1

RPUB LI QUE FRAN AI S E

LIBERTGALITFRATERNIT

_________________________________________________________________________________

Commission de rflexion et de
propositions sur le droit et les
liberts lge numrique
Le 1 avril 2015

Recommandation sur le projet de loi relatif au renseignement

La Commission de rflexion et de propositions sur le droit et les liberts lge

numrique a souhait rendre publique une recommandation portant sur le projet de loi relatif
au renseignement en cours dexamen au Parlement.
Dans un contexte marqu par les rvlations dEdward Snowden sur la surveillance en
ligne massive et gnralise des individus, ainsi que par des menaces terroristes dont
lextrme gravit a t confirme, la Commission considre que lactualisation des textes
rgissant les activits de renseignement est indispensable.
La Commission a procd plusieurs auditions sur les activits de renseignement
lre numrique. Elle ne mconnait pas les usages des rseaux numriques par les
mouvements terroristes. Elle a galement pris la mesure de la nouvelle puissance que donnent
aux tats les technologies de surveillance.
Au moment o les rseaux numriques ont pris une place importante dans la vie des
individus, un nombre croissant doutils technologiques de plus en plus perfectionns et
intrusifs facilite leur exploration par les autorits publiques sans que soit dfini un cadre
juridique adapt qui en prcise les conditions dutilisation. La Commission souhaite en
pralable mettre en garde contre le risque daller, pas pas, dune surveillance cible une
surveillance gnralise.
Il apparat donc ncessaire de lgaliser et dencadrer les pratiques existantes
acceptables. Il convient ainsi de dfinir un rgime juridique global, cohrent et protecteur
des liberts fondamentales pour les activits de renseignement, mnageant un juste
quilibre entre les ncessits constitutionnelles de prservation de lordre public laquelle
les services de renseignement participent et les droits de chacun au respect de sa vie prive,
de sa correspondance, de son domicile et de ses donnes personnelles.
Ce rgime doit tre conforme larticle 2 de la Dclaration des droits de lhomme
et du citoyen de 1789 et larticle 8 de la Convention europenne des droits de lhomme
et des liberts fondamentales aux termes duquel il ne peut y avoir ingrence dune autorit

publique dans lexercice du droit au respect de la vie prive et familiale, du domicile et de la

correspondance que pour autant quelle est prvue par une loi accessible et prvisible et
quelle est ncessaire, dans une socit dmocratique, la poursuite dun but lgitime. La
Commission souligne limportance accorde par la CEDH au caractre prvisible et
accessible de la loi, qui doit user de termes assez clairs pour indiquer aux individus de
manire suffisante en quelles circonstances et sous quelles conditions elle habilite les
autorits publiques prendre des mesures de surveillance secrte . Ainsi, la Cour estime que
les coutes et autres formes dinterception des entretiens tlphoniques reprsentent une
atteinte grave au respect de la vie prive et de la correspondance. Partant, elles doivent se
fonder sur une "loi" dune prcision particulire. Lexistence de rgles claires et dtailles en
la matire apparat indispensable, dautant que les procds techniques utilisables ne cessent
de se perfectionner 1.
*
Le projet de loi pose les principes et finalits de la politique publique de
renseignement et la procdure dautorisation des techniques de recueil du renseignement. Il
dfinit la composition, les missions et les prrogatives de lautorit administrative
indpendante qui sera charge de contrler la mise en uvre de ces techniques. Il introduit un
recours juridictionnel permettant de contester cette mise en uvre. Il encadre enfin les
conditions dans lesquelles chaque technique de recueil du renseignement peut tre utilise.

(1) Selon le Gouvernement, le projet de loi relatif au renseignement vise mieux

encadrer lactivit des services de renseignement et donner, par voie de consquence, un
cadre lgal lactivit des services de renseignement en leur permettant dlargir le spectre
lgal des techniques pouvant tre mises en uvre, pour mieux rpondre aux finalits nonces
par la loi . Si la Commission partage ces deux objectifs, elle rappelle que la lgalisation de
pratiques de surveillance jusqualors peu encadres ne doit pas tre loccasion dtendre
lexcs le primtre de cette surveillance, sauf remettre en cause lquilibre entre les
liberts fondamentales protger.

