Intervention de Nicole Belloubet

Séance en hémicycle du mardi 6 février 2018 à 21h30
Protection des données personnelles — Article 4

Nicole Belloubet, garde des sceaux, ministre de la justice :

Je serai peut-être un peu longue et vous prie, par avance, de m'en excuser, mais je souhaite répondre précisément à Mme la rapporteure. Après avoir amorcé cette discussion en commission, nous la prolongeons en séance publique. Le droit en vigueur répond déjà à la préoccupation légitime de contrôle de l'activité des services de renseignement, qu'il s'agisse de l'usage des techniques de renseignement, contrôlé par la CNCTR, comme de son résultat en termes de renseignements collectés et traités, ce contrôle des fichiers étant effectué par la CNIL.

Les fichiers de renseignement constituent un sous-ensemble des fichiers dits de souveraineté : ceux qui intéressent la sûreté de l'État, la défense et la sécurité publique et qui sont mentionnés à l'article 26 de la loi Informatique et libertés. Ces fichiers ne sont soumis ni au RGPD, ni à la directive que le présent projet de loi entend transcrire. Du fait de leur nature même et des finalités qu'ils servent, certains droits ne sont pas reconnus aux personnes. Le droit d'accès aux données contenues dans ces traitements est ainsi exclu. Néanmoins, toute personne qui s'interroge sur la présence dans ces fichiers de données la concernant peut s'adresser à la CNIL, qui procédera aux vérifications en ses lieu et place : c'est ce que l'on appelle le droit d'accès indirect, défini à l'article 41 de la loi Informatique et libertés.

Les principales caractéristiques de ces fichiers de renseignement – finalités du fichier, type de données collectées, destinataires des informations, absence d'interconnexion – sont définies dans un texte réglementaire, un décret en Conseil d'État pris après avis de la CNIL. Mais, pour des raisons évidentes de confidentialité et afin de ne pas mettre en cause leurs finalités mêmes, la plupart d'entre eux sont dispensés de publication, comme le permet le III de l'article 26 de la loi Informatique et libertés. Un décret du 15 mai 2007 liste, quant à lui, les quatorze fichiers concernés.

La possibilité pour la CNIL d'opérer un contrôle a posteriori sur pièces et sur place, plein et entier, n'est exclue que pour huit de ces quatorze fichiers, conformément au IV de l'article 44 de la loi Informatique et libertés. Il ne s'agit que des fichiers de renseignement les plus sensibles et pour lesquels la possibilité de prendre copie de tout document ou information et d'examiner l'architecture des outils techniques est exclue, au risque de mettre gravement en cause les modalités d'action des services de renseignement, mais aussi le lien de confiance avec les services étrangers partenaires. Ce n'est qu'avec l'accord exprès d'un partenaire que l'on peut mettre des informations qu'il a partagées à la disposition d'un tiers.

Ces huit fichiers relèvent de la DGSE, pour deux d'entre eux, de la DGSI, de la direction du renseignement militaire, pour deux d'entre eux également, de la direction du renseignement et de la sécurité de la défense, du service de renseignement de la préfecture de police et de celui des douanes. Si la CNIL ne peut pas mettre en oeuvre, sur ces fichiers, un contrôle plein et entier de droit commun, il n'en demeure pas moins que ceux-ci font l'objet de plusieurs contrôles. Les informations qui y figurent sont bien souvent issues de techniques de renseignement très strictement encadrées.

La mise en oeuvre d'une technique de renseignement suppose, comme vous le savez, une autorisation préalable du Premier ministre prise après avis d'une autorité administrative indépendante, la CNCTR. Cette commission procède par ailleurs à un second contrôle une fois la technique de renseignement mise en oeuvre, afin de s'assurer du respect des conditions posées dans l'autorisation. Ce contrôle a posteriori est réalisé pour chaque service deux à trois fois par mois, de manière très approfondie. Il se double d'un dialogue exigeant entretenu par la CNCTR avec les services de renseignement sur tout point d'interprétation du cadre juridique rigoureux élaboré par le législateur dans la loi du 24 juillet 2015.

Les renseignements collectés après recours à une technique peuvent ensuite être transcrits dans le fichier d'un service de renseignement. Mais en amont, il ne faut pas l'oublier, la création de ce fichier est subordonnée à un examen préalable par la CNIL, puis par le Conseil d'État, qui, pour autoriser la création par décret de ce traitement, s'assure de la légalité de ses principales caractéristiques – type de données recueillies, modalités de conservation, possibilités de croisements.

Une fois ce fichier créé, et dans le cadre du droit d'accès indirect précédemment évoqué, la CNIL se rend trois à quatre fois par an dans chacun des services de renseignement afin de vérifier, au bénéfice des personnes qui la saisissent, que les données détenues, le cas échéant, par les services sont nécessaires et respectent les caractéristiques initialement définies dans le texte réglementaire pour lequel la CNIL a donné son avis. Ce contrôle fait lui-même, par la suite, l'objet d'échanges nombreux entre le service de renseignement concerné et la CNIL afin, le cas échéant, de procéder à la rectification ou à l'effacement des données qui ne seraient pas pertinentes.

Enfin, une personne qui pense être connue d'un service de renseignement peut, sans aucune autre condition préalable que le soupçon qui l'habite, saisir une formation spécialisée du Conseil d'État habilitée au secret de la défense nationale, afin d'obtenir l'effacement des données la concernant, si celles-ci sont irrégulièrement détenues par les services de renseignement. À l'occasion de ce recours, la CNIL intervient systématiquement et produit les éléments qu'elle a recueillis lors de l'exercice de son droit d'accès indirect.

Comme vous le voyez, mesdames et messieurs les députés, cette pluralité des contrôles répond à une logique propre définie à l'occasion de l'adoption de la loi relative au renseignement de juillet 2015. À ce titre, la CNCTR est compétente pour contrôler le recueil des données brutes de renseignement, qui sont réunies à l'occasion de l'utilisation d'une technique de renseignement. La CNIL est quant à elle compétente pour contrôler les conditions dans lesquelles les données recueillies sont conservées et surtout exploitées dans un fichier. Cette ligne de partage, voulue par le législateur, est essentielle puisque les activités en cause des services de renseignement ne sont pas les mêmes. Si les membres et les agents de la CNCTR comme de la CNIL sont habilités au secret de la défense nationale, le principe du cloisonnement en matière de renseignement, appliqué dans le fonctionnement quotidien des services comme dans leurs relations avec leurs partenaires étrangers, explique et justifie l'équilibre trouvé, qui concilie, je le crois, la protection des libertés, notamment le droit au respect de la vie privée, et les exigences liées à la préservation des intérêts fondamentaux de la nation. Pour l'ensemble de ces raisons, je vous invite, madame la rapporteure, à bien vouloir retirer votre amendement ; à défaut, j'émettrai un avis défavorable.

Aucun commentaire n'a encore été formulé sur cette intervention.

Inscription
ou
Connexion