Intervention de Francis Delon

Dans le même esprit, le deuxième alinéa de l'article L. 2321-2 du code de la défense permet aux services désignés par le Premier ministre de détenir des programmes informatiques malveillants, d'en observer le fonctionnement et d'en analyser le comportement. Dans ce cas, il s'agit également de corriger la situation actuelle dans laquelle, en la transposant dans le monde médical, le chercheur n'aurait pas le droit de détenir ou d'étudier un virus pathogène meurtrier afin de fabriquer le vaccin correspondant.

Vous l'aurez compris, l'article 14, au-delà de ses aspects organisationnels et techniques, traduit la volonté du gouvernement de ne pas rester passif face à des attaques informatiques qui portent aujourd'hui atteinte à notre compétitivité et qui demain pourraient mettre gravement en cause notre sécurité ou perturber la vie des Français.

J'en viens à l'article 15 du projet de loi... Il vise à augmenter de manière significative le niveau de sécurité des systèmes d'information des opérateurs d'importance vitale, publics et privés.

Les nouvelles dispositions permettent au Premier ministre d'imposer des règles techniques aux opérateurs d'importance vitale. Il s'agit d'opérateurs « dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation », selon les termes de l'article L. 1332-1 du code de la défense. Ils sont environ 200.

Le Premier ministre pourra également demander des audits ou des contrôles de sécurité à ces opérateurs qui devront par ailleurs notifier les incidents affectant leurs systèmes d'information. Pour les situations de crise informatique majeure, un article précise que le Premier ministre pourra, lorsque la situation l'impose, soumettre les opérateurs à des mesures d'exception.

L'expérience opérationnelle de l'ANSSI acquise lors du traitement d'attaques informatiques montre que le niveau de sécurité des systèmes d'information des entreprises et administrations désignées comme opérateurs d'importance vitale est en général très insuffisant pour permettre à ces opérateurs d'assurer leur mission dans des conditions de sécurité acceptables. Certains systèmes très critiques doivent impérativement être strictement déconnectés de l'Internet pour garantir qu'aucun attaquant ne pourra facilement les pénétrer. Or, l'Etat n'est pas, à ce jour, en mesure d'imposer une telle règle aux opérateurs concernés.

Il est arrivé que l'ANSSI aide une grande entreprise française à reprendre le contrôle de son système d'information, et lui conseille la mise en place de règles techniques destinées à renforcer la sécurité de son réseau. Il est arrivé aussi que l'ANSSI découvre un peu plus tard que cette même entreprise avait subi une nouvelle attaque car elle n'avait pas appliqué l'ensemble des mesures proposées.

Quelques précisions concernant ces dispositions...

Si le projet est adopté, le Premier ministre disposera tout d'abord de la capacité d'imposer des règles de sécurité, organisationnelles ou techniques, susceptibles de renforcer la sécurité des systèmes d'information des opérateurs d'importance vitale. Il pourra, par exemple, imposer à un tel opérateur d'installer un dispositif de détection d'attaques informatiques.

Comme le Livre blanc le souligne, la capacité à détecter des attaques informatiques relève de la souveraineté nationale. Ce dispositif devra en conséquence s'appuyer sur des équipementiers de confiance labélisés par l'ANSSI, car le concepteur d'un équipement de sécurité est toujours le mieux placé pour contourner les règles de sécurité. L'exploitation de ces équipements devra être effectuée sur le territoire national, afin d'éviter toute interception ou compromission des données, et réalisée par les prestataires qualifiés par l'ANSSI ou par l'ANSSI elle-même.

Le projet de loi instaure aussi une obligation de notification d'incidents affectant le fonctionnement ou la sécurité des systèmes d'information des opérateurs d'importance vitale.

A ce jour, l'approche reste empirique : les attaques informatiques sont souvent découvertes tardivement. L'expérience acquise par l'ANSSI, après trois années de traitement d'attaques informatiques de grande ampleur montre, par exemple, que lorsqu'un opérateur est attaqué à des fins d'espionnage, il est vraisemblable que les opérateurs appartenant au même secteur d'activité d'importance vitale subissent, souvent au même moment, les mêmes attaques. Il est donc indispensable que l'Etat ait connaissance au plus vite de ces attaques, afin d'en informer les autres opérateurs du secteur concerné.

