Nous avons le plaisir de recevoir M. Jean-Marie Delarue, président de la Commission nationale de contrôle des interceptions de sécurité (CNCIS), pour une audition sur le projet de loi relatif au renseignement dont notre commission s'est saisie pour avis. Je sais que notre commission vous est moins familière que celle des Lois, monsieur Delarue, et je vous remercie d'avoir répondu à notre invitation.

Le renseignement, l'une des priorités du Livre blanc sur la défense et la sécurité nationale, a fait l'objet d'un long travail avant d'aboutir au texte dont nous allons discuter. Le projet de loi prévoit notamment de faire évoluer l'autorité administrative que vous présidez, qui sera rebaptisée Commission nationale de contrôle des techniques de renseignement (CNCTR). Je vous laisse la parole pour que vous puissiez nous donner votre avis sur ces évolutions.

Merci, madame la présidente, de votre accueil. Mesdames et messieurs les députés, je suis heureux de pouvoir m'expliquer devant vous sur ce projet de loi, car la commission de la Défense aura un point de vue très utile à faire valoir lors du débat parlementaire.

Avant d'en venir au projet de loi lui-même, je voudrais esquisser les grandes évolutions à venir du monde du renseignement, telles que je les perçois. Tout en sachant que la CNCIS est familière à certains d'entre vous, je voudrais aussi vous dire un mot de sa situation actuelle, ce qui me permettra d'évoquer plus facilement la place réservée au contrôle dans le nouveau texte.

Sur les évolutions du monde du renseignement, je vais m'efforcer d'être à la fois bref et aussi précis que possible. D'abord, et permettez-moi d'y insister puisque c'est mon métier, il faudra veiller à l'équilibre entre les nécessités des services de renseignement et les droits individuels. Cet équilibre doit être respecté de tout temps ; le problème se pose aujourd'hui comme il se posait en 1991, lors de l'adoption de la loi créant la CNCIS. Ensuite, il faudra compter avec la rapidité des évolutions technologiques. Dois-je rappeler que, lorsque vous avez adopté la loi de 1991, internet n'en était qu'à ses balbutiements et que le numérique n'existait pratiquement pas, en tout cas pas sous ses formes actuelles ?

D'autres points méritent d'être mentionnés.

À mes yeux, il y a un effacement de la distinction entre les techniques qui sont intrusives et celles qui ne le sont pas. La loi de 1991 a entériné cette distinction : les interceptions téléphoniques, qui permettent d'écouter des conversations, sont considérées comme plus intrusives que les recueils de données de connexion de téléphones ; elles font donc l'objet d'une vigilance particulière. Cette distinction va s'effacer parce que, d'une part, les techniques de surveillance deviennent multiples et successives, et que, d'autre part, certaines d'entre elles, qui n'étaient pas nécessairement intrusives au départ, le deviennent par l'emploi qui en est fait. La géolocalisation par repérage des communications téléphoniques permet de situer une personne. Or il n'est pas indifférent de savoir que je suis au cinéma au lieu d'être parmi vous. Les données qui peuvent être recueillies sur une personne forment un tout progressivement indissociable.

La deuxième évolution m'incite à penser que nous avons vécu l'âge d'or des interceptions de sécurité : la cryptologie se répand à grande vitesse et ses procédés deviennent si efficaces que chacun d'entre nous peut avoir recours, pour son ordinateur personnel, à des systèmes qui vont empêcher le service de police intéressé de se saisir de données. Ces procédés devenant à la portée du premier venu, une course s'engage entre la cryptologie et le décryptage.

Troisième élément nouveau : le contrôle consiste à écouter des conversations et à lire leur transcription par les services de police alors qu'à l'avenir il devra porter sur les instruments employés par ces services. Or ces instruments sont de plus en plus compliqués. Pour avoir une vision de ces instruments, il faudra disposer d'une très forte technicité, faute de quoi nous ne contrôlerons rien de ce que voudront faire les services. Le projet de loi qui vous est soumis évoque un instrument qui se branche sur le réseau des opérateurs téléphoniques et qui permettra de faire des analyses. Fort bien. Mais quelle maîtrise aura la CNCTR de cet instrument ? Comment saura-t-elle quels renseignements vont être tirés par les services de ce qu'ils vont brancher sur les réseaux des opérateurs ? Le contrôle va devenir beaucoup plus élaboré.

Dernier point : l'importance de l'international car, si la loi est territoriale, la criminalité et le terrorisme se jouent des frontières. Notre loi nationale doit se positionner par rapport à cette réalité et à des gens qui sont extrêmement mobiles. Dans ce contexte, que sait-on de la nationalité des données numériques ? À peu près rien. Nous sommes devant un droit insaisissable. Que peuvent les services sur ces données ? À qui appartiennent-elles ? On n'en sait à peu près rien. Il faudra régler ces questions.

