Intervention de Guillaume Gouffier-Cha

Monsieur le président, chers collègues, je suis honoré d'inaugurer cette rentrée parlementaire en rapportant le premier texte dont notre commission s'est saisie pour avis sous cette nouvelle législature. Cette saisine concerne deux domaines qui intéressent la défense : les systèmes de traitement des données Advanced Passenger Information (API) et Passenger Name record (PNR), qui font l'objet des articles 5 à 7 du projet de loi, et les techniques de renseignement, traités dans les articles 8 à 9.

Je présenterai successivement les principales dispositions prévues dans ces matières, en m'efforçant d'être le plus clair possible malgré la technicité de ces sujets.

Les articles 5 et 6 concernent le système « API-PNR aérien ». Ils visent, d'une part, à pérenniser le système expérimental en vigueur qui arrive à échéance à la fin de l'année 2017, d'autre part, à mettre en conformité le droit national avec le droit communautaire à la suite de l'adoption définitive de la « directive PNR ».

J'anticipe nos débats sur les amendements de suppression de ces deux articles en rappelant dès à présent que la transposition d'une directive constitue une obligation communautaire en vertu des traités européens, ainsi qu'une exigence constitutionnelle.

Les données PNR sont l'ensemble des informations fournies par une personne physique ou par un opérateur lors de la réservation d'un voyage auprès d'un transporteur aérien. Ce sont des informations déclaratives. On dénombre dix-neuf catégories PNR, parmi lesquelles : la date de réservation et d'émission du billet, la ou les dates du voyage, les noms, prénoms, et dates de naissance des voyageurs, ou encore les informations relatives aux éventuels programmes de fidélité.

Afin de relativiser certaines craintes concernant ces données PNR, je rappelle qu'elles existent depuis plusieurs dizaines d'années, et qu'elles sont recueillies et exploitées à des fins commerciales par les opérateurs privés du secteur aérien dans l'indifférence générale des citoyens-passagers. Il peut paraître surprenant que leur utilisation devienne suspecte dès lors qu'elle est le fait de la puissance publique afin de prévenir les crimes les plus graves et d'appuyer les enquêtes.

Les données API sont des données d'enregistrement et d'embarquement collectées, comme leur nom l'indique, lors de ces phases. Il existe seize catégories de données API parmi lesquelles le numéro d'identification du passager, le numéro et le type du document de voyage utilisé, ou encore le nombre, le poids et l'identification des bagages.

Ce système permet aux différents services de sécurité et de renseignement spécialement habilités d'interroger, de manière indirecte, une base de données dans le cadre de finalités limitativement énumérées. En substance, il s'agit de prévenir et de détecter les formes les plus graves de criminalité – actes terroristes, traite d'êtres humains, trafic d'armes par exemple –, mais aussi d'appuyer les enquêtes menées dans ces domaines. Prenons l'exemple imaginaire d'un M. X mis en cause par la justice pour participation à un réseau de trafic de drogue. Le système permettra de confirmer qu'il était présent sur plusieurs vols entre l'Amérique du Sud et la France, en ayant toujours acheté ses billets à la dernière minute sans réservation, sachant que des saisies de drogue d'origine sud-américaine avaient été opérées à l'arrivée de chacun de ces vols.

La France a créé, sur le fondement de l'article 17 de la loi de programmation militaire pour la période 2014-2019, un système expérimental dans le domaine aérien. À l'époque, elle s'était fortement inspirée des dispositions du projet de directive PNR. De fait, la transposition de la directive PNR « finale » n'appelle que des ajustements marginaux de notre système.

La procédure du système français comprend trois étapes.

Les opérateurs concernés transmettent d'abord à un service spécifique, l'Unité Information Passagers (UIP), les données pour l'ensemble des vols à destination et en provenance du territoire national, à l'exception des déplacements reliant deux points de la France métropolitaine. Sont donc concernés les vols internationaux, les vols intra-européens, ainsi que les vols en provenance et à destination des collectivités et territoires ultramarins.

