Ce que dit l’Europe sur le rachat de Sky par Comcast

En fait. Le 22 septembre, le câblo-opérateur américain Comcast – propriétaire des studios de cinéma Universal Pictures et DreamWorks ainsi que des chaînes NBC, CNBC, Syfy ou E! – a remporté les enchères sur Sky, l’opérateur britannique de télévision. L’Europe n’y trouve rien à redire.

En clair. La Commission européenne n’a pas attendu les enchères pour autoriser,
dès le 15 juin dernier, le rachat « sans conditions » de Sky par Comcast : « Pas de problème de concurrence en Europe », a-t-elle assuré. Bruxelles rendra aussi « d’ici le 19 octobre » sa décision sur le projet de rachat des actifs de Fox aux Etats-Unis par le groupe Disney, lequel a déjà obtenu le feu vert des autorités antitrust américaines, à condition de se séparer d’une vingtaine de chaînes sportives de Fox (1). Bien qu’elle
ne participait pas à ces enchères exceptionnelles opposant à Londres Comcast à Fox pour s’emparer de Sky, la Walt Disney Compagny est la grande perdante en Europe.
Le magnat des médias Rupert Murdoch voulait lui céder – pour un total de 71 milliards de dollars – non seulement, aux Etats- Unis, ses studios de cinéma, ses chaînes de télévision axées divertissement, sa part dans Hulu, mais aussi Sky en Europe.
Ce bouquet de télévision britannique est présent au Royaume- Uni, en Irlande, en Allemagne, en Autriche et en Italie, avec 23 millions d’abonnés (2). Maintenant que Comcast a remporté Sky pour 33,4milliards d’euros, auxquels s’ajoutera le rachat des 39 % (valorisés 12,8milliards d’euros) que Fox a annoncé – le 26 septembre – vouloir céder dans Sky, il reste quand même à Disney les actifs de Fox aux Etats-Unis qu’a tenté en vain d’acquérir Comcast cet été. Rupert Murdoch, lui, cherche ainsi à recentrer son nouveau « Fox » sur l’information avec ses journaux (Wall Street Journal, New York Post, …), ses chaînes de télévision Fox News et Fox Business (3). Depuis deux ans, le magnat des médias australo-américain cherchait à s’emparer des 61 % du capital de Sky – dont Fox détenait déjà 39 %. Mais, conformément à la décision prise en avril par la commission des OPA britannique, Disney aurait eu l’obligation de faire une offre sur la totalité de Sky en Europe s’il réussissait à acquérir les actifs de Fox aux Etats-Unis. Car le projet d’acquisition de Sky par Fox était mal accueilli au Royaume-Uni (« pas dans l’intérêt du public »), la famille Murdock y étant déjà très implantée avec le groupe News Corp, lequel publie le tabloïd The Sun, le quotidien The Times ou encore The Sunday Times. En revanche, l’offre de Comcast sur Sky ne posait pas de problème aux yeux des autorités britanniques et européennes. Les actionnaires de Sky ont jusqu’au 11 octobre pour se prononcer en faveur de Comcast. @

Orange : Dufourcq se verrait bien remplacer Richard

En fait. Le 20 février, le conseil d’administration d’Orange – où siège Nicolas Dufourcq parmi les trois représentants de l’Etat (actionnaire à 23 % du capital, dont 9,5 % de Bpifrance) – a voté pour le renouvellement du mandat de Stéphane Richard, actuel PDG d’Orange, comme administrateur du groupe.

