Intervention de Jean-Marie Delarue

Merci, madame la présidente, de votre accueil. Mesdames et messieurs les députés, je suis heureux de pouvoir m'expliquer devant vous sur ce projet de loi, car la commission de la Défense aura un point de vue très utile à faire valoir lors du débat parlementaire.

Avant d'en venir au projet de loi lui-même, je voudrais esquisser les grandes évolutions à venir du monde du renseignement, telles que je les perçois. Tout en sachant que la CNCIS est familière à certains d'entre vous, je voudrais aussi vous dire un mot de sa situation actuelle, ce qui me permettra d'évoquer plus facilement la place réservée au contrôle dans le nouveau texte.

Sur les évolutions du monde du renseignement, je vais m'efforcer d'être à la fois bref et aussi précis que possible. D'abord, et permettez-moi d'y insister puisque c'est mon métier, il faudra veiller à l'équilibre entre les nécessités des services de renseignement et les droits individuels. Cet équilibre doit être respecté de tout temps ; le problème se pose aujourd'hui comme il se posait en 1991, lors de l'adoption de la loi créant la CNCIS. Ensuite, il faudra compter avec la rapidité des évolutions technologiques. Dois-je rappeler que, lorsque vous avez adopté la loi de 1991, internet n'en était qu'à ses balbutiements et que le numérique n'existait pratiquement pas, en tout cas pas sous ses formes actuelles ?

D'autres points méritent d'être mentionnés.

À mes yeux, il y a un effacement de la distinction entre les techniques qui sont intrusives et celles qui ne le sont pas. La loi de 1991 a entériné cette distinction : les interceptions téléphoniques, qui permettent d'écouter des conversations, sont considérées comme plus intrusives que les recueils de données de connexion de téléphones ; elles font donc l'objet d'une vigilance particulière. Cette distinction va s'effacer parce que, d'une part, les techniques de surveillance deviennent multiples et successives, et que, d'autre part, certaines d'entre elles, qui n'étaient pas nécessairement intrusives au départ, le deviennent par l'emploi qui en est fait. La géolocalisation par repérage des communications téléphoniques permet de situer une personne. Or il n'est pas indifférent de savoir que je suis au cinéma au lieu d'être parmi vous. Les données qui peuvent être recueillies sur une personne forment un tout progressivement indissociable.

La deuxième évolution m'incite à penser que nous avons vécu l'âge d'or des interceptions de sécurité : la cryptologie se répand à grande vitesse et ses procédés deviennent si efficaces que chacun d'entre nous peut avoir recours, pour son ordinateur personnel, à des systèmes qui vont empêcher le service de police intéressé de se saisir de données. Ces procédés devenant à la portée du premier venu, une course s'engage entre la cryptologie et le décryptage.

Troisième élément nouveau : le contrôle consiste à écouter des conversations et à lire leur transcription par les services de police alors qu'à l'avenir il devra porter sur les instruments employés par ces services. Or ces instruments sont de plus en plus compliqués. Pour avoir une vision de ces instruments, il faudra disposer d'une très forte technicité, faute de quoi nous ne contrôlerons rien de ce que voudront faire les services. Le projet de loi qui vous est soumis évoque un instrument qui se branche sur le réseau des opérateurs téléphoniques et qui permettra de faire des analyses. Fort bien. Mais quelle maîtrise aura la CNCTR de cet instrument ? Comment saura-t-elle quels renseignements vont être tirés par les services de ce qu'ils vont brancher sur les réseaux des opérateurs ? Le contrôle va devenir beaucoup plus élaboré.

Dernier point : l'importance de l'international car, si la loi est territoriale, la criminalité et le terrorisme se jouent des frontières. Notre loi nationale doit se positionner par rapport à cette réalité et à des gens qui sont extrêmement mobiles. Dans ce contexte, que sait-on de la nationalité des données numériques ? À peu près rien. Nous sommes devant un droit insaisissable. Que peuvent les services sur ces données ? À qui appartiennent-elles ? On n'en sait à peu près rien. Il faudra régler ces questions.