Sans vouloir insister sur ces perspectives de long terme, je voulais les évoquer avant d'aborder le projet de loi et notamment la situation de la CNCIS, l'organe de contrôle actuel. La CNCIS a été créée par la loi du 10 juillet 1991 pour répondre à une situation de crise, à la suite d'incidents majeurs sur les écoutes téléphoniques. Elle est composée de trois membres, dont deux parlementaires, et présidée par un magistrat. Mon prédécesseur appartenait à la Cour de cassation et, pour ma part, je viens du Conseil d'État. De par sa pratique, cet organe de contrôle a acquis plus de pouvoirs que le législateur ne lui en avait donnés : elle rend un avis préalable alors que la loi ne prévoyait qu'un avis a posteriori.

L'image de la CNCIS n'est pas bonne. D'abord, elle est mal connue, ce qui m'est éperdument égal. Surtout, on dénonce souvent sa pauvreté et son manque de moyens. D'une manière paradoxale, au vu des déclarations de certains anciens responsables policiers après les tragédies de janvier, la CNCIS serait pourtant une empêcheuse de tourner en rond qui gênerait l'action policière. Soulignons cette double lecture.

La Commission joue quatre rôles : elle contrôle les interceptions de sécurité ; elle contrôle a posteriori le recueil des données de connexion qui est effectué par une personnalité qualifiée différente ; avec d'autres personnes publiques et sous l'égide de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), elle contrôle les matériels de surveillance employés pour s'introduire dans la vie privée des gens ; en vertu de la loi de programmation militaire, depuis le 1er janvier dernier, elle est compétente en matière de géolocalisation en temps réel d'une personne via son téléphone portable. La CNCIS doit donner un avis préalable lorsque les services demandent la géolocalisation en temps réel d'une personne, et elle effectue un contrôle a posteriori.

Quelles sont les modalités du contrôle de la CNCIS ? J'aimerais insister sur cet aspect, décisif pour apprécier le projet de loi. Nous contrôlons toutes les demandes qui nous sont présentées, sans exception. Les services le savent et nous entretenons avec eux un dialogue constant et fructueux sur la manière dont ils opèrent. Leurs demandes motivées doivent se rapporter à l'une des cinq finalités prévues dans la loi de 1991 : la sécurité nationale, la prévention du terrorisme, les intérêts économiques essentiels, la reconstitution de mouvements dissous, la criminalité organisée.

En dehors des membres que j'évoquais précédemment, la CNCIS compte trois cadres de la catégorie A. Chacun de nous examine toutes les demandes. Nous procédons ensuite à un échange. Quel avis convient-il de donner ? En cas d'avis favorable, faut-il l'assortir de remarques ? Il nous arrive, par exemple, de raccourcir les délais, le temps que la personne soit identifiée. Quoi qu'il en soit, les décisions sont toujours prises de manière collégiale.

Quels sont nos critères de jugement ? Nous veillons, cela va sans dire, à la légalité, au respect de la loi. Même si la CNCIS n'est pas une juridiction, nous avons aussi, dès sa création, dégagé une sorte de jurisprudence. C'est ainsi que nous avons toujours jugé que l'on ne pouvait écouter les conversations téléphoniques d'une personne que si elle était directement et personnellement impliquée dans une affaire relevant de l'une de cinq finalités précitées. En ce qui concerne les détenus, le délai est toujours raccourci de quatre mois à deux mois car il est facile de judiciariser leur affaire.

Nous faisons évidemment attention aux informations sensibles et nous gardons le secret absolu sur les dossiers. Pour reprendre l'image employée par le président de votre commission des Lois, dans ce pays, on pêche à la ligne et non pas au chalut.

Le Premier ministre est libre de sa décision mais nous représentons en quelque sorte sa garantie contre le risque politique ou pénal d'ordonner une écoute qui ne serait pas légale. C'est sans doute la raison pour laquelle la très grande majorité de nos avis sont suivis, étant précisé que nous donnons peu d'avis défavorables.

Pour terminer par l'essentiel, je signale que nous avons un contrôle a posteriori : une fois l'avis préalable donné, nous observons ce qu'il se passe. Tous les produits des écoutes, qu'il s'agisse d'enregistrements ou de transcriptions, sont à notre disposition. À tout moment, il nous est loisible de savoir ce que font les services de l'écoute autorisée. Nous pouvons ainsi savoir si le service remplit les conditions qui lui ont été fixées ou s'il s'en écarte, par exemple en dépassant un délai.

