militaire, économique ou écologique de la Fédération de Russie ». De cette « latitude quasi illimitée »[83] résultent des « risques d’abus ».

En France, la liste des risques et menaces justifiant que des techniques invasives de renseignement soient mis en œuvre est dressée à l’article L. 811-3. Conformément à l’article liminaire de la loi, il s’agit de renseignements relatifs à la défense et à la promotion des intérêts fondamentaux de la Nation variés : l’indépendance nationale, l’intégrité du territoire et la défense nationale, les intérêts majeurs de la politique étrangère, l’exécution des engagements européens et internationaux de la France et la prévention de toute forme d’ingérence étrangère, les intérêts économiques, industriels et scientifiques majeurs de la France, la prévention du terrorisme ainsi que la prévention des atteintes à la forme républicaine des institutions, des actions tendant au maintien ou à la reconstitution de groupements dissous en application de l’article L. 212-1, des violences collectives de nature à porter gravement atteinte à la paix publique, la prévention de la criminalité, de la délinquance organisées, et de la prolifération des armes de destruction massive.

Le droit français n’apparaît pas plus précis que le droit russe… Au demeurant, la position  de la Cour est immédiatement tempérée par le fait qu’en Russie une mesure d’interception requiert au préalable une autorisation judiciaire. Cette exigence peut ainsi contrebalancer l’absence de précision législative quant au domaine des interceptions. La Cour admet en effet « que la condition de l’autorisation judiciaire préalable constitue une importante garantie contre l’arbitraire ». Une juridiction est en effet à même de « vérifier au cas par cas s’il existe des raisons suffisantes d’intercepter les communications d’une personne donnée »[84]. L’autorité de contrôle doit toutefois présenter certaines qualités pour que l’interception soit conforme au droit conventionnel.

2. Contrôle effectif

Qualités de l’autorité autorisant les techniques de renseignement. La Cour a déjà jugé par le passé que la Convention n’imposait pas que le contrôle fût assuré par une autorité nécessairement judiciaire[85]. Seul importe que l’organe « soit suffisamment indépendant à l’égard de l’exécutif »[86]. Il est certes préférable pour la Cour que le contrôle soit confié à un magistrat, mais un organe non-judiciaire est compatible avec l’article 8 s’il est « indépendant des autorités qui procèdent à la surveillance » et « investi de pouvoirs et attributions suffisants pour exercer un contrôle efficace et permanent »[87].

Concernant l’indépendance, le mode de désignation et le statut des membres de l’organe de contrôle sont pris en compte par la juridiction strasbourgeoise. Sont ainsi suffisamment indépendants les organes composés de parlementaires ou de personnes possédant les qualifications requises pour accéder à la magistrature et nommées soit par le parlement soit par le Premier ministre[88]. Au regard de ces exigences, il apparait que la composition de la CNCTR est à même, sur le papier, de satisfaire au critère d’indépendance. Nonobstant cette perspective, la Cour rappelle que le droit russe, à la différence du droit français, « contient une importante garantie contre la surveillance secrète arbitraire ou systématique »[89]. En effet, toute interception de communications doit faire l’objet, en Russie d’une autorisation judiciaire soumise à motivation. La Cour en vient donc à livrer les critères devant être vérifiés par l’organe de contrôle.

Critères de contrôle. Selon les juges européens, l’organe doit pouvoir vérifier s’il existe des indices permettant de soupçonner un individu de projeter, de commettre ou d’avoir commis[90] des actes délictueux ou d’autres actes susceptibles de donner lieu à des mesures de surveillance secrète ; et la Cour de prendre pour exemple des actes mettant en péril la sécurité nationale. Les critères de nécessité et de proportionnalité doivent pareillement être interrogés. Joue ici un principe de subsidiarité : il faut vérifier s’il est possible d’atteindre les buts recherchés par des moyens moins restrictifs[91]. Le droit russe permet en outre, en cas d’urgence d’avoir recours à une autorisation judiciaire a posteriori. Si une telle pratique a déjà été jugée conforme à l’article 8[92], le droit russe pose quant à lui problème. En effet,  à la différence du droit bulgare, la loi russe « ne comporte pas de garanties suffisantes pour en assurer une utilisation parcimonieuse et limitée aux cas dûment justifiés »[93]. Plus précisément, la loi litigieuse ne limite pas le recours la procédure d’urgence « aux cas impliquant un péril grave et imminent pour la sécurité nationale, militaire, économique ou écologique du pays ». En d’autres termes, ici encore, la loi laisse aux autorités compétentes « une latitude illimitée » pour déterminer les situations permettant de se passer d’un juge : ce qui génère encore, selon la Cour,  « des risques de recours abusif à cette procédure »[94].

