Depuis quelques années, le droit du renseignement se construit entre jurisprudences et réformes législatives, consacrant la place de cet instrument si particulier dans notre droit public mais l’obligeant à s’articuler avec la protection des droits fondamentaux. L’actualité récente nous montre plusieurs aspects de cette construction indispensable pour établir une sécurité nationale démocratique.
François Saint-Bonnet a qualifié de « plus parfait des oxymores que la langue juridique ait pu jamais inventer » la notion même de « droit du renseignement » (in O. Forcade & B. Warusfel (dir.), Le droit du renseignement, 2019, p. 229). La notation est sévère mais traduit bien l’antagonisme de principe existant entre la part la plus secrète de l’action de l’État et la nécessaire transparence qui accompagne par nature l’application de la norme juridique. Mais les temps où la raison d’État – abritée derrière le secret de défense - régnait seule en maître sont désormais révolus.
A regarder l’actualité juridique récente, on ne peut que mesurer le long chemin parcouru pour donner une existence positive (et non plus uniquement indirecte et en creux) au cadre juridique du renseignement et pour rechercher dans ce domaine si particulier de l’action publique une nécessaire conciliation avec les impératifs de l’État de droit. Quitte à ce que l’on n’y voit encore qu’un « droit de second choix … un peu impur ou imparfait » (F. Saint-Bonnet, précité).
Comme le droit est une science du langage, on relèvera d’abord dans les mots la marque du nouveau droit du renseignement qui commence à prendre sa place dans notre droit public.
Citons tout d’abord l’article L. 811-2 CSI qui définit sans beaucoup de précautions oratoires les objectifs du renseignement comme « la recherche, la collecte, l’exploitation et la mise à disposition du Gouvernement des renseignements relatifs aux enjeux géopolitiques et stratégiques ainsi qu’aux menaces et aux risques susceptibles d’affecter la vie de la Nation ». Il ne cache pas non plus que ces missions s’exercent pour partie « à l’étranger » et que leur action peut aller jusqu’à « l’entrave de ces risques et de ces menaces ».
De son côté, la Cour de justice de l’Union européenne n’a pas hésité non plus à parler un langage opérationnel lorsqu’elle a défini la sécurité nationale (qui est – de par l’article L. 811-1 CSI – le cadre juridique d’action de ces services spécialisés de renseignement) comme : « protéger les fonctions essentielles de l’État et les intérêts fondamentaux de la société et inclut la prévention et la répression d’activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d’un pays, et en particulier à menacer directement la société, la population ou l’État en tant que tel, telles que notamment des activités de terrorisme » (CJUE, gr. ch., 6 octobre 2020, aff. C-511/18, C-512/18 & C-520/18, La Quadrature du Net, consid. n° 135).
Mais c’est le Conseil d’État (reprenant la main après l’arrêt de la CJUE précité) qui n’a pas hésité à invoquer « un risque terroriste élevé » mais aussi « des menaces graves pour la paix publique, liées à une augmentation de l’activité de groupes radicaux et extrémistes » ou encore « un risque d’espionnage et d’ingérence étrangère, en raison notamment de ses capacités et de ses engagements militaires et de son potentiel technologique et économique » allant jusqu’à citer encore plus précisément « des opérations d’espionnage industriel ou scientifique, de sabotage, d’atteintes à la réputation ou de débauchage d’experts » pouvant viser les entreprises françaises (CE, Ass., 21 avril 2021, French Data Network , consid. n° 67).
Dès lors que les mots sont dits dans leur précision et leur crudité (voir encore la reconnaissance de « surveillance des communications internationales » à l’article L. 854-1 CSI), une certaine reconnaissance politique en découle et le droit peut avoir prise sur ces réalités admises et révélées. C’est en particulier ce qui c’est passé en 2020-2021 à propos de la conservation et de l’exploitation des données de connexion pour le renseignement.
Originellement considérées comme des informations personnelles de moindre impact sur la vie privée que le contenu même des communications, les données de connexion (qui retracent l’historique de communication d’un abonné aux services numériques) sont devenues à partir de 2006 (loi du 23 janvier 2006 relative à la lutte contre le terrorisme) un matériau de prédilection non seulement pour les enquêtes judiciaires mais aussi pour les services de renseignement, d’autant que leur exploitation fut progressivement étendue aux recherches portant sur toutes les finalités de sécurité nationale que poursuivent les services spécialisés de renseignement (v. art. L. 851-1 CSI). Mais comme leur exploitation a posteriori n’est possible que pour autant que les opérateurs numériques concernés aient conservé préalablement l’ensemble des données de leurs abonnés, la communauté du renseignement a longtemps craint que ce robinet à données ne soit finalement refermé à la suite des arrêts de la Cour de justice Digital Rights Ireland (du 8 avril 2014) et Tele2 Sverige (du 21 décembre 2016) condamnant l’injonction de conservation permanente et indifférenciée des données de connexion, tant par le droit dérivé européen que par les législations nationales.