Sans vouloir insister sur ces perspectives de long terme, je voulais les évoquer avant d'aborder le projet de loi et notamment la situation de la CNCIS, l'organe de contrôle actuel. La CNCIS a été créée par la loi du 10 juillet 1991 pour répondre à une situation de crise, à la suite d'incidents majeurs sur les écoutes téléphoniques. Elle est composée de trois membres, dont deux parlementaires, et présidée par un magistrat. Mon prédécesseur appartenait à la Cour de cassation et, pour ma part, je viens du Conseil d'État. De par sa pratique, cet organe de contrôle a acquis plus de pouvoirs que le législateur ne lui en avait donnés : elle rend un avis préalable alors que la loi ne prévoyait qu'un avis a posteriori.

L'image de la CNCIS n'est pas bonne. D'abord, elle est mal connue, ce qui m'est éperdument égal. Surtout, on dénonce souvent sa pauvreté et son manque de moyens. D'une manière paradoxale, au vu des déclarations de certains anciens responsables policiers après les tragédies de janvier, la CNCIS serait pourtant une empêcheuse de tourner en rond qui gênerait l'action policière. Soulignons cette double lecture.

La Commission joue quatre rôles : elle contrôle les interceptions de sécurité ; elle contrôle a posteriori le recueil des données de connexion qui est effectué par une personnalité qualifiée différente ; avec d'autres personnes publiques et sous l'égide de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), elle contrôle les matériels de surveillance employés pour s'introduire dans la vie privée des gens ; en vertu de la loi de programmation militaire, depuis le 1er janvier dernier, elle est compétente en matière de géolocalisation en temps réel d'une personne via son téléphone portable. La CNCIS doit donner un avis préalable lorsque les services demandent la géolocalisation en temps réel d'une personne, et elle effectue un contrôle a posteriori.

Quelles sont les modalités du contrôle de la CNCIS ? J'aimerais insister sur cet aspect, décisif pour apprécier le projet de loi. Nous contrôlons toutes les demandes qui nous sont présentées, sans exception. Les services le savent et nous entretenons avec eux un dialogue constant et fructueux sur la manière dont ils opèrent. Leurs demandes motivées doivent se rapporter à l'une des cinq finalités prévues dans la loi de 1991 : la sécurité nationale, la prévention du terrorisme, les intérêts économiques essentiels, la reconstitution de mouvements dissous, la criminalité organisée.

En dehors des membres que j'évoquais précédemment, la CNCIS compte trois cadres de la catégorie A. Chacun de nous examine toutes les demandes. Nous procédons ensuite à un échange. Quel avis convient-il de donner ? En cas d'avis favorable, faut-il l'assortir de remarques ? Il nous arrive, par exemple, de raccourcir les délais, le temps que la personne soit identifiée. Quoi qu'il en soit, les décisions sont toujours prises de manière collégiale.

Quels sont nos critères de jugement ? Nous veillons, cela va sans dire, à la légalité, au respect de la loi. Même si la CNCIS n'est pas une juridiction, nous avons aussi, dès sa création, dégagé une sorte de jurisprudence. C'est ainsi que nous avons toujours jugé que l'on ne pouvait écouter les conversations téléphoniques d'une personne que si elle était directement et personnellement impliquée dans une affaire relevant de l'une de cinq finalités précitées. En ce qui concerne les détenus, le délai est toujours raccourci de quatre mois à deux mois car il est facile de judiciariser leur affaire.

Nous faisons évidemment attention aux informations sensibles et nous gardons le secret absolu sur les dossiers. Pour reprendre l'image employée par le président de votre commission des Lois, dans ce pays, on pêche à la ligne et non pas au chalut.

Le Premier ministre est libre de sa décision mais nous représentons en quelque sorte sa garantie contre le risque politique ou pénal d'ordonner une écoute qui ne serait pas légale. C'est sans doute la raison pour laquelle la très grande majorité de nos avis sont suivis, étant précisé que nous donnons peu d'avis défavorables.

Pour terminer par l'essentiel, je signale que nous avons un contrôle a posteriori : une fois l'avis préalable donné, nous observons ce qu'il se passe. Tous les produits des écoutes, qu'il s'agisse d'enregistrements ou de transcriptions, sont à notre disposition. À tout moment, il nous est loisible de savoir ce que font les services de l'écoute autorisée. Nous pouvons ainsi savoir si le service remplit les conditions qui lui ont été fixées ou s'il s'en écarte, par exemple en dépassant un délai.

