Le Conseil d’État a été saisi d’une demande d’avis portant sur la conformité à la Constitution de dispositions que le Gouvernement envisageait d’introduire par voie d’amendement à la loi de programmation militaire en cours de discussion, afin de permettre aux services de renseignement de vérifier l’existence de menaces pour les intérêts fondamentaux de la Nation dans les données recueillies dans le cadre de la surveillance des communications internationales.
Synthèse
L’avis constate qu’aucune des modifications envisagées ne réduit les garanties du dispositif actuel, jugées suffisantes par le Conseil constitutionnel dans sa décision du 26 novembre 2015, qu’il s’agisse du caractère proportionné des atteintes au respect de la vie privée, du contrôle administratif dévolu à la Commission nationale de contrôle des techniques de renseignement ou du contrôle juridictionnel assuré par la formation spécialisée du Conseil d’État.
L’avis du Conseil d’État
> télécharger l'avis au format pdf
CONSEIL D’ÉTAT
Séance du 4 mai 2018
Section de l’administration
N° 394761
EXTRAIT DU REGISTRE DES DELIBERATIONS
Le Conseil d’État (section de l’administration), saisi le 26 avril 2018 par la ministre des armées d’une demande d’avis portant sur la conformité à la Constitution de dispositions permettant de vérifier l’existence de menaces pour les intérêts fondamentaux de la Nation dans les données recueillies dans le cadre de la surveillance des communications internationales et qui présenteraient les caractéristiques suivantes :
1° Il s’agirait, en premier lieu, de préciser que l’autorisation d’exploitation, prévue au III de l’article L. 854-2 du code de la sécurité intérieure, des données de connexion recueillies dans le cadre de la surveillance des communications internationales afin de procéder à des « levées de doutes » peut se faire en les interrogeant avec un numéro d’abonné ou une adresse technique rattachable au territoire national et pas seulement à partir d’un numéro d’abonné ou d’une adresse technique qui ne s’y rattache pas ; l’utilisation d’un même numéro d’abonné ou d’une même adresse technique serait ponctuelle ; cette exploitation ne donnerait pas lieu à une autorisation distincte de celle prévue au III et serait, pour le surplus, entourée des mêmes garanties que celles prévues pour ces autorisations d’exploitation « personnelles », notamment en termes de traçabilité et de contrôle a posteriori de la Commission nationale de contrôle des techniques de renseignement (CNCTR) ;
2° Le Gouvernement souhaite, en deuxième lieu, permettre que cette levée de doute se fasse par une mise en relation ponctuelle avec des « correspondances » – c’est-à-dire des données de contenu – circonscrites géographiquement ou thématiquement, lorsqu’une cyber-attaque ou une urgence tenant à une menace terroriste le justifie ; cette exploitation s’inscrirait soit dans le cadre d’une autorisation délivrée en application du III de l’article L. 854-2, soit dans une autorisation-cadre délivrée par le Premier ministre, précédée d’un avis de la CNCTR, qui préciserait notamment le type d’interrogation possible, les services autorisés à la mettre en œuvre, les paramètres techniques des outils de vérification garantissant le caractère ponctuel de l’exploration et la conservation des seuls éléments caractérisant une menace ; cette nouvelle forme d’exploration donnerait lieu à des dispositifs de traçabilité, sous le contrôle de la CNCTR, afin de garantir son contrôle a posteriori ;
3° Il s’agit, en troisième lieu, de permettre d’exploiter toutes les données relatives à un identifiant technique rattachable au territoire national qui sont issues de la surveillance des communications internationales alors que son utilisateur se trouve en France et pour les seules finalités mentionnées aux 1°, 2°, 4°, 6° et 7° de l’article L. 811-3, avec des garanties comparables à celles qui s’appliquent aux techniques de renseignement sur le territoire national ;
4° Le Gouvernement souhaite, enfin, compléter l’article L. 854-1 du code de la sécurité intérieure pour préciser que les autorisations accordées au titre de la surveillance nationale sur le fondement de l’article L. 851-1, de l’article L. 851-2, du I de l’article L. 853-1 et 1° du I de l’article L. 853-2 permettent d’exploiter aussi des données interceptées dans le cadre de la surveillance des communications internationales, dans la limite de l’autorisation délivrée par le Premier ministre ;
Vu la Constitution, notamment son Préambule ;
Vu la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales ;
Vu le code de justice administrative, notamment ses articles L. 773-1 à L. 773-7 ;
Vu le code de la sécurité intérieure, notamment son livre VIII ;
EST D’AVIS
qu’il y a lieu de répondre aux questions posées dans le sens des observations suivantes :
1. La loi n° 2015-912 du 21 juillet 2015 relative au renseignement a, pour la première fois, défini un cadre légal commun aux activités de renseignement pour autoriser et permettre la mise en œuvre des techniques de recueil de renseignement.
