J'aborde maintenant la partie du projet de loi relative au renseignement. La loi du 24 juillet 2015, qui a été neuf fois modifiée depuis, a fixé pour la première fois le cadre légal de l'action des agents de la communauté du renseignement français. Notre rapporteur Philippe Bas avait alors affirmé, à juste titre, que cette loi constituait une étape fondamentale dans l'histoire du renseignement et était le signe de la maturité de notre démocratie.
L'expression de cette maturité repose, en matière de renseignement, sur un subtil équilibre entre l'efficacité des services et la protection de nos libertés constitutionnelles, au premier rang desquelles figure le respect de la vie privée. Six ans plus tard, il convient de consolider cet équilibre, qui doit faire face à une double évolution et à une double menace juridique.
Évolution de la menace, d'une part, avec une menace terroriste qui était surtout le fait d'auteurs partant sur des zones de conflits, notamment syro-irakiennes, et qui devient celle d'un djihadisme d'atmosphère, selon la formule de Gilles Kepel, ce qui nécessite de capter des signaux plus faibles. Évolution des techniques, d'autre part, avec l'émergence des communications satellitaires et de la 5G. Nous devons donner à nos services de renseignement les moyens d'avoir toujours un pas d'avance sur ces évolutions.
La menace juridique est elle-même double. D'une part, à la date du 31 décembre prochain, plusieurs fois repoussée, l'expérimentation de la technique dite de l'algorithme cessera. Nos services ne pourront plus utiliser cette technique prometteuse, mais qui reste à améliorer et à peaufiner. D'autre part, la Cour de justice de l'Union européenne (CJUE) s'est prononcée en octobre dernier, dans l'arrêt Quadrature du Net, appliqué par le Conseil d'État dans une décision du 21 avril dernier dite « French Data Network », sur la non-conventionalité de la conservation généralisée des données de connexion, qui sont la base de l'information à laquelle peuvent accéder les services de renseignement. Elle impose au Gouvernement français de mettre en conformité son dispositif avant le 21 octobre prochain. Tel est l'objet de l'article 15 de ce projet de loi. Cette contrainte nous oblige à légiférer dans un temps restreint.
En conséquence, le projet de loi prévoit plusieurs évolutions en matière de renseignement, que je vous résumerai en cinq point principaux.
En premier lieu, ce texte encadre mieux la transmission et l'exploitation de renseignements entre services. Dans la communauté du renseignement, le principe est l'étanchéité. Mais on voit bien que les services de renseignement sont amenés, pour une plus grande efficacité, à se parler, à échanger de plus en plus d'informations. Cela ne signifie pas qu'ils doivent pouvoir s'échanger tous les renseignements issus de toutes les techniques de renseignement. Le principe de proportionnalité doit être respecté. C'est la raison pour laquelle, comme l'avait souligné la délégation parlementaire au renseignement en 2020, il convient d'encadrer cette technique d'échange des renseignements entre services.
Le texte prévoit de soumettre la transmission d'informations entre les services à l'autorisation du Premier ministre, après avis de la Commission nationale de contrôle des techniques de renseignement (CNCTR), si les renseignements collectés transmis sont utilisés pour une finalité qui est différente de celles pour lesquelles ils ont été collectés. Sont soumis à cette même obligation les renseignements, qu'ils soient collectés ou extraits, s'ils sont transmis à un service qui n'aurait pas pu y avoir accès faute d'avoir accès à la technique qui a permis de les obtenir. Le texte propose un encadrement de la transmission de renseignements : un agent habilité sera chargé, au sein de chaque service, d'assurer la traçabilité des renseignements transmis et la commission nationale de contrôle des techniques de renseignement aura accès à toutes les informations relatives à ces transmissions, qu'elle pourra, en tant que de besoin, interrompre. Les autorités administratives pourront aussi transmettre des informations, même couvertes par le secret professionnel. Tout refus devra être justifié. Enfin, l'article 17 élargit la transmission des services judiciaires vers les services de renseignement, notamment pour les questions de cybercriminalité.