Le projet de loi propose aussi d'étendre à l'ensemble des opérateurs d'importance vitale, le droit pour le Premier ministre de procéder à des audits ou à des contrôles de leurs systèmes d'information. Cette disposition s'applique déjà aux opérateurs de communications électroniques, mais l'expérience montre que le niveau de sécurité des opérateurs d'importance vitale est très souvent très en deçà de ce qui leur permettrait de résister à des attaques informatiques de niveau intermédiaire.

Il est de la responsabilité de l'État de connaître le niveau de sécurité des systèmes d'information des infrastructures critiques de la Nation. Aujourd'hui, malheureusement, l'État n'a pas la possibilité d'opérer ni de faire opérer des audits ou des contrôles chez les opérateurs du secteur privé, à l'exception du secteur des communications électroniques. Cette disposition permettrait à l'État de disposer de cette capacité.

Enfin, en cas de crise informatique majeure -par exemple une infection virale destructive touchant nos secteurs d'activité les plus sensibles- qui exigerait la mise en oeuvre de contre-mesures dans des délais courts, la loi donnerait au Premier ministre la possibilité d'imposer des mesures techniques aux opérateurs concernés. L'ANSSI aurait alors la capacité d'imposer les mesures nécessaires pour réagir.

L'inscription dans la loi de cette disposition permet également, dans cette circonstance particulière et exceptionnelle, de dégager les opérateurs concernés de leurs responsabilités vis-à-vis de leurs clients.

Des dispositions d'accompagnement complètent ces articles. Elles assurent la confidentialité des informations recueillies dans le cadre des audits. L'effectivité des mesures prescrites est confortée par un dispositif de sanction en cas de manquement après mise en demeure.

Un mot du contrôle des équipements d'interception...

L'article 16 du projet de loi, dont l'actualité révèle la pertinence, vise à mieux maîtriser le risque d'espionnage à grande échelle des réseaux de communications électroniques.

Les opérateurs de télécommunication sont tenus de disposer de moyens d'interceptions afin de répondre, dans le cadre de la loi, aux réquisitions des magistrats pour des interceptions judiciaires, ou du Premier ministre pour les interceptions de sécurité.

Les équipements conçus pour réaliser les interceptions présentent un risque pour le respect de la vie privée de nos concitoyens. Ils ne peuvent donc être fabriqués, importés, détenus que sur autorisation délivrée par le Premier ministre comme le prévoient les articles R 226-1 et suivants du code pénal.

Les interceptions des communications étaient autrefois effectuées par des équipements dédiés. Or, les évolutions technologiques montrent que de plus en plus d'équipements de réseau, sans être des moyens d'interception en eux-mêmes, possèdent des fonctions qui pourraient être aisément utilisées pour intercepter le trafic du réseau.

A cet égard, les fonctions de duplication ou de routage du trafic de certains équipements de réseau, configurables et accessibles à distance, sont susceptibles de permettre des interceptions. Par exemple, certains équipements de coeur de réseau, alors même qu'ils n'ont pas été spécifiquement conçus à des fins d'interception légale, sont susceptibles, selon leurs caractéristiques, de permettre des interceptions du trafic.

N'étant pas spécifiquement conçus pour les interceptions, ces équipements ne sont pas actuellement soumis à l'autorisation prévue par l'article 226-3 du code pénal, qui ne porte que sur les appareils conçus pour réaliser les interceptions. Or ces équipements présentent les mêmes risques pour la sécurité des réseaux et des communications que ceux destinés spécifiquement à l'interception.

La modification législative qui vous est proposée permettrait donc d'étendre la délivrance d'une autorisation à l'ensemble des équipements susceptibles de permettre des interceptions, et ainsi d'assurer une plus grande sécurité des réseaux et des communications

J'en viens au renseignement...

Le bilan de ces dernières années en matière de connaissance et d'anticipation, et les travaux du Livre blanc sur la défense et la sécurité nationale, ont montré la pertinence d'élever le renseignement au rang de priorité majeure. C'est ce que fait le projet de LPM dans sa partie programmatique et dans sa partie normative. Les propositions qui y figurent sont la conséquence de cette démarche.

