L’annonce, dimanche 19 avril, par François Hollande de la saisine du Conseil constitutionnel du controversé projet de loi renseignement était pour le moins inattendue. Un mois jour pour jour après la présentation du texte en conseil des ministres, le président de la République s’était jusqu’à présent plutôt fait remarquer par son absence dans le vif débat opposant partisans et opposants de cette réforme.
« Pour que vous soyez bien convaincus que cette loi ne mettra pas, en aucune façon, en cause les libertés, je vais saisir, au terme de la discussion parlementaire, le Conseil constitutionnel », a annoncé le chef de l’Etat sur le plateau du Supplément de Canal+. « Et le Conseil constitutionnel pourra regarder lui aussi en fonction du droit si ce texte ou certaines de ses dispositions sont bien conformes à la Constitution – donc cette garantie sera également apportée », a-t-il affirmé.
L’examen, la semaine dernière, par les députés du projet de loi renseignement s’annonçait pourtant sans grande difficulté pour le gouvernement. Surfant sur l’émotion suscitée par les attentats de Paris de janvier 2015, l’exécutif pouvait espérer la même unité qui avait prévalu sur ses deux précédentes lois sécuritaires, la loi de programmation militaire (LPM) de décembre 2013 et la loi antiterroriste de novembre dernier. Le projet de loi était d’ailleurs passé sans encombre, au début du mois d’avril, par la commission des lois de l’assemblée. Sous la houlette de son président, artisan et rapporteur du texte, Jean-Jacques Urvoas, celle-ci avait même sensiblement durci un certain nombre de mesures, rejetant systématiquement les amendements des quelques opposants.
A l’ouverture des débats en séance publique, le lundi 13 avril, Manuel Valls et ses ministres de l’intérieur, Bernard Cazeneuve, de la justice, Christian Taubira, et de la défense, Jean-Yves Le Drian, étaient descendus dans l’hémicycle pour défendre cette nouvelle réforme et réaffirmer ses grands principes : légaliser un certain nombre de pratiques des services de renseignement, offrir à ces derniers de nouveaux outils pour détecter de nouvelles menaces, en échange d’un renforcement des moyens de contrôle et des recours avec notamment la création d’une nouvelle autorité administrative, la Commission nationale de contrôle des techniques de renseignement (CNCTR) censée remplacer l’actuelle Commission nationale de contrôle des interceptions de sécurité (CNCIS).
Mais finalement les débats ont un peu agité l'hémicycle. Certes, le texte n’a été que superficiellement amendé, et parfois même durci sur quelques points. Et, si la poignée de députés opposés au projet de loi ont vu la quasi-totalité de leurs amendements rejetés et ont eu du mal à se faire entendre, ils ont pu compter sur une mobilisation impressionnante de la société civile : ONG, mais également syndicats professionnels, acteurs économiques et, plus gênant pour la majorité, la totalité des autorités administratives indépendantes concernées par cette réforme.
Il est tout d’abord reproché au texte de trop élargir les « finalités » du renseignement, c’est-à-dire les cas autorisant un service à placer une personne sous surveillance. En introduisant des finalités telles que « la prévention des atteintes à la forme républicaine des institutions » ou « des violences collectives de nature à porter atteinte à la sécurité nationale », ce texte risquerait d’autoriser la mise sous surveillance de certains mouvements sociaux. Concernant les « gadgets » mis à la disposition des agents, certains s’inquiètent que cette légalisation ne conduise à une collecte indiscriminée, notamment dans le cas du IMSI-catcher, un dispositif permettant d’intercepter les conversations transitant par les téléphones mobiles à proximité.
Mais c’est concernant internet, plus particulièrement visé par le projet de loi, que les craintes sont les plus grandes. Le projet de loi renseignement renforce tout d’abord la possibilité de collecter, en temps réel chez les opérateurs, les « données de connexion » des internautes, c’est-à-dire les métadonnées des utilisateurs, toutes les données les concernant, à l’exception des contenus des conversations. Le texte prévoit également la possibilité d’installer, directement sur les réseaux des hébergeurs ou fournisseurs de services, des algorithmes permettant de détecter, en fonction d’un certain nombre de critères prédéfinis, des comportements suspects. En surveillant la masse de métadonnées d’un site ou d’une plateforme, cette « boîte noire », comme l’ont surnommée ses opposants, serait capable de prédire et prévenir d’éventuels passage à l’acte. Au risque de sombrer dans une surveillance de masse permanente des comportements des internautes.
Ces arguments, portés par les ONG mais également par la Commission informatique et libertés (Cnil), le Conseil national du numérique (CNnum), la CNCIS ou encore par la Commission consultative des droits de l’homme (CNCDH), ont donné du grain à moudre aux opposants dans l’hémicycle. Durant les débats, quelques députés, comme l’UMP Laure de La Raudière, l’écologiste Sergio Coronado, le socialiste Pouria Amirshahi ou encore Isabelle Attard de Nouvelle Donne, ont même par moment réussi à mettre en difficulté le gouvernement ou Jean-Jacques Urvoas.
