Perspectives d’acteurs : Étienne Drouard

Le 24 avril 2019, Yaël Braun-Pivet, la présidente de la commission des lois de l’Assemblée nationale et députée La République En Marche des Yvelines et Guillaume Larrivé, député Les Républicains de l’Yonne, ont lancé une commission d’évaluation de la loi relative au renseignement qui invite à préciser le dispositif de cette loi et à renforcer le pouvoir de la délégation parlementaire au renseignement.

En parallèle, dans son dernier rapport d’activité, publié le 25 avril 2019, la Commission nationale de contrôle des techniques de renseignement (CNCTR) a mis en exergue la fragilité du dispositif en vigueur et les restrictions du pouvoir de la commission, notamment en matière d’échanges de données recueillies en France avec les services de renseignement étrangers.

Etienne Drouard, expert des questions de libertés publiques au sein de Renaissance Numérique et avocat associé chez K&L Gates, porte un éclairage sur les enjeux que revêt cette actualité et qui s’inscrivent dans la continuité du débat porté par le think tank en 2015 sur la loi relative au renseignement qui a crée la CNCTR.

Le débat relatif à l’encadrement des services de renseignement semble se rouvrir. Quels étaient les principaux points de vigilance soulevés par Renaissance Numérique lors du débat de 2015 ?

Il y a un lien direct entre ce qui évolue aujourd’hui et ce que l’on a fait en 2015. La position de Renaissance Numérique en 2015 consistait à demander à ce que la Commission nationale de contrôle des techniques de renseignement (CNCTR) ait le pouvoir, non pas le pouvoir d’opposition, mais celui de décision. En 2015, la loi accordait à cette Commission un pouvoir de contrôle seulement formel sur les demandes de mise en œuvre des techniques de renseignement. À ce titre, ce pouvoir formel consistait en cinq points : vérifier qu’une demande de collecte d’informations provenait bien d’un service habilité voulant mettre en place une technique de renseignement, pouvoir invoquer un article du code de la sécurité intérieure, ou du code de procédure pénale ou du code pénal qui existe, justifiant la mise en place d’une telle technique, s’assurer qu’il y ait les bonnes signatures aux bons endroits, s’assurer qu’il y ait bien une description du motif de la mesure, et enfin, s’assurer de la signature par la bonne personne. À aucun moment, cela n’a pu constituer un pouvoir de contrôle sur la proportionnalité de la mesure de renseignement.

La deuxième remarque, c’est que cette Commission, en 2015, ne pouvait pas exercer de pouvoir de contrôle concernant la gestion de la durée de conservation des informations appréhendées par les services de renseignements. Ces deux sujets, à savoir, avoir un vrai pouvoir de contrôle et le fait qu’une information captée ne devienne pas conservée de manière imprescriptible, ne sont pas des sujets originaux et sont présents dans tous les arbitrages entre sécurité et libertés. Ces deux pouvoirs ont donc été assez limités, et ils ont été tellement limités que le législateur en 2015 a créé une voie de recours devant le Conseil d’État. Lorsqu’une personne soupçonnait avoir fait l’objet d’une mesure de surveillance illicite, la Commission pouvait dire s’il y avait eu une mesure de surveillance. Mais si la personne voulait la contester, il fallait aller devant le Conseil d’État avec un réel intérêt à agir, et pouvoir démontrer et non pas seulement soupçonner le fait d’être surveillé (et bien sûr quand on est surveillé on ne le sait pas). C’est en ce sens qu’en renvoyant vers le Conseil d’État, l’illusion de la présence d’un mécanisme juridictionnel indépendant de contrôle des techniques de renseignement a vu le jour. La Commission qui a donc été créée en 2015 était dénuée de tout pouvoir effectif d’appréciation. Une voie procédurale renvoyant vers un juge a été créée, mais in fine, cette dernière n’avait pas pour objet de contrôler l’effectivité d’une technique de renseignement à l’égard d’une personne ou d’une population.