L'effort d'équipement en matière de renseignement vise à conforter nos capacités d'appréciation autonome des situations. Dans le rapport annexé au projet de loi, la priorité est donnée aux composantes spatiales et aériennes, pour l'imagerie et pour l'interception électromagnétique.

L'effort sur les capacités du renseignement s'accompagne, dans la partie normative du projet de loi, de dispositions visant à clarifier et à renforcer le cadre juridique de l'action des services spécialisés.

Les travaux du Livre blanc ont mis en évidence le nécessaire équilibre entre l'accroissement des moyens mis à la disposition des services concernés et leur contrôle démocratique. C'est le sens de l'accroissement des moyens du contrôle parlementaire sur ce volet de l'activité gouvernementale.

Au-delà des dispositions relatives à la délégation parlementaire au renseignement sur lesquelles je vais venir dans un instant, le Président de la République a souhaité la création d'une inspection du renseignement, commune à l'ensemble des services spécialisés. Les travaux sont engagés pour une mise en place prochaine de cette inspection, qui se fera par le biais d'un acte réglementaire.

Le chapitre II de la partie normative du projet de LPM comporte donc diverses dispositions relatives au cadre juridique de l'activité des services de renseignement, qui traitent à la fois de l'accroissement des moyens mis à la disposition des services concernés et de leur contrôle démocratique.

Les mesures proposées partent d'un constat : en dépit des efforts importants réalisés, depuis le Livre blanc de 2008, le cadre juridique dans lequel les services de renseignement exercent leur activité est encore insuffisant sur plusieurs points pour leur permettre de répondre efficacement aux défis auxquels ils sont confrontés.

Le Livre blanc sur la défense et la sécurité nationale de 2013 insiste de nouveau sur l'importance stratégique de la lutte contre le terrorisme et sur la contribution essentielle qu'apportent à cette lutte les services de renseignement. Il souligne en effet que le renseignement joue un rôle central dans la fonction connaissance et anticipation et qu'il irrigue chacune des autres fonctions stratégiques de notre défense et de notre sécurité nationale.

Il rappelle aussi les nouveaux défis auxquels doivent s'adapter les services de renseignement. Les guerres et les crises perdurent mais prennent des formes diverses et parfois difficiles à anticiper.

Le cadre juridique régissant l'activité des six services spécialisés de renseignement -Direction centrale du renseignement intérieur (DCRI), DGSE, Direction du renseignement militaire (DRM), la Direction de la protection et de la sécurité de la défense (DPSD), Tracfin et Direction nationale du renseignement et des enquêtes douanières (DNRED)- a été renforcé et précisé par la création en 2007 de la délégation parlementaire au renseignement et par la précédente loi de programmation militaire du 29 juillet 2009.

Conformément aux recommandations formulées par le Livre blanc de 2008, la gouvernance et la coordination des services de renseignement a été réorganisée avec la création du conseil national du renseignement et celle de la fonction de coordonnateur national du renseignement (CNR).

En 2010, la création de l'académie du renseignement a également permis de doter les services d'une structure de formation commune.

Ces mesures de gouvernance ont été accompagnées d'une réflexion sur les modalités d'action et les moyens mis à la disposition des services. Plusieurs outils ont été créés afin de faciliter l'action de ces derniers et de renforcer la sécurité de leurs agents.

Le Livre blanc sur la défense et la sécurité nationale de 2013 va plus loin pour traduire l'importance stratégique de la lutte contre le terrorisme et les atteintes aux intérêts fondamentaux de la Nation et la contribution essentielle qu'apportent à cette lutte les services de renseignement.

Il souligne que le renseignement « joue un rôle central dans la fonction connaissance et anticipation » et qu'il irrigue chacune des autres fonctions stratégiques de notre défense et de notre sécurité nationale, mais il rappelle aussi les nouveaux défis auxquels doivent s'adapter les services de renseignement, qui les contraignent à s'intéresser à un grand nombre de menaces et à une grande variété d'acteurs aux intérêts parfois convergents.