En clair. Bien qu’il ait été mis en examen – en tant qu’exdirecteur de cabinet de la ministre de l’Economie Christine Lagarde (1) – dans l’affaire de l’arbitrage de 404 millions d’euros en faveur de Bernard Tapie, et qu’en mai ou juin il sera jugé en correctionnelle avec cinq autres personnes (dont ce dernier) pour « complicité d’escroquerie » et « complicité de détournement de fonds publics », Stéphane Richard reste intouchable au sein d’Orange, dont il est le PDG depuis sept ans maintenant, après avoir été nommé DG il y a près de huit ans. Même l’Etat français – pourtant au cœur de cette affaire d’Etat qu’est le scandale « Tapie » – n’a rien trouvé à redire sur Stéphane Richard, l’un de ses plus dévoués grands commis. C’est ainsi que les trois administrateurs qui représentent « la sphère publique » – Nicolas Dufourcq en tant que PDG de Bpifrance Participations (détenteur de 9,5 % d’Orange sur les 23 % de l’Etat), Anne Lange et Lucie Muniesa – ont voté comme les autres membres du conseil d’administration « en faveur du renouvellement du mandat de Stéphane Richard comme administrateur d’Orange dans la perspective de son renouvellement en tant
que président du conseil d’administration pour une période de quatre ans ». Cette résolution sera soumise au vote de l’assemblée générale le 4 mai (2). Mais le PDG ira-t-il jusqu’au bout de son troisième mandat s’il était approuvé par les actionnaires – Etat et salariés d’Orange en tête ? Une simple formalité ? Cela semble être le cas malgré l’épée de Damoclès au-dessus de l’ex-directeur de cabinet. « S’il devait y avoir une condamnation, il remettrait immédiatement son mandat et démissionnerait », a prévenu Bruno Le Maire le 22 janvier sur Radio Classique. Ce que l’intéressé, qui assure n’avoir exécuté à l’époque qu’une décision politique prise par Christine Lagarde, a confirmé le 20 février sur RTL. Quoi qu’il en soit, les noms de successeurs potentiels circulent de plus belle, notamment celui de Nicolas Dufourcq qui passa près de dix ans chez France Télécom (1994- 2003) où il dirigea la division Multimédia et y lança Wanadoo. Président de Bpifrance depuis 2013, il est donc un administrateur de l’Etat au sein d’Orange et n’a jamais démenti son intérêt d’être calife à la place du calife. En 2016, Nicolas Dufourcq s’était dit convaincu que le rapprochement entre Orange et Bouygues Telecom allait se faire… un jour. @

La VOD reste désespérément le parent pauvre de la consommation audiovisuelle en France

Les dépenses audiovisuelles des foyers français – cinéma, télévision (redevance comprise), DVD/Blu-ray, vidéo à la demande (VOD, SVOD) et jeux vidéo – s’élèvent à plus de 10,4 milliards d’euros en 2016. Mais le cinéma à la demande peine toujours à décoller. La VOD à l’acte décline.

Le marché français de la vidéo à la demande (VOD) n’a progressé que de 8,3 %
en 2016 à 344,1 millions d’euros. C’est toujours le poste le moins disant dans les dépenses en programmes audiovisuels des foyers français. En effet, ces derniers ont déboursé l’an dernier plus de 10,4 milliards d’euros que cela soit en cinéma, télévision (abonnements télé et redevance audiovisuelle), vidéo (physique et VOD), ou encore jeu vidéo (physique et dématérialisé).

VOD à l’acte, VOD définitive et SVOD
Ce budget global en programmes audiovisuels (hors matériels donc) a progressé d’à peine 0,9 % sur un an, selon les chiffres publiés le 11 mai par le CNC (1). Les dépenses en VOD, lesquelles incluent la VOD à l’acte (location dématérialisée), la VOD par téléchargement définitif (ou EST (2)) et la SVOD (par abonnement), restent toujours
la dernière roue du carrosse audiovisuel. Avec leurs 344,1 millions d’euros en 2016, elles n’arrivent qu’en sixième et dernière place des dépenses audiovisuel des Français. Malgré la chute continue des ventes de vidéo physique (DVD et Blu-ray), lesquelles sont en recul l’an dernier de 15,8 % à 595,5 millions d’euros et avant-dernier du classement, la VOD fait toujours moins bien. La progression du marché de la vidéo à
la demande ne compense toujours pas le recul du marché de la vidéo physique. Les dépenses en vidéo (physique ou dématérialisée) sont largement devancées par celles du cinéma en salles qui progressent de 4,2 % à plus de 1,3 milliard d’euros, elles-mêmes précédées par les recettes de la redevance audiovisuelle dite CAP de plus de 2,2 milliards d’euros (3). Quant aux abonnements télé et les jeux vidéo, ils s’arrogent les deux premières places des dépenses audiovisuelles en 2016 avec respectivement plus de 3,3 milliards d’euros et 2,5 milliards d’euros – les premiers étant en baisse de
5 % et les seconds en hausse de 9 %. Il y a d’ailleurs fort à parier que les dépenses en télévision (abonnements et redevance) représenteront – à l’issue de cette année en cours et pour la première fois – moins de la moitié des dépenses audiovisuelles.
Alors que le Syndicat des éditeurs de vidéo à la demande (Sévad) a organisé du 11
au 14 mai derniers la 2e édition de « La Fête de la VOD » avec le soutien du CNC
(à 2 euros le film loué en ligne sur Arte VOD, Canal VOD, Filmo TV, Fnac Play, Imineo, MyTF1VOD, Nolim, Orange, France.tv, Club Vidéo SFR, UniversCiné et Vidéofutur),
le marché de la VOD n’est, lui, pas vraiment à la fête. La location à l’acte continue de reculer – de 4,4 % en 2016 – et passe pour la première fois sous la barre des 50 %
du marché avec une part de 48,6 %, à 167,23 millions d’euros (voir tableau ci-contre). Tandis que la vente définitive dite EST représente 19,8 % du marché après avoir progressé de 13,3 % l’an dernier. Rappelons que ces deux segments du paiement à l’acte continuent d’arriver quatre mois après la salle dans la chronologie des médias (lire EM@167, p. 6 et 7). Quant à la SVOD, toujours reléguée à trente-six mois après
la salle, elle progresse de 32,1 % entre 2015 et 2016, passant de 26,0 % à 31,7 % du marché. @

