Intervention de Jean-Marie Delarue

Les personnes dans les services peuvent saisir la CNCIS et n'ont pas besoin d'une autorisation législative pour ce faire. J'accorde bien plus de mérite aux autorités de contrôle interne qu'aux hérauts et héros se sacrifiant pour la cause d'autrui : je crois à l'intérêt des lanceurs d'alerte, mais j'ai encore plus de foi dans un contrôle interne méthodique et incontestable. Le groupement interministériel de contrôle (GIC) dispose depuis quelques années d'une cellule de contrôle interne avec laquelle la CNCIS travaille en étroite collaboration. Les services doivent organiser en leur sein une structure juridique et une autre dédiée au contrôle, et tous n'en sont pas encore dotés.

La surveillance n'est pas généralisée, mais ciblée ; la loi de 1991 précise que les demandes sont adressées sur des personnes déterminées. Il n'existe pas de requête portant sur une collectivité, même si les mesures individuelles ne portent pas sur un numéro de téléphone, mais sur l'ensemble des téléphones des 2 190 personnes ciblées. En revanche, la loi devra se pencher sur les pratiques déployées à l'étranger pour les faire entrer dans le droit touchant les interceptions pratiquées dans le territoire national.

L'arrêt de la CJUE, Digital Rights contre Irlande, est susceptible de double interprétation. Si l'on retient l'interprétation maximaliste, on peut en effet lire cette décision comme une limite sérieuse à la conservation des données. La Cour de justice ne s'est pas prononcée sur une durée précise et n'a pas condamné celle d'une année posée par le code des postes et des communications électroniques aux opérateurs. Cette durée ne semble pas exorbitante a priori et doit s'adapter au caractère intrusif du contenu des données. Les durées de conservation ne doivent pas être trop longues en effet, mais elles doivent permettre d'utiliser les données recueillies. Le principe est que plus l'intrusion est forte, plus la durée doit être courte. On doit adapter celle-ci aux besoins identifiés – et non hypothétiques pendant une longue période – des services.

La réputation de plus faible intrusion des métadonnées dans la vie des individus ne me convainc pas plus que vous. Est-ce plus intrusif de savoir si quelqu'un se rend à la mosquée ou aux Galeries Lafayette le vendredi ? On ne peut ni répondre à cette question à la place d'autrui ni élaborer une règle sur ce fondement. Il convient de considérer toute saisie d'information sur la vie personnelle de manière uniforme.

Monsieur Plenel, je ne me sens pas impuissant dans ma tâche de contrôle. Dans les avis que nous adressons au Premier ministre, nous utilisons une large palette de modulations et demandons des éléments précis si nous nourrissons un doute sur l'une des conditions que doit remplir la requête d'interception ; sur ce fondement, nous pouvons adresser des recommandations au Premier ministre pour cesser immédiatement l'interception. Si un service demande une interception, reçoit l'autorisation de l'effectuer, mais ne réalise aucune transcription, alors nous lui envoyons une notification d'interruption de l'interception puisque celle-ci ne s'avérait pas nécessaire. Sans faire preuve de naïveté et en restant très vigilant, peu nous échappe en matière d'interception de sécurité.

Je n'hésiterai pas à utiliser l'article 40 du code de procédure pénale si j'ai connaissance de pratiques qui n'ont pas lieu d'être – que celles-ci émanent des services, des autorités politiques ou de la CNCIS. S'agissant de l'affaire dite des fadettes, le Parlement et la juridiction compétente ont entendu mon prédécesseur, M. Hervé Pelletier, qui a fourni les explications qu'il pensait devoir donner. Je n'ai rien à dire de plus à ce sujet, si ce n'est que je ferai tout pour éviter qu'une autre affaire de cette nature ne se reproduise.

Je crois à la vertu des AAI, mais l'indépendance morale ne suffit en effet pas. La loi future devra renforcer les garanties objectives qui permettent de définir l'indépendance de l'institution, car celle-ci ne se présume pas. La loi doit expliciter le fait que la CNCIS ne reçoit d'instruction d'aucune autorité et ne se soumet qu'au contrôle de la Cour des comptes. La norme légale doit également poser des incompatibilités entre certaines fonctions et celle de membre de la Commission.

La loi de 1991 – codifiée sur ce point à l'article L. 241-3 du code de la sécurité intérieure – a prévu d'excepter certains coups de téléphone du contrôle de la CNCIS relevant des intérêts diplomatiques supérieurs de la France. Portant uniquement sur les communications hertziennes, cette disposition a perdu toute portée et n'aura donc pas à figurer dans la loi future.