En outre, en cas de demande de renouvellement d'interception, nous saurons si la motivation correspond à la réalité des enregistrements et des transcriptions. C'est pour nous la seule manière de vérifier la sincérité des services. L'autre jour, on nous a soumis une demande motivée par le fait que la personne surveillée se documentait sur les méthodes de torture. En fait, à l'écoute des transcriptions, nous avons entendu l'un des interlocuteurs de cette personne parler des tortures mentionnées dans un livre sur la guerre de 1914-1918 qu'il était en train de lire. C'est un cas d'excès mais les services peuvent pécher par retrait en ne nous disant pas tout ce qu'il faudrait nous dire. Cet accès au contenu des enregistrements et aux transcriptions nous permet donc d'avoir une vue de ce qui se passe mais aussi de la sincérité des services, et c'est très important.

Venons-en au projet de loi. Il me semble qu'il doive obéir à des principes que j'ai définis dans l'avant-propos du dernier rapport annuel que nous avons publié il y a quelques semaines.

Premier principe, que j'ai cité d'emblée : veiller à l'équilibre entre les nécessités de la sécurité et les droits de la personne.

Le deuxième principe, qui découle du premier puisque c'est la condition majeure de l'équilibre, est d'articuler un système à quatre piliers : un service qui fait une demande ; une commission de contrôle qui examine cette demande et rend un avis ; une autorité politique de haut niveau qui prend la décision ; un organisme indépendant des services qui exécute les opérations pour leur compte. En matière d'interceptions, c'est le groupement interministériel de contrôle (GIC), sis aux Invalides, qui s'adresse aux opérateurs et réalise les opérations matérielles nécessaires pour procurer les enregistrements aux services. Cette structure en quatre piliers distincts, voulue par le législateur en 1991, est l'armature essentielle d'un bon système.

Troisième principe : répondre aux besoins des services qui, dans le contexte actuel, sont très importants. Il faut élargir les possibilités techniques – je précise que je n'ai aucun état d'âme sur ce point – mais, en contrepartie, il faut faire cesser les zones grises ou les illégalités.

Quatrième principe : s'intéresser, même d'assez loin, aux flux internationaux et à ce que peuvent faire les services en dehors de nos frontières.

Cinquième principe : avoir un contrôle indépendant et unifié, c'est-à-dire qu'il faut éviter sa pulvérisation entre différentes instances.

Sixième et dernier principe : le contrôle doit s'exercer a priori et a posteriori.

Examinons le projet de loi lui-même, au regard de ces principes et pratiques. Il est opportun car le statu quo était impossible, au point même que mes prédécesseurs avaient demandé à plusieurs reprises un nouveau texte pour les raisons que j'ai évoquées, notamment l'évolution technologique.

À ce stade, je voudrais ouvrir deux parenthèses personnelles qui n'engagent pas la Commission. Premièrement, je suis moyennement convaincu par l'argument selon lequel il faudrait une loi sur le renseignement parce que tous les pays démocratiques en ont une. L'organisation des services de renseignement étant essentiellement réglementaire, c'est au Gouvernement qu'il appartient de la définir. Quant au projet de loi, il doit traiter des atteintes aux droits des personnes qui relèvent de l'article 34 de la Constitution, et, éventuellement, de la protection pénale des agents. Deuxièmement, je suis ouvert à la nécessité de donner de nouveaux moyens d'investigation aux services, et il me semble envisageable d'aligner ces moyens de police administrative sur ceux déjà reconnus à la police judiciaire en vertu des articles 100 et suivants du code de procédure pénale.

J'en reviens aux principales conclusions de la CNCIS, consultée par le Gouvernement sur ce projet de loi. J'insiste sur un point : alors que le texte consacre un élargissement sensible des moyens des services et l'augmentation du nombre de personnes susceptibles d'être surveillées, le contrôle n'aura pas les moyens dont il dispose actuellement.

Je ne conteste pas l'élargissement des moyens des services. Qu'en est-il de l'augmentation du nombre de personnes susceptibles d'être mises sous surveillance au moyen d'instruments divers et variés qui vont entrer dans le déroulement de leur vie privée ? Trois dispositions portent sur cette surveillance.

Tout d'abord, l'article L. 811-3 étend très sensiblement les motifs justifiant d'un éventuel recours à des instruments de surveillance, c'est-à-dire aux techniques de renseignement qui sont énumérées dans la loi. Les services spécialisés peuvent notamment y recourir pour le recueil de renseignements relatifs aux « intérêts essentiels de la politique étrangère et l'exécution des engagements européens et internationaux de la France ». Ce point nous préoccupe en ce qu'il permet de viser extrêmement large. Nous n'étions pas opposés à l'extension des motifs, notamment pour couvrir ce que l'on appelle le hooliganisme, c'est-à-dire les violences répétées et préméditées dans les stades, qui ne relèvent ni de la criminalité organisée, ni d'une atteinte à la sécurité nationale, ni du terrorisme. J'approuve la prise en compte de ce phénomène dans le projet de loi.