Charles de Laubier

Société de l’information : vers une généralisation du signalement des incidents de sécurité

L’Union européenne va adopter deux textes majeurs qui vont étendre et renforcer les responsabilités des entreprises et des acteurs du Net dans la société de l’information : la nouvelle directive « Cybersécurité » et le règlement « Protection des données personnelles ».

Par Christophe Clarenc, cabinet Dunaud Clarenc Combles & Associés

Les prochaines adoptions, d’une part, de la nouvelle directive
en faveur d’un niveau élevé commun de sécurité des réseaux
et systèmes d’information, et, d’autre part, du règlement général sur la protection des données personnelles confirment un renforcement de la cyber-responsabilité des entreprises à travers notamment une généralisation de l’obligation de signaler les incidents et violations de sécurité.

Dépendance critique
Les promesses et la pérennité même de la « société de l’information » promue au sein de l’Union européenne (UE) dépendent de la sécurité des technologies, systèmes et traitements d’information qui la sous-tendent et la structurent. Cette dépendance est critique, à mesure tout à la fois : de la vulnérabilité intrinsèque de ces dispositifs informatiques, de la vulnérabilité systémique résultant de l’interconnexion et de la sous-traitance en chaîne de ces dispositifs dans le cyberespace, de l’actuelle dépendance vis-à-vis des dispositifs de traitement et de sécurité étrangers, ainsi que des actes, menaces et enjeux démultipliés de cyberattaques. A quoi s’ajoutent la protection et
la transparence souvent insuffisantes des entreprises devant les incidents et violations de sécurité, et, enfin, la confiance nécessaire des citoyens-consommateurs dans cette société de l’information (1).
La législation européenne a déjà défini la notion et les risques, exigences et moyens génériques de sécurité (disponibilité, authenticité, intégrité et confidentialité) des réseaux et systèmes d’information (RSI), et a imparti différentes obligations de sécurité pour les opérateurs de communications électroniques et pour les responsables de traitements de données à caractère personnel. La directive sur la sécurité des réseaux et systèmes d’information (SRI) et le règlement général sur la protection des données personnelles viendront étendre et renforcer ces obligations, et en forcer le respect par une généralisation de l’obligation de signaler les incidents et violations de sécurité et des sanctions dissuasives en cas de manquement.

C’est en février 2013 que la Commission européenne a présenté une proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de SRI dans l’UE (directive dite « Cybersécurité »). Un accord « trilogue » (2) est intervenu en décembre dernier sur un texte sensiblement remanié (3).
Cette proposition de directive « SRI » s’inscrivait dans la continuité des travaux et des actes européens poursuivis depuis 2001 (voir encadré page suivante). Elle visait en particulier à établir des exigences élevées et communes de SRI pour les « acteurs du marché » concernés, recouvrant à la fois les prestataire de services de la société de l’information – tels que les services d’informatique en nuage, ou les moteurs de recherche comme Google ainsi que les plateformes de e-commerce comme eBay
ou Amazon – et les opérateurs d’infrastructure critique essentielle au maintien de fonctions économiques et sociétales vitales à identifier dans les domaines de l’énergie, des transports, des services bancaires, des bourses de valeur et de la santé – sous le contrôle dans chaque Etat membre de l’autorité compétente en matière de SRI. Cette proposition prévoyait notamment l’obligation pour ces acteurs de notifier à l’autorité
« les incidents qui ont un impact significatif sur la sécurité des services essentiels
qu’ils fournissent » avec pouvoir de l’autorité d’« informer le public, ou demander
[aux acteurs] de le faire, lorsqu’elle juge qu’il est dans l’intérêt général de divulguer
les informations relatives à l’incident ».