Les différents services habilités peuvent ensuite adresser des requêtes à l'UIP, dans le cadre des finalités limitativement prévues que j'ai brièvement rappelées. Ces services ne disposent donc pas d'un accès direct au système de traitement. Les agents de l'UIP, individuellement désignés et spécialement habilités, traitent la requête après en avoir vérifié la conformité. Ils exploitent les données selon deux méthodes en procédant soit par criblage des individus et des objets, soit par ciblage.

Le criblage consiste à croiser les informations API-PNR avec certains fichiers relatifs à des personnes ou des objets recherchés ou surveillés, comme le fichier des personnes recherchées, ou le système d'information Schengen.

Le ciblage se traduit par l'application de grilles d'analyse des risques qui comprennent différents critères et leur pondération. On détectera, par exemple, l'existence de trajets atypiques avec le cas de passagers se présentant régulièrement à l'embarquement sans avoir réservé ou, au contraire, ne s'y présentant pas après avoir réservé.

Enfin, l'UIP transmet le résultat de la requête au service demandeur.

Que prévoit la directive 2016681, dont les articles 5 et 6 assurent la transposition ? Elle a trois objets principaux. Elle oblige les transporteurs aériens à transmettre les données PNR de leurs passagers aux UIP de tous les États membres concernés par les vols extra-Union européenne. Elle permet aux États membres d'étendre cette obligation à tout ou partie des vols intra-Union européenne, sous réserve de le notifier à la Commission européenne. Enfin, elle oblige les États membres à mettre en oeuvre des traitements de données alimentés par les informations PNR, aux seules fins de prévenir et détecter les infractions terroristes et les formes graves de criminalité, et de permettre les enquêtes et les poursuites en la matière.

Les modifications à apporter au droit national sont de deux ordres.

Elles concernent les finalités du système. Au-delà des actes terroristes, prévus par la directive comme par notre droit actuel, la liste des « formes graves de criminalité » diffère entre les normes européenne et nationale. La directive retient un champ légèrement plus réduit, prévu à son annexe II. Logiquement, l'article 6 du projet de loi renvoie à cette même annexe afin d'harmoniser le droit français avec le droit européen. Le projet de loi maintient par ailleurs un troisième type de finalité : les atteintes aux intérêts fondamentaux de la Nation, notion inscrite à l'article 410-1 du code pénal. Cette finalité n'est pas prévue par la directive car une telle matière ne relève pas de la compétence de l'Union européenne, mais de celle de chaque État membre, de manière souveraine. Son maintien dans le droit national est donc conforme à la directive.

Les modifications concernent aussi les opérateurs soumis à l'obligation de transmission des données. En l'état du droit en vigueur, les transporteurs aériens ont l'obligation légale de transmettre les données à l'UIP. Les opérateurs de voyage ou de séjour affrétant un aéronef peuvent également y être soumis. Comme la directive le permet, l'article 6 complète la liste des opérateurs concernés, en y ajoutant les agences de voyages.

Pour conclure sur ce sujet je précise que, comme tous les États membres, la France est tenue de transposer la directive 2016681 avant le 25 mars 2018.

J'en viens à l'article 7 qui concerne le système « PNR maritime ».

La loi du 20 juin 2016 pour l'économie bleue avait prévu un système « PNR maritime » expérimental jusqu'au 31 décembre 2017. L'article 7 pérennise l'autorisation de collecte des données pour les passagers du secteur maritime au-delà de cette date. Il autorise la création d'un système automatisé de traitement de ces données distinct de celui instauré dans le secteur aérien.

Je pense qu'il faut rendre permanent ce système préventif à l'embarquement. La menace terroriste reste malheureusement encore vive, et le secteur maritime présente des vulnérabilités auxquelles il est nécessaire de remédier. Des mesures ont toutefois déjà été prises, comme, dans le domaine de la sécurité portuaire, le renforcement des pelotons de sûreté maritime et portuaire (PSMP), et, dans le domaine de la sûreté des navires en mer, la mise en place, depuis le 1er août 2016, d'équipes de protection des navires à passagers (EPNAP).

Je rappelle l'importance de l'activité des navires à passagers pour la France en termes de flux : elle concerne 32,5 millions de passagers par an. Le trafic transmanche est le plus important, avec 17 millions de passagers environ, suivi par les liaisons entre la Corse et le continent avec quatre millions de passagers. Les outre-mer sont également concernées : l'activité de croisière représente par exemple 1,6 million de passagers aux Antilles.