En outre, en cas de demande de renouvellement d'interception, nous saurons si la motivation correspond à la réalité des enregistrements et des transcriptions. C'est pour nous la seule manière de vérifier la sincérité des services. L'autre jour, on nous a soumis une demande motivée par le fait que la personne surveillée se documentait sur les méthodes de torture. En fait, à l'écoute des transcriptions, nous avons entendu l'un des interlocuteurs de cette personne parler des tortures mentionnées dans un livre sur la guerre de 1914-1918 qu'il était en train de lire. C'est un cas d'excès mais les services peuvent pécher par retrait en ne nous disant pas tout ce qu'il faudrait nous dire. Cet accès au contenu des enregistrements et aux transcriptions nous permet donc d'avoir une vue de ce qui se passe mais aussi de la sincérité des services, et c'est très important.

Venons-en au projet de loi. Il me semble qu'il doive obéir à des principes que j'ai définis dans l'avant-propos du dernier rapport annuel que nous avons publié il y a quelques semaines.

Premier principe, que j'ai cité d'emblée : veiller à l'équilibre entre les nécessités de la sécurité et les droits de la personne.

Le deuxième principe, qui découle du premier puisque c'est la condition majeure de l'équilibre, est d'articuler un système à quatre piliers : un service qui fait une demande ; une commission de contrôle qui examine cette demande et rend un avis ; une autorité politique de haut niveau qui prend la décision ; un organisme indépendant des services qui exécute les opérations pour leur compte. En matière d'interceptions, c'est le groupement interministériel de contrôle (GIC), sis aux Invalides, qui s'adresse aux opérateurs et réalise les opérations matérielles nécessaires pour procurer les enregistrements aux services. Cette structure en quatre piliers distincts, voulue par le législateur en 1991, est l'armature essentielle d'un bon système.

Troisième principe : répondre aux besoins des services qui, dans le contexte actuel, sont très importants. Il faut élargir les possibilités techniques – je précise que je n'ai aucun état d'âme sur ce point – mais, en contrepartie, il faut faire cesser les zones grises ou les illégalités.

Quatrième principe : s'intéresser, même d'assez loin, aux flux internationaux et à ce que peuvent faire les services en dehors de nos frontières.

Cinquième principe : avoir un contrôle indépendant et unifié, c'est-à-dire qu'il faut éviter sa pulvérisation entre différentes instances.

Sixième et dernier principe : le contrôle doit s'exercer a priori et a posteriori.

Examinons le projet de loi lui-même, au regard de ces principes et pratiques. Il est opportun car le statu quo était impossible, au point même que mes prédécesseurs avaient demandé à plusieurs reprises un nouveau texte pour les raisons que j'ai évoquées, notamment l'évolution technologique.

À ce stade, je voudrais ouvrir deux parenthèses personnelles qui n'engagent pas la Commission. Premièrement, je suis moyennement convaincu par l'argument selon lequel il faudrait une loi sur le renseignement parce que tous les pays démocratiques en ont une. L'organisation des services de renseignement étant essentiellement réglementaire, c'est au Gouvernement qu'il appartient de la définir. Quant au projet de loi, il doit traiter des atteintes aux droits des personnes qui relèvent de l'article 34 de la Constitution, et, éventuellement, de la protection pénale des agents. Deuxièmement, je suis ouvert à la nécessité de donner de nouveaux moyens d'investigation aux services, et il me semble envisageable d'aligner ces moyens de police administrative sur ceux déjà reconnus à la police judiciaire en vertu des articles 100 et suivants du code de procédure pénale.

J'en reviens aux principales conclusions de la CNCIS, consultée par le Gouvernement sur ce projet de loi. J'insiste sur un point : alors que le texte consacre un élargissement sensible des moyens des services et l'augmentation du nombre de personnes susceptibles d'être surveillées, le contrôle n'aura pas les moyens dont il dispose actuellement.

Je ne conteste pas l'élargissement des moyens des services. Qu'en est-il de l'augmentation du nombre de personnes susceptibles d'être mises sous surveillance au moyen d'instruments divers et variés qui vont entrer dans le déroulement de leur vie privée ? Trois dispositions portent sur cette surveillance.