C'est pourquoi, en matière de renseignement, le projet de LPM contient des dispositions sur trois types de sujets :

- la protection de l'anonymat des agents ;

- l'accès aux fichiers ;

- la géolocalisation.

S'agissant du renforcement de la protection de l'anonymat des agents des services appelés à témoigner, la protection de l'anonymat des agents est essentielle, tant pour assurer la sécurité des agents et de leur famille que pour garantir l'efficacité de leur action. La loi du 14 mars 2011, dite LOPPSI II, a ouvert aux agents des services de renseignement la possibilité de recourir à une fausse identité ou à une identité d'emprunt. Elle a également inséré dans le code pénal un article protégeant l'identité des personnels, des sources et des collaborateurs des services de renseignement.

La procédure actuelle, qui prévoit une protection de l'identité réelle des agents, est cependant, apparue insuffisante. La présence physique des agents devant une juridiction à la suite d'une convocation, et leur participation à des comparutions présentent en effet le risque de dévoiler leur couverture, et de mettre en danger leur sécurité et l'efficacité de leurs missions.

Il a donc semblé nécessaire de faire évoluer la procédure afin de la faciliter la manifestation de la vérité tout en renforçant la protection de l'anonymat des agents. Le projet de loi, en son article 7, prévoit que, dans l'hypothèse où l'autorité hiérarchique de l'agent indique que l'audition comporte des risques pour l'agent, ses proches ou son service, celle-ci pourra être effectuée dans un lieu assurant son anonymat et la confidentialité, pas nécessairement au palais de justice, comme aujourd'hui.

Concernant l'accès des services de renseignement à certains fichiers administratifs et de police judiciaire, les menaces auxquelles doivent faire face les services de renseignement dépassent aujourd'hui le seul cadre de la lutte contre le terrorisme. Il s'agit de la prolifération d'armes de destruction massive -nucléaires, biologiques et chimiques- de la dissémination d'armes conventionnelles, des menaces des services d'États non coopératifs ou hostiles, de la criminalité transnationale organisée, etc.

Plus globalement, nos services de renseignement, intérieur et extérieur, s'attachent à préserver les intérêts fondamentaux de la Nation. Cette notion est clairement définie dans l'article L. 410-1 du code pénal : Les intérêts fondamentaux de la Nation s'entendent au sens du présent titre de son indépendance, de l'intégrité de son territoire, de la forme républicaine de ses institutions, des moyens de sa défense et de sa diplomatie, de la sauvegarde de sa population en France et à l'étranger, de l'équilibre de son milieu naturel et de son environnement et des éléments essentiels de son potentiel scientifique et économique et de son patrimoine culturel.

Le Conseil d'Etat, dans un avis du 5 avril 2007, puis le Conseil constitutionnel, dans sa décision du 10 novembre 2011 sur le secret de la défense nationale, ont rappelé les exigences constitutionnelles inhérentes à la sauvegarde des intérêts fondamentaux de la Nation.

Le projet de LPM comporte une disposition permettant un accès élargi des services de renseignement aux fichiers administratifs mentionnés à l'article L. 222-1 du code de la sécurité intérieure. Il s'agit des fichiers nationaux des immatriculations, des permis de conduire, des cartes nationales d'identité et des passeports, des dossiers des ressortissants étrangers en France -visa et séjour.

Le texte prévoit qu'un décret en Conseil d'Etat déterminera les services concernés ainsi que les modalités d'accès. Il est envisagé de faire figurer parmi ces modalités le fait que tous les accès aux fichiers feront l'objet d'une traçabilité et que la Commission nationale de l'informatique et des libertés (CNIL) sera en mesure de les contrôler.

L'article 8 aligne, pour l'ensemble des services spécialisés de renseignement, les droits d'accès à certains fichiers administratifs déjà reconnus aux services relevant du ministère de l'intérieur. L'accès sera élargi aux services spécialisés de renseignement déterminés par le décret en Conseil d'Etat.

Par ailleurs, les motifs de consultation, aujourd'hui limités à la seule prévention des actes de terrorisme, seront étendus à la prévention des atteintes aux intérêts fondamentaux de la Nation.