Pour enfoncer le clou dans le cercueil de la procédure d’urgence, la Cour observe que le juge n’a pas le pouvoir d’apprécier si le recours à cette procédure était justifié. Il peut simplement se prononcer sur la prorogation de la mesure d’interception au-delà de quarante-huit heures. Par conséquent, « le droit russe ne prévoit pas un contrôle juridictionnel effectif de la procédure d’urgence »[95]. Le système ne garantit dès lors pas que  les mesures de surveillance secrète ne soient pas ordonnées de manière arbitraire[96].

La conclusion est livrée au § 270 :

« La Cour estime donc que le mode de fonctionnement du système de surveillance secrète en Russie donne aux services de sécurité et à la police les moyens techniques de contourner la procédure d’autorisation et d’intercepter n’importe quelle communication sans mandat judiciaire préalable. Si l’on ne peut jamais, quel que soit le système, écarter complètement l’éventualité qu’un fonctionnaire malhonnête, négligent ou trop zélé commette des actes irréguliers (Klass et autres, précité, § 59), la Cour considère néanmoins qu’un système tel que le système russe, qui permet aux services secrets et à la police d’intercepter directement les communications de n’importe quel citoyen sans leur imposer l’obligation de présenter une autorisation d’interception au fournisseur de services de communication ou à quiconque, est particulièrement exposé aux abus ».

La position strasbourgeoise est de nature à susciter de nombreux doutes quant à la conventionalité du contrôle opéré par la CNCTR puisque, quelle que soit la qualité du travail accompli (et le rapport d’activité en atteste), le fait que l’avis soit facultatif ne permet pas au contrôle d’être effectif. L’exécutif a toujours les moyens de passer outre l’avis de la Commission : soit en le contournant par l’urgence, soit tout simplement en ne respectant pas l’avis émis.

En guise de conclusion, il est loisible de constater que les leçons européennes ne sont pas univoques quant à la CNCTR. Si la composition de la Commission apparaît conforme aux critères formulés par la Cour, le contrôle effectué apparaît clairement en deçà des exigences conventionnelles[97]. Le fait que l’avis soit purement facultatif est de nature à faire naître des doutes sérieux quant à la conventionalité du dispositif mis en place par la loi sur le renseignement. La problématique liée à l’absence de centralisation et aux béances des imsi-catchers entache encore davantage l’effectivité du contrôle effectué par la CNCTR. En parallèle, les intentions affichées dans le rapport d’activité de l’autorité administrative indépendante sont de nature à rassurer, la problématique semblant se résoudre à une question de moyens. Gageons que les années à venir nous éclaireront quant à la capacité de la CNCTR à assurer les missions qui lui ont été confiées.

En attendant, s’il est permis d’être optimiste, il est raisonnable de rester méfiant.

[1] Loi n° 2015-912 du 24 juillet 2015 relative au renseignement, JORF n° 0171, 26 juill. 2015 p. 12735, texte n° 2 ; RSC 2015. 761, chron. Ch. Lazerges et H. Henrion-Stoffel ; AJDA 2015, p. 2018, W. Mastor ; JCP G n° 41, 5 oct. 2015., doctr. 1077, com. R. Parizot ; JCP G n° 38, 14 sept. 2015., doctr. 981. par  M. Verpeaux ; Dr. pén. n° 9, sept. 2015, étude n° 17 par O. Desaulnay et R. Ollard ; RSC 2015. 922, nos obs.

[2] Ainsi que la loi 30 novembre 2015 relative aux mesures de surveillance des communications électroniques internationales, rendue obligatoire par la décision n° 2015-713 DC du 23 juillet 2015 (« Loi relative au renseignement », JORF n° 0171 du 26 juillet 2015 p. 12751, texte n° 4).

[3] CourEDH, [GC], Roman Zakharov c. Russie, 4 décembre 2015, req. n° 47143/06.

[4] Art. L. 831-1 CSI.

[5] V. décret du 1er oct. 2015 relatif à la composition de la Commission nationale de contrôle des techniques de renseignement, JORF n° 0228 du 2 oct. 2015, p. 17882, texte n° 26.