Opérateurs d’importance vitale
Cette proposition « SRI » de 2013 était fortement soutenue et inspirée par la France dans la continuité de ses préoccupations et de sa stratégie de défense et de sécurité des systèmes d’information des infrastructures nationales devant la menace majeure des cyberattaques, et de son propre dispositif – adopté dans sa loi de programmation militaire de décembre 2013 (4) – de cyber-protection des opérateurs répertoriés d’importance vitale (OIV), placé sous l’autorité du Premier ministre et de la direction
de l’Agence nationale de défense des systèmes d’information (Anssi) (5).
L’accord trilogue intervenu en décembre 20015 a sensiblement remanié le schéma
de la proposition. Il établit deux régimes de réglementation et de contrôle SRI. L’un concerne les « opérateurs de services essentiels » à identifier par chacun des Etats membres dans les secteurs de l’énergie, des transports, des services bancaires,
des marchés financiers, de la santé, de l’eau et des infrastructures numériques, caractérisés par leur rapport direct avec des infrastructures physiques. L’autre
concerne les « fournisseurs de services numériques » génériquement et limitativement appréhendés dans les domaines des places de marché en ligne, des moteurs de recherche et des services d’informatique en nuage ou cloud, également regardés comme critiques mais différenciés par leur nature transfrontière et internationale.

Responsabilités renforcées
Les opérateurs de services essentiels désignés et les fournisseurs de services numériques concernés devront notifier sans délai indu les incidents de SRI ayant un impact significatif ou substantiel sur la continuité de leurs services, avec information du public en cas de nécessité et après consultation. Les contrats de prestation conclus par ces opérateurs avec ces fournisseurs devront être soigneusement examinés. En effet, ces opérateurs seront seuls responsables de la notification des incidents affectant la continuité de leurs services causés par des incidents survenus chez ces fournisseurs-prestataires. Enfin, les entreprises non visées pourront volontairement notifier leurs incidents de SRI.
Quant au règlement général de protection des données personnelles (6), à intervenir prochainement à la suite de l’accord trilogue également trouvé en décembre dernier,
il viendra encore étendre et renforcer les responsabilités de SRI eu égard à la capacité des failles et incidents de SRI à affecter la sécurité des traitements et des données.
En effet, outre un renforcement des obligations propres à la sécurisation des traitements, il impartit à l’ensemble des entreprises responsables de traitement, sous peine de sanctions devenant très dissuasives de manquement, de dépister et conserver la trace documentaire de toute violation de données personnelles, et de notifier à l’autorité nationale compétente (en France la Cnil), sans retard indu et si possible sous 72 heures, toute violation constatée susceptible de présenter un risque pour les droits et libertés des personnes concernées, avec information de ces dernières en cas de risque élevé et non contrecarré.
La conformité « SRI » s’impose comme un facteur critique de responsabilité administrative, pénale, contractuelle et quasi-délictuelle (et d’assurance), de crédibilité, de réputation et de différenciation compétitive dans la société de l’information. @

