En France, le recours aux logiciels espion par les services a « bondi » de +136 % en 5 ans
Law GIC Tech
24 308 personnes ont été surveillées au moyen de 98 883 techniques de renseignement mises en œuvre à la demande des services français en 2024. Si leur nombre reste relativement constant, le recours aux techniques les plus intrusives, à commencer par les logiciels espion, a « bondi » de + 136 %. La Commission de contrôle des techniques de renseignement estime que ses effectifs ne permettent pas, en l’état, de « sécuriser de façon satisfaisante le fonctionnement de la commission ».
La Commission nationale de contrôle des techniques de renseignement (CNCTR) souligne dans le communiqué associé à la publication de son rapport annuel 2024 qu’elle « atteint les limites de sa capacité ».
Créée en 2015 suite à l’adoption de la loi Renseignement, en remplacement de la Commission nationale de contrôle des interceptions de sécurité (CNCIS), elle ne dispose en effet que d’une équipe de 22 agents, dont un administrateur réseaux et un « effectif très limité » de 14 « chargés de mission » (2/3 de juristes, 1/3 de profils techniques), contre 11 en 2021.
Leur rôle principal est d’instruire les demandes de mise en œuvre des techniques de renseignement et de conduire les contrôles a posteriori. D’une moyenne d’âge de 39 ans, ils sont soit des agents publics détachés ou mis à disposition (magistrats judiciaires et administratifs, commissaire de police, officier de gendarmerie, ingénieur en chef de l’armement, inspecteur des douanes), soit des agents contractuels, ingénieurs notamment.
Or, la CNCTR a enregistré, en 2024, 98 883 demandes de techniques de renseignement portant sur 24 308 personnes surveillées, organisé 157 réunions collégiales et effectué 123 contrôles a posteriori dans les services de renseignement.
Cette « augmentation constante » de son volume d’activité, et le renforcement de ses missions au gré des modifications législatives et réglementaires intervenues dans le domaine du renseignement « placent ses effectifs et ses moyens sous tension » :
« Alors que dans le cadre de la loi de finances pour 2025, aucune création de poste n’a été prévue et que ses crédits de fonctionnement ont de nouveau été diminués, la CNCTR souligne la tension croissante entre l’évolution des modalités d’exercice de ses missions (hausse du nombre de demandes, augmentation du volume de données recueillies, complexité accrue du contrôle…) et les moyens dont elle dispose. Cette tension concerne également les fonctions de management et de support dont les effectifs ne permettent pas, en l’état, de sécuriser de façon entièrement satisfaisante le fonctionnement de la commission. »
Dotée d’un budget de 3,4 millions d’euros, la CNCTR demande dès lors un renforcement des effectifs, à raison de deux temps pleins supplémentaires en 2026, puis un par an jusqu’en 2030, d’après Libération.
La surveillance des activistes a diminué de 22 % depuis 2020
Dans son rapport annuel, la CNCTR relève que « le constat le plus marquant » au sujet de l’année 2024 est qu’elle « n’a pas été l’occasion d’une explosion du recours aux techniques de renseignement », malgré l’accumulation d’événements d’intérêt : élections européennes puis législatives, parcours de la flamme puis Jeux olympiques et paralympiques, révoltes et état d’urgence en Nouvelle-Calédonie, troubles violents en Martinique et en Guadeloupe.
Le nombre de demandes d’emploi de techniques de renseignement a en effet connu « une hausse modérée de 3 % », passant d’un peu moins de 95 000 en 2023 à un peu moins de 99 000 en 2024. Après avoir augmenté de près de 15 % en 2023, le nombre de personnes surveillées « est demeuré constant », passant de 24 209 à 24 308 en 2024, soit + 10,7 % depuis 2020, traduisant « une légère augmentation du nombre moyen de techniques sollicitées pour chaque personne surveillée ».
Une « stabilisation » du nombre de personnes surveillées qui serait, « principalement », à mettre en lien avec le recentrage d’une partie de l’activité des services sur l’objectif de prévention du terrorisme et des ingérences étrangères dans le contexte de l’organisation des Jeux olympiques et paralympiques.
Le nombre de personnes surveillées au titre de la prévention du terrorisme (29,9 % du total) est ainsi en progression de 4,3 % depuis 2023, mais en baisse de 17,3 % depuis 2020. Celles qui le sont au titre de la prévention de la criminalité et de la délinquance organisées (27,8 % du total) sont en recul de 4,2 % sur un an, mais en progression de 34,7 % depuis 2020.
Par ailleurs, la prévention des diverses formes d’activisme violent (finalités mentionnées au 5° de l’article L. 811 - 3 du Code de la sécurité intérieure), « domaine où l’enjeu de protection de la vie privée se double d’un enjeu de protection des libertés d’expression, d’opinion, d’association ou encore de manifestation », et qui représente 10,4 % du nombre total de personnes surveillées en 2024, « atteint son plus bas niveau depuis 2018 » et « connaît pour la troisième année de suite une légère diminution », en baisse de - 21,9 % depuis 2020.
