Intervention de Jean-Marie Delarue

Je vous remercie de me donner l'occasion de réfléchir avec vous sur ces questions difficiles qui concernent les droits de chacun – respect de la vie privée, de la correspondance, du domicile, des données personnelles –, droits protégés par les normes juridiques internes, même si des lacunes existent, et internationales, ainsi que les nécessités constitutionnelles de la préservation de l'ordre public. L'équilibre s'avère délicat, et il convient, pour le maintenir, que la loi définisse les objectifs, les garanties des citoyens et les recours dont ils disposent.

La loi du 10 juillet 1991 relative aux interceptions de sécurité a créé un dispositif auquel mes prédécesseurs à la tête de la CNCIS ont insufflé un dynamisme protecteur. Ce texte, tardif, fut élaboré contre la volonté des pouvoirs publics et sous la pression de la société et des critiques de la CEDH. Le premier rapport sur la question fut commandé dans l'enthousiasme de 1981, mais il n'a débouché que dix ans plus tard, ce qui n'est pas à notre honneur. La loi de 1991 comporte des dispositions intéressantes car elle protège, dans son article 1er, le principe du secret des correspondances et, donc, des communications électroniques ; tout ce qui entrave ce principe attente aux libertés. Elle circonscrit les motifs pour lesquels on peut porter atteinte à cette protection ; au nombre de cinq, ces justifications précisent les notions trop vagues dont ne se contente plus la CEDH, comme celle des intérêts fondamentaux, pourtant définie par le code pénal. Le texte plafonne le nombre d'interceptions, le Premier ministre décidant du contingent ; celui-ci n'est pas annuel, et le Premier ministre peut l'augmenter après avoir requis notre avis, souvent réticent. La dernière hausse du contingent date de janvier dernier, et 2 190 personnes sont aujourd'hui susceptibles de faire l'objet d'interceptions de sécurité. La loi sépare l'autorité demandant l'interception – les ministres – de celle les décidant – le Premier ministre. La durée de conservation des enregistrements des écoutes ne peut excéder dix jours, cette question ayant fait l'objet de débats nourris au moment du vote de la loi. Je me suis opposé à ce que le récent projet de loi de prévention du terrorisme allonge cette durée et je me réjouis que cette disposition ait finalement été abandonnée. La loi de 1991 permet la transcription des seuls enregistrements ayant reçu une autorisation, les interceptions touchant à la vie privée ne pouvant être conservés. Enfin, le texte a créé l'AAI que je préside aujourd'hui ; celle-ci est chargée de donner un avis au Premier ministre sur toutes les demandes d'interceptions, de contrôler la réalisation de celles-ci et d'accueillir toutes les réclamations des citoyens. Elle est représentée à la commission dite « R. 226 » qui contrôle les matériels utilisés par les services.

En vingt-trois ans d'existence, la CNCIS a montré son indépendance et inscrit son action au-delà de la lettre de la loi. Ainsi, alors que celle-ci prévoyait que l'avis de la Commission soit donné postérieurement à la décision du Premier ministre, la pratique a consacré son caractère préalable. Cet avis se fonde sur une analyse des demandes des services transmises par le groupement interministériel de contrôle (GIC), service du Premier ministre chargé de l'exécution des interceptions ; la CNCIS contrôle l'adéquation entre les faits et les conditions posées par la loi, elle vérifie qu'ils reposent sur une présomption aussi solide que possible et elle examine l'implication directe et personnelle de l'individu faisant l'objet de la requête. Elle exige que les présomptions soient solidement établies, qu'elles se trouvent en rapport précis avec l'un des motifs retenus par la loi, et que la personne soit directement impliquée. Veuillez m'excuser d'insister sur ce point, mais il se situe au coeur de notre action.

Si le Premier ministre jouit théoriquement d'une liberté de décision absolue, il a toujours suivi, à quelques exceptions près, les avis de la Commission.

La CNCIS ne se contente pas de transmettre un avis positif ou négatif, elle les assortit de recommandations portant, par exemple, sur un raccourcissement de la durée d'écoute – la loi la fixe à quatre mois, mais la Commission se prononce pour un temps plus court dans quelques cas précis. De même, la CNCIS demande souvent que son autorisation soit soumise à la production des enregistrements par le GIC, afin de vérifier que ceux-ci sont bien conformes à l'objectif fixé et que les transcriptions ne sont pas indûment étendues.

La Commission a également pris l'habitude de vérifier sur place les conditions dans lesquelles les interceptions s'effectuent ; nous visitons ainsi une quinzaine de fois par an les centres dans lesquels on procède aux écoutes. Elle rencontre également les opérateurs par lesquels passe la saisine de données. Il existe donc bien un contrôle postérieur à l'autorisation, qui vise à vérifier la façon dont celle-ci est mise en oeuvre.

Une jurisprudence relative aux autorisations s'est progressivement constituée ; elle cherche avant tout à défendre les libertés individuelles des citoyens et à contrôler la portée des atteintes à ces libertés, en prenant en compte l'état du droit en France, les exigences de la CEDH et les limites que l'on ne peut franchir sous aucun prétexte. Pour ma part, mon unique mission consiste à appliquer l'intégralité de la loi dans le respect des droits de chacun.