« La vie privée est un autre sujet : il ne s’agit pas des libertés individuelles », a ainsi lâché mardi 14 avril le ministre de l’intérieur, interrogé sur la légalité de son texte avec l’article 66 de la Constitution qui stipule que toute atteinte aux libertés individuelles doit être validée par un juge judiciaire. « Il n’y a aucune disposition dans ce texte de loi, aucune, qui soit attentatoire aux libertés, qui remette en cause la liberté d’aller et venir, qui remette en cause les libertés individuelles, aucune, aucune, aucune… », a-t-il martelé « Si vous voyez un article de ce texte de loi qui remette en cause les libertés, vous me dites où il se situe. En revanche, il y a des dispositions qui peuvent être considérées comme remettant en cause la vie privée et le droit à la vie privée. »
Deux jours plus tard, la présidente de la Cnil, Isabelle Falque Pierrotin, répondait elle-même au ministre de l’intérieur. « Je ne partage pas la position de Bernard Cazeneuve », a-t-elle affirmé. « La protection de la vie privée est un droit fondamental. C’est à ce titre qu’elle doit être maintenue, même s’il faut renforcer les moyens de contrôle des personnes. »
Le lendemain soir, le ministre s'emporte même face à Isabelle Attard qui l’interrogeait sur la « boîte noire », citant un article de Rue89 dans lequel des experts jugaient ce dispositif « coûteux, intrusif et inefficace ». « On peut répéter à l’envi des choses fausses, considérer, Mme Attard, que si c’est écrit dans le journal c’est que c’est vrai », a lancé le ministre. « Mais moi, à l’école, on m’a appris à ne pas croire ce qu’il y a dans les journaux ni dans les livres, et d’essayer de considérer que l’exercice de l’esprit critique et de la libre conscience est beaucoup plus puissant que de gober béatement et benoitement ce qu’il y a dans les articles de presse »
Bernard Cazeneuve s’en est également pris à un autre article, cette fois-ci du Monde, avant d’être lui-même démenti par François Hollande lors de son intervention de dimanche. Le lundi 11 avril, le quotidien revenait en effet sur la mystérieuse « PNCD », pour « plateforme nationale de cryptage et de décryptement », un service à l’origine dépendant du renseignement extérieur (DGSE). L’existence de ce service, ou tout du moins d’un service chargé du déchiffrement des messages, est connue depuis plusieurs années. Mais, selon le Monde, cette PNCD a vu ces dernières années ses prérogatives et ses moyens considérablement augmentés et ouverts à d’autres services. Ainsi, la plateforme aurait « pris une place exorbitante au sein de l’organisation du renseignement » et serait devenue « un système complexe et occulte de recueil massif et de stockage de données personnelles et étrangères et françaises dans lequel les services de renseignement français puisent à leur guise et sans aucun contrôle autre que leur propre hiérarchie ».
Interrogé sur ces révélations à l’Assemblée, Bernard Cazeneuve avait « démenti le contenu de l’article du Monde » mais sans directement évoquer l’existence de la PCND : « Si les pratiques décrites dans cet article existaient, elles engageraient notre propre responsabilité : en tant que ministres de la République, nous serions complices et comptables de ces agissements. Mais ces pratiques n’existent pas, tout simplement parce qu’elles ne sont pas conformes au droit, à la loi ».
Interrogé à son tour à l’Assemblée, son collègue de la défense, Jean-Yves le Drian avait été moins affirmatif. Le ministre avait bien confirmé l’existence de la PNCD, précisant même son nom exact, « Pôle national de cryptanalyse et de décryptement », et son année de création, 1999, mais en minimisant ses activités : « Il ne faut pas fantasmer exagérément sur le sujet », a-t-il affirmé. « Ce n’est pas une plate-forme et les informations données à ce sujet sont erronées. (…) Je le répète, ce n’est pas une plate-forme mais un outil qui existe déjà depuis un certain temps et qui est nécessaire pour bien maîtriser la surveillance des communications internationales. »
Mais, dimanche, François Hollande a tout simplement fait voler en éclat les précautions de ses ministres. Visiblement mal à l’aise sur ces questions, n’en maîtrisant peut-être pas tous les aspects techniques, le président a même évoqué l’existence d’un « algorithme ». « On a découvert un certain nombre de choses », a reconnu le chef de l’Etat, par exemple « des machines, ce que l’on appelle les algorithmes pour aller voir s’il n’y a pas des terroristes qui utilisent des communications cryptées ». « Ça existait et il n’y avait pas de loi pour le contrôler », a ajouté François Hollande pour justifier le projet de loi en cours.