ZOOM

Proposition de directive « SRI » : 15 ans de gestation
Depuis 2001, des travaux et des actes se sont enchaînés au niveau européen au nom de la sécurité des réseaux et de la cybersécurité. Parmi eux :
• La communication de juin 2001 invitant à une approche politique européenne en matière de SRI ;
• La directive 2002/21/CE de mars 2002 soumettant les opérateurs de communications électroniques à des mesures pour assurer la sécurité/intégrité de leurs réseaux et services ;
• Le règlement 460/2004 de mars 2004 instituant une Agence européenne chargée de la SRI (Enisa) et apportant premières définitions des systèmes d’information, des exigences génériques de SRI, des risques de SRI et de la SRI ;
• Le livre vert de novembre 2005 pour un programme européen de protection des infrastructures critiques (IC) mentionnant les technologies de l’information (TIC) ;
• La communication de mai 2006 proposant une stratégie pour une société de l’information sûre ;
• La directive 2008/114/CE de décembre 2008 relative au recensement et à la désignation des IC européennes soulignant l’intérêt d’examiner une inclusion des TIC ;
• La communication de mars 2009 concernant la protection des infrastructures d’information critiques (IIC) soulignant la criticité de certaines infrastructures TIC (7) et envisageant à cet égard de les soumettre à l’obligation de notification des incidents de sécurité concomitamment proposée pour les opérateurs de communications électroniques ;
• La proposition de septembre 2010 de directive relative aux attaques contre les systèmes d’information (dite « cybercriminalité ») qui aboutira à la directive 2013/40/UE d’août 2013 établissant infractions pénales communes d’accès illégal à des systèmes d’information, d’atteinte illégale à l’intégrité d’un système d’information, d’atteinte illégale à l’intégrité des données et d’interception illégale, et recommandant, pour renforcer la sécurité, des mesures incitant à notifier les failles de sécurité ;
• La directive 2009/140/CE de novembre 2009 (modifiant la directive 2002/21/CE) soumettant les opérateurs de communications électroniques à l’obligation de notifier à l’autorité nationale compétente « toute atteinte à la sécurité ou perte d’intégrité ayant eu un impact significatif sur le fonctionnement des réseaux ou des services » avec pouvoir de l’autorité d’« informer le public ou exiger des entreprises qu’elles le fassent dès lors qu’elle constate qu’il est d’utilité publique de divulguer les faits » ;
• La communication de février 2013 sur la stratégie de cybersécurité de l’UE introduisant notamment la proposition de directive SRI présentée à cette même date. @

Le peu d’abonnés à la fibre en France est tabou

En fait. Le 8 juillet, se sont tenues les 9e Assises du Très haut débit. Il a beaucoup été question de fibre optique qui doit constituer 80 % du très haut débit pour tous d’ici 2022. Mais la question du peu d’abonnés FTTH – 1 million – par rapport aux 4,3 millions de prises disponibles reste taboue.

En clair. « Le nombre d’abonnés à la fibre optique jusqu’à domicile ne cesse d’augmenter, ce qui est encourageant. Nous sommes sur une tendance de croissance des abonnements au FTTH [Fiber-To-The-Home, ndlr] irréversible. De plus, très peux de ces abonnés ne se désabonnent, car il y trouvent leur intérêt. Dès que nous aurons atteint un taux de transformation de 30 % contre 23 % aujourd’hui [entre le nombre de prises de fibre optique disponibles et le nombre d’abonnements],il y aura alors un effet d’entraînement », a expliqué Antoine Darodes, directeur de la Mission très haut débit,
à EM@, en marge des 9e Assises du Très haut débit. Devenu le 6 juillet directeur de
la nouvelle Agence du numérique, il s’est ainsi voulu rassurant en répondant à notre question sur le faible nombre d’abonnés FTTH en France par rapport aux prises pourtant disponibles. Le 16 juillet, le ministre Emmanuel Macron a d’ailleurs appelé les opérateurs à respecter leurs engagements. En effet, selon les chiffres de l’Arcep au 31 mars dernier (1), la barre du 1 million d’abonnés au FTTH vient à peine d’être franchies malgré plus de 4,3 millions de foyers desservis. Ce qui équivaut aux 23% de transformation évoqués par Antoine Darodes.

Curieusement, aux Assises du Très haut débit, personne n’a souligné le peu d’engouement des Français à s’abonner à la fibre optique. Comme si évoquer cette piètre performance française était tabou. Ce parc de 1 million d’abonnés à la fibre optique de bout en bout fait pour le moins pâle figure malgré les ambitions affichées par le gouvernement et le président de la République de raccorder tous les Français au très haut débit et à 80 % en FTTH d’ici à 2022. La fibre optique ne représente à ce jour que 3,9 % du total des 26,1 millions d’abonnés haut débit et très haut débit confondus. Et ce, malgré plusieurs années d’investissements de la part des opérateurs télécoms et une croissance à deux chiffres (Lire EM@119, p. 4). Pas de quoi pavoiser. Et encore, ce 1 million d’abonnés « FTTH » englobe aussi bien le FTTH proprement dit que le FTTO (Office pour bureaux d’entreprises) car le régulateur ne livre pas de répartition entre ces deux catégories d’abonnements… Finalement, les Français sont toujours satisfaits par leur réseau de cuivre ADSL qui évolue déjà par endroits vers le VDSL2. Cette technologie compte même plus de prises disponibles (5 millions) que n’en a le FTTH. C’est dire que l’extinction du cuivre (2) n’est pas pour demain ! @

