Le projet de loi sur le renseignement présenté jeudi 19 mars en conseil des ministres (voir ci-dessous) n’est pas moins que le troisième texte majeur de lutte contre le terrorisme depuis l’arrivée au pouvoir de François Hollande. Chaque année, au prétexte de « l’urgence » et sous la pression d’une menace terroriste imminente, la majorité a adopté un texte sécuritaire, au point que ce nouveau projet de loi est présenté alors même que les précédents n’ont pas encore été pleinement appliqués.
Le décret d’application d’une des principales dispositions de la loi de programmation militaire (LPM) de décembre 2013, qui accroissait déjà les pouvoirs des services de renseignement, a seulement été publié en fin d’année dernière. Deux mois plus tôt, en novembre 2014, le parlement adoptait la loi antiterroriste, destinée à lutter contre la menace djihadiste, et dont l’une des principales mesures, le blocage de certains sites internet, vient seulement d’être appliquée. Après les attaques de Paris, le gouvernement a décidé d’accélérer cette réforme devenue quasi permanente avec le projet de loi renseignement qui sera, lui aussi, examiné en urgence par le Parlement, à partir du 13 avril selon nos informations.
L’objectif est cette fois encore plus ambitieux que les précédents. Il s’agit de donner les moyens aux services de renseignement de lutter efficacement contre les djihadistes, notamment sur Internet, et de dépoussiérer la législation pour l’adapter aux nouvelles menaces. L’un des arguments avancés, comme lors de l’examen de la LPM, est de « légaliser » certaines pratiques déjà appliquées, ou plus exactement d'« offrir un cadre légal général à des activités (…) susceptibles de porter atteinte à la vie privée et au respect des correspondances ». Au prétexte d’accorder certaines garanties, le texte évite au passage de s’interroger sur l’opportunité de les légaliser. Pour Jean-Jacques Urvoas, député PS président de la commission des lois, rapporteur et l'un des artisans du texte, le renseignement ne doit plus être vécu comme une surveillance, un danger pour les citoyens, mais comme « une politique publique du renseignement ».
Les techniques jusqu’ici illégales sont désormais qualifiées de « techniques spéciales ». Le texte dresse une liste limitative des cas dans lesquels les agents auront le droit d’y recourir. Elle inclut la « défense nationale, les intérêts de politiques étrangères, les intérêts économiques ou scientifiques majeurs », « la prévention du terrorisme, de la prolifération des armes de destruction massive ainsi que des violences collectives pouvant porter gravement atteinte à la paix publique ». Elles seront ouvertes au ministère de l’intérieur mais également à ceux de l’économie et du budget. Les autorisations seront, elles, délivrées par le premier ministre pour une durée de « quatre mois renouvelables ».
Le titre V du projet de loi « définit les techniques spécialisées de recueil de renseignement ». Outre les « accès aux données de connexion », les agents auront le droit de recourir à des « interceptions de sécurité », c’est-à-dire une capture du contenu des communications dès lors que celles-ci sont en lien direct avec l’enquête. Le texte autorise également le « recours à des appareils enregistrant les paroles et les images de personnes ou à des logiciels captant les données informatiques ». Il s’agit, d’un côté des caméras et enregistreurs, et de l’autre des logiciels espions, type « keylogger », permettant par exemple d’enregistrer en temps réel tout ce qu’une personne tape sur son clavier.
Enfin, des « agents spécialement habilités » auront l’autorisation de « s’introduire dans un véhicule, un lieu privé ou un système automatisé de traitement de données (…) aux seules fins de poser, mettre en œuvre ou retirer les dispositifs de captation ». Ces opérations ne pourront être menées qu’à certaines conditions. Notamment, « il ne pourra y être procédé que si aucun autre moyen n’est possible pour obtenir le renseignement recherché ». Parmi les autres gadgets légalisés, figurent également les balises « permettant de localiser en temps réel un véhicule ou un objet » ou encore les « dispositifs mobiles de proximité », tels que les IMSI Catcher, des appareils permettant d’aspirer toutes les données de téléphones ou d’ordinateurs situés à proximité.
