Les irrégularités qui sont tout à la fois les plus fréquentes et les plus
bénignes consistent en la consultation ou l’exploitation de données
que l’agent ne rattache pas à l’autorisation pertinente.
L’exploitation des données issues de la surveillance des communications
électroniques internationales est réalisée par des agents spécialisés, à partir
d’applications informatiques spécifiques dont les droits et les conditions
matérielles d’accès sont strictement limités et contrôlés. Cette exploitation
suppose, pour les agents concernés, d’interroger les bases au sein desquelles
les données sont conservées en formulant une « requête » fondée sur
l’autorisation d’exploitation dont ils sont bénéficiaires. La CNCTR vérifie
que les éléments recherchés par les agents sont bien en lien avec l’objet de
la mesure de surveillance autorisée, qu’il s’agisse des cibles suivies comme
des finalités légales invoquées.
Cette année encore, la commission a fréquemment constaté que
des consultations voire des exploitations de données avaient été
informatiquement rattachées à une autorisation non pertinente.
Les explications fournies par les services révèlent que ces anomalies
résultent de négligences de la part des agents exploitants ou d’erreurs
de manipulation de l’outil informatique, lequel assiste l’utilisateur en
lui proposant, à chaque nouvelle requête, la précédente autorisation
sélectionnée. La CNCTR incite donc les services à poursuivre les actions
de formation des agents exploitants lesquelles, conjuguées aux rappels
régulièrement effectués par les directions et bureaux juridiques concernés,
doivent contribuer au recul progressif et durable de ces irrégularités.
D’autres irrégularités ont par ailleurs été constatées dans la pratique des
« vérifications ponctuelles ». Aux termes du IV de l’article L. 854-2 du
code de la sécurité intérieure, l’autorisation d’exploitation accordée par
le Premier ministre vaut autorisation d’effectuer, au sein des données de
connexion interceptées, des vérifications ponctuelles afin de détecter une
menace pour les intérêts fondamentaux de la Nation liée aux relations entre
des numéros d’abonnement ou des identifiants techniques rattachables
au territoire français et des zones géographiques, des organisations ou
des personnes faisant l’objet d’une surveillance.