En substance, les finalités du système « PNR maritime » seront les mêmes que celles prévues pour le système aérien : la prévention et la constatation des actes de terrorisme, des atteintes aux intérêts fondamentaux de la Nation, et d'un certain nombre d'infractions parmi les formes les plus graves de criminalité.

L'obligation de transmission des données s'appliquera aux exploitants de navires pour les passagers à destination ou en provenance du territoire national, quel que soit le pavillon arboré. Les agences de voyage et les opérateurs de voyage ou de séjour affrétant tout ou partie d'un navire pourront également y être soumis.

Quelles seront les modalités d'accès au fichier par les services habilités ? Souhaitant écarter toute possibilité d'accès direct, le Sénat a précisé, en première lecture, que les services devraient interroger une unité spéciale, sorte d'UIP du secteur maritime. S'il s'agit d'une idée intéressante qui enrichit le débat et qu'il ne faut pas exclure de mettre en oeuvre dans les années qui viennent, ce dispositif pose aujourd'hui davantage de questions qu'il n'en résout.

Je relève que le système « PNR maritime » sera alimenté par des données qui présentent un degré de sensibilité moindre que le système « API-PNR aérien » – la seule information potentiellement sensible étant la communication des moyens de paiement et de l'adresse de facturation. Dès lors, cela ne justifie pas la mise en oeuvre des mêmes modalités de connexion au fichier, telle que l'interdiction d'accès direct par les services.

Par ailleurs, je souhaite insister sur un aspect très pratique. Si une unité de gestion devait être créée, les délais incompressibles pour son installation auraient pour conséquence de priver notre pays des possibilités offertes par le système durant cette période. En effet le système expérimental deviendrait caduc dès la promulgation de la loi, alors que le système pérennisé ne pourrait pas fonctionner avant la mise en place, relativement longue et coûteuse, d'une « UIP maritime ». Il s'agit d'une question complexe que nous allons devoir trancher au cours des débats et nous échangerons sur ce sujet avec l'exécutif. Un dispositif spécifique devra sans doute être envisagé d'ici à la séance publique.

J'en viens aux dispositions relatives aux techniques de renseignement. Les articles 8 à 9 du projet de loi redéfinissent le régime légal de surveillance des communications hertziennes afin de mettre le droit en conformité avec une récente censure du Conseil constitutionnel.

Je rappelle brièvement les principes qui encadrent l'utilisation des techniques de surveillance, avant de souligner en quoi et pourquoi le régime applicable au domaine hertzien en diffère.

Le régime juridique applicable aux activités et techniques de renseignement a été défini par deux lois de juillet et novembre 2015. Deux types de services peuvent mettre en oeuvre ces techniques. Il s'agit, d'une part, des « services spécialisés de renseignement » qui disposent d'une habilitation générale à mettre en oeuvre l'ensemble des techniques de surveillance pour l'exercice de leurs missions respectives, et pour l'ensemble des finalités limitativement prévues par la loi. Ces six services constituent le « premier cercle » de la communauté française du renseignement. On y trouve trois services relevant du ministère des Armées : la direction générale de la sécurité extérieure (DGSE), la direction du renseignement militaire (DRM) et la direction du renseignement et de la sécurité de la défense (DRSD). D'autre part, certains services, dits du « second cercle », peuvent être autorisés à recourir à ces techniques, mais uniquement pour certaines finalités et pour une liste définie de techniques.

Qu'en est-il de la procédure ? Par principe, toute demande d'utilisation d'une technique de renseignement destinée à surveiller le territoire national fait l'objet d'une procédure d'autorisation préalable. Elle est délivrée par le Premier ministre, après avis préalable obligatoire, mais simple, de la Commission nationale de contrôle des techniques de renseignement (CNCTR), qui dispose par ailleurs d'un certain nombre de pouvoirs de contrôle.

La surveillance des communications électroniques internationales, reçues ou émises de l'étranger, est soumise à une procédure d'autorisation différente : si elle reste délivrée par le Premier ministre, l'avis de la CNCTR n'est pas légalement requis.