Du côté des garanties, le projet de loi prévoit que « les renseignements recueillis doivent être détruits au terme d’une durée de douze mois à compter de leur recueil ». Cette durée pourra être « réduite à un mois s’il s’agit d’interceptions de sécurité, ou portée à cinq ans, s’il s’agit de données de connexion ». De plus, si les données sont chiffrées, « la durée peut être pour les seuls besoins de l’analyse technique du chiffrement ». Les données et leurs exploitations devront ensuite être détruites « lorsqu’elles ne sont plus indispensables ».
Le gouvernement s’engage également à renforcer le dispositif de contrôle en créant une nouvelle autorité administrative indépendante, la Commission nationale de contrôle des techniques de renseignement (CNCTR), qui remplacera à terme l’actuelle Commission nationale de contrôle des interceptions de sécurité (CNCIS). La CNCTR sera renforcée, et chargée de nouvelles missions. Elle devra notamment vérifier la proportionnalité des moyens et émettre un avis, favorable ou défavorable, ou encore sera consultée en cas de réforme réglementaire. Pour cela, le gouvernement promet des moyens renforcés et une composition passant de trois à neuf membres : quatre magistrats, quatre parlementaires et un expert en télécoms nommés par l’Arcep, le régulateur des télécoms. Mais les services auront également la possibilité de contourner ce contrôle a priori. « En cas d’urgence liée à une menace imminente ou à un risque très élevé de ne pas pouvoir effectuer l’opération ultérieurement, le dispositif peut être mis en œuvre immédiatement », prévoit le texte. Dans ce cas, la CNCTR et le premier ministre devront être informés « sans délai » et ce dernier pourra « ordonner sa cessation immédiate ».
Le projet de loi introduit la possibilité pour les citoyens de saisir la justice. Si une personne parvient à savoir qu'elle est sous surveillance, par exemple si elle découvre un dispositif de géolocalisation dans sa voiture, elle aura la possibilité de saisir le Conseil d’État qui, au terme d'une procédure d'exception afin de préserver certaines informations classées, pourra faire cesser la surveillance, accorder des indemnités et éventuellement transmettre le dossier au parquet en cas d'infraction pénale.
Mais c’est au niveau de la surveillance d’Internet que le projet de loi comporte les dispositions les plus problématiques. Dans la cible du gouvernement, se trouvent une nouvelle fois les « données de connexion », ou « métadonnées », c’est-à-dire toutes les informations qui caractérisent un fichier quel qu’il soit, en dehors de son contenu. Pour une conversation téléphonique par exemple, il s’agit des fameuses « fadettes » permettant de savoir qui a appelé qui, à quelle heure, combien de temps… Mais avec l’essor d’Internet et des communications électroniques, ces « métadonnées » dont devenues de véritables mouchards de votre vie numérique : quels sites et pages vous visitez, avec qui vous communiquez, par mail ou sur les réseaux sociaux, vos « amis », « followers », « likes »… chaque action sur Internet émet des métadonnées dont sont particulièrement friands les services de renseignement car elles permettent, après croisement, d’obtenir un véritable portrait de la personne surveillée.