Ensuite, les techniques de renseignement employées ne couvrent plus une seule personne ; selon le dispositif employé, la surveillance peut s'étendre à plusieurs milliers de personnes. Prenons trois exemples de surveillance touchant un nombre de croissant de personnes. Dans une pièce d'habitation ou une chambre d'hôtel sonorisée, plusieurs personnes peuvent passer et se trouver ainsi visées. En application de l'article L. 851-7, on pourra aussi utiliser des dispositifs mobiles de proximité pouvant capter, dans un rayon de l'ordre de 500 mètres à un kilomètre, les données de connexion de téléphones et aussi, en cas de terrorisme, les communications elles-mêmes. Supposez qu'un instrument de cette nature soit placé à la gare du Nord où ont transité 190 millions de personnes en 2008. Même en tenant compte du fait qu'il y a des voyageurs réguliers, cette surveillance concernerait un grand nombre de gens… Quant à l'article L. 851-6, il prévoit l'analyse de tout ce qui passe par le réseau d'un opérateur qui couvre des millions de communications. Nul besoin d'épiloguer. L'accumulation supposée admise de ces données nécessitera un tri pour éliminer celles qui sont inutiles à l'enquête et qui peuvent représenter 99,9 % du total. Dans quelles conditions va-t-on éliminer puis détruire ces données inutiles ? L'article L. 822-2 prévoit des délais de conservation très substantiels allant jusqu'à cinq ans pour les données de connexion.

Enfin, le troisième motif d'accroissement du nombre de personnes susceptibles d'être surveillées tient à l'article L. 852-1 qui porte sur les seules interceptions mais nous fait sortir de la jurisprudence sur l'implication directe et personnelle. Cet article prévoit d'autoriser l'écoute de celui qui est soupçonné d'une infraction grave mais aussi de membres de son entourage qui « volontairement ou non » lui servent d'intermédiaire ou peuvent fournir des informations sur l'affaire. Autrement dit, on s'intéresse non seulement à la personne directement impliquée mais aussi à son « relationnel ». Je crains qu'il n'y ait pas beaucoup de limites précises. On pourra ainsi mettre sur écoutes un chauffeur de taxi ayant transporté un trafiquant de drogues. Pourquoi pas, me direz-vous, puisqu'on pourrait tout aussi bien l'interroger dans le cadre d'une enquête de police ? Certes, mais dans le cas d'espèce, les moyens utilisés sont particulièrement intrusifs. C'est toute la différence. Le principe de proportionnalité, que la loi proclame dans ses premiers articles, est-il respecté ? Il doit y avoir un rapport entre la gravité de l'infraction et celle de l'intrusion.

Voilà pourquoi, dans l'avis rendu au Gouvernement, nous nous sommes déclarés préoccupés par cet élargissement.

Tout cela n'aurait peut-être pas trop de conséquences si le contrôle ne se trouvait pas un peu dépourvu, comme nous en avons l'impression. Disant cela, j'ai conscience d'aller à l'encontre de la parole du Gouvernement qui s'emploie à dire que la CNCTR aura, au contraire, des prérogatives et des moyens supérieurs à la CNCIS. Je crains qu'il n'y ait eu un petit effet d'optique : la CNCIS est réputée pour son peu de moyens, ce que, pour ma part, je n'ai jamais soutenu.

Qu'est-ce qui me permet d'avancer cet argument sur l'affaiblissement du contrôle ? Dans le système actuel, qui repose sur quatre piliers, la CNCIS a accès aux données complètes recueillies par la GIC, donc par les services de police. À l'avenir, toutes les demandes de mise en oeuvre de techniques de surveillance ne passeront pas par la CNCTR. Il est notamment prévu une procédure d'urgence absolue qui permet aux services d'envoyer leur demande directement au Premier ministre, sans passer par la CNCTR. Or un service de police peut facilement organiser sa propre urgence absolue.

En outre, certains dispositifs de surveillance ne nécessiteront ni avis de la CNCTR ni même autorisation du Premier ministre. À cet égard, l'article L.851-6 se révèle très compliqué sur le plan des libertés. L'autorisation d'une mesure de localisation en temps réel d'une personne, d'un véhicule ou d'un objet pourra se faire dans les quarante-huit heures. Or les données recueillies doivent être exploitées très rapidement pour ne pas devenir obsolètes et inutiles.

De plus, la CNCTR ne sera pas en état de contrôler les dispositifs techniques employés par les services. On nous annonce que des algorithmes capables de trier les données et de permettre de repérer les personnes ciblées pourront être placés sur les réseaux d'opérateurs. En l'état, faute de disposer de la très forte technicité en informatique nécessaire, je suis incapable de dire si ces algorithmes correspondent effectivement à ce que le service va m'affirmer. Sans compter que pour entrer dans le système mis en place, le service devra me donner lui-même les instruments qui me permettront de le contrôler. Le problème pourra éventuellement être réglé par le recrutement, au sein de la CNCTR, d'informaticiens aux compétences très développées. Je préférerais que cela soit dit.

