Moins de six mois après sa nomination, le nouveau président de la Commission nationale de contrôle des interceptions de sécurité (CNCIS) Jean-Marie Delarue a dressé, jeudi 13 novembre, un état des lieux particulièrement inquiétant du dispositif de contrôle des écoutes dites « administratives ».
Le « dispositif actuel n’est pas satisfaisant », a-t-il affirmé à l’occasion de son audition par la Commission de réflexion sur le droit et les libertés à l’âge du numérique de l’Assemblée nationale. « Et le risque est grand de voir se développer de nouvelles approches plus ou moins intrusives sans dispositions législatives et donc sans les garanties qui entourent les interceptions de sécurité », a ajouté cet ancien contrôleur général des lieux de privation de liberté, nommé à la tête de la CNCIS au mois de juin dernier par François Hollande en remplacement de Hervé Pelletier, démissionnaire.
Jean-Marie Delarue © ReutersLes craintes de Jean-Marie Delarue ne portent pas tant sur l’activité historique de cette autorité administrative indépendante, mais composée de trois membres, un député nommé par le président de l’Assemblée, un sénateur nommé par le président du Sénat et son président, nommé par le chef de l’État. À l’origine, la CNCIS était en effet chargée de contrôler la légalité des demandes administratives d’écoutes téléphoniques, c’est-à-dire les demandes extrajudiciaires et transmises par les agences de renseignement aux services du premier ministre. Le nouveau président de la CNCIS a sur ce point défendu le travail de son institution et la « doctrine » issue de ses prédécesseurs. « Je n’ai aucun état d’âme sur l’application de ces précédents, de cette doctrine qui s’est forgée au fil des années. Je n’ai qu’un souci, c’est d’appliquer la loi, toute la loi dans le respect des libertés », a-t-il affirmé en assurant que « le contrôle est bien une réalité ».
En revanche, concernant les interceptions de données sur Internet, Jean-Marie Delarue est beaucoup plus sévère. Créée par la loi du 20 juillet 1991, à une époque où les « interceptions de sécurité » se limitaient principalement aux écoutes de lignes fixes, la CNCIS a dû s’adapter aux évolutions technologiques et aux nouvelles méthodes de surveillance des téléphones mobiles, puis d’Internet. Elle s’est aussi vue notamment confier la charge de vérifier la légalité de la collecte des « données de connexion », c’est-à-dire toutes les informations sur la manière dont un message ou une communication a été transmise. Durant les années 90, ces « données de connexion » se limitaient principalement aux numéros de téléphone, durée des communications, identités des personnes, et aux factures détaillées, les fameuses « fadettes ».
Mais, avec l’essor des communications électroniques, les « données de connexion » sont devenues une des cibles principales des agences de renseignement. Les fichiers numériques présentent en effet l’avantage d’être systématiquement équipés de « métadonnées », c’est-à-dire toutes ses données techniques que ce soit l’auteur, la date de création, la taille, la géolocalisation, les différentes modifications… Collectées de manière systématique, ces métadonnées sont souvent bien plus intrusives que la simple écoute de communications. De nombreux documents dévoilés par Edward Snowden ont d’ailleurs montré qu’elles faisaient l’objet de campagnes d’interception massives de la part de la NSA et de ses partenaires, parmi lesquels la France.
« Je suis personnellement persuadé que la saisie répétitive et portant sur des domaines étendus de métadonnées révèle autant en matière de contenant que la saisine de certains contenus », a témoigné Jean-Marie Delarue devant la commission. « Elle révèle d’autant plus que, bien entendu, ceux qui pensent être l’objet d’interceptions de sécurité sont en général discrets dans leurs propos. La saisine de contenant parle beaucoup plus que ce qu’ils peuvent dire au téléphone. »
Mais, au lieu de mieux les protéger, le législateur n’a eu de cesse que de renforcer les possibilités de collecte de ces métadonnées. Un premier coin dans le contrôle de la NCIS est enfoncé par la loi du 23 janvier 2006 relative à la lutte contre le terrorisme. Ce texte ouvre la possibilité aux services antiterroristes de consulter les « données de trafic », que les professionnels ont l’obligation de conserver durant un an, sur simple avis d’une personnalité qualifiée « placée auprès du ministre de l’intérieur », le contrôle de la NCIS s’effectuant plus qu’a posteriori. Présentée par le ministre de l’intérieur Nicolas Sarkozy, la loi de 2006 était censée n’être que temporaire, et comportait une clause de renouvellement de trois ans. Mais elle a été constamment renouvelée jusqu’en fin d’année 2013, quand le gouvernement décide non seulement de pérenniser ce dispositif d’exemption, mais également de l’étendre et de le renforcer.