L’article L. 801-1 du code de la sécurité intérieure définit les principes qui gouvernent cette surveillance, dont le régime juridique est précisé par les quatre premiers titres du livre VIII « Du renseignement » introduit dans ce code par cette loi. Afin de ne porter au respect de la vie privée garantie par la loi dans toutes ses composantes que des atteintes rendues nécessaires par un intérêt public, la mise en œuvre de ces techniques sur le territoire national est subordonnée à la délivrance d’une autorisation, au profit des services de sécurité limitativement énumérés et dans le respect de leurs missions ; elles doivent être justifiées par des menaces, risques ou enjeux pour les intérêts fondamentaux de la Nation mentionnés à l’article L. 811-3. La Commission nationale de contrôle des techniques de renseignement (CNCTR) a été créée pour veiller au respect de ces principes et une formation spécialisée du Conseil d’Etat est chargée de statuer sur les contentieux relatifs à la délivrance de ces autorisations, à leur mise en œuvre et à la conservation des données issues de l’usage de ces techniques.
Le titre V de ce livre précise ces techniques de renseignement. Ses trois premiers chapitres sont consacrés aux trois catégories de techniques qui peuvent être mises en œuvre sur le territoire national, à savoir les accès administratifs aux données de connexion, les interceptions de sécurité des communications qui donnent accès au contenu des communications et enfin la sonorisation de certains lieux et véhicules ou la captation d'images et de données informatiques. Son cinquième chapitre est relatif aux interceptions hertziennes. Son chapitre IV est consacré aux mesures de surveillance des communications électroniques internationales qui obéissent à un régime adapté. Issu de la loi n° 2015-1556 du 30 novembre 2015 relative aux mesures de surveillance des communications électroniques internationales, ce chapitre, qui ne fait l’objet d’aucun décret d’application, régit de façon exclusive le cadre juridique qui leur est applicable.
L’article L. 854-1 définit ces mesures comme étant celles qui sont émises ou reçues de l’étranger. L’ « étranger » n’est pas défini par référence au territoire sur lequel se trouve l’utilisateur ou à sa nationalité mais en fonction du pays où l’abonnement a été souscrit ou l’identifiant technique constitué. Sont en principe exclues de ce régime les communications entre personnes utilisant des numéros d’abonnements ou des identifiants techniques rattachables au territoire national. Les données recueillies présentant ces caractéristiques doivent être immédiatement détruites. L’une au moins de ces terminaisons doit correspondre à un numéro d’abonnement ou identifiant technique non rattachable au territoire national.