Le dispositif actuel s'avère néanmoins insatisfaisant, puisque l'équilibre des années 1990 est rompu. Notre société se révèle plus sensible au besoin de sécurité – le droit à la sécurité fut reconnu par la loi en 1995, donc postérieurement à celle relative aux interceptions. Les composantes de la menace ont évolué avec l'émergence d'une dimension terroriste qui n'existait pas en 1991. La criminalité internationale est devenue plus difficile à appréhender, et les moyens de communication se sont considérablement développés puisque ni Google ni Facebook n'existaient en 1991. Les services se sont adaptés à ce contexte et peuvent déployer de nouvelles méthodes intrusives, non encadrées par le législateur et n'offrant pas de garanties aux citoyens. Cette situation concerne autant le champ administratif que celui des interceptions judiciaires ; ces dernières, qui représentent un volume dix fois supérieur aux interceptions administratives, ont été élargies à d'autres domaines, et la CEDH se montre vigilante face à l'utilisation de certaines techniques non encadrées par la loi.

Au-delà de l'affaiblissement des garanties, point la tentation d'élaborer une loi pour chaque technique. Ainsi, la loi de prévention du terrorisme du 23 janvier 2006 a permis la saisine de métadonnées, dont l'autorisation a été confiée à une personnalité qualifiée, placée auprès du ministre de l'intérieur, et sur l'indépendance de laquelle il y a lieu de s'interroger. La loi de programmation militaire (LPM) a élargi ce dispositif, et cette personnalité qualifiée aura également à connaître, à partir du 1er janvier prochain, de la saisine de métadonnées pour les cinq items posés par la loi de 1991. La CNCIS n'effectue dans ces domaines qu'un contrôle a posteriori, la personnalité délivrant les autorisations. Je regrette l'existence de ce système.

On a justifié les différences de régime juridique entre les interceptions de sécurité et les métadonnées par le caractère moins intrusif des secondes. C'était sans doute vrai il y a quelques années, mais la situation a changé. La saisine répétitive et portant sur des domaines étendus de métadonnées apporte beaucoup d'informations, d'autant plus précieuses que ceux qui pensent être l'objet d'interceptions de sécurité sont discrets dans leurs propos. Tout contrôle doit offrir des garanties d'indépendance, et les procédures de saisine des métadonnées en sont actuellement dépourvues. Il convient donc de faire évoluer la loi en la matière, même si les motivations pour conduire cette modification s'avèrent des plus diverses.

Une future loi ne devra pas avoir vocation à régir les services de renseignement. L'article 34 de la Constitution n'oblige pas le Gouvernement à soumettre à la loi l'organisation de ses services, fussent-ils de police. En revanche, il appartient à la loi de trancher sur l'ensemble des libertés individuelles ; elle devra donc réaffirmer la protection de ces libertés au regard des technologies actuelles et des atteintes qui peuvent leur être portées. La CEDH, notamment dans son arrêt du 31 août 2005 Vetter contre France, est d'ailleurs allée dans le même sens en fournissant des indications très précises sur ce que la loi doit disposer en la matière.

La loi devra clairement définir les conditions et les motifs auxquels une atteinte aux libertés individuelles peut être conduite. S'agissant des justifications, je ne me contenterai pas d'un simple renvoi aux intérêts fondamentaux de la nation, la CEDH exigeant une précision bien supérieure.

La loi devra réaffirmer le principe de subsidiarité, qui veut que les atteintes aux libertés individuelles ne soient autorisées que s'il s'avère impossible d'employer un autre moyen.

La contrepartie naturelle de la loi réside dans l'arrêt de toute pratique des services se situant hors de son champ. Il y a lieu de renforcer la sanction pénale des infractions résultant d'actions illégales.

La loi devra régler la délicate question des opérations des services dans des pays étrangers. Le champ de la loi française est territorial, mais il convient de réfléchir aux moyens de limiter l'usage d'interceptions à l'étranger réalisées par les autorités françaises.

La loi devra poser le principe de l'unité du contrôle des différentes atteintes aux libertés individuelles. Cela ne signifie pas que le contrôle parlementaire et celui interne aux services doivent cesser – il y a même lieu de développer ce dernier –, mais que celui exercé par une personne indépendante soit regroupé. Celle-ci devra être indépendante du pouvoir et exercer son contrôle sur l'ensemble des services – il faudra donc privilégier une approche organique plutôt que matérielle. Ce contrôle devra porter sur l'ensemble des atteintes aux libertés et être conduit a priori et a posteriori, la loi devant poser le principe d'un avis préalable et garantir l'exercice d'un contrôle sur pièces et sur place de la réalisation des saisines de données. Le contrôle ne devra comporter aucun caractère décisionnel, les autorités politiques devant prendre leurs responsabilités. Enfin, il devra respecter les besoins des services, notamment s'agissant de la rapidité et de la discrétion de leur action.

La loi devra distinguer entre la demande d'un service, l'avis fourni par une autorité de contrôle, la décision du politique et le contrôle de l'exécution des atteintes aux libertés individuelles par un organe indépendant des services de renseignement et de police. Cette architecture existe en matière d'interceptions de sécurité, et il convient de l'étendre aux éventuelles atteintes nouvelles que la loi pourra définir.