La procédure dite «d'urgence absolue» prévue par la loi de 2015, i.e. autorisation du Premier ministre sans avis préalable de la CNCTR, n'a été utilisée qu'une fois, en décembre de la même année.
Quelques éléments sur les contrôles «sur pièces et sur place» effectués par la CNCTR : DGSI et DGSE ont droit à deux visites par mois.
Le président de la CNCTR a fait état dans son audition de trois «irrégularités sérieuses» depuis 2015. Une en 2018 : surveillance d'une personne «non visée dans l'autorisation initiale» + 2 en 2019 sur lesquelles la DPR n'avait pas d'éléments au moment de boucler son rapport.
Ces deux derniers cas sont explicités dans le dernier rapport de la CNCTR : il s'agissait de personnes «exerçant une profession ou un mandat protégés» (cnctr.fr/_downloads/c59…)
Dernier rapport dans lequel la CNCTR réclamait de pouvoir accéder aux fichiers dits «de souveraineté» (FSPRT, Cristina, etc. cf legifrance.gouv.fr/codes/id/LEGIA…) pour pouvoir exercer son contrôle a posteriori :
La DPR ne va pas jusque là (Francis Delon va être déçu) mais préconise tout de même que la CNCTR puisse accéder à ces fichiers quand elle est saisie d'un recours :
Puisqu'on parle de recours, une autre préco de la CNCTR (toujours dans le rapport 2018) était de l'ouvrir aussi en matière de surveillance internationale, selon les mêmes modalités que pour la surveillance intérieure :
Cette différence de traitement fait d'ailleurs partie des éléments que contestait l'eurodéputée néerlandaise Sophie In 't Veld devant le Conseil d'Etat, qui l'a déboutée en 2018 : liberation.fr/planete/2018/0…
Bref, pour la DPR, cette possibilité d'accès direct au juge ne se justifie pas :
Recours contentieux, suite : au 31 mai 2020, la formation spécialisée du Conseil d'Etat a rendu 25 décisions. Dans 24 cas, les requérants ne faisaient pas l'objet d'une mesure de surveillance.
(Le chiffre est intéressant car sauf erreur de ma part, quand la décision est rendue, on vous dit seulement s'il y a eu une illégalité ou pas.)
Sidenote : «aucune illégalité dans la mise en œuvre d'une technique de renseignement» ≠ «aucune illégalité du tout» car au moins une illégalité a été documentée, par @CamillePolloni qui en a fait les frais lesjours.fr/obsessions/vie…
@CamillePolloni Toujours au rayon des recours contentieux, la DPR se fait l'écho d'un problème soulevé par le président de la formation spécialisée du Conseil d'Etat... Elle n'a pas les «moyens techniques suffisants» pour instruire correctement les dossiers. Une paille.
Et en effet ça n'est pas un petit souci. Que faire ? Recruter un ou des geeks (ou en emprunter à la CNCTR ou à la Cnil), dit la DPR.
Dans les joyeusetés du recours contentieux en matière de renseignement, ceci : imaginons que vous ayez été surveillé illégalement et que le Conseil d'Etat, mettons, ait ordonné la destruction des données collectées. Vous ne saurez pas si la décision a été appliquée...
(encore faut-il d'ailleurs que vous ayez connaissance du contenu de la décision) et, si d'aventure elle ne l'avait pas été, vous ne pourrez pas faire un recours. Ici, le droit au recours, théoriquement possible, est inapplicable dans les faits.
Ce point a été soulevé par le président de la formation spécialisée du Conseil d'Etat : le législateur, cet étourdi, n'a prévu «aucune disposition spécifique pour garantir l’exécution, par les services de renseignement, des décisions rendues sur les techniques de renseignement».
En conséquence, la DPR propose de transférer ce droit au recours en cas d'inexécution à la CNCTR ou à la Cnil :
On passe au chapitre 2 (promis, ça va aller plus vite) sur le renseignement pénitentiaire. Au moment de la loi de 2015, ça avait été l'objet d'une fameuse bataille : Taubira voulait exclure la place Vendôme des donneurs d'ordre en matière de renseignement liberation.fr/france/2015/04…
Elle a perdu. En 2017 a été créé le Bureau central du renseignement pénitentiaire (BCRP). Avec une très forte hausse du nombre de cibles :
La hausse des effectifs est particulièrement parlante :
Dans la première partie du rapport, il était mentionné que le BCRP a bcp moins de difficultés techniques pour le recueil qu'il y a quelques années, suite à la mise en place d'une «unité technique commune» avec la DGSI.