Au-delà du nombre de personnes surveillées, le nombre de demandes par finalité montre que le terrorisme est passé de 46,3 % en 2020 à 39,3 % en 2024, la prévention des ingérences étrangères de 16,5 à 20,1 %, la criminalité organisée de 14,4 à 16,1 %, la prévention des diverses formes d’activisme violent de 14,2 à 11,4 % (et ce, relève la CNCTR, malgré les émeutes en Nouvelle-Calédonie et aux Antilles, ou encore la contestation des JO, de l’autoroute A69 et des projets de « bassines »), quand la protection des intérêts économiques, industriels et scientifiques majeurs de la France progressaient de 5 à 8,9 %.
+ 136 % de « recueils de données informatiques » (logiciels espion) depuis 2020
La CNCTR note par ailleurs une progression de + 4,2 % sur un an (mais de + 24,3 % depuis 2020), de l’ensemble des techniques de renseignement, dont + 12,5 % du nombre de demandes d’identification d’abonnés ou recensement de numéros d’abonnement, de + 24,9 % des accès aux factures détaillées, mais une chute de - 55,5 % des demandes d’accès aux données de connexion en temps réel.
Le rapport relève également une progression de + 29,2 % des « balisages » et localisations de personnes ou objets (2 065) depuis 2020, de + 18 % des géolocalisations en temps réel (9 909), et de + 11,1 % des « interceptions de sécurité » (14 316), du nom donné aux écoutes téléphoniques effectuées par le Groupement interministériel de contrôle (GIC), l’organisme centralisant les techniques de renseignement mises en œuvre pour le compte des services.
Le nombre de recueils de données de connexion par IMSI catcher (616) a quant à lui explosé de + 98,1 %, les introductions dans des lieux privés (4 508) de 123,1 %, les captations de paroles et d’images dans un lieu privé (3 912) de + 150,1 %, et les recueils de données informatiques (RDI) via des logiciels espion (5 715) de + 136,4 % depuis 2020, mais également de + 27,2 % par rapport à 2023, après une augmentation de 5,5 % en 2023 et de 13,4 % en 2022.
La CNCTR voit dans ce « glissement déjà constaté au cours des années précédentes vers les techniques les plus intrusives » une « tendance bien installée », « notamment pour pallier les limites des interceptions de sécurité », le recours au RDI permettant de « surmonter les difficultés liées à l’usage toujours plus important de canaux chiffrés pour communiquer ».
Autorisée par la loi du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement, dite loi PATR, une première demande d’interceptions de correspondances émises ou reçues par la voie satellitaire a en outre été demandée et validée en 2024.
La CNCTR a par ailleurs estimé que la proposition du gouvernement de fixer un contingent de 20 autorisations simultanées était justifiée et adaptée à la poursuite de l’expérimentation de cette nouvelle technique de renseignement, que la loi visant à sortir la France du piège du narcotrafic a prolongé jusqu’au 31 décembre 2028.
Le nombre d’avis rendus en matière de surveillance des communications électroniques internationales (3 942) est quant à lui en baisse de 8,7 % depuis 2020. La CNCTR rappelle que les six services de renseignement du « premier cercle » (DGSE, DGSI, DNRED, DRM, DRSD et Tracfin) peuvent y recourir, et que plusieurs catégories d’autorisation sont prévues, selon l’objet et le périmètre de la surveillance envisagée. Il peut ainsi s’agir de surveiller les communications émises ou reçues au sein d’une zone géographique, par une organisation, par un groupe de personnes ou par une seule personne.
La CNCTR relève par ailleurs que le nombre de demandes de renseignements complémentaires qu’elle adresse aux services afin de leur faire part de ses attentes et de sa compréhension du cadre légal, passés de 2 797 en 2023 à 3 307 en 2024 (soit + 18,2 %), ne s’est pas, pour autant, traduit par une hausse équivalente du nombre d’avis rendus, passés de 94 902 à 98 883 (+ 4,2 %) ni du nombre d’avis défavorables, passés de 775 à 803 (+ 3,6 %).
Elle relève cela dit que, parmi ces derniers, le nombre d’avis défavorables en matière d’accès aux données techniques de connexion a baissé de 6,5 %, quand celui en réponse à des demandes de techniques de renseignement a, lui, augmenté de 9,3 %.
Comme nous le relevions dans un précédent article, la CNCTR a également autorisé un sixième algorithme en 2024, mais l’un des cinq précédemment validés a cessé d’être utilisé, sans que l’on sache combien surveillent des métadonnées téléphoniques ou Internet.