Au prétexte de fusionner les dispositifs prévus par les lois de 91 et de 2006, l’article 20 de la loi de programmation militaire, adoptée le 18 décembre 2013, étend tout d’abord les cas permettant de demander la transmission des communications informatiques et de leurs métadonnées. Outre la prévention du terrorisme, sont désormais concernées les recherches liées à « la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France (…), de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous ». De plus, désormais, ce ne sont plus seulement les agences dépendant du ministère de la défense et de l’intérieur qui ont la possibilité de demander la collecte de données, mais également le ministère de l’économie et toutes ses administrations, comme Tracfin ou les douanes.
Encore plus inquiétant, la loi permet désormais d'obliger les hébergeurs et les fournisseurs d’accès à fournir les données « en temps réel » et sur « sollicitation du réseau ». Une formulation particulièrement vague, qui peut laisser craindre un dispositif de collecte des données branché directement sur les réseaux. Seule concession du législateur, le texte prévoit désormais que la personnalité qualifiée chargée de valider les demandes d’interception dépendra, à compter du 1er janvier prochain, du premier ministre.
Au mois de janvier 2014, quelques semaines après le vote de la loi de programmation militaire, la CNCIS s’était elle-même inquiétée, à l’occasion de la publication de son rapport annuel, des dangers liés à la charge de travail supplémentaire que représentait la loi de programmation militaire, dénonçant au passage son manque de moyens. « Dans ce contexte d’élargissement des compétences de la Commission, les baisses budgétaires annuelles sont de nature à remettre en cause partiellement la nature et la périodicité des contrôles », prévenait l’autorité qui précisait avoir déjà « dû reporter des visites de contrôle, faute de disposer de financement suffisant ». Son ancien président Hervé Pelletier y exprimait par ailleurs sa déception « de n’avoir à aucun moment été officiellement consulté lors de l’élaboration de ce projet de loi qui, pourtant, cite les travaux de la CNCIS dans son exposé des motifs ».
Outre les questions de moyens, son successeur estime surtout que les garde-fous prévus par la loi sont loin d’être suffisants. Le nouveau patron de la CNCIS regrette tout d’abord que son institution ait été dépossédée de son droit de regard prioritaire au profit de cette « personnalité qualifiée », « dont les qualités personnelles ne sont pas en doute mais sur l’indépendance de laquelle on peut légitimement s’interroger ». « Il a été reconnu en ce domaine le contrôle de la CNCIS », précise-t-il, « mais c’est un contrôle a posteriori et c’est la personnalité qui donne toutes les autorisations nécessaires. Je le regrette. »
Le président de la CNCIS souhaite que les métadonnées bénéficient de la même protection que les communications elles-mêmes, et appelle à réformer la loi dans ce sens. « On a justifié ces différences, entre les interceptions de sécurité et les métadonnées, et donc différences de procédure, en disant : les secondes sont moins intrusives que les premières. (…) Cette façon de considérer comme des degrés de moindre intrusion la saisie de métadonnées n’est pas pour moi un très bon calcul. Et par conséquent, les choses doivent évoluer sur ce point », a-t-il déclaré lors de son audition.