[6] Composition qui ne viole pas la séparation des pouvoirs : déc. n° 2015-713 DC, préc., cons. nos 42 et 43.

[7] Francis Delon, ancien Conseiller d’État et secrétaire général de la défense et de la sécurité nationale.

[8] Art. L. 832-2 du code de la sécurité intérieure (CSI).

[9] La loi du 30 novembre 2015 (précit.) relative aux mesures de surveillance des communications électroniques internationales a restauré l’article L. 854-1et créé huit nouvelles dispositions. La CNCTR n’est pas ici requise a priori (art. L. 854-9 CSI). Selon le rapporteur à l’Assemblée : « À la différence du régime des interceptions de sécurité, l’autorisation du Premier ministre n’est pas soumise à l’avis préalable de la Commission nationale de contrôle des techniques de renseignement (CNCTR). Cela est pleinement justifié par la nature des missions, qui concernent l’aspect le plus régalien de l’action de l’État à l’étranger, et dont l’appréciation ne saurait être confiée à une autorité administrative indépendante » (rapport n° 3066).  V. infra quant au contrôle réel.

[10] Art. L. 833-1 CSI.

[11] Art. L. 821-4, al. 2, CSI.

[12] Art. L. 833-2 CSI.

[13] V. Ch. Lazerges et H. Henrion-Stoffel, préc.

[14] Le président ou un magistrat composant la commission

[15] Art. L. 832-3 CSI. La formation plénière est imposée pour les techniques concernant une personne « protégée » (art. L. 821-7 CSI).

[16] Art. L. 853-3.-I CSI.

[17] L’article L. 832-3 précise qu’en cas de partage des voix, celle du président est prépondérante.

[18] Art. L. 821-3 CSI.

[19] Art. L. 833-6 CSI.

[20] Art. L. 833-7 CSI.

[21] Art. L. 833-8 CSI. Cette saisine doit se faire dans le délai d’un mois à compter de la notification de la décision du chef du Gouvernement (art. R. 773-32 CSI).

[22] Conformément au 2° de l’art. L. 841-1 CSI.

[23] Art. L. 833-10 CSI. La loi octroie également à la Commission la possibilité d’adresser au Premier ministre des observations  devant par la suite être communiquées à la délégation parlementaire au renseignement sauf en ce qui concerne les opérations en cours, les échanges avec les services étrangers, ou les informations pouvant mettre en péril l’anonymat d’une personne intéressée par une technique de renseignement.

[24] Aux termes de l’article L. 822-4, destruction, transcription et extraction doivent faire l’objet de relevés similaires.

[25] Art. L. 833-4 CSI.

[26] Le recours devant le Conseil d’Etat procède de la même logique, v. infra les premières décisions rendues en octobre 2016.

[27] CEDH, Zakharov c. Russie, précit., § 298.

[28] Avec cette précision que chaque ministre peut déléguer cette attribution individuellement à des collaborateurs directs habilités au secret de la défense nationale.

[29] Le Premier ministre peut déléguer cette attribution à des collaborateurs directs habilités au secret de la défense nationale.

[30] L’autorisation est par ailleurs renouvelable dans les mêmes conditions et selon les mêmes formes.

[31]  Art. L 811-3 CSI : « a) Des atteintes à la forme républicaine des institutions ; b) Des actions tendant au maintien ou à la reconstitution de groupements dissous en application de l’article L. 212-1 ; c) Des violences collectives de nature à porter gravement atteinte à la paix publique ; 6° La prévention de la criminalité et de la délinquance organisées ; 7° La prévention de la prolifération des armes de destruction massive ».

[32] Art. L. 821-5 CSI.

[33] Une partie du dispositif (art. L. 821-9 abrogé) permettait aux services de renseignement de se passer de l’autorisation du Premier ministre en cas « d’urgence opérationnelle » : menace imminente ou risque très élevé de ne pouvoir effectuer l’opération ultérieurement. La disposition a toutefois été déclarée contraire à la Constitution motif pris que cela portait une atteinte manifestement disproportionnée au droit au respect de la vie privée et au secret des correspondances (Déc. n° 2015-713 DC, préc., cons. n° 29).

[34] Art. L. 851-1, al. 2, CSI.

[35]   Si un individu représente une menace terroriste, la géolocalisation peut être effectuée en continu (art. L. 851-2 CSI).

[36] Art. L. 851-3, I, CSI.

[37] La recherche est anonyme mais si une menace est détectée, la CNCTR doit rendre à un avis permettant de lever le secret (art. L. 851-3, IV, CSI).