La collecte de ces « données de connexion » était à l’origine réglementée par une loi de 1991 mais, en janvier 2006, la loi de lutte contre le terrorisme avait déjà donné la possibilité aux services antiterroristes de consulter les « données de trafic », que les professionnels ont l’obligation de conserver durant un an, sur simple avis d’une personnalité qualifiée « placée auprès du ministre de l’intérieur », le contrôle de la CNCIS ne s’effectuant plus qu’a posteriori. Ces dispositions étaient censées n’être que temporaires. Mais au prétexte de fusionner les dispositifs prévus par les lois de 91 et de 2006, la LPM avait étendu les cas permettant de demander la transmission des communications informatiques et de leurs métadonnées. Outre la prévention du terrorisme, étaient désormais concernées les recherches liées à « la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France (…), de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous ». De plus, la possibilité de demander la collecte de données avait été étendue au ministère de l’économie et toutes ses administrations, comme Tracfin ou les douanes. Encore plus inquiétant, la loi permettait d'obliger les hébergeurs et les fournisseurs d’accès à délivrer les données « en temps réel » et sur « sollicitation du réseau ». Une formulation particulièrement vague, qui laissait craindre un dispositif de collecte des données branché directement sur les réseaux.
Cette crainte est désormais une réalité dans le projet de loi renseignement. Celui-ci permet en effet le « recueil immédiat, sur les réseaux des opérateurs », des données de connexion dans le cadre de la prévention du terrorisme. Le premier ministre pourra également, toujours dans le même cadre, « ordonner aux opérateurs de communications électroniques et aux fournisseurs de services de détecter, par un traitement automatique, une succession suspecte de données de connexion », à la condition que l’anonymat des suspects « ne soit levé qu’en cas de révélation d’une menace terroriste ». Concrètement, le ministère de l’intérieur entend créer des algorithmes permettant, en fonction de certains critères tenus secrets, de déceler les candidats au djihad. Ces algorithmes prédictifs, que certains jugent déjà dignes du roman Minority Report de Philip K. Dick, seraient directement implémentés dans les réseaux des sites, plateformes et fournisseurs de services. La CNCTR sera chargée de contrôler leur code source.
Le ministère de l’intérieur insiste sur le fait que cette surveillance n’a pas pour but de « prédire » des délits, mais bien de limiter la surveillance à quelques cibles bien déterminées et à des comportements bien connus par les services. Le ministère de l’intérieur souligne également que ce dispositif ne sera appliqué qu’à quelques cas de suspects. Il ne s’agit pas, assure-t-on, d’un algorithme destiné à surveiller l’ensemble des internautes mais d’identifier certains comportements bien précis repérés lors des enquêtes des services. De plus, il souligne avoir, au passage, réintroduit pour les données de connexion le contrôle a priori de la CNCTR. Enfin, le ministère de l’intérieur assure que les métadonnées collectées qui ne concerneraient pas l’enquête seront détruites au moment de leur exploitation.
Il n’en reste pas moins que ce système de surveillance opérera dans la plus grande opacité. Les entreprises chargées de surveiller leurs utilisateurs se verront imposer le secret de la défense nationale. De plus, leurs locaux pourront faire l’objet de visites de contrôle de la part d’agents de la CNCTR.
L’un des nœuds du problème dans ce débat est le statut des métadonnées. De nombreux experts, mais également les journalistes ayant étudié les documents fournis par Edward Snowden tels que Glenn Greenwald, soulignent régulièrement le caractère intrusif de ces données et l’appétence toute particulière des services de renseignement pour ce type de surveillance. Celle-ci est en effet automatisée et son exploitation demande beaucoup moins de moyens que l’interception de contenus qu’il faut ensuite analyser. Lors d’une audition, au mois de novembre dernier, par la Commission de réflexion sur le droit et les libertés à l’âge du numérique de l’Assemblée nationale, le président de la CNCIS, Jean-Marie Delarue, avait lui-même fait part des dérives qu’il avait pu constater dans la collecte des métadonnées. « Je suis personnellement persuadé que la saisie répétitive et portant sur des domaines étendus de métadonnées révèle autant en matière de contenant que la saisine de certains contenus », avait-il déclaré. « Elle révèle d’autant plus que, bien entendu, ceux qui pensent être l’objet d’interceptions de sécurité sont en général discrets dans leurs propos. La saisine de contenant parle beaucoup plus que ce qu’ils peuvent dire au téléphone. »
Jusqu’à présent, le gouvernement balaye de la main ces arguments et s’obstine à considérer les métadonnées uniquement comme des données techniques ne bénéficiant pas de la même protection. Ainsi, dans le projet de loi renseignement, leur durée de conservation est portée à cinq ans, contre un mois pour les écoutes et un an pour les autres types de contenu. Dans un rapport relatif à l’activité de la délégation parlementaire au renseignement, remis au mois de décembre 2014, Jean-Jacques Urvoas avait indirectement répondu au président de la CNCIS. « Dans tous les cas, ces documents et informations ne portent que sur les données techniques de connexion », écrivait-il. « À l’inverse de ce qui peut-être abondamment répété, le caractère intrusif s’avère donc limité puisqu’une facture détaillée révèle moins d’un individu que le contenu de ses conversations », martelait Jean-Jacques Urvoas, renvoyant, en note de bas de page, à un article de Mediapart qui relayait les critiques de Jean-Marie Delarue.