(2) Larticle 1er du projet de loi dispose que le respect de la vie prive, notamment le
secret des correspondances et linviolabilit du domicile, est garanti par la loi et quil ne
peut y tre port atteinte que dans les seuls cas de ncessit dintrt public prvus par loi,
dans les limites fixes par celle-ci et dans le respect du principe de proportionnalit . La
Commission, particulirement attache au respect de ces principes gnraux, souligne que le
droit la protection des donnes caractre personnel est un droit fondamental part
entire 2 qui mriterait, ce titre, de figurer expressment dans la liste de ceux garantis par la
loi dans le cadre des activits de renseignement. Elle souhaite galement que soit raffirme,
1

CEDH, 24 avril 1990, Kruslin c. France.

Voir CJUE, 13 mai 2014, Google Spain c. AEPD. La protection des donnes caractre personnel figure par
exemple, en tant que tel, larticle 8 de la Charte des droits fondamentaux de lUnion europenne.

ct du principe de proportionnalit, la ncessaire subsidiarit de toutes les mesures de

surveillance, qui impose de limiter les atteintes aux liberts individuelles aux cas o le but
poursuivi ne peut tre atteint par un autre moyen moins intrusif.

(3) La Commission rappelle par ailleurs que les activits de renseignement doivent
tre proportionnes un nombre limit et prcisment dfini de finalits. Or la
Commission constate que larticle 1er du projet de loi ajoute aux cinq existantes 3 deux
nouvelles finalits les intrts essentiels de la politique trangre et lexcution des
engagements europens et internationaux de la France et la prvention des violences
collectives de nature porter gravement atteinte la paix publique sans que soit prcisment
caractrise chacune delle laissant ainsi une trs large marge dinterprtation et autorisant
potentiellement un recours trs largi aux activits et aux technologies du renseignement.
Sagissant des intrts essentiels de la politique trangre et de lexcution des
engagements europens et internationaux de la France , la Commission souhaite que les
dbats permettent une clarification de ces notions. Quant la finalit de prvention des
violences collectives de nature porter gravement atteinte la paix publique , la
Commission la juge trop floue et trop large et prconise sa suppression, lobjectif de
prvention des violences collectives de nature porter atteinte la forme rpublicaine et la
stabilit des institutions tant par ailleurs couverte par la notion de scurit nationale .

(4) Les articles 1er 3 du projet de loi redfinissent le rgime juridique applicable
aux techniques de recueil du renseignement : modification des conditions dutilisation des
techniques actuelles (interceptions de scurit ; accs administratif aux donnes de
connexion), autorisation de recourir de nouveaux dispositifs jusque-l rservs aux services
de police judiciaire (captation, fixation, transmission et enregistrement de sons, dimages et de
donnes informatiques ; golocalisation en temps rel) et des techniques nouvelles (sonde ;
dispositif technique de proximit ou IMSI-catcher ; dtection de signaux faibles ).
Dune part, la Commission relve que ces articles largissent significativement le
champ actuel des interceptions de scurit et du recueil administratif des mtadonnes.
Pour les interceptions de scurit, ces articles suppriment leur caractre exceptionnel 4 et
tendent trs largement ces interceptions non plus, comme actuellement, aux seules personnes
ayant un lien personnel et direct avec une infraction prsume mais lensemble des
personnes appartenant lentourage de la personne vise lorsquelles sont susceptibles
de jouer un rle dintermdiaire, volontaire ou non, pour le compte de celle-ci ou de fournir
des informations sur lune des finalits de linterception.
Ces articles couplent automatiquement linterception et le recueil des donnes de
connexion de la personne (nouvel article L. 852-1 du code de la scurit intrieure) et portent
3

Larticle L. 241-2 du code de la scurit intrieure mentionne la scurit nationale, la sauvegarde des
lments essentiels du potentiel scientifique et conomique de la France ainsi que la prvention du terrorisme,
de la criminalit organise et de la reconstitution ou du maintien de groupements dissous.
4
Qui figure actuellement larticle L. 241-2 du code de la scurit intrieure.