Le texte vise en deuxième lieu à pérenniser les algorithmes. Ceux-ci, prévus par l'article L. 851-3 du code de la sécurité intérieure, sont utilisables uniquement pour lutter contre le terrorisme. Ils consistent à imposer aux opérateurs de communications électroniques de mettre un système dans leurs réseaux afin de détecter les connexions qui, elles-mêmes, permettent de révéler une menace terroriste. Ces algorithmes ont été autorisés pour la première fois en 2015 et ils ont été mis en oeuvre à partir de 2017. Trois algorithmes sont actuellement expérimentés sur des communications téléphoniques. C'est un chalutage : on prend toutes les données, elles sont traitées et on en ressort de l'information. Cela implique une ingérence forte dans la vie privée, ce qui impose de soumettre cette technique à des garanties fortes. C'est pour cette raison que son utilisation est limitée aux questions de terrorisme, et qu'elle ne peut être autorisée que par le Premier ministre, après avis de la CNCTR, pour une durée de deux mois renouvelable. Seules les données de connexion - et non le contenu de ces connexions - sont concernées, et les informations ne peuvent être qu'anonymes. S'il y a besoin de lever l'anonymat, une deuxième autorisation doit être demandée, toujours au Premier ministre et avec avis de la CNCTR.
Les algorithmes sont utiles et prometteurs, mais ils ne sont pas utilisés dans toutes leurs potentialités. La possibilité de recourir aux algorithmes sur les données informatiques de connexion n'a pas été mise en oeuvre. Les services nous disent que c'est parce qu'ils n'ont pas la possibilité d'accéder aux URL. Ces algorithmes permettent de détecter des signaux faibles, qui sont particulièrement utiles au regard de l'évolution de la menace terroriste. L'article 12 pérennise donc cette technique, tandis que l'article 13 l'étend aux URL, tout en renforçant les garanties. Je vous proposerai d'acter le principe de la pérennisation des algorithmes, mais de soumettre à expérimentation l'accès aux URL jusqu'au 31 juillet 2025. Le rapport prévu par l'Assemblée nationale sur le sujet ne me semble pas suffisant.
Le troisième volet de cette partie sur le renseignement concerne l'anticipation des évolutions technologiques.
Demain, l'intelligence artificielle sera un outil nécessaire pour les services de renseignement. Il faut donc faire de la recherche et développement (R&D) et, pour cela, disposer de données fiables, pour entraîner les ordinateurs. C'est pourquoi l'article 8 autorise à conserver les données anonymisées issues de techniques de renseignement pendant une durée maximale de cinq ans, à des fins de recherche et développement. L'article 10 pose une obligation de coopération des opérateurs pour aider les services à mettre en place deux techniques importantes et efficaces, l'IMSI-catcher et le recueil de données de connexion, qui existent déjà. Le développement des constellations de satellites, avec les projets de SpaceX ou d'Amazon, notamment, multiplie les sources de connexions. Mais, avec les connexions satellitaires, ce n'est plus un numéro de téléphone qui appelle un numéro de téléphone. Ces connexions sont portées par des opérateurs étrangers, elles proviennent du ciel : il est plus compliqué de capter de l'information sur ce flux de connexions. L'article 11 introduit une expérimentation pour permettre de capter les communications satellitaires, qui sont ou seront justement très utilisées par les terroristes ou par les criminels, notamment en Guyane.
Le quatrième volet de la partie renseignement vise à tirer les conséquences de la jurisprudence européenne sur la conservation des données de connexion. La conservation généralisée et automatique des données prévue dans notre système a été jugée contraire aux standards de la Charte des droits fondamentaux de l'Union européenne et de la directive « vie privée » de 2002. Le Conseil d'État a, dans sa décision du 21 avril 2021, ouvert un certain nombre de portes pour trouver une solution. Il faut suivre un chemin de crête entre l'efficacité de la conservation des données et la préservation des libertés. Cet article s'insère dans ce « trou de souris », en prévoyant qu'on puisse faire conserver par l'opérateur des données relatives au contrat et aux paiements ou des données liées à l'identité civile, selon des durées allant d'un à cinq ans. Pour les besoins de la criminalité grave et la prévention des menaces graves contre la sécurité publique et la sauvegarde de la sécurité nationale, l'opérateur doit également conserver, pendant un an à compter de la connexion, toutes les données techniques permettant d'identifier la source et celles permettant d'identifier le matériel, c'est-à-dire les adresses IP.