Dans tous les débats de libertés publiques, lorsque la vertu des Hommes est garante des droits et des libertés des personnes, le mécanisme est de facto insuffisamment protecteur. Quatre ans plus tard, nous nous rendons compte que nous avions raison sur le fond. Législativement nous avions tort, puisque la majorité parlementaire de l’époque avait voté la loi, mais sur le fond, et dans tous les pays du monde, ce sont toujours les mêmes choses qui caractérisent les démocraties, à savoir : Croit-on en la vertu des Hommes ? Ou croit-on en la vertu des procédures de contrôle ?

Ce sujet nécessite désormais une évolution. Pas simplement parce que cette Commission a soulevé des difficultés de travail, mais aussi parce qu’il est nécessaire de mettre à jour la définition des techniques de renseignement, et leur mode de gouvernance. Ce n’est pas avec une personne membre d’une Commission que nous allons pouvoir créer un lien entre la vérité technique d’une surveillance et la forme juridique de la demande de surveillance. Ce qui est réexaminé était écrit en 2015. Les conditions permettant d’équilibrer les débats entre sécurité et libertés sont immuables, même si les majorités politiques changent et que les techniques de renseignement se modernisent.

Que pensez-vous des prises de position relatives au lancement d’une Commission d’évaluation de la loi et du dernier rapport d’activité de la Commission nationale de contrôle des techniques de Renseignements (CNCTR), qui proposent de renforcer le contrôle des services de renseignement ?

Certaines choses sont souhaitables et d’autres illusoires. Les échanges d’informations que la Direction générale de la Sécurité extérieure (DGSE) en charge des services extérieurs peut avoir avec les services étrangers ne doivent pas faire l’objet d’un contrôle. Cela doit rester opaque et c’est justement parce que cela l’est que cela peut être efficace. En revanche, lorsque ce sont des services de la DGSE qui collectent des données sur le territoire français pour l’exercice de leurs missions qui se projettent hors de France, cela devrait faire l’objet d’un contrôle des opérations réalisées en France. En France, nous n’avons pas réussi à arbitrer un débat que les Américains ont réussi à avoir en 1974, à savoir : en matière de sécurité versus de libertés publiques, devons-nous faire une différence entre le territoire national et l’étranger ? Et si nous décidons d’opérer cette différence pour mieux protéger nos compatriotes ou les ressortissants ou les habitants du territoire français, alors il serait préférable de placer les activités de la DGSE consistant à collecter les données sur le territoire français sous un contrôle parlementaire et sous le contrôle de la CNCTR. À ce titre, la DGSE affirme être en charge des affaires extérieures et de certaines activités en France. Nous devrions donc avoir la légitimité de pouvoir demander à cette délégation parlementaire au renseignement de rendre des comptes sur les échanges de données qu’elle a avec l’étranger, lorsque ces données ont été collectées en France.

En 1974, les Américains ont réglé le scandale du Watergate au travers d’une loi sur la surveillance consistant à dire que “la surveillance n’est pas bien, sauf lorsqu’elle est utilisée pour surveiller les étrangers”. Elle a posé des garanties pour la protection de la vie privée des citoyens Américains. La DGSE devrait également réfléchir, tout comme l’État français, à organiser ce genre de distinction selon le lieu de collecte des données ou alors les personnes surveillées, par ailleurs, il faut savoir que les accords avec des puissances étrangères pour l’échange d’informations ne sont pas forcément des traités internationaux, mais des accords informels entre administrations. Vouloir documenter et suivre selon le contexte, la région, et les personnes avec lesquelles on échange des informations, consisterait à rendre public le “marché” du renseignement. Or, le propre de l’efficacité de ce marché provient de la rareté de l’information, non pas de sa transparence. Cela me semble donc contre-productif. Sur le terrain étranger, on ne devrait pas aller très loin, mais au moins peut être quand même essayer de poser le critère de l’information collectée sur le sol national, qui elle devrait être soumise à un contrôle souverain d’une procédure française, fut-elle soumise au secret de la défense nationale.

Enfin, concernant la réclamation de moyens de contrôle, il ne s’agit pas là que de moyens humains, il s’agit également de moyens juridiques. Aujourd’hui, il ne faut pas confondre l’accessibilité des données collectées et la finalité de la collecte de ces données. Le second débat a, à mon sens, beaucoup plus d’intérêt. Il y a plein d’enjeux à la collecte de données : économiques, criminels, terroristes. La mission de la Commission consiste à vérifier qu’il n’y ait pas d’abus dans la collecte.