[38] L’autorisation est limitée à deux mois renouvelables et un registre des IMSI catchers doit en principe être tenu par la CNCTR.

[39] Art. L. 852-1, I, CSI.

[40] En vertu de l’article L. 852-1, II, il est possible, sous certaines conditions de recourir à un IMSI catcher.

[41] Art. L. 852-1. IV, V, VI CSI.

[42] Art. L. 853-1, I, CSI.

[43] Article L. 853-2 CSI.

[44] Art. L. 851-5, L. 853-1 et L. 853-2 CSI.

[45] Art. L. 853-3, I, CSI.

[46] Vingt-quatre heures au maximum.

[47] Art. L. 853-3, III, al. 2, CSI.

[48] Art. L. 833-9 CSI.

[49] Premier Rapport d’activité 2015 / 2016 de la CNCTR.

[50] Rapport pp. 64, 66, 78, 98, 99 et 120.

[51] Rapport p. 19 et s.

[52] Décret n° 2015-1639 du 11 décembre 2015 relatif à la désignation des services autres que les services spécialisés de renseignement, autorisés à recourir aux techniques mentionnées au titre V du livre VIII du code de la sécurité intérieure, pris en application de l’article L. 811-4 du code de la sécurité intérieure, JORF n° 0288 du 12 déc. 2015 p. 22978, texte n° 28.

[53] Ibidem p. 40

[54] Rapport p. 65.

[55] Rapport p. 67.

[56] Rapport p. 68.

[57] V. tableau p. 69.

[58] Rapport p. 72.

[59] Idem.

[60] Rapport p. 73.

[61] Rapport p. 78.

[62] Idem.

[63] Rapport p. 80. A cet égard, un quotidien révélait en janvier 2016 qu’existait « un trou dans la raquette » concernant les imsi-catchers puisque les modèles achetés ne laissent pas trace de l’intégralité des interceptions.

[64] Rapport p. 46.

[65] V. Décision n° 2016-590 QPC du 21 octobre 2016 « La Quadrature du Net et autres » [Surveillance et contrôle des transmissions empruntant la voie hertzienne], JORF n° 0248 du 23 oct. 2016 texte n° 37.

[66] Loi n° 91-646 du 10 juillet 1991 relative au secret des correspondances émises par la voie des télécommunications, JORF n° 162 du 13 juill. 1991, p. 9167.

[67] Rapport p. 85.

[68] Rapport p. 86.

[69] CourEDH, [GC], Roman Zakharov c. Russie, 4 décembre 2015, req. n° 47143/06.

[70] CE, 19 octobre 2016, M.M., n° 396503 – M.L., n°396505 – M.K., n° 396512 – Mme C., n° 396518 – M.J., n° 396521-  M.I., n° 396524 – M.H., n° 396558 – M.G., n° 396561- M.F., n° 396635-  M.D., n° 396958 – Mme A., n° 397623- M.E., n° 398354- M.B., n° 398356 – M.C., n° 400688 – M.A., n° 401976.

[71] §164.

[72] §165.

[73] CourEDH, GC, 6 sept. 1978, Klass et autres c. Allemagne, req n° 5029/71.

[74] §168.

[75] CourEDH, Kennedy c. RU, 18 mai 2010, req. n° 26839/05.

[76] § 171.

[77] § 175.

[78] § 177.

[79] § 178.

[80] § 179.

[81] § 247. Pour une approche assez similaire v. CJUE, 8 avril 2014, Digital Rights Ireland, C-293/12 et C-594/12.

[82] V. ainsi CourEDH, 6 déc. 2007, Liou c. Russie, req. n° 42086/05, § 56.

[83] § 248.

[84] § 249.

[85] V. ainsi « Klass », § 51, « Kennedy », § 31.

[86] § 258.

[87] § 275.

[88] § 278.

[89] § 259.

[90] La police administrative est à tout le mieux évanescente ici.

[91] § 260.

[92] CEDH, 28 juin 2007, Ekimdjiev c. Bulgarie, req. n° 62540/00, §§ 16 et 82.

[93] § 266.

[94] Idem.

[95] Idem.

[96] V. § 267.

[97] Pour une approche similaire, v. CEDH, 12 janv. 2016, Szabo et Vissy c. Hongrie, req. n° 37138/14.

Nicolas Catelan Antiterrorisme, CEDH , , ,

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.