Le régime spécifique au domaine hertzien est appelé « exception hertzienne ». En 1991, le législateur avait choisi d'exclure de la procédure d'autorisation préalable et de contrôle les mesures de surveillance des communications empruntant la voie hertzienne. Ce régime dérogatoire avait été confirmé par la loi de juillet 2015. Ce choix se justifiait par le fait que les mesures mises en oeuvre dans le domaine hertzien ne visent pas des communications individualisables, et que, par conséquent, elles ne portent pas atteinte à la vie privée ou au secret des correspondances. En effet, techniquement, ces communications se propagent dans l'espace public sans support filaire. Elles peuvent donc être librement captées par quiconque dispose d'un récepteur branché sur la bonne fréquence et se trouve dans leur périmètre d'émission. Ce type de communication s'apparente au cas d'un individu qui utiliserait un mégaphone dans la rue : dès lors que vous disposez d'un récepteur, vos oreilles, et que celui-ci est situé dans le périmètre d'émission du message, vous le captez. Son auteur ne peut dès lors prétendre que vous portez alors atteinte à sa vie privée et au secret de ses correspondances, puisqu'il a choisi de le diffuser dans le domaine public.

Le problème réside dans le fait que toutes les communications opérées par la voie hertzienne ne revêtent pas ce caractère intégralement « public ». C'est notamment ce qu'a relevé le Conseil constitutionnel. Saisi d'une question prioritaire de constitutionnalité en 2016, il a jugé que le régime de « l'exception hertzienne » était contraire à la Constitution. Le principal grief étant que ce régime n'excluait pas l'interception de communications ou le recueil de données individualisables. Le Conseil a par ailleurs relevé que la mise en oeuvre du régime ne faisait l'objet d'aucune procédure d'autorisation ni d'aucune garantie en termes de contrôle, notamment. Afin de permettre au législateur de tirer les conséquences de cette censure, le Conseil constitutionnel a reporté les effets de sa décision au 31 décembre 2017.

L'objet des articles 8 à 9 du projet de loi consiste donc à redéfinir une « exception hertzienne » conforme aux droits et libertés garantis par la Constitution.

Le maintien de techniques de surveillance dans le domaine hertzien est une nécessité opérationnelle dans trois domaines. Dans le domaine militaire, les interceptions de communications radio longues et très longues distances permettent aux forces armées de disposer d'informations précieuses, y compris lorsqu'elles sont menées depuis le territoire national. Je rappelle à cet égard que notre territoire ne se limite pas à la France métropolitaine. Ces interceptions peuvent par exemple permettre de détecter des mouvements de troupes, de navires ou d'aéronefs étrangers. Dans le domaine de la contre-ingérence, les services peuvent intercepter des communications entre les puissances étrangères et leurs agents. Enfin, en matière de lutte contre le terrorisme, les communications radio peuvent être utilisées par les organisations terroristes et les groupes djihadistes.

Avant de présenter ce que le texte prévoit, ce qu'il est, je tiens d'abord à dire ce qu'il n'est pas : il ne témoigne pas d'une volonté de surveillance généralisée, et ne permettra pas aux services d'écouter plus qu'avant. Il leur permettra d'écouter et de surveiller autant, mais dans un cadre juridique renouvelé, conforme aux droits et libertés garantis par notre Constitution. Il sera plus protecteur des libertés publiques, du respect de la vie privée et du secret des correspondances, car il sera entouré de garanties inédites dans le domaine de l'hertzien « public ».

L'article 8 du projet de loi limite donc « l'exception hertzienne » au strict nécessaire. Il crée à cet effet un dispositif à double entrée, qui en restreint le champ.

L'hertzien « privé » concernera les communications qui empruntent exclusivement la voie hertzienne, sans intervention d'un opérateur, mais qui revêtent malgré tout un caractère privé. Les demandes de surveillance dans ce domaine seront dorénavant soumises au droit commun, avec autorisation préalable du Premier ministre et contrôle de la CNCTR.