Le plus inquiétant dans les déclarations de Jean-Marie Delarue est qu’elles dessinent peut-être en creux les manquements qu’a pu constater une autorité à qui la loi de 91 impose le secret. « Il faut donner à toute espèce de contrôle des garanties d’indépendance et ces garanties pour moi n’existent pas dans toutes les procédures actuelles », a-t-il ainsi déclaré. « Donc, je pense (…) que l’évolution de la loi est nécessaire. »
C’est donc à une véritable réforme renforçant les droits des citoyens que le nouveau président du CNCIS appelle. Le « dispositif actuel n’est pas satisfaisant. Il n’est pas satisfaisant puisque l’équilibre qui était celui des années 90 est rompu, en ce sens que tous ces éléments ont évolué », a-t-il déclaré. « Notre société est plus sensible au besoin de sécurité (…). Les composantes de la menace se sont modifiées avec une dimension terroriste qui n’existait pas en 1991. La criminalité internationale a renforcé son efficacité si je puis dire. Et puis, comme on le sait, les moyens de communication, je n’ai pas besoin de vous l’apprendre, se sont considérablement développés », a poursuivi Jean-Marie Delarue. « Si les données changent, naturellement, (…) les services s’adaptent aussi. Et le risque est grand de voir se développer de nouvelles approches plus ou moins intrusives sans dispositions législatives et donc sans les garanties qui entourent les interceptions de sécurité. »
Cette réforme législative pourrait être menée à l’occasion du projet de loi sur le droit et les libertés numériques. Ce texte, promis par le gouvernement de Jean-Marc Ayrault dès 2013, est depuis devenu un véritable serpent de mer, constamment évoqué mais toujours repoussé. La commission devant laquelle s’exprimait Jean-Marie Delarue a justement été chargée de réfléchir au futur projet et devrait rendre ses propositions d’ici le printemps 2015. Beaucoup espèrent que cette loi sera l’occasion d’adoucir un peu un dispositif devenu particulièrement répressif en réaffirmant certaines libertés fondamentales, et en revenant éventuellement sur certaines mesures déjà votées pour les limiter.
Le nouveau président de la CNCIS a donc également livré ses propositions sur le futur texte. « La bonne approche sera celle qui fera que la loi portera sur les libertés individuelles nécessairement redites à cette occasion dans la dimension que les technologies doivent lui donner aujourd’hui », a-t-il notamment déclaré. « La loi doit poser clairement dans quelles conditions et pour quels motifs des atteintes à la liberté individuelle peuvent être conduites », a poursuivi Jean-Marie Delarue. « Les motifs doivent être au moins aussi précis que ceux qui existent aujourd’hui et je ne me contenterai pas d’un renvoi (…) aux intérêts fondamentaux de la nation. » La future réforme devra également réaffirmer « le principe de subsidiarité, c’est-à-dire qu’il ne peut être fait recours à des atteintes éventuelles aux libertés individuelles que si et seulement si aucun autre moyen n’est possible ».
Le patron de la CNCIS a également évoqué « les pratiques éventuellement illégales des services » qui « doivent cesser » en proposant « un renforcement du code pénal sur les éventuelles infractions ». De même, il a proposé de légiférer « sur des questions irrésolues, et notamment sur la question délicate de ce que peuvent faire des services dans des pays autres que la France ».
Concernant le contrôle des interceptions, Jean-Marie Delarue demande à ce que celui-ci « soit a priori comme a posteriori » et effectué par une unique « personne pour l’ensemble des services » et que celle-ci soit « indépendante du pouvoir ». Ce contrôleur devra bénéficier de « garanties » « pour qu’il puisse exercer un contrôle sur pièce et sur place sur les conditions de réalisation de saisine des données ». « Je souhaite que ce contrôle soit universel », a-t-il poursuivi. « Toutes les atteintes doivent lui être soumises, ou les éventuelles atteintes doivent lui être soumises. »
Enfin, le président de la commission a appelé à une meilleure séparation entre les différents intervenants lors du processus de mise sous surveillance. La future loi « doit définir des rôles distincts entre quatre éléments », a-t-il proposé : « les demandes des services », l’avis de l’autorité de contrôle, « la décision du politique au niveau le plus élevé » et enfin « l’exécution de ces atteintes par un service indépendant des services de renseignement et de police ».
BOITE NOIREMise en place au mois de février 2014 par la conférence des présidents de l'Assemblée nationale, la Commission de réflexion sur le droit et les libertés à l’âge du numérique de l’Assemblée nationale est composée de 13 députés et 13 "personnes qualifiées", dont Edwy Plenel, président de Mediapart.
Plusieurs de ses membres animent, dans le Club de Mediapart, une édition participative baptisée "Libres enfants du numérique" et rendant compte de ses travaux.
A lire aussi sur le blog de Tuxicoman : WebRTC est-il un framework peer to peer?