de 10 jours un mois la dure de conservation des interceptions, augmentation qui avait t

pourtant rejete au cours des dbats sur la loi renforant les dispositions relatives la lutte
contre le terrorisme (II du nouvel article L. 822-2 du mme code). La dure de conservation
des donnes techniques de connexion recueillies par les services de renseignement est
galement augmente, passant de trois cinq ans (I du mme article).
Ces dispositions ne soulvent pas dobjection de principe de la part de la Commission,
condition que la notion d entourage de la personne vise ne fasse pas lobjet dune
interprtation extensive.
Dautre part, la Commission sest interroge sur lextension prvue par le projet de
loi des moyens des services de renseignement de nouvelles techniques prvues par les
articles 2 et 3.
Larticle 2 autorise, pour lensemble des finalits des activits de renseignement, la
golocalisation administrative en temps rel dune personne, dun vhicule ou dun objet
(nouvel article L. 851-6 du mme code) et lutilisation en cours dopration, de dispositifs
mobiles de proximit de captation directe de certaines mtadonnes (dispositif dit
IMSI-catcher ; nouvel article L 851-7 du mme code). Il permet galement, pour les seuls
besoins de la prvention du terrorisme, le recueil en temps rel, sur les rseaux des oprateurs
de communications lectroniques (sonde), des donnes de connexion de personnes
pralablement identifies comme prsentant une menace (nouvel article L. 851-3 du mme
code), voire, titre exceptionnel, lutilisation du dispositif des IMSI- catcher pour intercepter
directement le contenu des correspondances (nouvel article L. 851-7 du mme code). Par
ailleurs il permet galement des fins de prvention du terrorisme, lexploitation, par les
oprateurs de communications lectroniques et les fournisseurs de services, des
informations et documents traits par leurs rseaux (dtection de signaux faibles par
la pose de botes noires chez les oprateurs) afin de rvler, sur la seule base de
traitements automatiss dlments anonymes, une menace terroriste (nouvel article L. 8514 du mme code). Larticle 3 autorise, si aucun autre moyen lgal nest possible pour obtenir
le mme renseignement, le recours des appareils de captation, de transmission et
denregistrement de sons, dimages et de donnes informatiques (nouvel article L. 853-1 du
mme code) ainsi que lintroduction dans un vhicule, un lieu priv ou un systme automatis
de traitement de donnes aux fins de poser, mettre en uvre ou retirer de tels appareils
(nouvel article L. 853-2 du mme code).
Ces articles appellent plusieurs observations de la part de la Commission, qui
recoupent les proccupations dj formules par le Conseil national du numrique 5 et la
CNIL dans son avis sur le projet de loi.
Sagissant du recueil, en temps rel sur les rseaux des oprateurs, dinformations et
documents relatifs des personnes pralablement identifies comme prsentant une menace
(article L. 851-3 dans sa rdaction propose par le projet de loi), la Commission sinterroge
sur le primtre exact des donnes concernes au regard de la formulation retenue et souhaite
quil soit prcis que seules les donnes de connexion puissent tre recueillies.
5

Communiqu de presse du Conseil national du numrique du 19 mars 2015.