La consolidation télécoms en France inquiète Bruxelles

En fait. Le 25 juin, Altice, maison mère de Numericable-SFR, a annoncé avoir maintenu son offre sur Bouygues Telecom malgré le refus de ce dernier de
se faire racheter pour 10 milliards d’euros « au minimum ». Le passage à trois opérateurs ne serait pas une bonne nouvelle pour les consommateurs.

En clair. Si Altice/Numericable-SFR devait racheter Bouygues Telecom, le marché français des opérateurs télécoms passerait alors à trois acteurs au lieu de quatre –
et ce sont les consommateurs qui, in fine, financeront l’opération. C’est en substance l’inquiétude exprimée dès le 15 juin par Margrethe Vestager, la commissaire européenne en charge de la Concurrence : « Les opérateurs [télécoms] disent que s’ils ne peuvent pas fusionner avec leurs concurrents dans un pays, ils ne pourront pas investir suffisamment. (…) Mais je n’en ai jamais eu la preuve. Au contraire, il y a de nombreux exemples où une consolidation excessive débouche sur une moindre concurrence, un renchérissement des factures payées par les consommateurs et une moindre innovation », a-t-elle déclaré. Un vent de consolidation souffle en effet en Europe, dont se félicitent la plupart des grands opérateurs télécoms. Le norvégien Telenor et le suédois TeliaSonera discutent d’un éventuel rapprochement de leurs activités dans la téléphonie mobile au Danemark. Le hongkongais Hutchison Whampoa veut racheter l’opérateur O2 en Grande-Bretagne, détenu par Telefonica. L’Idate (1) tente de minimiser l’impact tarifaire de ce passage de quatre à trois opérateurs en France : « N’oublions pas que nous sommes dans ce secteur, en France comme dans la plupart des pays d’Europe, dans un contexte de déflation… avec une baisse continue des revenus depuis 2008. La France offre en particulier l’exemple de prix qui sont aussi très bas. Ce qui est certes positif pour les clients mais qui peut se faire au détriment de l’investissement (…) et de l’innovation (le prix ne doit pas être le seul paramètre de différenciation dans une vision positive de la concurrence) ». A condition que Free jour pleinement son rôle de Maverick, comme le souhaite le président de l’Autorité de la concurrence, Bruno Lasserre (2). C’est-à-dire que le troisième opérateur ait une stratégie tarifaire agressive.

De deux choses l’une : soit la France se retrouve dans la situation du Royaume-Uni où, après la fusion des filiales T-Mobile et d’Orange en 2009, les prix ont continué à reculer et les investissement sont repartis à la hausse ; soit la France suit la tendance de l’Autriche où, après le rachat de la filiale d’Orange par Hutchison, les prix sont repartis à la hausse au rythme de… 20 % par an, tandis que l’investissement a aussi diminué. @

Un cadre légal attendu pour le renseignement technique

Le projet de loi explicite les finalités et les techniques associées du renseignement dans un cadre attendu d’autorisation et de contrôle renforcés, avec l’installation d’une nouvelle autorité indépendant (CNCTR) et l’instauration de voies de recours devant le Conseil d’Etat.

Christophe Clarenc (photo) et Dominique de Combles de Nayves, avocats,
cabinet Dunaud Clarenc Combles & Associés

Le gouvernement a présenté en mars dernier un projet de loi relatif au renseignement (1) qui vise à renforcer le cadre légal
et opérationnel de l’activité des services spécialisés de renseignement (2) et, en particulier, des techniques de recueil
de renseignement d’origine électromagnétique (ROEM) (3).