S'il existe une menace grave, actuelle et prévisible, contre la sécurité nationale, alors le Premier ministre lui-même peut enjoindre, par décret, aux opérateurs de conserver pendant un an certaines catégories de données de trafic - dont les fadettes - et de localisation, cette menace devant être réévaluée tous les ans. Pour sauvegarder un accès à ces données dans le cadre de la criminalité grave, le texte introduit une injonction de conservation rapide, dont on ne sait pas trop ce qu'elle recouvre, mais qui fait le lien entre l'autorité judiciaire et la conservation des données.
L'essentiel semble ainsi préservé, mais le champ s'est réduit sur la conservation des données de connexion, notamment en ce qui concerne la criminalité ordinaire. Dans le cadre des procédures judiciaires et des enquêtes, deux millions de réquisitions sont faites chaque jour par la justice pour obtenir des informations sur un vol, une violence, etc. Or les dispositions de l'arrêt de la CJUE, et celles de la décision du Conseil d'État, affirment clairement qu'on ne peut utiliser la conservation généralisée et anonyme des données pour un objectif de lutte contre la criminalité ordinaire. Elle ne doit concerner que la criminalité grave. Où situer la frontière entre les deux ? Les juges la détermineront à l'avenir, mais il n'en reste pas moins qu'il existe une crainte très importante de la part des institutions judiciaires - en particulier des procureurs de la République, qui nous l'ont dit fortement lors des auditions - de ne plus pouvoir recourir aux informations issues de la conservation des données de connexion par les opérateurs. C'est un enjeu majeur, mais nous n'avons pas véritablement d'ouverture juridique. Je vous proposerai de réfléchir encore jusqu'à la séance à une solution technique.
Enfin, dernier point sur la partie renseignement, le texte prévoit d'ajuster l'encadrement de certaines techniques, ce qui ne pose pas de problème, ainsi que de renforcer les procédures de contrôle. L'avis de la CNCTR devient liant, et le Premier ministre ne peut pas passer outre - il ne l'a d'ailleurs jamais fait -, sauf à ce que le Conseil d'État soit saisi. L'article 17 bis renforce les pouvoirs de la délégation parlementaire au renseignement et l'article 17 ter soumet à contrôle de la CNCTR les communications internationales interceptées sur le sol français.
Enfin, le projet de loi comporte des évolutions, avec l'article 19 du projet de loi, sur la question de la communicabilité des archives portant atteinte à la défense nationale. Il y a aujourd'hui un conflit entre le code du patrimoine, qui fixe le délai au-delà duquel certains documents sont communicables de plein droit, et le code pénal, qui condamne tous ceux qui révèlent le contenu de documents classifiés. Pour les articuler, une instruction interministérielle n° 1300 a prévu la nécessité de déclassifier les documents avant de les communiquer, ce qui entraine un allongement des délais de communication de ces documents, et suscite une grogne forte des historiens.
Le point d'équilibre proposé par l'article 19 du projet de loi nous paraît pertinent : il est prévu que les documents seront communicables au bout de cinquante ans, sauf ceux qui appartiennent à quatre catégories : ceux qui sont relatifs aux caractéristiques techniques des installations militaires ou nucléaires, qui seront communicables à compter de la date de fin de leur affectation ; ceux qui sont relatifs à la conception et aux techniques d'emploi de matériels de guerre, qui seront communicables à la fin de leur emploi par les forces armées ; ceux qui sont relatifs aux procédures opérationnelles de renseignement, qui seront communicables à la date de leur perte de valeur opérationnelle ; et ceux qui sont relatifs à la dissuasion nucléaire, qui seront eux aussi communicables à partir de leur perte de valeur opérationnelle.
Les historiens craignent que certains documents ne soient pas communicables alors qu'ils n'entrent pas dans ces quatre catégories. Nous devrions peut-être imposer aux services détenteurs d'archives classées secret défense une obligation de faire l'inventaire, et de déclassifier au fur et à mesure. Je crois cependant que l'article prévoit un bon compromis entre les impératifs constitutionnels concurrents : le libre accès aux archives et la protection de la sécurité nationale. On peut peut-être l'améliorer, notamment sur les contrôles. Nous continuerons d'y réfléchir d'ici à l'examen en séance.