La délégation parlementaire au renseignement s’était notamment fait l’écho de ce que « plusieurs services et autorités ministériels ont fait état, devant la délégation, de leurs fortes préoccupations quant aux suites à donner à la décision de la CJUE, si les conclusions de l’avocat général venaient à être suivies ». (DPR, rapport 2019-2020, Sénat n° 506, 2020, p. 90).
Force pourtant de constater qu’en ce qui concerne la conservation et l’exploitation de ces données à des fins de renseignement, les deux arrêts de la Cour de justice du 6 octobre 2020 suivi de celui du Conseil d’État du 21 avril 2021 (qui en tire les conséquences en droit français), ont pris en compte l’impact négatif qu’auraient pu avoir leurs décisions sur l’efficacité du travail des services de renseignement concernés, le cas des services de police judiciaire étant – paradoxalement - moins bien pris en considération (ce qui vient d’être confirmé par la nouvelle décision QPC : Cons. const., n° 2021-976/977 QPC du 25 février 2022).
Loin de rejeter la notion de sécurité nationale ou de minimiser les menaces qui peuvent peser sur elle, ces arrêts ont au contraire reconnu qu’il s’agissait d’une mission légitime et essentielle des États membres et donc de leurs services de sécurité et confirmé qu’il s’agit du motif pouvant justifier les plus fortes dérogations à l’exercice des libertés fondamentales et à la protection des données personnelles. Cette reconnaissance explicite de l’importance des activités de renseignement de sécurité nationale par ces hautes juridictions est un moment important de la consécration de ce nouveau droit du renseignement (fondé sur la loi du 24 juillet 2015 qui a créé le livre VIII du code de la sécurité intérieure).
Mais ces mêmes arrêts ont énoncé des conditions et des limites à la conservation et à l’exploitation des ces méta-données, ce qui est bien dans l’office du juge, et en particulier de celui qui assure le respect des libertés fondamentales. Considérant ainsi la conservation préalable et indifférenciée comme la mesure la plus attentatoire au droit à la vie privée, le juge européen a assez logiquement considéré que seule la protection de la sécurité nationale pouvait la justifier, estimant en revanche que la lutte contre les différentes formes de criminalité (y compris la criminalité organisée) ne pourrait pas prétendre aux mêmes facilités.
D’autre part, la CJUE a voulu que ce recours à la conservation indifférenciée soit toujours justifié par l’existence d’une menace effective ou prévisible à la sécurité nationale, conformément au principe de proportionnalité. Cela oblige donc désormais (comme l’a fait le Premier ministre français par son décret du 20 octobre 2021) chaque Etat membre à revoir et confirmer régulièrement l’appréciation qu’il fait du niveau des menaces pesant sur sa sécurité nationale.
Comme il reviendra toujours au juge d’apprécier in fine si la menace alléguée est suffisante pour justifier le maintien de la mesure de conservation des données, on devrait voir ici émerger un contrôle juridictionnel non directement sur l’activité de renseignement mais sur les conclusions que l’État tire des résultats du travail de ses services. C’est d'ailleurs ce à quoi a veillé la Cour de justice en prescrivant que les décisions de conservation et d’exploitation des données de connexion fassent nécessairement l’objet du contrôle d’une juridiction ou d’un organe indépendant doté d’un pouvoir décisionnel.
Pour se conformer à l’arrêt de la CJUE sur ce dernier point du contrôle, la loi du 31 juillet 2021 a renforcé les prérogatives de la Commission nationale de contrôle des techniques de renseignement (CNCTR) en prévoyant que la formation spécialisée du Conseil d’État compétente en cette matière serait automatiquement saisie en urgence dans le cas où le Premier ministre choisirait de passer outre à un avis négatif de la CNCTR. Elle voit donc son autorité renforcée à un moment où cette commission aborde une étape importante de son histoire avec la mise en œuvre des différents ajustements issus de la loi PATR précitée et l’entrée en fonction de son nouveau président.
Les sujets qui pourraient justifier un renforcement des prérogatives de la CNCTR ne manquent pas, notamment s’agissant du contrôle des nouveaux moyens numériques de renseignement (algorithmes de détection automatique, interceptions satellitaires, expérimentation de traitement d’intelligence artificielle, pour s’en tenir à ceux visés dans la loi de 2021). Mais la CNCTR attend toujours de pouvoir accéder aux fichiers numériques des services (dont le contenu est notamment alimenté par les techniques de renseignement contrôlées par la commission). Par ailleurs, elle n’a jamais caché qu’elle estimerait utile de pouvoir exercer un certain contrôle sur les données échangées avec les services étrangers.
