Intervention de Francis Delon

La Commission nationale de contrôle des techniques de renseignement, vous l'avez indiqué, a été créée récemment, par la loi du 24 juillet 2015 relative au renseignement. Elle a succédé à la CNCIS avec des compétences élargies sur lesquelles je reviendrai.

La mission principale de la CNCTR est de vérifier au quotidien que les techniques de renseignement sollicitées sont conformes à la loi et qu'elles portent au respect de la vie privée une atteinte proportionnée aux menaces invoquées.

La CNCTR comprend neuf membres, dont quatre parlementaires représentants, à parts égales, la majorité et l'opposition. L'un de ces parlementaires est d'ailleurs ici présent en la personne de Pascal Popelin. Trois membres de la commission exercent leurs fonctions à plein-temps – parmi lesquels moi-même, comme la loi m'y oblige. Cette collégialité renforce l'indépendance de la commission, favorise le débat et améliore l'effectivité de son contrôle.

Pour ce qui concerne ses effectifs, la CNCTR, lorsqu'elle s'est installée, le 5 octobre dernier, a repris le personnel de la CNCIS, soit cinq agents. Elle a recruté et s'appuie aujourd'hui sur un secrétariat comptant une douzaine d'agents. Notre objectif est d'atteindre le chiffre de dix-huit équivalents temps plein d'ici à la fin de l'année, afin de faire face aux demandes dont nous sommes saisis et d'assurer les contrôles a posteriori que nous devons réaliser. Un budget de fonctionnement un peu inférieur à 400 000 euros est alloué à la commission.

Avant la loi du 24 juillet 2015, seules les demandes d'interception de sécurité et de géolocalisation en temps réel suivaient un processus d'autorisation par le Premier ministre après un avis préalable rendu par la CNCIS. La loi ne précisait pas que cet avis était préalable, mais la pratique avait conduit à ce qu'il le fût. Aujourd'hui – c'est là une grande novation de la loi de 2015 –, toutes les demandes de mise en oeuvre sur le territoire national d'une technique de recueil de renseignements sont autorisées par le Premier ministre après avis de la CNCTR.

Reste que la commission n'est compétente qu'en matière de renseignement. Notre activité relève de la police administrative et s'arrête au seuil de la police judiciaire. Quand une affaire est traitée par un juge judiciaire, aucune autorisation de technique de renseignement n'est donnée. Nous veillons au respect de la distinction entre police administrative et police judiciaire.

Pour ce qui est de son activité, depuis sa mise en place le 3 octobre 2015, la CNCTR a rendu plus de 9 000 avis, compte non tenu des demandes d'accès aux données de connexion que la commission contrôle depuis le 1er février 2016 et sur lesquelles je vais revenir. Le nombre d'avis rendus représente un accroissement supérieur à 50 % du volume de demandes traitées par la CNCIS sur la même durée.

La loi du 24 juillet 2015 a prévu que les techniques de renseignement pouvaient être mises en place pour un certain nombre de finalités – vous les connaissez, je n'y reviendrai donc pas –, parmi lesquelles la prévention du terrorisme.

La loi donne également la liste des techniques de renseignement auxquelles les services peuvent avoir recours, à condition qu'elles soient autorisées par le Premier ministre après avis de la CNCTR. On dénombre une quinzaine de techniques qu'on peut regrouper par catégories.

La première regroupe les interceptions de sécurité – c'est-à-dire le contenu et le contenant – et couvrait le champ de compétence de la CNCIS. Il s'agit de la part la plus importante – mis à part l'accès aux données de connexion – des demandes dont nous sommes saisis. Ces interceptions de sécurité sont réalisées par les opérateurs de téléphonie sur demande du service et sont autorisées par le Premier ministre après avis de la commission. Un intercesseur fait la demande auprès de l'opérateur ; c'est le groupement interministériel de contrôle (GIC). C'est également le GIC qui assure l'accès des services au contenu des communications interceptées au sein de ses centres. Les services ne peuvent avoir un accès direct à ces communications que dans les locaux du GIC.

La loi de juillet 2015 a autorisé l'usage d'une nouvelle technique d'interception du contenu des communications à l'aide d'IMSI catchers – grâce auxquels on peut recueillir le contenu des correspondances – permettant d'intercepter les communications. Nous n'avons donné un avis favorable à cette technique qu'en de très rares occasions et pour des motifs d'urgence opérationnelle, notamment en matière de prévention d'actes de terrorisme (crainte de la préparation d'un attentat, d'une prise d'otages,…).

Une deuxième catégorie de techniques concerne l'accès aux données de connexion, à savoir le contenant. Il existe un accès aux données de connexion en temps différé. Depuis le 1er février 2016, c'est la CNCTR qui rend un avis sur ces demandes. Une autre possibilité est donnée par la loi du 24 juillet 2015 : l'accès aux données de connexion en temps réel – mais pour le seul motif de prévention du terrorisme et à l'égard de personnes qui ont été identifiées comme présentant une menace. Cette disposition est également en vigueur depuis le 1er février 2016.

On rattache à l'accès aux données de connexion tout ce qui a trait à la géolocalisation en temps réel, qui permet la localisation d'un téléphone portable et son suivi.

Enfin, on peut accéder à des données de connexion par le biais d'un IMSI catcher, mais qui ne s'intéresse qu'aux données de connexion. Il s'agit d'une technique beaucoup plus répandue, notamment en matière de terrorisme.

Le troisième type de technique implique l'accès à un lieu ou à un système informatique, qu'il s'agisse, dans ce dernier cas, du recueil de données informatiques sur un ordinateur, de l'accès à distance au contenu d'une messagerie et, éventuellement, du piégeage d'un ordinateur à distance ou par contact. L'accès à un lieu privé ou à un lieu d'habitation pour réaliser cette opération nécessite une autorisation spécifique. De même, une telle autorisation est nécessaire pour l'accès à un lieu privé ou d'habitation pour capter des images – vidéo ou photo – ou pour le sonoriser. La loi a prévu que, lorsqu'il y a pénétration dans un lieu d'habitation, la décision est nécessairement prise en formation collégiale par la commission.

Le quatrième type de technique, qui a suscité de nombreux débats à l'occasion de l'examen par le Parlement de ce qui deviendra la loi du 24 juillet 2015, relève de l'article L. 851-3 du code de la sécurité intérieure. C'est ce qu'on appelle l'algorithme qui permet le traitement automatisé des données de connexion d'un grand nombre de personnes, avec pour objectif de déterminer ce qui pourrait justifier une alerte et une surveillance particulière. À l'heure où je vous parle, cette technique n'est pas mise en oeuvre. La loi prévoit que la CNCTR se prononce sur l'algorithme et fasse, le cas échéant, des recommandations de modification si elle l'estime nécessaire. À ce stade, nous n'avons été saisis par le Gouvernement d'aucune proposition.