- 66 -
Dans les faits, le recueil de données informatiques, qui permet un
accès au stock de données contenues dans des équipements informatiques, a
donc été systématiquement privilégié par les services, en accord avec la
CNCTR. Par soucis de simplification, il conviendrait dès lors de simplifier
l’article L. 853-2 du code de la sécurité intérieure pour ne prévoir qu’une
seule et même définition de l’accès aux données informatiques.
Les durées d’autorisation des deux techniques étant actuellement
différentes – 60 jours pour la captation de données en temps réel et 30 jours
pour le recueil de données stockées -, il est proposé d’aligner le régime sur la
durée la plus longue, par ailleurs appliquée pour d’autres techniques tout
aussi intrusives, comme la captation de paroles et d’images dans un lieu
privé par exemple ;
─ d’autre part, *****. Selon les informations communiquées à la
délégation, les conditions strictes prévues par la loi, en particulier les
finalités limitées de la technique et la durée courte de conservation, de 48
heures, n’auraient trouvé à être réunies que dans un nombre réduit de cas.
Pour la DGSI cependant, le maintien de cette technique dans la loi est
essentiel et pourrait notamment se révéler utile en cas d’imminence d’un
attentat terroriste.
Recommandation n° 5 : Modifier l’article L. 853-2 du code de la
sécurité intérieure afin de prévoir une modalité unique de collecte de
données informatiques, plus conforme aux besoins opérationnels des
services.
b) Des nouvelles capacités de surveillance internationale rapidement prises
en main par les services
La délégation n’a pu obtenir de chiffres consolidés sur la mise en
œuvre, depuis 2015, des techniques de surveillance des communications
internationales, dans la mesure où celles-ci n’étaient pas légalement
soumises, jusqu’en 2018, à un contrôle a priori par la CNCTR et ne faisaient
dès lors l’objet d’aucune comptabilisation officielle 1.
Selon les données communiquées individuellement par les services
ayant répondu à la sollicitation de la délégation, il peut toutefois être
observé, à l’instar des techniques domestiques, une hausse constante, depuis
2015, des demandes d’autorisations d’exploitation de données collectées
dans le cadre d’une surveillance internationale 2.
Pour rappel, jusqu’en 2018, les autorisations d’exploitation de données collectées dans le cadre
d’une surveillance internationale était délivrée par le Premier ministre, sans avis préalable de la
CNCTR.
2 Jusqu’en 2018, deux types d’autorisations d’exploitation des données collectées dans le cadre d’une
surveillance internationale existaient : d’une part, l’autorisation d’exploitation non individualisée,
d’une durée d’un an ; d’autre part, l’autorisation d’exploitation individualisée des données de
1