Ce texte restitue la prise de parole d’un membre de La Quadrature du Net à l’occasion d’un colloque organisé par la CNCTR, la Commission nationale de contrôle des techniques de renseignement, à Paris le 14 octobre 2024.
Ces dernières années, les services de renseignement français ont connu une croissante constante et continue de leurs pouvoirs, qu’il s’agisse des ressources budgétaires et humaines dont ils disposent que des prérogatives juridiques dont ils bénéficient. Or, l’enjeu du contrôle démocratique du renseignement – historiquement faible dans ces matières relevant de la raison d’État, et ce particulièrement en France – est largement resté secondaire. Il n’est donc pas surprenant de constater la permanence de véritables « trous noirs » dans le dispositif institutionnel français.
Opacité
Avant d’en venir à ces trous noirs, le premier point qu’il nous faut aborder à trait l’opacité des politiques publiques du renseignement, et la façon dont ce manque de transparence empêche une organisation comme La Quadrature du Net de cultiver une expertise sur le renseignement, et donc de porter une critique correctement informée, et donc perçue comme légitime. Si c’est à l’honneur des deux présidents de la CNCTR que d’avoir accepté, à l’occasion, de nous rencontrer, que dire des silences assourdissants que des parlementaires de la Délégation parlementaire au renseignement, des services eux-mêmes, ont opposé à nos demandes répétées de rendez-vous et d’échange ?
Ce colloque – le premier du genre – est certes bienvenu. Mais il ne permet pas de remédier à l’opacité systémique du champ du renseignement, la manière dont il maintient sciemment tout critique externe à distance, qu’il s’agisse de celle nourrie par des journalistes d’investigation ou de groupes militants attachés à la défense des droits humains. Alors que dans l’histoire du renseignement, en France et dans d’autres pays, c’est presque toujours cette critique externe qui semble avoir permise de remédier aux abus les plus graves, de documenter les illégalités en matière de surveillance, et ce bien sûr en lien avec leurs sources et autres lanceurs d’alerte issus le plus souvent des services.
Cette critique externe ne joue pas seulement un rôle crucial dans le cadre des controverses qui, régulièrement, se nouent autour des servies de renseignement. Elle est aussi nécessaire au travail des organes de contrôle institutionnalisés, ne serait-ce que pour leur permettre d’entendre un autre son de cloche, d’autoriser une forme de pluralisme dans ces matières, et faire en sorte que ces organes puissent être exposés à un autre d’autres points de vue. Cela est de nature à éviter que ces organes ne deviennent inféodés aux services qu’ils sont censés contrôler.
De fait, en dehors des quelques informations ayant filtré via des journalistes, et outre les rares allusions faites par les responsables du renseignement lors d’auditions parlementaires ou par la CNCTR, aucune information officielle n’est fournie en France quant à la nature et le coût des technologies de surveillance déployées par les services pour collecter, stocker et analyser les communications et autres données numériques. L’enjeu de leur imbrication dans les processus de production du renseignement, la nature des marchés publics et l’identité des sous-traitants privés, et même les interprétations juridiques ayant cours au sein des services quant à l’utilisation de ces système, restent également marqués par une grande opacité.
Pour finir, rappelons que cette opacité est d’autant plus illégitime, d’autant plus dangereuse, que depuis la dernière publication de la stratégie nationale du renseignement en 2019, et grâce aux rapports de la CNCTR depuis lors, on sait que l’activité des services dans les matières les plus sensibles sur le plan démocratique – je pense à la surveillance des mouvements sociaux —, sont en forte recrudescence. C’est notamment le cas s’agissant de groupes militants non seulement légitimes en démocratie mais nécessaires pour sortir nos sociétés de leur immobilisme face à la crise sociale et écologique.
Techniques
Outre cette opacité systémique, le droit du renseignement français reste marqué par de véritables trous noirs dans le contrôle de certaines modalités de collecte ou d’analyse des données. Passons donc en revue certaines des plus graves lacune du cadre juridique français.
Le plus significatif reside sans aucun doute dans l’absence de contrôle des échanges de données avec des services de renseignement étrangers. Depuis plusieurs années, la CNCTR demande de pouvoir contrôler le partage de données entre services français et services étrangers. En France, la question est d’autant plus pressante que les flux de données échangés entre la DGSE et la NSA ont connu une augmentation rapide suite à la conclusion des accords SPINS, signés fin 2015.