 

Mission, finalités et techniques
Aucunement d’« opportunité » ou d’« exception », contrairement à ce que disent certains commentateurs, ce projet s’inscrit tout à l’inverse dans les recommandations des derniers rapports annuels de la Délégation parlementaire au renseignement (4), du rapport d’information de la commission des lois de l’Assemblée nationale de 2013 sur l’évaluation du cadre juridique applicable aux services de renseignement, et du rapport du Conseil d’Etat de 2014 sur « le numérique et les droits fondamentaux ». Il en va aussi des orientations du livre blanc sur la Défense et la sécurité nationale, qui reconnaît depuis 2008 à la collecte du ROEM un caractère de nécessité et de priorité. Le texte amendé et voté par le Sénat le 9 juin, puis adopté en commission mixte paritaire le 16 juin, préfigure en très grande partie celui qui sera adopté le 24 juin
à l’Assemblée nationale, avant d’être déféré, comme annoncé, au Conseil Constitutionnel.
Le projet de loi rappelle que le renseignement est une politique publique concourant, sous la compétence exclusive de l’Etat, à la stratégie de sécurité nationale, à la Défense et à la promotion des intérêts fondamentaux de la Nation. Le texte législatif rappelle aussi que les services spécialisés, agissant sous l’autorité du gouvernement dans le respect de la loi et des orientations du Conseil national du renseignement (organisme de coordination des services de renseignement français créé en 2008),
ont pour missions, en France et à l’étranger, la recherche, la collecte, l’exploitation
et la mise à disposition des renseignements nécessaires à la connaissance et à l’anticipation des enjeux géopolitiques et stratégiques, ainsi qu’à la prévention des menaces et des risques susceptibles d’affecter la vie de la Nation.

Le projet instaure un encadrement complété, unifié et renforcé des techniques de renseignement, visant conjointement à circonscrire et à sécuriser leur emploi légitime par les services, sous la responsabilité du Premier ministre, et à dûment protéger les libertés fondamentales garanties sur le territoire national – en particulier le respect de
la vie privée, dans toutes ses composantes (secret des correspondances, protection des données personnelles, inviolabilité du domicile), contre toute intrusion injustifiée
ou captation disproportionnée. A cet effet, le projet précise tout d’abord les finalités
du renseignement (5), les techniques de recueil susceptibles d’être utilisées à ces
fins et les conditions de mise en oeuvre de chacune de ces techniques. Il s’agit des techniques d’interception des correspondances, notamment par dispositifs mobiles
de proximité (« IMSI catcher » (6)), de réquisition des données de connexion et de localisation, de sonorisation, de captation d’images, de captation de données informatiques, de localisation en temps réel par dispositif de « balises », de recueil
de données de connexion en temps réel, et de surveillance/détection algorithmique
sur les réseaux (à seule fin de prévention du terrorisme) (7).
Le texte définit ensuite les procédures applicables tant aux autorisations de mise
en oeuvre qu’à leur exploitation, et renforce les garanties en installant une nouvelle autorité indépendante de contrôle – la Commission nationale de contrôle des techniques de renseignement (CNCTR) – aux prérogatives élargies (8) et en instaurant un contrôle juridictionnel devant une formation spécialisée du Conseil d’Etat.

Responsabilité du Premier ministre
Toute mise en oeuvre d’une mesure de recueil de renseignement par un service doit être autorisée par le Premier ministre (9). Ses autorisations sont délivrées sur demande écrite et motivée des ministres de tutelle des services (10) et après avis de la CNCTR (sauf cas d’urgence absolue) lorsqu’elles concernent le territoire national. Les mesures de surveillance internationale (communications émises ou reçues à l’étranger) font l’objet d’un régime d’autorisation distinct. Lorsqu’elle ne suit pas un avis défavorable rendu par la CNCTR, l’autorisation doit en indiquer les motifs. Le Premier ministre tient un registre des demandes et des autorisations. Il assure également la traçabilité de la mise en oeuvre des mesures autorisées, ainsi que la conformité de la centralisation,
de l’exploitation, de la conservation et de la destruction des renseignements collectés.