Tout d'abord, l'article L. 811-3 étend très sensiblement les motifs justifiant d'un éventuel recours à des instruments de surveillance, c'est-à-dire aux techniques de renseignement qui sont énumérées dans la loi. Les services spécialisés peuvent notamment y recourir pour le recueil de renseignements relatifs aux « intérêts essentiels de la politique étrangère et l'exécution des engagements européens et internationaux de la France ». Ce point nous préoccupe en ce qu'il permet de viser extrêmement large. Nous n'étions pas opposés à l'extension des motifs, notamment pour couvrir ce que l'on appelle le hooliganisme, c'est-à-dire les violences répétées et préméditées dans les stades, qui ne relèvent ni de la criminalité organisée, ni d'une atteinte à la sécurité nationale, ni du terrorisme. J'approuve la prise en compte de ce phénomène dans le projet de loi.

Ensuite, les techniques de renseignement employées ne couvrent plus une seule personne ; selon le dispositif employé, la surveillance peut s'étendre à plusieurs milliers de personnes. Prenons trois exemples de surveillance touchant un nombre de croissant de personnes. Dans une pièce d'habitation ou une chambre d'hôtel sonorisée, plusieurs personnes peuvent passer et se trouver ainsi visées. En application de l'article L. 851-7, on pourra aussi utiliser des dispositifs mobiles de proximité pouvant capter, dans un rayon de l'ordre de 500 mètres à un kilomètre, les données de connexion de téléphones et aussi, en cas de terrorisme, les communications elles-mêmes. Supposez qu'un instrument de cette nature soit placé à la gare du Nord où ont transité 190 millions de personnes en 2008. Même en tenant compte du fait qu'il y a des voyageurs réguliers, cette surveillance concernerait un grand nombre de gens… Quant à l'article L. 851-6, il prévoit l'analyse de tout ce qui passe par le réseau d'un opérateur qui couvre des millions de communications. Nul besoin d'épiloguer. L'accumulation supposée admise de ces données nécessitera un tri pour éliminer celles qui sont inutiles à l'enquête et qui peuvent représenter 99,9 % du total. Dans quelles conditions va-t-on éliminer puis détruire ces données inutiles ? L'article L. 822-2 prévoit des délais de conservation très substantiels allant jusqu'à cinq ans pour les données de connexion.

Enfin, le troisième motif d'accroissement du nombre de personnes susceptibles d'être surveillées tient à l'article L. 852-1 qui porte sur les seules interceptions mais nous fait sortir de la jurisprudence sur l'implication directe et personnelle. Cet article prévoit d'autoriser l'écoute de celui qui est soupçonné d'une infraction grave mais aussi de membres de son entourage qui « volontairement ou non » lui servent d'intermédiaire ou peuvent fournir des informations sur l'affaire. Autrement dit, on s'intéresse non seulement à la personne directement impliquée mais aussi à son « relationnel ». Je crains qu'il n'y ait pas beaucoup de limites précises. On pourra ainsi mettre sur écoutes un chauffeur de taxi ayant transporté un trafiquant de drogues. Pourquoi pas, me direz-vous, puisqu'on pourrait tout aussi bien l'interroger dans le cadre d'une enquête de police ? Certes, mais dans le cas d'espèce, les moyens utilisés sont particulièrement intrusifs. C'est toute la différence. Le principe de proportionnalité, que la loi proclame dans ses premiers articles, est-il respecté ? Il doit y avoir un rapport entre la gravité de l'infraction et celle de l'intrusion.

Voilà pourquoi, dans l'avis rendu au Gouvernement, nous nous sommes déclarés préoccupés par cet élargissement.

Tout cela n'aurait peut-être pas trop de conséquences si le contrôle ne se trouvait pas un peu dépourvu, comme nous en avons l'impression. Disant cela, j'ai conscience d'aller à l'encontre de la parole du Gouvernement qui s'emploie à dire que la CNCTR aura, au contraire, des prérogatives et des moyens supérieurs à la CNCIS. Je crains qu'il n'y ait eu un petit effet d'optique : la CNCIS est réputée pour son peu de moyens, ce que, pour ma part, je n'ai jamais soutenu.

Qu'est-ce qui me permet d'avancer cet argument sur l'affaiblissement du contrôle ? Dans le système actuel, qui repose sur quatre piliers, la CNCIS a accès aux données complètes recueillies par la GIC, donc par les services de police. À l'avenir, toutes les demandes de mise en oeuvre de techniques de surveillance ne passeront pas par la CNCTR. Il est notamment prévu une procédure d'urgence absolue qui permet aux services d'envoyer leur demande directement au Premier ministre, sans passer par la CNCTR. Or un service de police peut facilement organiser sa propre urgence absolue.