Il se plaint en revanche de difficultés d'exploitation des contenus de conversation, faute de capacités de traduction suffisantes. Précos de la DPR : allongement de la durée de conservation + outils de trad / transcription automatisées
Celle-là, je ne l'avais pas vue venir : le rapport recommande d'«expertiser la possibilité» d'ajouter à la boîte à outils du renseignement pénitentiaire (second cercle, on le rappelle) les #BoîtesNoires
(Sous réserve que lesdites #BoîtesNoires soient pérennisées, certes)
Chapitre 3 : la maîtrise des risques. Avec deux aspects : l'habilitation (travail qui fait suite à l'attaque à la préfecture de police de Paris en octobre 2019) et la déontologie.
Sur les habilitations, un constat : la durée des enquêtes est à géométrie variable.
Cela dit la durée n'est pas le critère puisque les enquêtes menées par la DRPP (où travaillait Mickaël Harpon) sont qualifiées de «sommaires»
En gros, la DPR préconise de faire retravailler tout le dispo par le Secrétariat général de la défense et de la sécurité nationale (SGDSN) en y associant Tracfin (jamais sollicité, dit le rapport) pour l'examen des situations patrimoniales :
Soupçons de radicalisation : à la DGSI, 12 enquêtes conduites depuis 2014, 3 retraits d'habilitation, 12 enquêtes en cours
Il est aussi question de la sécurité des systèmes d'information. La DRM «ne semble pas disposer d'alertes» en cas de fuites de données 🤔
(NB : Dirisi = Direction interarmées des réseaux d'infrastructure et des systèmes d'information)
Quant à la sécurité des réseaux de la DRPP (Direction du Renseignement de la préfecture de police de Paris), le moins qu'on puisse dire est que l'an dernier, ça laissait franchement à désirer :
Suit une partie consacrée à la déontologie. La DPR s'alarme de «dérives» d'anciens des services... en mélangeant pas mal les torchons et les serviettes :
Sur la fameuse (et fort intéressante !) conférence de 2016 d'un «ancien directeur technique de la DGSE» qui met manifestement les parlementaires de la DPR en PLS, lire : liberation.fr/france/2016/09…
Il semble que la DPR en ait surtout ras-le-bol d'être informée par la presse 😈 plutôt que par les services et veuille avoir la primeur des infos :
Ici, une petite pique à l'adresse des ex-espions qui se répandent sur les plateaux télé pour livrer leurs analyses pas toujours très étayées :
Extension du domaine des prérogatives (évidemment c'est le jeu) : la DPR se verrait bien en réceptacle des alertes relatives à la déontologie dans les services de renseignement
Elle voudrait aussi être informée des saisines du procureur de la République et des recommandations de la CNCTR :
(De fait, le contrôle parlementaire du renseignement à la française, ça n'est pas exactement l'équivalent de ce qui se passe de l'autre côté de l'Atlantique...)
Le chapitre 4 est consacré au renseignement dans l'espace. On ne va pas se mentir, j'ai lu vite et je ne suis pas sûre de tout bien comprendre, je vais laisser faire les experts. Passons directement au chapitre 5 qui parle de :
Je ne connaissais pas cette expression de «modes opératoires supposés» (russes, chinois, iraniens etc.) pour contourner le problème de l'attribution, de fait plus efficace que toutes les périphrases utilisées aux beaux temps de la chronique #Wargames (liberation.fr/apps/2019/01/c…)
Quelles sont les missions des services de renseignement en matière de cyberdéfense ? Eh bien, on ne saura pas tout :(
En matière de détection des cyberattaques, là où l'Anssi a ses capteurs dans les ministères, les services de renseignement détectent «plus au loin». Comment ? Là encore, il faut faire travailler son imagination.
Le point #Attribution : selon le rapport, pas la came des autorités FR qui veulent conserver un «dialogue stratégique opérationnel franc et direct» y compris avec les pays qui ciblent l'Hexagone.
Dans les faits c'est plus compliqué. D'abord parce que la France s'est rapprochée de très près d'une attribution, dans le cas de Turla, en janvier 2019 : liberation.fr/france/2019/01…
Ensuite parce que certains ont déjà évoqué cette possibilité, p.ex. Guillaume Poupard, le DG de l'Anssi, en janvier 2020 liberation.fr/france/2020/01…
Et d'ailleurs c'est bien dans un cadre européen qu'ont été prononcées des mesures restrictives visant des ressortissants chinois et russes et des entités russe, nord-coréenne et chinoise #CQFDeur-lex.europa.eu/legal-content/…
La «neutralisation des effets» d'une attaque informatique sous l'égide de l'Anssi, telle que prévue dans le Code de la défense, n'a encore jamais été mise en œuvre :
On termine la partie #cyber avec des nouvelles de la concurrence française à Palantir, dont le contrat avec la DGSI avait fait grincer pas mal de dents (c'est peu de le dire).