La Commission est fortement proccupe par lusage prventif de sondes et

dalgorithmes paramtrs pour recueillir largement et de faon automatise des donnes
anonymes afin de dtecter une menace terroriste ( signaux faibles ).
La Commission estime que larticle L. 851-4, dans sa rdaction propose par le projet
de loi, ouvre la possibilit, des fins de prvention du terrorisme, dune collecte massive et
dun traitement gnralis de donnes. Largument selon lequel cette surveillance porte
initialement sur des donnes anonymes, traites de faon automatique et algorithmique, ne
saurait offrir de garanties suffisantes. Cet argument est dailleurs traditionnellement avanc
lappui de la surveillance gnralise, qui a recours des algorithmes qui lisent et exploitent
des volumes massifs de donnes.
Par ailleurs, sur le plan juridique, les donnes concernes ne sont pas anonymes,
puisque leur exploitation peut conduire, sous certaines conditions, la leve de lanonymat. Il
sagit donc dun traitement de donnes caractre personnel. La Commission sinterroge sur
la conformit de la mesure propose au regard des exigences poses par la CJUE, dans son
arrt Digital Rights Ireland du 8 avril 2014, qui rappelle que tout traitement de ce type doit
tre cibl et proportionn.
Enfin, la Commission est particulirement attentive viter des effets de brche
qui conduiraient llargissement de ce dispositif dautres finalits que la prvention du
terrorisme.
La Commission sest interroge sur la possibilit dun encadrement strict de ce type de
technologie de surveillance. En ltat des informations disponibles, cet encadrement ne lui est
pas apparu envisageable. Cest pourquoi la Commission appelle de ses vux la
suppression de larticle L 851-4 du projet de loi.
La Commission regrette que les dispositifs administratifs de localisation en temps
rel dune personne, dun vhicule ou dun objet et de captation, de transmission et
denregistrement de sons, dimages et de donnes informatiques ne soient pas assortis de
garanties quivalentes celles prvues, pour les professions protges, par le code de
procdure pnale lorsquils sont mis en uvre dans un cadre judiciaire. cet gard,
devraient tre exclus de la golocalisation administrative, au mme titre que la golocalisation
judiciaire, les lieux mentionns aux articles 56-1 56-4 (cabinet et domicile dun avocat,
locaux de presse, cabinet dun mdecin, notaire ou huissier, etc.) et le bureau ou le domicile
des personnes mentionnes larticle 100-7 du code de procdure pnale (dput, snateur,
magistrat, etc.).Elle souhaite par ailleurs quil soit prcis que la golocalisation en temps rel
est effectue par un agent individuellement dsign et dment habilit comme cest le cas
pour les autres techniques de recueil du renseignement.
Ces articles ne dfinissent pas non plus avec suffisamment de prcision les
conditions dans lesquelles des dispositifs aussi intrusifs pour la vie prive peuvent tre
utiliss, sagissant notamment des personnes pralablement identifies comme prsentant
une menace dont les mtadonnes ou les correspondances peuvent tre saisies en temps rel
et du champ de la captation, de la transmission et de lenregistrement des donnes

informatiques transitant par un systme automatis de donnes ou contenues dans un tel

systme .
Quoique soumise des garanties renforces (limitation des finalits, principe de
subsidiarit, renforcement de la motivation de la demande, dure dautorisation limite
respectivement deux mois et 30 jours pour les mesures autorises par larticle 3), lutilisation
de ces dispositifs est susceptible de conduire une surveillance indiscrimine des personnes
et une collecte indiffrencie des donnes, sans que soient apportes de surcrot toutes les
garanties dun contrle strict de leur mise en uvre. Ainsi le recours aux IMSI-catcher permet
par exemple la collecte de donnes caractre personnel dun nombre indtermin de
personnes situes dans lenvironnement gographique de celle vise par la mesure.
Larticle 3 cre galement un cadre spcifique aux interceptions de communications
lectroniques mises ou reues ltranger. La Commission relve tout dabord que le
cadre applicable la surveillance internationale est, en ltat, trs flou : en particulier, aucune
indication sur les techniques prcisment utilises nest fournie. Par ailleurs, compte tenu du
caractre mondial des rseaux numriques, lessentiel des communications des citoyens
franais est mis ou reu ltranger, notamment aux tats-Unis o sont domicilis de
nombreux serveurs. Il y a donc un risque que cette surveillance internationale, beaucoup
moins encadre, sapplique indirectement aux citoyens franais. Cest pourquoi la
Commission appelle de ses vux une clarification du champ de cette surveillance
internationale et de son rgime. Elle prconise notamment que lexigence de recourir un
agent individuellement dsign et dment habilit prvue pour dautres techniques de
renseignement soit tendue ce type de surveillance.

(5) Le projet de loi soumet au contrle dune nouvelle autorit administrative

indpendante la Commission nationale de contrle des techniques de renseignement
(CNCTR) et au juge administratif une formation spcialise du Conseil dtat statuant
en premier et dernier ressort lensemble des techniques de recueil du renseignement (accs
administratifs aux donnes de connexion, interceptions de scurit, localisation, sonorisation
de certains lieux et vhicules, captation dimages et de donnes informatiques), lexception
des mesures de surveillance internationale.
La cration de cette nouvelle autorit administrative, qui remplacera la Commission
nationale de contrle des interceptions de scurit charge de formuler un avis sur les
demandes dinterception de scurit, et la personnalit qualifie qui se prononce sur les
demandes daccs aux mtadonnes, unifie le contrle des techniques de renseignement. Les
prcisions apportes quant sa composition (conditions de nomination, rgles de dontologie
et dincompatibilit) constituent dimportantes garanties dindpendance et dimpartialit. Le
spectre large des missions qui lui sont dvolues (avis pralable, pouvoir de recommandation
tendant interrompre la mise en uvre dune technique, pouvoir de saisine du Conseil dtat,
etc.) renforce la porte du contrle quelle exerce sur ces activits.