En outre, certains dispositifs de surveillance ne nécessiteront ni avis de la CNCTR ni même autorisation du Premier ministre. À cet égard, l'article L.851-6 se révèle très compliqué sur le plan des libertés. L'autorisation d'une mesure de localisation en temps réel d'une personne, d'un véhicule ou d'un objet pourra se faire dans les quarante-huit heures. Or les données recueillies doivent être exploitées très rapidement pour ne pas devenir obsolètes et inutiles.

De plus, la CNCTR ne sera pas en état de contrôler les dispositifs techniques employés par les services. On nous annonce que des algorithmes capables de trier les données et de permettre de repérer les personnes ciblées pourront être placés sur les réseaux d'opérateurs. En l'état, faute de disposer de la très forte technicité en informatique nécessaire, je suis incapable de dire si ces algorithmes correspondent effectivement à ce que le service va m'affirmer. Sans compter que pour entrer dans le système mis en place, le service devra me donner lui-même les instruments qui me permettront de le contrôler. Le problème pourra éventuellement être réglé par le recrutement, au sein de la CNCTR, d'informaticiens aux compétences très développées. Je préférerais que cela soit dit.

Enfin, la CNCTR sera dépourvue d'un accès direct aux données. Le projet de loi organise un travail de greffier du GIC et des services, qui devront consigner très scrupuleusement sur des registres ad hoc les mesures exécutées. On pourra trouver la trace des autorisations et de leurs résultats. Mais entre la trace et la réalité, il peut y avoir beaucoup de choses ! Pour fréquenter les services depuis des années, je sais que ces gens font un métier formidable et difficile, mais aussi que le principe de véracité n'est pas ce qu'ils apprennent en priorité. Selon l'article L. 822-1, le Premier ministre veillera à la centralisation des renseignements collectés. Cette disposition m'intéresse énormément tout en me laissant sur ma faim : après avoir entendu des explications orales, j'ai cru comprendre que l'on n'avait pas envie de trop centraliser car ce serait très dangereux pour la sécurité des données. En réalité, il faut sécuriser les locaux.

Pour le reste, la CNCTR devra donc aller à la pêche aux données dans les locaux de chaque service. Actuellement, les enregistrements des transcriptions se trouvent dans nos locaux. À l'avenir, il faudra aller frapper poliment à la porte des services situés à Levallois-Perret ou boulevard Mortier à Paris. On nous y recevra si on veut. Dans quelles conditions et dans quels délais ? Dans une version antérieure du projet, la CNCTR avait le droit de demander le transport dans ses locaux de certains dossiers, à condition que la vulnérabilité de ces derniers ne soit pas mise en péril. Même si cette disposition était rétablie, il n'en demeurerait pas moins que la vulnérabilité – appréciée par le service – pourrait toujours faire obstacle à la transmission du dossier. La CNCIS tire sa force du fait qu'elle voit tout et dans ses propres locaux.

À mon avis, toutes ces restrictions sont beaucoup plus importantes que les moyens supplémentaires accordés, étant entendu que je ne conteste ni l'intérêt de renforcer les effectifs de la Commission – à vrai dire, je n'en souhaitais pas tant car je pense qu'elle peut être gérée par un petit noyau de gens – ni le recours juridictionnel au Conseil d'État. Tout cela est très important, mais si vous ne donnez pas à la CNCTR les moyens d'avoir prise sur les données brutes du contrôle, vous bâtissez un colosse aux pieds d'argile. Étant un peu expert en matière de contrôle depuis quelques années, je me permets de vous le dire. Si le contrôleur n'a pas accès aux données, il ne contrôlera que ce que l'on voudra bien lui donner et qui ne correspondra pas à la réalité.

Pour conclure, je me réjouis de l'arrivée ce projet de loi qui correspond vraiment à un besoin. Qui s'en plaindrait après les tragédies que nous avons vécues, dans le contexte menaçant que nous connaissons ? Ce texte réaliste part des besoins des services dont certains étaient très demandeurs de légalité. Cependant, nous pensons qu'il faut opérer un petit rééquilibrage.