Du côté de la formation spécialisée du Conseil d’État, là aussi la loi de 2015 a posé les premières bases d’un contrôle juridictionnel efficace en permettant qu’enfin un juge puisse accéder sans entrave aux documents classifiés. Reste sans doute maintenant à renforcer d’une manière ou d’une autre l’exercice du contradictoire devant cette juridiction atypique, ce que la CEDH (saisie de recours contre la France) pourrait peut-être nous pousser à faire bientôt.
Enfin, et bien que la loi de 2015 qui a institué le cadre juridique des activités de renseignement n’ait organisé que le contrôle de l’utilisation de certaines « techniques de renseignement » et non des activités des services en elles-mêmes (lesquelles ne font l’objet que d’un contrôle politique assez restreint de la part de délégation parlementaire au renseignement), on peut penser que cette restriction ne résistera pas très longtemps.
Au moins deux contentieux administratifs encore isolés permettent d’imaginer comment un contrôle des activités de renseignement pourrait émerger progressivement devant les juridictions, à défaut que le législateur ne l’organise lui-même. En 2018 et concernant les attentats commis par M. Merah, le Conseil d’État a bien confirmé que – contrairement au tribunal administratif saisi en 1ère instance – l’État ne pouvait voir sa responsabilité engagée du fait d’une activité de renseignement qu’en cas de faute lourde (CE, n° 411156, 18 juillet 2018). Mais dans cet arrêt, le Conseil n’en a pas moins examiné avec un certain détail la manière dont l’enquête autour de Merah avait été menée et pourquoi il apparaissait que les agents de la DCRI avaient été « induits en erreur par l’attitude dissimulatrice » de cette personne sans que cela puisse s’apparenter à une faute lourde.
Plus récemment, le tribunal de Paris a estimé illégales les activités de la cellule Démeter de la gendarmerie nationale, estimant que son périmètre d’intervention (qui concernait notamment la détection et la prévention d’actions « de nature idéologique » à l’encontre du milieu agricole) excédait les missions de la gendarmerie, telles que définies par l’article L. 421-1 CSI, et notamment sa « mission de renseignement et d’information (qui) ne peut avoir d'autre but que de préserver l'ordre public et de prévenir les infractions » (TA Paris, n° 2006530, 2018140, 1er février 2022). La Gendarmerie nationale n’étant pas un service du « premier cercle », ce n’est pas au Livre VIII du CSI que le tribunal administratif s’est référé, mais dans la suite logique de ce jugement, on peut d’ores et déjà imaginer qu’une activité d’un service spécialisé de renseignement puisse faire demain l’objet du contrôle du juge administratif aux fins de s’assurer que cette activité s’inscrit bien les missions définies exhaustivement à l’article L. 811-2 CSI.
Mais le droit du renseignement progresse aussi à l’occasion de litiges connexes comme celui de l’annulation récente par le Conseil d’État d’une disposition réglementaire qui aurait donné toute latitude à l’État pour retarder à sa guise la communicabilité des archives sensibles (et notamment celles du renseignement). Prenant acte de cet arrêt (CE, 2 juillet 2021, Association des archivistes français), le gouvernement a dû définir dans la loi PATR les critères spécifiques qui pourraient justifier la prolongation de la durée d’incommunicabilité d’une archive classifiée. Il s’agit notamment des documents qui révèleraient « des procédures opérationnelles ou des capacités techniques des services de renseignement » ou qui pourraient « porter atteinte à la sécurité de personnes nommément désignées ou facilement identifiables impliquées dans des activités de renseignement » (art. L213-2 code du patrimoine, modifié). Même si ces catégories ne sont pas assez précises pour empêcher par elles-mêmes des blocages, leur adoption va permettre désormais de confronter les éventuels refus de communication des archives de plus de 50 ans aux nouveaux critères légaux et d’en obtenir l’annulation à chaque fois que le juge administratif constatera que la justification avancée est abusive.
Le droit du renseignement, si paradoxal qu’il paraisse, est donc engagé dans un développement aussi souhaitable qu’inévitable. Dans son état d’imperfection actuel, il est facilement critiqué pour ses lacunes qui sont encore réelles. Mais ce serait une erreur d’appréciation que de ne pas voir qu’un pas décisif a été franchi en 2015 et qu’un point de non retour a été atteint en matière de soumission de l’État régalien aux exigences démocratiques.