L'hertzien « public » concernera les communications qui empruntent exclusivement la voie hertzienne, sans intervention d'un opérateur, mais qui ne relèvent d'aucun réseau privatif. Leur surveillance restera logiquement soumise à un régime allégé sans autorisation préalable, comme c'est le cas actuellement, mais des modalités inédites de contrôle a posteriori par la CNCTR seront prévues – nous y reviendrons.

Comment faire la distinction entre hertzien « privé » et hertzien « public » ? L'hertzien « privé » regroupera les communications échangées au sein d'un réseau réservé à l'usage d'un groupe fermé d'utilisateurs. C'est le recours à certains modes de communication qui permettra de le déterminer. Le principal équipement concerné serait le talkie-walkie numérique ou PMR (Private Mobile Radio), qui se caractérise, d'une part, par sa portée limitée, d'autre part, par l'intégration dans l'appareil de mécanismes d'authentification et de partage de clés de chiffrement. De fait, son utilisation révèle bien l'intention des utilisateurs de conférer un caractère privé à leurs échanges, quand bien même ceux-ci empruntent le domaine public que constitue l'hertzien.

La nouvelle « exception hertzienne » sera dorénavant expressément et légalement limitée au seul hertzien « public », conformément aux prescriptions du Conseil constitutionnel. Son nouveau champ sera résiduel, car limité aux communications qui ne relèvent d'aucun réseau privatif, et qui ne peuvent être interceptées sur le fondement d'aucune des autres techniques de renseignement.

Au total, la grande majorité des interceptions hertziennes sera soumise au droit commun, ce qui constitue un progrès considérable en termes de respect des droits et libertés. Concrètement, le nouveau champ couvrira uniquement la CB, les radioamateurs, les talkies-walkies analogiques ainsi que les communications radio des gammes VLF et HF et les moyens radio militaires tactiques. Bref, l'« exception hertzienne » et le régime dérogatoire qui y est attaché deviendront réellement « exceptionnels ».

Je vous proposerai deux amendements dans ce domaine. Le premier précisera le point de départ des délais de conservation des informations collectées. Le second aura trait aux modalités de contrôle de la CNCTR : il s'agit de lui donner accès non pas à l'ensemble des renseignements collectés, puisque ceux qui s'avèrent inutiles sont détruits par les services, mais aux seuls renseignements effectivement conservés et exploités par ces derniers.

Enfin, l'article 9 permettra aux unités des armées chargées de la défense militaire de continuer à mettre en oeuvre des mesures de surveillance hertzienne, dans le cadre du seul hertzien « public », et uniquement pour l'exercice de leurs missions. Ces missions ont trait à la dissuasion nucléaire, à la défense opérationnelle, à la défense maritime du territoire et à la défense aérienne ; elles s'exercent également dans le cadre de l'action de l'État en mer. De telles mesures pourraient, par exemple, permettre de détecter la présence d'embarcations communiquant entre elles sur l'hertzien « ouvert », et qui chercheraient à pister un sous-marin nucléaire lanceur d'engins sortant de la base de l'Île-Longue, au large de Brest.

Les modalités de contrôle par la CNCTR seront allégées par rapport au régime prévu pour les mesures de surveillance de l'hertzien « ouvert », dans le cadre d'actions de renseignement. Un tel allégement est légitime : d'une part, puisqu'il s'agit de communications non privatives, les mesures prises par les unités militaires ne sont pas attentatoires aux libertés publiques ; d'autre part, ces mesures, qui ne constituent pas des actions de renseignement au sens de la surveillance administrative, ont une visée purement opérationnelle.

Le même article permet également à la Direction générale de l'armement (DGA) d'effectuer des interceptions sous le régime de « l'exception hertzienne », mais à une fin unique et précise : la conduite des campagnes d'essai des matériels utilisés par les forces armées et permettant la mise en oeuvre de mesures de surveillance. Toutes les données collectées dans le cadre des tests des matériels sont, bien entendu, immédiatement détruites par la DGA.

Mes chers collègues, je vous prie de m'excuser d'avoir été un peu long, mais il s'agit de sujets relativement complexes, et j'espère avoir été suffisamment clair pour que chacun des membres de notre commission puisse prendre la mesure des enjeux des articles qu'il nous revient d'examiner pour avis.