Intervention de Jean-Yves le Drian

Je vous retrouve au début d'un nouveau chantier, qui est lourd d'enjeux pour la défense et la sécurité nationale, celui de l'examen du projet de loi relatif au renseignement, que le Gouvernement présente au vote du Parlement.

Ce projet intervient dans un contexte qui intéresse doublement la défense.

Tout d'abord, un environnement de menaces directes, y compris, désormais, sur le sol de la France, comme sur celui d'autres pays européens. Et la Tunisie, symbole du renouveau démocratique dans les pays arabes, vient d'être frappée elle-même, à deux heures de vol de Paris.

Au-delà de l'émotion que nous ressentons, nous avons un devoir de lucidité. La menace terroriste d'inspiration djihadiste ne gagne pas seulement du terrain jusqu'au coeur de l'Afrique, comme vient de le montrer le ralliement de Boko Haram à l'État islamique, ou au Moyen-Orient. Elle a changé de nature, d'échelle, et nous fait du même coup changer d'époque.

Cette menace est nouvelle par son intensité et sa proximité. À n'en pas douter, elle est durable.

Ces dernières semaines, j'ai parlé à plusieurs reprises d'une continuité entre l'action que nous menons sur le sol national et celle menée à l'extérieur. Cette continuité est une réalité concrète pour nos services, qui peuvent la vérifier au quotidien. Ainsi, il ne se passe pas une semaine, sans découverte d'une filière ou d'un projet d'action.

Les chiffres eux-mêmes renvoient à une réalité qu'aucun Français ne peut plus ignorer. En France, 1 900 individus sont aujourd'hui recensés dans les filières terroristes djihadistes, dont 1 450 candidats pour la Syrie et l'Irak. 770 d'entre eux se sont effectivement rendus dans les régions en conflit et 420 s'y trouvent toujours. À ce jour, environ 90 ont été tués au cours de combats. En quinze mois, le nombre de départ a ainsi été multiplié par 2,5.

Ces évolutions et la nature de l'adversaire, armé militairement et prêt à dispenser la violence sans discrimination, justifient pleinement les décisions du Président de la République depuis les attentats des 7, 8 et 9 janvier derniers.

En second lieu, vous savez combien le renseignement a été érigé en priorité dans la loi de programmation militaire (LPM). Il est notre première ligne de défense contre les projets des groupes combattants terroristes. Je viens donc m'exprimer devant vous en ma qualité de ministre ayant en charge le renseignement extérieur, le renseignement d'intérêt militaire et le renseignement de protection de la défense.

Dès l'automne 2013, nous avions travaillé ensemble à une première série de dispositions, inscrites dans la LPM, sur la modernisation de notre corpus juridique, avec la rénovation et l'extension du régime de l'accès administratif aux données de connexion, mais aussi sur l'autorisation légale accordée pour des actions de cyberdéfense.

À la suite d'échanges avec Jean-Jacques Urvoas et Patrice Verchère, j'avais alors annoncé une refonte de la loi de 1991 sur les interceptions de sécurité, devenue obsolète du fait des révolutions technologiques intervenues depuis. Nous y sommes.

Un certain nombre de dispositions ont été prises au lendemain des attentats de début janvier pour renforcer les services de renseignement, notamment la direction générale de la sécurité intérieure (DGSI), mais aussi ceux dépendant directement de la défense, avec 250 créations de postes au titre de la lutte contre les réseaux djihadistes.

Ce texte n'est pas simplement né de la situation d'urgence, à laquelle il veut apporter une réponse forte. Il a fait l'objet de longs travaux préparatoires au sein du Gouvernement et obéit aux mêmes principes que ceux que j'ai eu l'honneur de défendre devant vous lors du débat sur la LPM : contribuer au renforcement de la sécurité des Français et garantir la protection de leurs libertés individuelles. C'est un texte d'équilibre entre ces deux nécessités.

Dans cet esprit, il a donné lieu, ces dernières semaines, à des consultations approfondies avec la Commission nationale de l'informatique et des libertés (CNIL), l'Autorité de régulation des communications électroniques et des postes (ARCEP), la Commission consultative du secret de la défense nationale, la Commission nationale de contrôle des interceptions de sécurité (CNCIS), le Conseil national du numérique et, bien sûr, le Conseil d'État, dont – et c'est une première, voulue par le Président de la République – l'avis a été publié en même temps que le projet de loi. Avec le Premier ministre, nous nous sommes également assurés, bien entendu, de la bonne association de la Délégation parlementaire au renseignement (DPR) au début du processus de préparation du texte.

Devant les enjeux en cause, le Gouvernement a en effet recherché toutes les garanties qui s'imposaient et nous avons suivi pour l'essentiel l'avis du Conseil d'État.