Le document se clôt avec un rapport dans le rapport, celui de la commission de vérification des fonds spéciaux (aka CVFS). Sans surprise, ça ne déborde pas de chiffres.
(Et on n'en saura pas plus sur les «investissements pluriannuels très consommateurs de fonds spéciaux» de 2015.)
C'est la fin de ce (très très très) long thread. Il semblerait qu'il ne soit pas cassé ✌️ Article à venir pour résumer tout ça.
[@libe] [Reportage] Plongée dans les sous-sols de l'hôtel des Invalides, là où est installé le Groupement interministériel de contrôle (GIC), discret service de Matignon qui centralise les écoutes administratives du #renseignement français. liberation.fr/societe/police…
Pour le GIC, la loi renseignement de juillet 2015 a été un «big bang», explique son directeur. Et pour cause. A la centralisation des écoutes et des métadonnées s'est ajoutée celle des outils espions «de proximité» : balises, micros, caméras (hors DGSE et DGSI, tout de même).
Post-2015, c'est aussi la normalisation administrative. Jusque-là, le GIC était certes sous l'autorité de Matignon, mais... rattaché administrativement à la DGSE, d'où était issu l'essentiel de son personnel. Héritage des années 60. Aujourd'hui, il est adossé au SGDSN.
Ça a pris du temps, mais le rapport annuel de la délégation parlementaire au #renseignement (aka DPR) est enfin en ligne sur le site du Sénat. C'est parti pour un (très long) thread.
Il est copieux : 297 pages, 59 recommandations + 7 relatives aux fonds spéciaux.
6 chapitres : bilan & perspectives des lois de 2015, renseignement pénitentiaire, maîtrise des risques (habilitation et déontologie), renseignement spatial, cyberdéfense + rapport de la commission de vérification des fonds spéciaux.
(Sur ce sujet aussi, les rapporteurs y vont avec des pincettes)
Pas de pincettes, en revanche, pour qualifier de «hold-up jurisprudentiel» (carrément) l'arrêt Tele2 de la CJUE, qui s'oppose à la conservation généralisée des données (cf. liberation.fr/planete/2018/0…)
Le rapport de la mission d'information envisage plusieurs pistes. La première mettrait sans doute la CJUE en PLS :
Moment lecture (avec retard) du rapport de la mission d'information de l'Assemblée sur la #LoiRenseignement de 2015 (assemblee-nationale.fr/dyn/15/rapport…). Où est datée (à la louche) l'apparition des Imsi-catchers en France :
Issu du même rapport : en discussion, un équivalent du Service technique national de captation judiciaire (STNCJ, chargé des logiciels espions) pour les services du "second cercle" (cf cnctr.fr/3_cadre_legal.…)
Un des principaux enseignements de la décision du Conseil constitutionnel sur la loi de prorogation de l'état d'urgence sanitaire, c'est que le régime de quarantaine et d'isolement créé par la loi du 23 mars est contraire à la Constitution (points 83 à 87) conseil-constitutionnel.fr/decision/2020/…
«Si le dernier al. de l'art. L. 3131-15 du code de la santé pub. […] prévoit que ces mesures doivent être strictement proportionnées aux risques sanitaires encourus et appropriées aux circonstances […] et qu'il y est mis fin sans délai lorsqu'elles ne sont plus nécessaires...
... le législateur n'a assorti leur mise en œuvre d'aucune autre garantie, notamt quant aux obligations pouvant être imposées aux personnes y étant soumises, à leur durée max. et au contrôle de ces mesures par le juge jud. ds l'hypothèse où elles seraient privatives de liberté»
On aurait pu espérer que les caméras «intelligentes» qui comptent les museaux masqués et pas masqués ne dépasseraient pas les frontières de Cannes, mais c'était compter sans la RATP lemonde.fr/pixels/article…
Le boss de Datakalab fait des pieds et des mains pour expliquer qu'aucune donnée n'est stockée. Mais avant même d'entrer dans les détails du système, il y a une question préliminaire : mais à quoi diable ça pourrait servir ?
Réponse de Datakalab : c'est un «outil d'aide à la décision» pour savoir où on doit «distribuer en priorité des masques».
Sérieusement, a-t-on besoin de caméras qui filment et sortent des stats combien de gens ont des masques ou pas pour distribuer intelligemment des stocks ?