Enfin, la CNCTR sera dépourvue d'un accès direct aux données. Le projet de loi organise un travail de greffier du GIC et des services, qui devront consigner très scrupuleusement sur des registres ad hoc les mesures exécutées. On pourra trouver la trace des autorisations et de leurs résultats. Mais entre la trace et la réalité, il peut y avoir beaucoup de choses ! Pour fréquenter les services depuis des années, je sais que ces gens font un métier formidable et difficile, mais aussi que le principe de véracité n'est pas ce qu'ils apprennent en priorité. Selon l'article L. 822-1, le Premier ministre veillera à la centralisation des renseignements collectés. Cette disposition m'intéresse énormément tout en me laissant sur ma faim : après avoir entendu des explications orales, j'ai cru comprendre que l'on n'avait pas envie de trop centraliser car ce serait très dangereux pour la sécurité des données. En réalité, il faut sécuriser les locaux.

Pour le reste, la CNCTR devra donc aller à la pêche aux données dans les locaux de chaque service. Actuellement, les enregistrements des transcriptions se trouvent dans nos locaux. À l'avenir, il faudra aller frapper poliment à la porte des services situés à Levallois-Perret ou boulevard Mortier à Paris. On nous y recevra si on veut. Dans quelles conditions et dans quels délais ? Dans une version antérieure du projet, la CNCTR avait le droit de demander le transport dans ses locaux de certains dossiers, à condition que la vulnérabilité de ces derniers ne soit pas mise en péril. Même si cette disposition était rétablie, il n'en demeurerait pas moins que la vulnérabilité – appréciée par le service – pourrait toujours faire obstacle à la transmission du dossier. La CNCIS tire sa force du fait qu'elle voit tout et dans ses propres locaux.

À mon avis, toutes ces restrictions sont beaucoup plus importantes que les moyens supplémentaires accordés, étant entendu que je ne conteste ni l'intérêt de renforcer les effectifs de la Commission – à vrai dire, je n'en souhaitais pas tant car je pense qu'elle peut être gérée par un petit noyau de gens – ni le recours juridictionnel au Conseil d'État. Tout cela est très important, mais si vous ne donnez pas à la CNCTR les moyens d'avoir prise sur les données brutes du contrôle, vous bâtissez un colosse aux pieds d'argile. Étant un peu expert en matière de contrôle depuis quelques années, je me permets de vous le dire. Si le contrôleur n'a pas accès aux données, il ne contrôlera que ce que l'on voudra bien lui donner et qui ne correspondra pas à la réalité.

Pour conclure, je me réjouis de l'arrivée ce projet de loi qui correspond vraiment à un besoin. Qui s'en plaindrait après les tragédies que nous avons vécues, dans le contexte menaçant que nous connaissons ? Ce texte réaliste part des besoins des services dont certains étaient très demandeurs de légalité. Cependant, nous pensons qu'il faut opérer un petit rééquilibrage.

Les problèmes de contrôle que vous avez soulevés doivent-ils être résolus par des mesures législatives ou par l'octroi de moyens supplémentaires à la nouvelle autorité administrative ?

Certaines modifications relèvent à l'évidence de la loi : ce qui a trait au traitement et à la conservation des données, qui sont des informations d'ordre privé ; ce qui peut être fait pour expliciter et compléter l'article L.822-1 sur la centralisation des données par le Premier ministre, en prévoyant notamment un accès de la Commission à ces données ; la suppression éventuelle – que je souhaite – de la procédure d'urgence absolue qui fait l'économie du contrôle par la CNCTR.

En revanche, le Gouvernement peut décider des moyens accordés à la CNCTR. En réalité, je n'ai pas besoin de grand monde sinon de techniciens et d'un nombre suffisant de personnes pour assurer une prise de décision collective. Neuf membres, c'est trop : ils ne vont pas se réunir tous les jours pour suivre les demandes ; ce sont les services qui s'en chargent. La CNCIS – composée en majorité de parlementaires – est chargée de fixer la jurisprudence, un rôle qu'elle a parfaitement tenu depuis 1991. Je souhaite vivement la présence de parlementaires ; on a rajouté des magistrats, ce qui est très bien, mais il me semble que cinq membres au total suffiraient. La Commission doit compter des spécialistes du droit car nous y jugeons de la légalité de procédures, mais aussi des experts en réseaux informatiques capables d'apprécier la technicité que j'évoquais. Ces dispositions n'ont pas à figurer dans la loi, pas plus que celles concernant la majorité requise pour saisir le Conseil d'État qui me semblent relever du règlement intérieur de la CNCTR. À mon avis, la loi s'immisce un peu trop dans la vie interne de la CNCTR, une autorité indépendante.