Avant d'entrer dans le détail du projet de loi, je voudrais insister sur trois évolutions de fond qui ont inspiré sa rédaction.

La première était la nécessité de moderniser la législation française pour l'adapter aux évolutions – ou plutôt révolutions – technologiques constatées depuis la précédente loi, qui date, comme chacun sait, de 1991. Cette loi avait été élaborée dans un autre contexte historique et technique. À cet égard, chacun doit mesurer les bouleversements technologiques intervenus en vingt-cinq ans dans le secteur des télécommunications et des systèmes d'information. En l'espace d'un quart de siècle, nous avons changé de millénaire : les communications massives en flux et en réseau, qui s'accroissent sans cesse, offrent des possibilités de contournement des enquêtes et de dissimulation sans précédent, et toujours plus nombreuses. Un univers qui permet aux techniques de cryptage d'être accessibles aux particuliers et qui, pris globalement, a modifié en profondeur les règles du jeu pour ceux qui veulent nous frapper, comme pour nous, qui voulons les en empêcher. On parle beaucoup ces temps-ci de la surveillance des réseaux : je voudrais témoigner ici de la sophistication des techniques employées par les réseaux djihadistes, y compris par ce qu'on appelle les loups solitaires. Je veux y insister, parce que les possibilités de dissimulation offertes en particulier aux groupes terroristes, qui savent les utiliser de façon professionnelle, sont désormais quasiment infinies.

Deuxièmement, il fallait mettre à jour notre législation, afin qu'elle réponde pleinement aux besoins du contrôle démocratique de l'activité des services. Nous avons franchi une première étape en 2013, avec le renforcement des pouvoirs de la Délégation parlementaire au renseignement. Mais il était indispensable de doter la France d'un cadre légal cohérent et plus complet. Avec cette loi, notre pays rejoindra donc le cercle des grandes démocraties, qui ont à la fois des moyens de renseignement pour faire face aux menaces et un arsenal législatif permettant de contrôler l'ensemble des dispositifs.

Enfin, il était nécessaire de prendre en compte une menace qui s'est considérablement accrue ces derniers mois, celle du terrorisme djihadiste. Le texte comporte des dispositions spécifiques qui s'attachent à la prévention du terrorisme. Il permettra aussi de répondre à d'autres menaces : nous protéger contre l'espionnage, le pillage industriel ou la criminalité organisée, et protéger nos militaires engagés sur les théâtres d'opération.

Pour entrer dans le corps du projet qui vous est soumis, je voudrais revenir sur les finalités attachées par la loi à l'usage de ces techniques de renseignement que nous souhaitons à la fois définir et encadrer.

Le texte précise, dans ce qui sera l'article L. 811-3 du code de la sécurité intérieure, les objectifs justifiant le recours à des techniques intrusives – accès aux données de connexion, interceptions de sécurité, captations de sons, d'images et de données informatiques dans des lieux privés, surveillance des communications internationales.

Ces finalités sont au nombre de sept : la sécurité nationale ; les intérêts essentiels de la politique étrangère et l'exécution des engagements européens et internationaux de la France ; les intérêts économiques et scientifiques essentiels de la France ; la prévention du terrorisme ; la prévention de la reconstitution ou du maintien de groupement dissous en application de l'article L. 212-1 du code de la sécurité intérieure ; la prévention de la criminalité et de la délinquance organisées ; et la prévention de violences collectives de nature à porter gravement atteinte à la paix publique.

Le Gouvernement a souhaité que ces finalités soient communes, et non pas distinctes selon que les services concernés agissent plutôt sur le territoire national ou à l'extérieur : nous traduisons ainsi dans la loi la nécessaire continuité de l'action globale des différents services, parce que les menaces elles-mêmes se jouent désormais des frontières entre sécurité intérieure et sécurité extérieure.

Au moins cinq de ces sept finalités concernent directement les trois services placés sous mon autorité. Mais il va de soi que chaque service de la communauté du renseignement devra agir et sera autorisé à utiliser ces techniques et à se prévaloir de ces finalités dans la seule mesure où celles-ci entrent bien dans sa mission. Il appartient au Premier ministre et au Coordonnateur national pour le renseignement de veiller à cette cohérence.

Le premier objectif de ce projet de loi est donc de permettre aux services de renseignement d'agir plus efficacement, en leur conférant un cadre légal précis, qui les autorise à recourir à des moyens techniques d'accès à l'information, en particulier pour anticiper les menaces, préserver notre sécurité, éclairer de façon indépendante la défense des intérêts de la France.

À cette fin, le texte permet la mise en oeuvre de diverses mesures de surveillance sur le territoire national. Ces mesures, en nombre restreint, seront strictement encadrées, à la fois par les finalités que j'ai rappelées et par le contrôle de leur usage par une autorité administrative indépendante, renforcée dans ses prérogatives et ses moyens : la Commission nationale de contrôle des techniques de renseignement, la CNCTR.