Malgré les dénégations du gouvernement, et de réelles avancées potentielles en matière de contrôle, ce nouveau dispositif dessiné touche par touche au fil des lois n’est pas sans rappeler le "Patriot Act", adopté en octobre 2001 aux États-Unis, comme le fait remarquer le Washington Post, et les dérives dénoncées par Edward Snowden. Les services français ne risquent-ils pas de se trouver en position de mettre en place une surveillance de masse des internautes, avec la complicité forcée des acteurs du Net ? Le projet de loi a, en tout cas, d'ores et déjà suscité une vague de réactions en ce sens.
La CNIL notamment, dans un avis publié jeudi, s’inquiète de « mesures de surveillance beaucoup plus larges et intrusives » qu’actuellement. Concernant les nouveaux pouvoirs accordés aux services, la commission affirme ne pas avoir « d’opposition de principe ». Elle se félicite même de la légalisation de certaines pratiques « qui, pour certaines, échappaient à tout contrôle » et qui désormais seront soumises à un « contrôle administratif et juridictionnel ».
Mais c’est sur les dispositions visant Internet, et plus particulièrement la captation massive de données, que la CNIL tire la sonnette d’alarme. Les nouveaux pouvoirs accordés aux services auront des « conséquences particulièrement graves sur la protection de la vie privée et des données personnelles », avertit-elle. « Il ne s’agit plus seulement d’accéder aux données utiles concernant une personne identifiée, mais de permettre de collecter de manière indifférenciée un volume important de données qui peuvent être relatives à des personnes tout à fait étrangères à la mission de renseignement. »
Le gendarme des données personnelles demande à ce que le « périmètre » des données collectées soit « clarifié » et s’inquiète plus particulièrement des projets visant à collecter les informations directement chez les opérateurs. « Les garanties prévues pour préserver les droits et libertés ne sont pas suffisantes pour justifier une telle ingérence », affirme la CNIL. Concernant les « IMSI catcher », la commission souligne qu’un « tel dispositif permettra de collecter de manière systématique et automatique des données relatives à des personnes pouvant n’avoir aucun lien ou un lien purement géographique avec l’individu effectivement surveillé ».
Enfin, la CNIL s’inquiète du sort réservé aux données collectées, et notamment de la manière dont seront conservés les fichiers ainsi créés. Elle propose même que la loi lui confie une mission de contrôle des données stockées, « une garantie supplémentaire essentielle », estime-t-elle.
Le Conseil national du numérique (CNNum) a, lui, publié un communiqué dans lequel il s’inquiète « d’une extension significative du périmètre de la surveillance », notamment à la « prévention des violences collectives » ou encore à « la défense des intérêts de la politique étrangère », « deux champs dont les contours flous ne permettent pas de définir avec rigueur le champ d’intervention légal du renseignement ». « De plus, le Conseil est préoccupé par l’introduction de nouvelles techniques de renseignement, dont certaines peuvent confiner à une forme de surveillance de masse. C’est le cas, par exemple, du dispositif de traitement automatisé ». Plus globalement, « le Conseil s’inquiète de la tendance à l’accumulation de dispositions législatives visant à une surveillance accrue des citoyens sur Internet ».