Monsieur le président, je vous remercie pour cet exposé qui a le mérite de poser de bonnes questions, même si je ne suis pas sûr que tous les membres de la commission de la Défense partagent vos craintes. Fort de votre expérience, vous plaidez un accès de la CNCTR à toutes les interceptions de sécurité, mais la forte croissance prévisible de leur volume risque de poser un problème.

Vous craignez que le contrôle ne dispose pas des moyens nécessaires à son action. S'agissant de l'article L.852-1 sur la capillarité des écoutes, vous vous interrogez sur le respect du principe de proportionnalité. Pourquoi êtes-vous aussi dubitatif alors que le texte donne à la CNCTR la mission de vérifier cette proportionnalité, via le contrôle des techniques de renseignement ?

Dans le texte, je ne vois pas ce qui vous interdit d'aller à la source dans les services. Cela étant, cette démarche suppose une augmentation des moyens humains de la Commission. À combien estimez-vous les besoins en personnels juridiques et techniques, compte tenu des évolutions de volume de données que vous anticipez ?

Ma dernière question porte sur le recours juridictionnel. Si vous avez le sentiment que l'on vous cache des choses, que le Premier ministre fait systématiquement l'inverse de ce que vous préconisez, vous avez la possibilité d'un recours juridictionnel. Selon vous, si l'on permettait la saisine du Conseil d'État par une minorité des membres de la CNCTR, est-ce que cela offrirait une meilleure protection des droits et des libertés individuelles ou est-ce que cela ne changerait rien ?

Vous avez tout à fait raison de penser que nous allons assister à une augmentation très sensible des volumes. Selon le dernier recensement, qui date de 2013, 37 000 données de connexion ont été recueillies dans le cadre de la loi de 2006 sur la prévention du terrorisme et 321 000 l'ont été pour d'autres motifs tels que la criminalité organisée. Signalons que le contrôle d'une donnée de connexion demande relativement peu de temps alors que nous devons nous appesantir quand il s'agit d'interceptions téléphoniques.

Je ne maîtrise pas les flux à venir. Pour la géolocalisation en temps réel, qui a commencé le 1er janvier dernier dans le cadre de l'application de la loi de programmation militaire, nous avions prévu une montée en puissance assez raide. En fait, nous avons reçu moins de 200 demandes depuis trois mois, ce qui est relativement faible. Les demandes vont certes augmenter au fur et à mesure que les services vont s'habituer à cette mesure, mais elles sont moins élevées que ce que nous avions anticipé. La personnalité qualifiée qui se prononce sur les demandes de données de connexion est installée dans les locaux voisins des nôtres. Son responsable avoue que, certains jours, ils « se battent un peu les flancs ». Malgré ces incertitudes, nous avons évalué à vingt-cinq au maximum, le nombre d'agents collaborateurs nécessaire pour effectuer un travail convenable.

La capillarité est un sujet plus délicat et important. Vous avez raison, la Commission a pour mission de veiller au respect du principe de proportionnalité et elle s'adaptera au texte que vous adopterez. Si vous décidez d'élargir la surveillance aux relations de la personne visée, nous trouverons des jurisprudences pour essayer de bâtir quelques limites. Nous jouerons notre rôle.

Cet article, qui prévoit d'autoriser l'écoute de membres de l'entourage de la personne soupçonnée, découle aussi de la jurisprudence appliquée par la CNCIS et qui ne figure pas dans la loi de 1991.

C'est bien ainsi que je l'ai lu : il va à l'encontre d'une jurisprudence. Actuellement, nous autorisons parfois l'écoute d'un téléphone qui est utilisé de temps à autre par la personne soupçonnée, même s'il s'agit de l'appareil de son épouse. Pour nous, il n'y a pas d'obstacle à l'opération dès lors qu'il existe des indices sûrs d'une association étroite du matériel en question à l'oeuvre de préparation d'une infraction grave. Ce projet de loi nous fera sauter un pas supplémentaire alors que, au vu de mon expérience, je ne suis pas sûr que ce soit absolument indispensable pour les services. Certes, les Américains vont beaucoup plus loin puisqu'ils auraient élargi le cercle de surveillance au N +3 – c'est-à-dire à l'entourage de l'entourage de l'entourage de la personne visée – alors que nous n'en serons qu'au N +1. Il faut néanmoins avoir conscience que nous élargissons le cercle des personnes susceptibles d'être suivies.

