Intervention de Philippe Latombe

Alors que nous venons de commémorer les attentats du 13 novembre 2015 et que notre pays a été récemment frappé par de nouvelles attaques terroristes, nous mesurons à quel point cette menace est prégnante : elle peut frapper à tout moment et en tout lieu. Nos forces de l'ordre doivent lutter contre un ennemi invisible, mouvant et capable de s'adapter aux mesures prises pour le combattre.

Afin d'y faire face, et consécutivement à la fin de l'état d'urgence, le législateur a adopté, le 30 octobre 2017, plusieurs dispositifs visant à renforcer la sécurité intérieure. De nouvelles dispositions ont enrichi la liste des instruments de lutte contre le terrorisme prévus par le titre II du livre II du code de la sécurité intérieure. Y ont ainsi été insérés quatre nouveaux chapitres, relatifs respectivement aux périmètres de protection, à la fermeture des lieux de culte, aux mesures individuelles de contrôle administratif et de surveillance, et aux visites domiciliaires ainsi qu'aux saisies. Le caractère exceptionnel de ces mesures justifiait qu'elles soient, par nature, temporaires. De ce fait, le Parlement avait limité leur application au 31 décembre 2020.

À travers ce projet de loi, le Gouvernement demande au législateur leur prorogation, car les conditions sanitaires actuelles ne permettent pas au Parlement d'examiner un projet de loi spécifique avant la fin de l'année. Cette prorogation permettrait également d'examiner et d'ajuster les mesures individuelles de contrôle administratif et de surveillance, les MICAS, prévues aux articles L. 228-1 et suivants du code de la sécurité intérieure.

L'article 1er du texte visait ainsi à proroger ces mesures pour une durée d'un an, que l'Assemblée nationale a ramenée à sept mois. Ce raccourcissement est justifié par le fait que la crise sanitaire ne doit pas repousser plus que de raison le débat essentiel sur la surveillance et la prévention du terrorisme.

De même, l'article 2 du projet de loi a pour objet de proroger les mesures de renseignement insérées à l'article L. 851-3 du code de la sécurité intérieure par la loi du 24 juillet 2015. Ces dispositions ouvrent la possibilité d'imposer la mise en place de traitements automatisés destinés à détecter des connexions susceptibles de révéler une menace terroriste sur les réseaux des opérateurs de communications électroniques et des fournisseurs de services internet, sans toutefois qu'il soit procédé, dans un premier temps, à l'identification des personnes concernées. Cette identification n'est autorisée par le Premier ministre qu'une fois la menace avérée et après avis de la Commission nationale de contrôle des techniques de renseignement, la CNCTR.

Au-delà de la prorogation de ce texte, les mesures de renseignement qu'il contient nécessiteront un débat devant le Parlement, dans le cadre d'une réforme plus large. Le groupe Mouvement démocrate (MODEM) et démocrates apparentés y prendra toute sa part.

Pour l'heure, comme cela a déjà été dit, il nous appartient de tenir compte de la jurisprudence la plus récente de la Cour de justice de l'Union européenne. En effet, dans plusieurs arrêts importants du 6 octobre 2020, celle-ci a confirmé son arrêt dit « Tele2 » de décembre 2016, que j'avais déjà évoqué dans cet hémicycle.

Si le paragraphe 2 de l'article 4 du traité sur l'Union européenne prévoit que l'Union « respecte les fonctions essentielles de l'État » et que « la sécurité nationale relève de la responsabilité de chaque État membre », le droit de l'Union européenne s'oppose à toute réglementation nationale autorisant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l'ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs de moyens de communication électronique.

Dès lors, la directive du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, interprétée à la lumière de la Charte des droits fondamentaux de l'Union européenne, demeure applicable, notamment le 1 de son article 15. Celui-ci interdit les réglementations nationales permettant aux autorités d'accéder aux données conservées, si cet accès n'est pas limité aux seules fins de lutte contre la criminalité. Concernant ce dernier point, les arrêts du 6 octobre dernier ont apporté trois précisions qu'il nous appartiendra de respecter.

En premier lieu, la Cour estime que, quand un État membre fait face à une menace grave et réelle – actuelle ou prévisible – pour la sécurité nationale, la directive ne l'empêche pas d'enjoindre aux fournisseurs de service de conserver de manière généralisée et indifférenciée des données relatives au trafic et à la localisation. La Cour précise que la décision prévoyant cette injonction, pour une durée strictement nécessaire, doit alors faire l'objet d'un contrôle effectif par une juridiction ou par une entité administrative indépendante, dont la décision aura un effet contraignant. Cette procédure a pour but de vérifier l'existence de la menace ainsi que le respect des garanties prévues ; dans de telles conditions uniquement, la directive autorise un traitement automatisé des données des utilisateurs de moyens de communication électronique.

En second lieu, la Cour ajoute que la directive de 2002 ne s'oppose pas à des mesures législatives permettant le recours à une conservation ciblée et strictement limitée dans le temps des données relatives au trafic et à la localisation ainsi que des adresses IP attribuées à la source d'une communication, dès lors que se présentent des situations nécessitant une telle conservation au-delà des délais légaux : nécessité d'élucider des infractions pénales graves ou des atteintes à la sécurité nationale constatées ou dont l'existence est raisonnablement soupçonnée.

En troisième et dernier lieu, la Cour estime que la directive de 2002 autorise les législateurs nationaux à imposer aux fournisseurs de services de communication électronique de recueillir certaines données en temps réel, notamment des données relatives au trafic et à la localisation, lorsque ce recueil est limité aux personnes soupçonnées d'être impliquées dans des activités terroristes. Ce recueil doit aussi être soumis au contrôle préalable d'une juridiction ou d'une autorité administrative indépendante.

Telles sont les conditions auxquelles nous serons particulièrement attachés dans le processus de décision à venir.