Les articles 11 et 12 permettent aux services de renseignement relevant du ministre de la défense d'accéder directement à certaines données des fichiers de police judiciaire respectivement dans un objectif de recrutement d'un agent ou de délivrance d'une autorisation aux fins de vérifier le passé pénal du candidat et dans le cadre de missions ou d'interventions présentant des risques pour les agents, lorsqu'il s'agit de vérifier la dangerosité des individus approchés. Jusqu'à présent, la consultation de ces fichiers de police judiciaires était possible pour les enquêtes administratives, par l'intermédiaire de policiers ou de gendarmes spécialement habilités à cet effet.

L'objectif de cette disposition est notamment de permettre une sécurisation accrue des missions ou des interventions particulièrement dangereuses menées par les services de renseignement du ministère de la défense. Un décret en Conseil d'Etat encadrera les conditions d'accès pour s'assurer qu'elles sont adaptées et proportionnées aux besoins des services.

J'en viens à la géolocalisation en temps réel...

L'article 13 de la LPM autorise expressément les services de police et de gendarmerie chargés de la prévention du terrorisme à accéder en temps réel à des données de connexion mises à jour, ce qui leur permet de géolocaliser un terminal téléphonique ou informatique, et de suivre ainsi, en temps réel, certaines cibles. Cette disposition vise à lever une incertitude sur la base juridique des pratiques de géolocalisation, soulignée par la Commission nationale de contrôle des interceptions de sécurité.

Comme le rappelle le rapport parlementaire sur l'évaluation du cadre juridique applicable aux services de renseignement, les services chargés de la lutte contre le terrorisme ont besoin de pouvoir agir le plus en amont possible, au besoin pour écarter d'éventuels soupçons. En outre, il leur faut pouvoir agir en temps réel, dans l'urgence, pour vérifier des renseignements, par exemple sur l'imminence d'un attentat.

L'accès à ces données répond à un besoin opérationnel de première importance. Ces données sont cruciales pour les services compétents, elles contribuent de façon déterminante aux enquêtes.

Ces mesures appellent un renforcement du contrôle démocratique sur la politique du Gouvernement en matière de renseignement.

C'est pourquoi le projet de LPM 2014-2019, dans ses articles 5 et 6, renforce les compétences de la délégation parlementaire au renseignement (DPR) en modifiant les dispositions de l'article 6 nonies de l'ordonnance du 17 novembre 1958, relative au fonctionnement des assemblées parlementaires, ainsi que celles de l'article 154 de la loi de finances pour 2012 du 28 décembre 2011.

L'élargissement des compétences de la DPR va dans le sens souhaité par les quatre parlementaires membres du groupe de travail sur le renseignement au sein de la commission du Livre blanc sur la défense et la sécurité nationale de 2013, et dans celui des préconisations du rapport Urvoas, établi par la mission d'information de la commission des lois de l'Assemblée nationale relative à l'évaluation du cadre juridique applicable aux services de renseignement.

La DPR avait, jusqu'à présent, un pouvoir d'information et de suivi. Le projet de LPM innove, en lui confiant un pouvoir de contrôle et d'évaluation de la politique du Gouvernement en matière de renseignement.

Le projet de LPM confie à la DPR l'exclusivité, en matière de renseignement, des pouvoirs de contrôle et d'évaluation de l'action du Gouvernement dévolus au Parlement par l'article 24 de la Constitution. Cette disposition respecte le principe de séparation des pouvoirs, dont le Conseil constitutionnel a rappelé, en 2001, qu'il faisait obstacle à ce que les parlementaires interviennent dans le champ des opérations en cours.

Aujourd'hui, la délégation peut entendre aujourd'hui le Premier ministre, les ministres, le secrétaire général de la défense et la sécurité nationale et les directeurs des services de renseignement. Le projet de LPM permet en outre l'audition du coordonnateur national du renseignement et du directeur de l'académie du renseignement, ainsi que celle, après accord des ministres dont ils relèvent, des directeurs d'administration centrale ayant à connaître des activités des services spécialisés de renseignement. Il prévoit également l'audition des présidents de la Commission consultative du secret de la défense nationale et de la Commission nationale de contrôle des interceptions de sécurité.