S'agissant de la saisine directe du Conseil d'État, nous avons cru qu'elle offrait une garantie. La CNCTR ne serait-elle pas encline à s'attendrir devant une décision du Premier ministre et ne faudrait-il pas permettre à seulement deux de ses membres de saisir le Conseil d'État ? Je n'y crois pas trop. D'abord, ce serait blessant pour les parlementaires composant la CNCTR. Ensuite, connaissant un peu les magistrats pour les avoir fréquentés durant quelques dizaines d'années, je serais étonné qu'ils se laissent attendrir par une décision du Premier ministre. Pour ma part, je préférerais que la CNCTR délibère et décide elle-même de la majorité qui permettra une saisine du Conseil d'État. Je ne suis pas sûr que ce soit à la loi de le faire.

Dans ce projet de loi, notamment dans le volet de lutte contre le terrorisme, est inscrit un dispositif qui utilise le big data à des fins préventives et qui aurait notamment recours à un algorithme dit secret pour vérifier les données des opérateurs et détecter des comportements suspects, mais sous anonymat. Celui-ci ne pourrait être levé que par le Premier ministre en cas de menace avérée. Estimez-vous que cet anonymat est de nature à garantir la protection des libertés individuelles ?

À ce stade, il n'y a pas d'autres moyens. J'ai fait part des inquiétudes que m'inspirait cette disposition : en l'état actuel de ses connaissances, la CNCTR est incapable de décrypter l'algorithme en question.

L'un des services de ce pays, que nous connaissons bien, dispose de moyens informatiques extrêmement puissants. J'en suis ravi. Mais lorsque nous allons voir ses instruments, notre intervention relève plus de la contemplation que de l'investigation. Si je dis à ce service que j'ai besoin d'aller voir ce qu'il fait, il va me bâtir un logiciel pour répondre à ma demande. Comment vérifier que ce logiciel répond effectivement à ma demande ?

Au point où nous en sommes, l'anonymat offre en effet une garantie au stade de la collecte des données de connexion d'une masse considérable de gens. Une fois identifiés les numéros de téléphone composés par des terroristes, les personnes appelées seront supposées être elles-mêmes des terroristes. L'anonymat pourra alors être levé sur décision du Premier ministre et gageons qu'un service un peu insistant saura le convaincre.

L'anonymat devient le seul moyen de protéger les libertés individuelles dans un contexte où nous sommes passés à la pratique de la pêche au chalut : nous lançons le filet sans connaître la personne recherchée alors que la pêche à la ligne vise un individu soupçonné, à bon droit ou par erreur, de préparer une action extrêmement grave. L'opérateur de téléphonie ne fabrique pas lui-même le type d'algorithme qui sera placé sur son réseau, sauf pour ses besoins commerciaux. D'où le recours à un dispositif extérieur.

Pour ma part, je pense qu'il ne s'agit pas tout à fait d'une pêche au chalut telle que pratiquée par l'Agence nationale de sécurité américaine (National Security Agency, NSA) qui collecte et stocke toutes les données, dans le cadre de la législation en vigueur outre-Atlantique. Dans le cas présent, il s'agit de déterminer s'il y a matière à organiser une pêche à la ligne un peu démultipliée et non pas de stocker des masses de données qui pourraient être réutilisées un an, deux ans ou trois ans plus tard. Le projet de loi ne prévoit pas un système à l'américaine que nous n'avons d'ailleurs pas les moyens de nous offrir.

Puis-je me permettre de vous démentir en partie ? J'ai appelé votre attention, d'une part, sur le tri entre les mauvaises données et les bonnes, et, d'autre part, sur les délais de conservation. Les délais de conservations prévus par la loi, y compris pour les données de connexion, sont de cinq ans – durée à comparer avec les trois ans que vous avez mentionnés. Dans le projet de loi, aucune disposition ne prévoit un tri entre les mauvaises données et les bonnes : nous sommes bien dans la pêche au chalut chère aux Américains.

Effectivement, dans ces deux grandes démocraties que sont le Royaume-Uni et les États-Unis, on se pose beaucoup moins de questions qu'en France : le programme Vent Stellaire (Stellar Wind) et le système Echelon collectent des données numériques dans le monde entier. En France, les restrictions traduisent peut-être une volonté politique respectable, mais elles résultent aussi des limites imposées par la Cour européenne des droits de l'homme (CEDH) sur lesquelles j'ai interrogé Bernard Bajolet. Les Britanniques se donnent plus de libertés que nous par rapport aux injonctions de la CEDH. Nous devrions nous poser beaucoup moins de questions pour être aussi efficaces que nos collègues anglo-saxons.

Plus précisément, quelle est l'utilité de cette période de quatre mois durant laquelle vous pouvez instruire une demande particulière d'écoute ? Un tel délai est-il compatible avec l'urgence à laquelle vous avez fait allusion ? Il existe une gradation : urgence absolue, quarante-huit heures, deux mois, quatre mois. Ne peut-on pas trouver un système plus flexible qui permettrait aux autorités compétentes d'avoir un avis favorable très rapidement, quel que soit le contexte de la demande ? J'imagine que vous n'allez pas réunir la Commission à deux heures du matin lorsque les services auront besoin d'une autorisation dans l'instant. La délinquance opérant vingt-quatre heures sur vingt-quatre et sept jours sur sept, c'est parfois maintenant ou jamais qu'il faut la ferrer, si j'ose dire pour rester dans le vocabulaire maritime.