Interrogé par L’Express, le juge antiterroriste Trévidic a lui aussi fait part de ses craintes. « Ces pouvoirs exorbitants se feront sans contrôle judicaire », rappelle-t-il. « Ne mentons pas aux Français en présentant ce projet comme une loi antiterroriste. Il ouvre la voie à la généralisation de méthodes intrusives, hors du contrôle des juges judicaires, pourtant garants des libertés individuelles dans notre pays. »
Il n’en demeure pas moins que cette nouvelle réforme de la surveillance risque de passer, comme les précédentes, à la quasi-unanimité. Seuls quelques points pourraient être amendés. Il s’agirait notamment, selon nos informations, de la protection de certaines professions, un point sur lequel le gouvernement attend les propositions des parlementaires. La demande de la CNIL de pouvoir exercer un contrôle sur le stockage des fichiers a, elle, de fortes chances de rester lettre morte. En dehors de ces quelques points, l’union nationale devrait encore primer.
« Nous voterons cette loi, pas de polémique », a déjà annoncé Nicolas Sarkozy le 17 mars sur TF1, à la condition que celle-ci ne soit « pas dénaturée dans le cadre du débat parlementaire ». Frédéric Péchenard, directeur général de l’UMP et ancien patron de la police, a de son côté salué un projet « équilibré et cohérent », un texte « très intéressant », même s’il « arrive un peu tard ».
Le député PS, Christian Paul, membre de la commission sur les libertés numériques, se dit « sur le principe, favorable à une loi sur le renseignement ». « Tout d’abord, on sait bien qu’aujourd’hui les terroristes et le crime organisé utilisent les différents réseaux. Et quand une menace évolue, cela ne me choque pas que la loi évolue », explique-t-il. « Ensuite, et parallèlement, les services de renseignement disposent de technologies aux capacités intrusives de plus en plus inquiétantes. Il faut donc qu’il y ait une loi pour encadrer ces pratiques et ne pas se retrouver dans une jungle des données dans laquelle les services pourraient se servir. »
« Mais cette loi doit donc être une loi pour encadrer », prévient-il. « Si l’idée est de donner un cadre légal à certaines pratiques, il faudrait déjà s’interroger sur ce qui doit être légal ou non et ne pas forcément tout autoriser. Et pour cela, il va falloir, durant les débats, entrer véritablement dans la pratique, dans "l’état de l’art" du renseignement. Il faudra également être vigilant à ne pas tomber dans une surveillance généralisée de type NSA. La fameuse "boîte noire" évoquée par la presse par exemple pose question », poursuit-il. « Enfin, et c’est un point important de ce texte, il faudra être très vigilant sur la nature des autorités de contrôle. Il faudra s’assurer qu’elles ne se résument pas à un simple système d’enregistrement », prévient Christian Paul.
En attendant l’adoption très probable de ce texte, le ministère de l’intérieur songe déjà aux prochaines mesures. Et la prochaine cible pourrait bien être le chiffrement, considéré par de nombreux internautes comme un pilier de la vie privée sur les réseaux. Le projet de loi renseignement prévoit déjà que le délai de conservation des données chiffrées ne court qu’à partir du moment où elles ont été déchiffrées. Ce qui permet en théorie de les conserver ad vitam, si les services techniques ne parviennent pas à briser le chiffrement. Mais le gouvernement envisage d’aller plus loin et réfléchit, selon nos informations, à la possibilité d’exiger des acteurs d’Internet que soient remises aux autorités les « clefs » de chiffrement permettant de décrypter les informations protégées.
A lire aussi sur le blog de Tuxicoman : Aide à une noob par reverse SSH