Or, la loi française exclut explicitement tout contrôle de la CNCTR sur ces collaborations internationales nourries par des services jouissant d’une forte autonomie.
Dans son rapport annuel publié en 2019, la CNCTR admettait que ce trou noir dans le contrôle du renseignement présentait un risque majeur, puisqu’il pourrait permettre aux services français de recevoir de leurs homologues des données qu’ils n’auraient pas pu se procurer légalement au travers des procédures définies dans la loi française. Dans le langage feutré qui la caractérise, la commission estimait qu’« une réflexion devait être menée sur l’encadrement légal des échanges de données entre les services de renseignement français et leurs partenaires étrangers ».
La CEDH a rappelé dans son arrêt Big Brother Watch du 25 mai 2021 que ces échanges devaient être encadrés par le droit national et soumis au contrôle d’une autorité indépendante (§ 362). Pourtant, à ce jour, la France est le dernier État membre de l’Union européenne à ne disposer d’aucun cadre juridique pour encadrer ces échanges internationaux.
Un autre de ces trous noirs est bien sûr l’immunité pénale liée à l’article 323-8 du code pénal et l’absence de tout encadrement législatif des activités de piratage informatique menées par les services français sur des équipements situés hors des frontières nationales. Cette absence d’encadrement conduit à ce que de telles activités soient de facto illégales, tandis que l’immunité pénale apparaît contraire à l’article 32(b) de la convention de Budapest sur la cybercriminalité. ce serait en l’état du droit parfaitement illégal.
Autre forme de surveillance non couverte par la loi et donc tout aussi illégale : la surveillance dite « en source ouverte » (OSINT), notamment sur les réseaux sociaux comme Facebook ou X – une activité sur laquelle peu de choses ont fuité dans la presse mais dont on sait qu’elle a pris une importance croissante ces dix dernières années. L’achat de données aux data brokers n’est pas non plus régulé en droit français. Or cette activité qui a fait la controverse aux États-Unis, n’est pas non plus régulé en droit français, alors que rien ne permet de penser qu’elle ne soit pas aussi coutumière pour les services français.
Droits et garanties
Le droit français présente également d’énormes lacunes du point de vue des droits apportés aux personnes surveillées.
Le droit à l’information tout d’abord. Il s’agit-là d’un principe essentiel dégagé par la jurisprudence européenne : les personnes ayant fait l’objet d’une mesure de surveillance secrète doivent pouvoir en être informées, dès lors qu’une telle information n’est plus susceptible d’entraver l’enquête menée à leur encontre par les services. Dès son rapport publié en janvier 2018, la CNCTR passait en revue la jurisprudence afférente et mentionnait plusieurs exemples de législations étrangères – la loi allemande notamment – garantissant une procédure de notification des personnes surveillées, prévoyant un certain nombre d’exceptions étroitement limitées.
Il y a enfin l’absence de pouvoirs octroyés à la CNCTR pour tenir en échec des formes de surveillance illégale, et notamment l’absence d’avis conforme. Le Conseil d’État rappelait pourtant dans son arrêt du 21 avril 2021 relatif à la conservation généralisée des données de connexion que ce dernier était une exigence du point de vue du droit de l’Union européenne. Dans cette décision qui donnait largement gain de cause au gouvernement, le Conseil d’État se fondait sur l’arrêt La Quadrature du Net de la CJUE, en date d’octobre 2020, pour exiger que les avis rendus par la CNCTR sur les mesures de surveillance soient « conformes » (c’est-à-dire impératifs pour le gouvernement) et non plus simplement consultatifs.
Ces quelques aspects, loin de donner un aperçu exhaustif de tous les problèmes posés par le droit français en matière de surveillance numérique conduite par les services de renseignement, suffit à illustrer le fait que, en dépit des compliments reçus par la France de la part d’un certain rapporteur de l’ONU à la vie privée qui restera de triste mémoire, la France a encore beaucoup à faire pour se hisser au niveau des standards internationaux, lesquels devraient pourtant être considéré comme un socle minimal dans tout État de droit qui se respecte.
2025 marquera les 10 ans de la loi renseignement. Pour continuer notre travail sur la surveillance d’État l’année prochaine, nous avons besoin de votre soutien. Alors si vous le pouvez, faites un don à La Quadrature du Net.