Ce régime distingue clairement le recueil des données, qui doit faire l’objet d’une décision motivée du Premier ministre définissant les réseaux de communications électroniques sur lesquels est autorisée l’interception des communications émises ou reçues de l’étranger (I de l’article L. 854-2), de leur exploitation qui nécessite une autre décision du Premier ministre ou de l’une des personnes qu’il a déléguées. L’article L. 854-2 distingue deux catégories d’autorisations d’exploitation. La première autorise une exploitation « non individualisée » de données de connexion pour une durée qui ne peut excéder un an, renouvelable dans les mêmes conditions, et précise les finalités poursuivies, les motifs des mesures, les services habilités à procéder à l’exploitation et le traitement automatisé pouvant être mis en œuvre (II du même article). La seconde catégorie, dénommée « autorisation d’exploitation personnelle » permet l’exploitation tant du contenu des communications que des données de connexion à partir d’interrogations éventuellement personnalisées (III du même article). Délivrée pour une durée limitée à quatre mois renouvelable dans les mêmes conditions, elle doit préciser non seulement les finalités poursuivies, les motifs des mesures et les services habilités à procéder à l’exploitation mais aussi les zones géographiques, organisations, groupe de personnes ou personnes concernées par l’exploitation. Enfin, par exception à l’interdiction d’exploitation des données provenant de communication ayant à chaque terminaison un numéro ou un identifiant technique rattachable à la France, l’article L. 854-1 permet cette exploitation dans le cas particulier où, d’une part, ces personnes communiquent depuis l’étranger et où, d’autre part, soit elles constituent une menace au regard des intérêts fondamentaux de la Nation mentionnés à l’article L. 811-3, soit elles font l’objet d’une autorisation d’interception de sécurité délivrée en application de l’article L. 852-1 à la date à laquelle elles ont quitté le territoire national. Cette exploitation est également soumise à une autorisation d’exploitation personnelle du III de l’article L. 854-2.
Outre l’exigence d’une double autorisation de recueil puis d’exploitation des données, le régime juridique applicable à la surveillance de ces communications internationales présente plusieurs autres différences avec le régime applicable à la surveillance nationale. Aucune de ces catégories d’autorisation n’est soumise à l’avis préalable de la CNCTR. Les durées de conservation des données ainsi recueillies sont plus longues (article L. 854-5). Enfin, si toutes ces décisions et mesures peuvent être soumises au contrôle du juge, seule la CNTR peut le saisir d’une irrégularité qu’elle aurait constatée dans la mise en œuvre de la surveillance des communications internationales et à laquelle il n’aurait pas été intégralement mis fin malgré sa recommandation (article L. 854-9).
Ce dispositif a été déclaré conforme à la Constitution par le Conseil constitutionnel dans sa décision n° 2015-722 DC du 26 novembre 2015.
2. Le Conseil d’Etat constate, en premier lieu, qu’aucune des diverses modifications envisagées par le Gouvernement n’a pour objet de réduire les garanties ainsi instituées pour les mesures de surveillance des communications internationales. Il relève que le Gouvernement n’exclut pas, parmi ces modifications, de rendre obligatoire l’avis préalable de la CNCTR pour la délivrance de toute autorisation d’exploitation personnelle prévue au III de l’article L. 854-2 et de préciser le caractère immédiat de l’accès ouvert à la CNCTR sur les données recueillies ou extraites ainsi que sur les éléments de traçabilité. De telles modifications, qui renforceraient les garanties du dispositif, ne se heurtent ainsi à aucun obstacle constitutionnel ni conventionnel.
Les autres modifications envisagées visent, selon le cas, à préciser davantage les exploitations auxquelles il est possible de procéder dans le cadre des deux catégories d’autorisation déjà prévues pour permettre notamment des vérifications ponctuelles de « levée de doutes » que l’article L. 854-2 n’interdit pas, le cas échéant à aménager une nouvelle catégorie d’autorisation entourée de garanties qui ne seraient pas moindres que celles déjà organisées et, enfin, à préciser la portée de mesures de surveillance nationale autorisées à l’égard de données interceptées dans le cadre de la surveillance des communications internationales.