Il s'agit en premier lieu des interceptions de sécurité, dites aussi « écoutes administratives », qui, dans la continuité de la loi du 10 juillet 1991 relative au secret des correspondances, permettent d'accéder au contenu des communications électroniques – téléphonique ou via internet – échangées par les personnes surveillées. La loi reprend ici le dispositif existant, codifie la pratique, mais apporte aussi des garanties supplémentaires en affirmant le rôle de contrôle indépendant et préalable que joue la CNCTR sur l'ensemble de la procédure.

Ces interceptions sont contingentées par le Premier ministre. Les demandes des services, dans le cadre des finalités précitées, doivent être motivées et validées. Elles sont soumises à un avis préalable de la CNCTR et l'autorisation d'interception ne sera validée par le Premier ministre qu'au vu de cet avis. En tout point de la procédure, la CNCTR pourra intervenir pour contrôler l'action des services. Elle pourra en particulier recommander l'interruption de l'interception et la destruction des renseignements collectés. Il s'agit là de contenu.

Parmi les techniques concernées, je veux, deuxièmement, citer l'accès aux données de connexion, qui sont toutes les données décrivant les communications sans jamais dévoiler leur contenu – données relatives aux numéros de téléphone ou d'ordinateurs, aux identifiants contactés, à l'horaire ou à la durée des communications échangées, à la localisation des téléphones ou terminaux, etc. L'article 20 de la LPM avait unifié et modernisé le régime d'accès administratif à ces données : il se trouve encore amélioré par ce projet de loi et voit par ailleurs le contrôle de ses dispositions renforcées.

Concrètement, trois modes de recueil particuliers des données de connexion viennent compléter les dispositions introduites par la LPM.

D'abord, dans le cadre de la prévention du terrorisme et pour un ensemble de personnes préalablement identifiées et donc ciblées, et elles seules, des données de connexions pourront être recueillies en temps réel directement sur les réseaux des opérateurs, sous le contrôle de la CNCTR – ce sera l'objet de l'article L. 851-3.

De même, pour la seule prévention du terrorisme, les services pourront, à partir des réseaux de télécommunication, déceler les menaces terroristes qui auront pu être mises en lumière sur la base d'une succession suspecte de connexions, révélées par les données de connexion et repérées dans un premier temps de façon anonymisée. Cette disposition – l'article L. 851-4 – prévoit que les algorithmes – système mathématique de tri des informations numérisées – utilisés à cette fin par les services seront soumis au préalable à la CNCTR pour avis et contrôle.

Enfin, toujours dans le cadre de la prévention du terrorisme, des données de connexion en nombre très limité – identifiants IMEI, pour les boîtiers de téléphone, et IMSI pour les cartes SIM – pourront également être collectées par des dispositifs de recueil de proximité – les fameux IMSI Catchers. Dans ce cas de figure, seuls les éléments permettant d'identifier et localiser le terminal et son utilisateur sont recherchés. L'utilisation de ce dispositif sera soumise au contrôle de la CNCTR. Il s'agit uniquement d'autoriser la vérification du réseau, sauf situation d'extrême urgence.

Il convient aussi d'ajouter que le projet de loi transpose dans le domaine de la prévention des mesures déjà permises dans un cadre judiciaire. Il s'agit d'une autre avancée majeure dans notre droit, car ces pratiques des services de renseignement, autres que celles de la captation des communications, n'étaient jusqu'ici pas encadrées par la loi, ni par un mode de contrôle indépendant. Je pense au balisage de véhicules ou d'objets, à la sonorisation ou la captation d'images dans des lieux privés, ou encore à la captation de données informatiques.

L'enjeu est toujours d'assurer un suivi plus efficace des individus identifiés comme présentant une menace majeure et de pouvoir ainsi détecter en amont les projets terroristes ou portant atteinte aux intérêts essentiels de la Nation.

Je voudrais à cet égard insister sur d'autres dispositions du projet de loi qui intéressent spécifiquement le ministère de la Défense.

Il s'agit d'abord des mesures de surveillance des communications internationales – objet de l'article L. 854-1, portant sur les mesures de surveillance internationale. Dans la loi de 1991, toute captation de renseignement à l'extérieur du territoire national avait été renvoyée en dehors de la norme législative. Ce type de surveillance, dont nous avons un besoin crucial, s'exerçait donc sans encadrement juridique. Ce projet de loi y remédie : c'est un progrès décisif.