Toutefois, la Commission considre que lautorit et lefficacit du contrle de la

CNCTR devront tre consolides en veillant la doter des moyens budgtaires et humains
ncessaires lexercice de lensemble de ses missions et garantir son indpendance
dans le mode de dsignation de ses membres comme de ses services. Il appartiendra au
Gouvernement, au cours des dbats, de prciser les budgets et les comptences humaines dont
il entend doter cette autorit.
La Commission souhaite galement que toutes les prcisions ncessaires soient
apportes larticle 1er du projet de loi afin de lui donner les moyens juridiques de procder,
tout moment de la mise en uvre de la technique de recueil du renseignement, tous les
contrles, sur pice et sur place, utiles. La Commission insiste sur la ncessit pour la
CNCTR de pouvoir mener des contrles actifs, a priori comme a posteriori, sur les
diffrentes technologies utilises, leur champ dapplication ou leurs conditions de mise en
uvre.
Larticle 1er prvoit que, pour laccomplissement de sa mission, la CNCTR dispose
dun droit daccs aux autorisations, relevs, registres, donnes collectes, transcriptions et
extractions (nouvel article L. 833-2 du code de la scurit intrieure). La Commission
estime que la CNCTR devrait tre systmatiquement destinataire de ces lments afin
dexercer pleinement ses missions.
Elle partage les proccupations du Conseil national du numrique qui estime crucial de
doter la CNCTR de pouvoirs denqute suffisants et regrette que cette dernire soit
simplement informe de lautorisation donne par le Premier Ministre de procder une
golocalisation ou la mise en place dun dispositif de proximit pour apprhender des
donnes de connexion en cas durgence absolue .
En outre, la Commission recommande la dsignation, au sein de la CNCTR, dune
personnalit qualifie pour sa connaissance en matire de droit de la protection de la vie
prive et des donnes caractre personnel, nomme sur proposition du prsident de la CNIL.
Enfin, la Commission estime que toute technique de surveillance et ses volutions,
prsentant une menace particulire pour les liberts individuelles, devraient tre soumises
lautorisation pralable de la CNCTR qui devrait en encadrer les conditions dutilisation
techniques.

(6) La Commission regrette quaucune disposition ne vienne renforcer la sanction

pnale des infractions rsultant dactions illgales, contrepartie pourtant ncessaire
dune loi sur le renseignement et dplore les possibilits de recours limites et en pratique
difficiles mettre en uvre offertes aux citoyens pour contester les mesures de surveillance
exerces leur encontre.
Par ailleurs, lorsque le Premier ministre ne donne pas suite ses recommandations, il
est prvu que la CNCTR puisse saisir le Conseil dtat la majorit absolue de ses membres
(nouvel article L. 821-6 du code de la scurit intrieure). Une saisine la demande de deux

membres est toutefois possible en cas de recours des techniques particulirement intrusives
(nouvel article L. 853-2 du mme code). La Commission prconise de gnraliser cette
possibilit quelle que soit la technique de recueil du renseignement utilise.

(7) La Commission appelle enfin lattention du lgislateur sur labsence de disposition

spcifique relative au signalement des activits illgales de surveillance administrative,
larticle 1er du projet de loi se bornant prvoir que la CNCTR peut sautosaisir ou tre saisie
par toute personne y ayant un intrt direct et personnel . La loi du 6 dcembre 2013
relative la lutte contre la fraude fiscale et la grande dlinquance conomique et financire a
certes interdit toute mesure dfavorable prise lencontre dune personne qui, de bonne foi,
tmoigne sur des faits constitutifs dun crime ou dun dlit. Mais cette disposition ne couvre
pas le signalement dactivits qui, sans tre stricto sensu pnalement rprhensibles,
relveraient de manquements la morale, lthique ou lintrt gnral. Ds lors, le
Parlement pourrait dbattre de lopportunit dinstaurer un canal dinformation scuris pour
les agents des services de renseignement, par la cration dun statut protecteur des lanceurs
dalerte dans le domaine sensible des activits de surveillance administrative ou par
lamnagement de dispositifs administratifs internes chaque service concern.