Le Conseil d’Etat considère que le fait de préciser les vérifications possibles dans le cadre des autorisations déjà prévues va dans le sens des exigences posées tant par le Conseil constitutionnel que par la Cour européenne des droits de l’homme quant à la précision des normes qui viennent apporter des limitations au respect de la vie privée et, en particulier, au secret des correspondances par la mise en œuvre secrète de moyens de surveillance afin de garantir les intérêts fondamentaux de la Nation. Il importe cependant que la rédaction qui sera retenue ne fasse pas naître d’a contrario quant à d’autres vérifications possibles sans être à ce point précisées. Le Conseil d'Etat souligne que la possibilité de procéder à une exploitation des données recueillies plus étendue que ce que la loi permet déjà, ainsi que l’envisagent certains des points de la demande d’avis, requiert de modifier la rédaction des dispositions législatives en vigueur pour les préciser. Le Gouvernement devra veiller à ce que les dispositions correspondantes comportent les éléments utiles et pertinents pour caractériser la mesure de surveillance permise et préciser les garanties dont elles seront assorties. 3. La modification envisagée au 1° de la demande d’avis consiste à préciser que les autorisations délivrées en application du III de l’article L. 854-2 peuvent notamment consister à autoriser l’exploitation des données de connexion par la mise en œuvre de vérifications ponctuelles visant à mettre en relation les données de connexion recueillies dans le cadre de la surveillance des communications internationales avec un numéro d’abonné ou une adresse technique rattachable au territoire national. Elle viserait à expliciter que ces vérifications ne sont pas limitées à des mises en relation avec un numéro d’abonné ou une adresse technique non rattachable au territoire national. Compte tenu du fait que le III de l’article L. 854-2 permet déjà l’exploitation des données de connexion, ainsi d’ailleurs que de données de contenu, à partir d’éléments relatifs à des personnes, le caractère limité de la précision ainsi apportée, qui ne constitue pas une mesure de surveillance individuelle, ne remet pas en cause la constitutionnalité du dispositif, admise par le Conseil constitutionnel dans sa décision du 26 novembre 2015 déjà citée.
Le Conseil d’Etat s’interroge toutefois sur la pertinence des distinctions que le Gouvernement envisage d’établir selon que le numéro d’abonné ou l’adresse technique employé se rapporterait à une personne « connue » des services, ce critère ne semblant pas correspondre à celui d’une personne faisant déjà l’objet d’une mesure de surveillance nationale, et selon que cette personne serait ou non localisée, sur le territoire national ou hors de celui-ci. Aucune exigence constitutionnelle ni conventionnelle ne vient étayer le recours à ces critères, qui pourraient soulever des difficultés opérationnelles dans leur utilisation.
4. La modification envisagée au 2° de la demande d’avis consisterait à permettre, à titre dérogatoire, que cette levée de doute se fasse par une mise en relation ponctuelle avec des « correspondances » – c’est-à-dire des données de contenu – circonscrites géographiquement ou thématiquement lorsqu’une urgence tenant à une menace terroriste ou une menace de cyber-attaque le justifie.
Les explications données et les précisions apportées par le Gouvernement démontrent l’intérêt incontestable de la possibilité de procéder à cette vérification pour protéger les intérêts fondamentaux de la Nation et font ressortir la nature limitée des données qu’elles ont pour objet d’interroger, toute exploitation plus poussée de ces données devant se faire au titre d’un des régimes qui le permettent. Elles conduisent à ne pas déceler d’obstacle constitutionnel, que la modification fasse l’objet d’une procédure ad hoc d’autorisation-cadre du Premier ministre ou qu’elle s’inscrive dans le cadre des autorisations du III de l’article L. 854-2, dans la mesure où les dispositions introduites feront apparaître le caractère limité des données susceptibles d’être ainsi interrogées et l’impossibilité de les exploiter davantage sur le fondement de cette seule autorisation. Les garanties particulières de traçabilité de ces exploitations qui sont prévues renforceront la conformité du dispositif.