Donc la mission parlementaire d’aujourd’hui ne doit pas consister à empêcher les services de renseignements de faire leur travail, elle consiste à faire cesser une insuffisance de professionnalisme dans l’emploi des techniques de renseignement. Parfois il est nécessaire de surveiller les données de communications électroniques d’un quartier dans lequel il y a 70 000 personnes, mais une fois que l’on a identifié les 50 personnes potentiellement dangereuses, dans la loi française adoptée en 2015 permet encore, une durée de conservation infinie des données des 70 000 autres personnes. Pour le moment, le législateur a pris acte d’une philosophie qui consiste à dire “j’en ai trop pris, je ne sais pas à quoi ça sert, mais on ne sait jamais”, alors qu’on devrait être dans un régime “si j’en ai trop pris, quelles procédures dois-je mettre en place pour m’en apercevoir, afin, au bout d’un certain temps, de supprimer ce qui est devenu inutile”.

Il n’y a pas de sécurité sans finalité de sécurité. Aujourd’hui, nous avons donc une faiblesse de contrôle dans la loi, qui fait qu’une donnée peut être conservée alors que les raisons de sa collecte s’avèrent inexistantes. C’est cela que nous devons améliorer et c’est cela l’objectif d’un travail parlementaire. En 2019, nous avons le droit d’être intelligents pour être efficaces en matière de sécurité et préserver les libertés publiques des personnes qui n’ont rien à faire dans des fichiers de renseignement.

Quelles seraient vos principales recommandations pour faire évoluer cette loi afin de garantir l’équilibre entre sécurité et libertés fondamentales ?

La loi de 2015 a eu la grande vertu d’embrasser toutes les nouveautés qu’ont apportées les communications électroniques, en analysant de fond en comble ce qui s’était passé depuis 1991. Pour rappel, en 1991, une loi sur les écoutes téléphoniques, appelée “loi sur les correspondances émises par la voie des télécommunications” a peut été adoptée. Suite à la condamnation de la France par la Cour européenne des droits de l’Homme, notamment à cause des surveillances arbitraires de personnalités qu’avait organisées François Mitterrand dans le cadre des cellules d’écoutes téléphoniques de l’Elysée. Une loi est donc adoptée en France afin de se mettre en conformité avec les principes de la Convention européenne des droits de l’Homme, et, en 2015, on décide de la mettre à jour.

Sur le fond des débats de sécurité et de libertés, nous avons reculé par rapport aux mécanismes de protection de la précédente Commission issue de la loi de 1991. La Commission nationale de contrôle des interceptions de sécurité (CNCIS), qui précédait à la CNCTR, ne comportait pas beaucoup de membres non plus, ces derniers avaient beaucoup moins de choses à faire, mais ils avaient un vrai pouvoir de contrôle de fond. Quand la CNCTR a été créée en 2015, la modernisation de la loi a permis d’embrasser les réseaux de téléphonies mobiles, les communications e-mails y compris les services de types Telegram, WhatsApp et autres. Il était donc nécessaire de rendre accessibles aux services de renseignement les données issues de ces évolutions techniques ainsi que les données de géolocalisation à l’aide des capteurs d’identifiants de téléphones mobiles. Le problème, c’est que cette mise à jour technologique a abouti à la baisse du niveau de protection procédurale de la de conservation des données.

Il faut donc en 2019, faire ce qui a été fait en 1991 avec la loi sur les écoutes téléphoniques, ce qui a été fait en 1995 avec la loi vidéoprotection (qui s’appelait à l’époque loi vidéosurveillance), et ce qui a ensuite pu être fait en 2013 sur les interceptions des données de géolocalisation à des fins judiciaires : il faut savoir pourquoi des données doivent être captées, la façon dont elles seront captées, et connaître le tri a posteriori sur l’utilité à court ou long terme de ces données collectées. Capter trop n’est pas grave quand on se dote de règles de purge. Sans de telles règles, capter trop ne sert à rien et n’est pas digne de professionnalisme dans une démocratie.