Le décret précisant les modalités d’interception d’informations relatives à la sécurité et relatif à la mise en oeuvre des accès administratifs aux données de connexion a été publié au Journal officiel. Ce texte est pris pour l’application de la loi relative au renseignement du 24 juillet 2015 et entre en vigueur dès le 2 février 2016. Ces dispositions sont censées permettre de rendre plus efficace la lutte anti-terroriste en détectant, préalablement à leur réalisation, les individus susceptibles de commettre des attentats. Même si le dispositif est très encadré, les informations potentiellement recueillies sont très vastes et les modalités de recours quasi-nulles.
Une autorisation individuelle pour recueillir les données
Le décret précise que l’autorisation de mettre en oeuvre les techniques de recueil de renseignement ne peuvent être délivrées qu’à des agents qui sont individuellement désignés et habilités par le ministre. Le directeur dont les agents relèvent peut aussi les désigner et habiliter sur délégation du ministre.
Pour assurer une traçabilité dans les techniques de recueil des données, le groupement interministériel de contrôle, qui est un service du Premier ministre, centralise notamment toutes les informations relatives aux demandes de mise en oeuvre des techniques de renseignement ou aux autorisations enregistrées. Ce groupement est aussi chargé de participer à la traçabilité de l’exécution des techniques de recueil de renseignement.
Dans le cadre de la prévention du terrorisme, le décret permet aussi de permettre à des agents d’autres services de mettre en oeuvre les techniques de recueil de renseignement. Il s’agit de certains services placés sous l’autorité du directeur général de la police nationale, d’unités placées sous l’autorité du directeur général de la gendarmerie nationale, de services placés sous l’autorité du préfet de police de Paris, ou encore de services placés sous l’autorité d’emploi du ministre de la défense.
Le décret permet alors à un nombre important d’individus d’être en mesure de mettre en oeuvre les techniques de recueil de renseignement. Même si ces procédures sont contrôlées et encadrées, cette multiplication des possibilités d’accès au renseignement sont autant d’obstacles à une limitation des dérives qui pourraient avoir lieu.
L’encadrement du recueil des données de connexion
Le décret du 29 janvier 2016 relatif au renseignement donne la liste des données de connexion qui peuvent être recueillies et définit également les conditions d’accès à ces données.
Les données qui peuvent être recueillies sont toutes les informations permettant d’identifier un utilisateur, les données relatives aux équipements de communication utilisés, les informations relatives à chaque communication (date, heure durée…), ou encore les données qui permettent d’identifier le ou les destinataires de la communication. Les informations recueillis peuvent aussi permettre de localiser l’origine de la communication, mais aussi d’identifier et d’authentifier un utilisateur, une connexion, un réseau ou un service de communication au public en ligne.
Toutes ces informations sont détenues par les opérateurs de communication et doivent être demandées par les agents individuellement désignés et habilités. Ces demandes doivent préciser la technique mise en oeuvre, le service pour lequel elle est présentée, la finalité poursuivie, le motif des mesures, la durée de validité de l’autorisation et surtout la personne, le lieu ou véhicule concerné. Le décret ajoute plusieurs caractéristiques à la demande de recueil de données de connexion : cette demande doit préciser la nature précise des informations ou documents dont le recueil est demandé et, si nécessaire, la période concernée.
Le décret ajoute que toutes les informations ou documents recueillis en vertu de cette procédure ne peuvent être exploités aux fins d’accéder au contenu de correspondances échangées ou d’informations consultées sans l’obtention d’autorisations spécifiques.
La compensation financière des fournisseurs des données
Les opérateurs qui détiennent les données de connexion et qui les fournissent à la demande des agents habilités engagent nécessairement des frais afin de rassembler les informations demandées pour les livrer.
Le décret prévoit donc que tous les frais engagés par les opérateurs et prestataires de services, liés à la mise en oeuvre de la fourniture d’informations, doivent être pris en charge par le budget des services du Premier ministre. Cette prise en charge s’effectue sur la base des frais réellement exposés et justifiés par le fournisseur.
Dans le même sens, tous les coûts supportés, identifiables et spécifiques, pour mettre en oeuvre les techniques de recueil de renseignement, doivent être remboursées par l’Etat selon les tarifs et modalités fixés par arrêté du Premier ministre.
Une maigre possibilité de recours
La Commission nationale de contrôle des techniques de renseignement est habilitée à contrôler les dispositifs qui permettent d’exécuter les décisions et les autorisations relatives au recueil d’informations. Il est prévu que toute personne peut demander à vérifier qu’aucune mesure de surveillance n’est irrégulièrement mise en oeuvre à son égard. La Commission recueille ce type de réclamation et peut aussi réaliser ces vérifications de sa propre initiative. Une fois les vérifications faites, l’auteur de la réclamation recevra une notification, sans pour autant confirmer qu’il fait ou non l’objet de mesures de surveillance.
En cas de manquement constaté dans la mise en oeuvre des mesures de surveillance, la Commission adresse une recommandation au Premier ministre. Si aucune suite n’est donnée à cette recommandation, ou que les suites données sont insuffisantes, le décret prévoit que le Président de la Commission, ou 3 de ses membres, peuvent saisir le Conseil d’Etat dans un délai d’un mois. Cette saisine s’effectue alors par une requête contenant l’exposé des faits et les motifs du recours.
Dans tous les cas, la personne à l’origine de la réclamation ne saura pas si elle fait réellement l’objet d’une surveillance, seule la vérification de la régularité de cette potentielle surveillance lui sera confirmée.