Le « caractère récurrent, voire structurel » de certaines anomalies relevées depuis 10 ans
Évoquant « des modalités d’accès aux données encore imparfaites », la CNCTR constate que « l’année 2024 a confirmé que l’accès de la commission aux données brutes et aux résultats d’exploitation, dans des conditions et des formats qui lui permettent de réaliser un contrôle efficace et efficient, qu’il s’agisse d’un accès, depuis ses locaux, ou, depuis les locaux des services, demeurait très aléatoire », notamment pour ce qui est des données portant sur le « recueil de données informatiques » des logiciels espion :
« Ainsi, dans un service, une erreur dans l’attribution des droits informatiques aux agents de la commission a empêché l’accès aux données issues des RDI pendant plusieurs mois. Dans un autre service, l’obsolescence du matériel informatique mis à disposition de la commission a rendu très aléatoire l’ouverture des fichiers issus de RDI, ne permettant que rarement au contrôle d’aboutir. Dans le courant de l’été 2024, le service a procédé au changement de l’ensemble des postes informatiques dédiés au contrôle de la commission. »
« Si à chaque fois, les services concernés ont fait le nécessaire, une fois l’origine des difficultés identifiées, pour les résoudre, ce constat constitue un sujet de vigilance pour la commission », pour qui « l’efficacité, et par voie de conséquence, la crédibilité de son contrôle, ne sont pas structurellement acquises ».
S’agissant du contrôle des mesures de surveillance internationale, la commission exprime sa satisfaction de bénéficier, depuis le début de l’année 2024, d’une salle dédiée au contrôle des six services susceptibles d’y avoir recours, mais regrette de ne pas encore disposer des mêmes outils que ceux utilisés par les agents desdits services.
Si le nombre des anomalies constatées en 2024 est « équivalent aux années précédentes », la CNCTR rappelle que son activité de contrôle a posteriori « ne peut se faire, par hypothèse, que par échantillonnage, et ne porte, en pratique, que sur une très faible proportion de l’ensemble des données issues des techniques de renseignement mises en œuvre » :
« Pour autant, la quasi-totalité des contrôles de données en surveillance dite domestique ou internationale donne lieu au constat d’anomalies persistantes, dont la gravité est variable, ce qui conduit la commission, après dix années d’exercice de son activité de contrôle a posteriori, à considérer que le nombre des anomalies effectivement constatées ne peut refléter que très partiellement la réalité. »
Si toutes les irrégularités constatées ont été notifiées aux services concernés, qui ont procédé aux suppressions et correctifs demandés, la CNCTR relève plusieurs cas de figure « habituels » d’anomalies :
- certaines restrictions relatives aux modalités de mise en œuvre des techniques, que la commission mentionne pourtant expressément dans ses avis, ne sont pas respectées, alors qu’elles visent pourtant à limiter la gravité de l’atteinte portée à la vie privée de la personne surveillée ou de tiers ;
- des données ont été recueillies alors que l’autorisation de mise en œuvre était arrivée à échéance ;
- des anomalies tenant au dépassement de l’objet de la surveillance « ont de nouveau été constatées », alors que la personne surveillée n’est pas ou plus présente dans le lieu spécifiquement visé dans l’autorisation ;
- des « carences récurrentes » dans l’établissement et la transmission des relevés de mise en œuvre, appelés « fiches de traçabilité » ont là aussi et « de nouveau » été notées en 2024, ce qui limite la capacité de la CNCTR à préparer efficacement les contrôles a posteriori, « mais surtout à détecter les éventuelles anomalies et, le cas échéant, à instruire de façon éclairée les demandes de renouvellement des techniques concernées ».
La CNCTR déplore en outre la « persistance » et le « caractère récurrent, voire structurel » de certaines anomalies relevées en matière de conservation et d’exploitation des données, qu’elle a « régulièrement évoqué » dans ses rapports d’activité, et qu’elle déplorait déjà dansles mêmes termes l’an passé.
Il s’agit « en premier lieu » de cas de dépassement de la durée légale de conservation des données collectées, « irrégularités » qui, « plus nombreuses qu’en 2023 », ont concerné des données provenant, « en majorité », des techniques les plus intrusives, en l’occurrence de captation de paroles et de recueil de données informatiques, et qui ont « principalement » été rencontrés au sein d’un service du premier cercle :
« Dans la majorité des cas, les irrégularités étaient dues à une défaillance du script d’effacement automatique des données mis en place par le service, ayant conduit à une conservation trop longue des données brutes recueillies. Les échanges avec le service concerné ont permis d’identifier la difficulté et l’ont conduit à procéder aux développements informatiques destinés à résoudre le problème qui était à l’origine d’irrégularités récurrentes. Les données ont par ailleurs immédiatement été détruites par ce service. »
La CNCTR rapporte, enfin, la « nécessité juridique » de donner un cadre légal aux échanges de renseignement entre les services français et leurs homologues étrangers, comme le souligne Vincent Mazauric dans son introduction :
« Il convient de souligner ici une nouvelle fois que la France ne connaît pas d’encadrement légal des échanges d’information entre services nationaux et étrangers. Ceci est, de manière certaine, contraire à la jurisprudence internationale. Dans un monde de menace globale, de tels échanges sont légitimes et indispensables. Leur donner un statut légal ne l’est pas moins ; les droits et libertés ne peuvent pas être garantis sur un flanc seulement. »
Auteur : Jean-Marc Manach
Aller à la source