Contrôles : CNCTR et Conseil d’Etat
Le projet renforce les garanties en conférant à l’autorité indépendante de contrôle,
la nouvelle CNCTR, une composition et des prérogatives élargies. La CNCTR sera composée d’au moins neuf membres : deux députés et deux sénateurs, deux membres du Conseil d’Etat et deux magistrats hors hiérarchie de la Cour de cassation élus par leurs assemblées respectives, et une personnalité qualifiée en matière de communications électroniques nommée sur proposition du président de l’Autorité de régulation des communications électroniques et des postes (Arcep) (11). Le président de la CNCTR est nommé parmi les membres du Conseil d’Etat et les magistrats de la Cour de cassation élus.
L’autorité indépendante de contrôle est composée de deux formations : une plénière et une restreinte. Ses travaux sont couverts par le secret de la Défense nationale. Elle a pour mission de veiller à la conformité de la mise en oeuvre des techniques de recueil de renseignement sur le territoire national. Elle interviendra également dans le contrôle des mesures de surveillance internationale, dans des conditions précisées par décret. Elle exerce cette mission en amont, par avis sur les demandes d’autorisation et par contrôle du respect de la procédure de délivrance, et en aval, par contrôle de la mise
en oeuvre et de l’exploitation, avec plein accès (garanti notamment par la création d’un délit d’entrave) à l’ensemble des données et endroits nécessaires.
Les avis sont rendus par le président ou l’un des autres membres de la formation restreinte, en formation restreinte ou plénière pour toute question nouvelle ou sérieuse, et obligatoirement en formation plénière lorsque la demande vise un parlementaire, un magistrat, un avocat ou un journaliste. La CNCTR peut être saisie de réclamation par toute personne souhaitant vérifier qu’aucune technique suspectée n’est irrégulièrement mise en oeuvre à son égard. Elle procède aux vérifications nécessaires et notifie à l’auteur de la réclamation qu’il y a été procédé, sans confirmer ni infirmer la mise en oeuvre de la technique. Elle peut également être saisie par tout agent des services
qui aurait connaissance, dans l’exercice de ses fonctions, de faits susceptibles de constituer une violation manifeste du cadre légal (ce droit/devoir de signalement des agents faisant l’objet d’une protection expresse), avec devoir de saisir le procureur de la République si elle estime que l’illégalité est susceptible de constituer une infraction. En cas de manquement estimé dans la délivrance d’une autorisation de mise en oeuvre d’une technique, dans la mise en oeuvre d’une technique autorisée ou dans la collecte, la transcription, l’extraction, la conservation ou la destruction des renseignements collectés, la CNCTR adresse au Premier ministre, au ministre responsable et au service concerné une recommandation tendant à l’interruption de la mise en oeuvre de la technique en cause et/ou à la destruction des renseignements collectés. Elle peut
saisir le Conseil d’Etat si le Premier ministre ne donne pas suite à ses avis ou recommandations. Elle rend un rapport annuel circonstancié de son activité. Le projet renforce de plus fort les garanties, ensuite, en instaurant ainsi devant une formation spécialisée du Conseil d’Etat la possibilité d’un contentieux sur la mise en oeuvre des techniques de renseignement soumises à autorisation et des fichiers intéressant la sûreté de l’Etat. La procédure et le contradictoire sont adaptés aux exigences du secret de la Défense nationale.
Les recours sur la mise en en oeuvre des techniques sont ouverts à la CNCTR ainsi qu’à toute personne souhaitant vérifier qu’aucune technique suspectée n’est irrégulièrement mise en oeuvre à son égard et justifiant (hors requête en référé) réclamation préalable auprès de la CNCTR. Le Conseil d’Etat peut également être
saisi à titre préjudiciel par une juridiction administrative ou une autorité judiciaire
saisie d’une procédure ou d’un litige dont la solution dépend de l’examen de
la régularité d’une technique de recueil de renseignement.

L’Etat peut être condamné
Lorsque le Conseil d’Etat constate qu’une technique de recueil de renseignement est ou a été mise en oeuvre illégalement ou que des renseignements ont été conservés illégalement, elle peut annuler l’autorisation de mise en oeuvre et ordonner la destruction des renseignements collectés. Elle en informe alors le requérant ou la juridiction de renvoi et peut condamner l’Etat à indemniser le préjudice subi. Elle avise le procureur de la République si elle estime que l’illégalité constatée est susceptible de constituer une infraction. Le projet ne semble pas envisager un accès aux réclamations devant la CNCTR et aux recours devant le Conseil d’Etat au profit des opérateurs de communications électroniques et des fournisseurs de services en ligne concernés par les techniques mises en œuvres sur le territoire national, ce qu’il aurait pu prévoir dans le cadre de leur régime de responsabilité propre au titre de ce dispositif. @