Pour ces mesures de surveillance internationale, le Premier ministre interviendra à deux reprises au moins pour chaque opération – pour autoriser le recueil des données et autoriser leur exploitation. La CNCTR, bien sûr, aura la responsabilité de veiller à la conformité des activités des services dans ce domaine avec le régime légal et les instructions du Premier ministre. La loi renverra en ce domaine à un décret en Conseil d'État pour la mise en place des modalités de ce contrôle et à un autre décret, relatif à l'exploitation des données, qui ne sera pas publié mais sera soumis à l'avis de la CNCTR et communiqué à la DPR. S'il s'avérait qu'une communication internationale mettrait en jeu un identifiant rattachable au territoire national – en clair, lorsque l'étranger cible de la surveillance appellera une personne vivant en France –, s'appliquera le dispositif que j'ai exposé antérieurement, avec la procédure de droit commun concernant les citoyens et les captations faites sur le territoire national.

Autre disposition qui intéresse spécifiquement la défense : le projet de loi étend encore par rapport à la LPM, qui avait déjà innové dans ce domaine, le cadre juridique applicable aux actions de cyberdéfense. Des dispositions viennent en effet protéger juridiquement les agents habilités de nos services contre des poursuites pénales s'ils sont conduits à agir offensivement pour des motifs de sécurité nationale et de défense.

Quant à la CNCTR, sa composition est, par rapport à la CNCIS, renouvelée et élargie. Passant de trois à neuf membres, elle comptera deux députés et deux sénateurs, issus de la majorité et de l'opposition ; deux membres ou anciens membres du Conseil d'État ; deux magistrats ou anciens magistrats de la Cour de cassation ; et une personnalité qualifiée pour sa connaissance en matière de communications électroniques. Cette composition, délibérément collégiale en raison de l'importance de la charge résultant du champ d'action et des moyens de la nouvelle autorité, permet d'allier pluralisme démocratique, garantie d'indépendance et compétences techniques.

Les attributions de la Commission se voient également considérablement élargies, couvrant désormais toute la gamme des activités des services. La CNCTR agira ainsi a priori, en formulant un avis préalable à l'octroi de l'autorisation d'agir, sauf dans un nombre extrêmement limité de cas – résultant de l'urgence opérationnelle –, ainsi que pendant la mise en oeuvre de la technique et a posteriori, une fois le recours à la technique terminé. Elle disposera donc d'un pouvoir étendu de contrôle, mais aussi de recommandation et, désormais, novation essentielle, de saisine d'un juge, lorsqu'elle estimera qu'une autorisation a été irrégulièrement délivrée et qu'une technique de renseignement est mise en oeuvre illégalement.

Je voudrais insister sur cette novation majeure du texte que constitue la création d'un recours juridictionnel. Le texte prévoit en effet que des violations de la réglementation résultant de cette loi puissent être portées devant le juge : cette possibilité sera ouverte à des individus qui estimeraient faire l'objet d'une surveillance illégale, comme à la CNCTR si elle constate une activité n'entrant pas dans le cadre fixé par la loi.

Le pouvoir de décision revient bien au chef du Gouvernement, ce qui est normal et souhaitable s'agissant d'activités relevant par essence du domaine régalien. Mais il existera désormais une possibilité organisée par la loi de saisir le juge, en l'occurrence le Conseil d'État, et de lui donner l'occasion d'accéder pour sa part et en quelque sorte au nom et pour le compte des citoyens, à des informations classifiées. Cette apparition d'un contrôle juridictionnel spécifique dans le domaine du renseignement s'inspire du fonctionnement d'autres grandes démocraties. Si des règles particulières de procédure sont attachées à ce droit de recours, elles ne sont instaurées que pour protéger le secret de la défense ou éviter les pratiques abusives que nos adversaires ne manqueraient pas de développer. Ce droit me paraît constituer une avancée substantielle dans la protection des droits des citoyens.

Je précise que l'ambition du Gouvernement est de doter la CNCTR de moyens réels pour qu'elle exerce l'ensemble de ces missions. C'est notamment la raison pour laquelle elle comportera un spécialiste des télécommunications et technologies de l'information – pour tenir compte du caractère technique de la matière sur laquelle elle sera conduite à se prononcer.

La DPR continuera bien sûr de jouer tout son rôle. Nous l'avons consultée, comme je l'ai indiqué. Elle figure dans le texte à travers plusieurs dispositions et sera notamment destinataire du rapport annuel de la CNCTR. Elle conservera par ailleurs son pouvoir de contrôle des services et de suivi de leurs activités, y compris des fonds spéciaux.

Tels sont les éléments les plus importants de ce projet de loi concernant le ministère de la Défense. La force de ce texte est de garder un équilibre en donnant à nos services de renseignement davantage de capacité d'agir tout en ayant un contrôle démocratique le plus transparent possible, pour permettre à notre pays d'assurer à la fois la garantie démocratique et celle de sa sécurité. Cette loi est indispensable dans le contexte actuel.