J'entends bien vos comparaisons entre la Grande-Bretagne, les États-Unis et nous, et vos remarques sur le poids de la CEDH que je n'ai pas mentionnée. Sans doute est-ce un élément qui pèse dans le débat public de ce pays. Ce qui m'importe, ce sont les droits de la personne et le respect de la vie privée, qui font partie de notre droit interne.

Venons-en aux délais. Le délai opérationnel dont disposent les services pour mettre en oeuvre une mesure est fixé à quatre mois dans le projet de loi qui vous est soumis, tout comme dans la loi de 1991. Quant à la durée d'instruction par la Commission – dont vous vous souciez légitimement en cette période de menaces terroristes – elle varie en fonction du régime appliqué à la demande : en droit commun, nous ne statuons jamais en plus de vingt-quatre heures ; en cas d'urgence absolue, nous ne mettons jamais plus de quarante-cinq minutes à répondre.

Le droit commun correspond à des demandes qui ne nécessitent pas d'urgence particulière. L'urgence absolue s'applique à des demandes qui représentent environ un cinquième du total en année pleine ; en janvier dernier, leur part est passée à 55 % puisque le terrorisme était là.

Nous pouvons statuer jour et nuit. Le président et les services assurent un roulement, vingt-quatre heures sur vingt-quatre et sept jours sur sept, afin de répondre aux demandes individuelles qui leur sont adressées. Ils peuvent réagir d'autant plus vite que la Commission a déterminé la jurisprudence, ce qui leur permet de ne pas hésiter sur la nature de la décision à prendre. La Commission fixe le cadre et n'entre pas dans les affaires individuelles, ce qui serait résolument incompatible avec l'urgence que vous relevez à fort bon droit. C'est la raison pour laquelle je faisais une réponse un peu nuancée à votre présidente : je ne souhaite pas que la Commission soit trop lourde.

Sans vouloir nourrir votre réflexion halieutique collective, je dirais que la pêche à la ligne est ciblée, que la pêche au chalut est globale, et que la pêche à la senne fait dans le global ciblé. Dans tout cela, vous devriez trouver ce qui convient. (Sourires)

Mais ma question se rapporte plutôt aux deux éléments essentiels qui ont motivé ce projet de loi : l'évolution technologique que l'on ne peut arrêter ; l'augmentation de la menace qui justifie le plan Vigipirate et le déploiement de l'opération Sentinelle. La menace ne semble pas sur le point de se résorber mais, après tout, nous ne sommes pas à l'abri d'une divine surprise. Imaginons une France apaisée, dans laquelle règne la franche camaraderie, le respect des uns envers les autres et la volonté de vivre ensemble, tout cela dans un monde ouvert et lui-même complètement apaisé. Si c'était le cas, si la menace diminuait voire disparaissait, sur quelle mesure faudrait-il revenir en priorité, pour une meilleure protection des droits et libertés individuelles ?

Vous évoquez l'évolution technologique. Lorsque le Gouvernement m'avait consulté de façon informelle sur ce projet, il y a bien longtemps, je lui avais recommandé de coller le moins possible à la technologie – pardonnez-moi cette expression triviale – pour que la loi ne soit pas vieille dans six mois ou deux ans. La loi doit s'attacher davantage à définir les modalités d'intrusion dans la vie privée que des dispositifs techniques précis.

Pour le reste, votre question est extrêmement difficile. Même dans le pays que nous appelons tous de nos voeux, il subsistera ce qui fonde la majorité des demandes d'interceptions de sécurité : la criminalité organisée. En temps normal, la criminalité organisée justifie 54 % des demandes d'interceptions, contre 28 % pour la prévention du terrorisme. Au mois de janvier, la prévention du terrorisme a motivé 44 % des demandes, c'est-à-dire pas même la moitié.

Dans un climat apaisé, faudrait-il retirer aux services les moyens techniques dont ils ont légitimement besoin ? Je n'en suis pas sûr. Dans le contexte que vous décrivez, les dispositions concernant la prévention du terrorisme ne trouveraient tout simplement plus à s'appliquer. À cet égard, je ne suis pas mécontent que le Gouvernement ait fait le choix de discriminer les moyens relatifs à la prévention du terrorisme, qui sont sensiblement plus intrusifs que les autres. À l'avenir, il appartiendra au législateur de ne pas étendre à d'autres domaines ces mesures dédiées à la prévention du terrorisme. Il me semble que c'est une manière de répondre à votre question.

Je vous remercie.