5. La modification envisagée au 3° de la demande d’avis consisterait à autoriser l’exploitation de données de communications, c’est-à-dire de données de contenu issues de la surveillance des communications internationales et correspondant à un numéro d’abonnement ou un identifiant technique rattachable au territoire national alors que son utilisateur est en France. Cette exploitation donnerait lieu à une autorisation propre et ne pourrait intervenir que pour la poursuite de l’une des finalités prévues au 1°, 2°, 4°, 6° et 7° de l’article L. 811-3 du code de la sécurité intérieure. Délivrée selon la procédure du III de l’article L. 854-2, elle serait précédée d’un avis de la CNCTR et les personnes souhaitant vérifier si elles font l’objet d’une telle exploitation pourraient saisir elles-mêmes le Conseil d’Etat pour qu’il s’en assure, dans les conditions prévues aux articles L. 773-1 à L. 773-7 du code de justice administrative. Le Conseil d’Etat comprend que cette interrogation pourrait aussi, par dérogation au troisième alinéa de l’article L. 854-1, porter sur des données recueillies dont les deux terminaisons correspondent à un numéro ou un identifiant rattachable à la France, lesquelles ne seraient pas détruites. Dans la mesure où cette interrogation renvoie à un numéro d’abonnement ou un identifiant technique rattachable au territoire national, s’appliqueront les dispositions de l’article L. 854-8 qui rendent applicables à ces données des conditions plus strictes d’exploitation et de conservation ainsi que de destruction prévues dans le cadre de la surveillance nationale.
Dès lors que cette exploitation bénéficierait des mêmes garanties que celles qui s’appliquent aux interceptions de sécurité effectuées dans le cadre de la surveillance nationale, elle ne paraît pas constituer une atteinte manifestement disproportionnée au respect de la vie privée.
6. Enfin, la modification envisagée au 4° de la demande d’avis consisterait à prévoir que les autorisations prévues à l’article L. 851-1, à l’article L. 851-2 et au I de l’article L. 852-1 peuvent valoir autorisation d’exploitation des communications, ou des seules données de connexion, interceptées dans le cadre de la mise en œuvre de mesures de surveillance des communications internationales. Le Gouvernement envisage de préciser que cette mise en œuvre n’est possible que dans la limite de la portée des autorisations délivrées, notamment celles relatives à l’ancienneté des données exploitées, à leur durée de conservation ou à la durée des autorisations délivrées, et dans le respect des garanties qui les entourent, notamment quant au droit de recours ouvert.
Compte tenu de ces garanties et dès lors que cette nouvelle possibilité ne s’appliquera qu’aux autorisations délivrées postérieurement à la modification de la loi sur ce point, le Conseil d’Etat est d’avis que cette extension de la portée d’autorisations délivrées au titre de la surveillance nationale est conforme à la Constitution.
7. Le Conseil d’Etat est également d’avis que ces différentes modifications appellent la même appréciation au regard du droit au respect de la vie privée garanti par l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.
8. Le Conseil d’Etat constate que le Gouvernement ne modifie pas le droit au recours « médiatisé » par la CNCTR prévu par l’article L. 854-9 du code de la sécurité intérieure, que le Conseil constitutionnel a déclaré conforme aux exigences du droit à un recours effectif garanti par l’article 16 de la Déclaration des droits de l’homme et du citoyen pour les vérifications de levée de doute. Il relève qu’il prévoit d’ouvrir le recours direct prévu à l’article L. 841-1 de ce code pour les autres exploitations qu’il envisage de permettre. Dans ces conditions, ces nouveaux dispositifs ne remettent pas en cause l’appréciation, portée par le Conseil constitutionnel, d’absence d’atteinte manifestement disproportionnée à ce droit au recours.
S’agissant du droit au recours effectif garanti par l’article 13 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, le Conseil d’Etat a, dans l’avis d’assemblée générale sur une proposition de loi relative aux mesures de surveillance des communications électroniques internationales (15 octobre 2015, n° 390578), estimé que le recours organisé par l’article L. 854-9 ne porte pas non plus atteinte excessive à ce droit. Les modifications envisagées par le Gouvernement ne modifient en rien l’appréciation ainsi portée.
Cet avis a été délibéré et adopté par le Conseil d’Etat (section de l’administration) dans sa séance du 4 mai 2018.