Malgré ces débats plus vifs qu’attendu, le rapporteur du projet de loi renseignement Jean-Jacques Urvoas n’aura quasiment rien cédé face aux critiques de son texte, qu’elles proviennent des quelques députés opposés ou de son propre gouvernement.
Point central du projet, la liste des « finalités » du renseignement est restée inchangée. Les durées de conservation des données a été précisée en fonction de leur nature. Elle est de 6 mois à compter de leur collecte pour les correspondances et de 5 ans pour les données de connexion. Lorsque ces données sont chiffrées, le délai ne court qu’à compter de leur déchiffrement.
Les députés sont également revenus sur la « procédure d’urgence » permettant de mettre en place certaines techniques de surveillance en sans avis préalable de la CNCTR. La commission des lois avait fusionné deux types d’urgence, pour ne conserver qu’un type, permettant à un service de mettre lui-même en place un dispositif de surveillance sans attendre l’autorisation de la CNCTR et du premier ministre. Mais, a estimé un amendement du gouvernement défendu par Bernard Cazeneuve, « un tel régime d'urgence crée une confusion entre deux types d'urgence : l'urgence absolue, liée à l'impossibilité pour la commission de statuer dans le délai imparti ou à une impossibilité technique ; l'urgence opérationnelle liée à une menace imminente ou au risque très élevé de ne pouvoir effectuer l'opération ultérieurement ».
Désormais, un service ne pourra mettre en œuvre une technique de surveillance qu’en cas « d’urgence opérationnelle » avant d’en avertir le premier ministre et la CNCTR. En cas « d’urgence absolue », le service pourra se passer de l’avis a priori de la CNCTR mais devra tout de même demander l’autorisation du premier ministre. De plus, cette procédure d’urgence ne pourra pas être mise en œuvre lorsque « la technique de recueil du renseignement nécessite l’introduction dans un lieu privé à usage d’habitation ou porte sur un avocat, journaliste ou parlementaire ». « Dans ces cas, l’avis préalable de la commission est exigé ».
Un autre amendement déposé par le gouvernement renforce les protections pour un certain nombre de professions. Ainsi, lorsque les techniques de surveillances mises en œuvre « à l’encontre d’un magistrat, un avocat, un parlementaire, ou un journaliste ou concernent leurs véhicules, bureaux ou domiciles » qu’après une autorisation spéciale du premier ministre, après avis de la CNCTR. Celle-ci devra en outre recevoir une copie des données collectées afin de vérifier le « caractère nécessaire et proportionné des atteintes aux secrets attachés à l’exercice de ces activités professionnelles qui y sont le cas échéant portées ».
La CNCTR a quant à elle été renforcée, passant de 9 à 13 membres : 3 députés, 3 sénateurs, 3 magistrats du conseil d’Etat, 3 magistrats de la cour de cassation et un représentant de l’Arcep, l’agence de régulation des télécommunications. Un amendement stipule en outre que cette composition devra respecter la parité hommes/femmes.
Véritable maître d’œuvre du texte, le président de la commission des lois a même fait rejeter, un amendement défendu par Christiane Taubira et soutenu par le gouvernement portant sur le rôle des services pénitentiaires. La ministre de la justice souhaitait que ceux-ci soient écarté du projet de loi qui prévoit de leur offrir les même moyens que les services de renseignement. Selon elle, ces nouveaux pouvoirs ne feraient qu’embarrasser le personnel pénitentiaire en suscitant la défiance des détenus et le compliquant un travail quotidien. « Il ne peut être exigé d’une même administration qu’elle gère au quotidien des personnes et qu’elle mette en œuvre des techniques secrètes pour les surveiller », expliquait-elle dans l’exposé des motifs de son amendement. Mais Jean-Jacques Urvoas a décidé de passer outre l’avis du gouvernement et a fait rejeter l’amendement de Christiane Taubira par 68 voix contre et 18 pour grâce aux voix de la droite et d’une partie des députés PS.
Autre initiative de Jean-Jacques Urvoas, l’amendement 388 crée un statut pour les « lanceurs d’alerte » mais pour mieux l’encadrer et s’assurer qu’aucun Edward Snowden ne puisse voir le jour en France. Le texte prévoit bien qu’un agent ayant « relaté ou témoigné, de bonne foi » « de faits susceptibles de constituer une violation manifeste » de la loi ne pourra faire l’objet d’aucune sanction ou « mesure discriminatoire, directe ou indirecte, notamment en matière de rémunération, de traitement, de formation, de reclassement, d’affectation, de qualification, de classification, de promotion professionnelle, de mutation ou de renouvellement de contrat ». Mais, pour pouvoir bénéficier de cette immunité, l’agent en question devra obligatoirement « porter ces faits à la connaissance de la seule » CNCTR. Seule la Commission aura le pouvoir, si elle « estime que l’illégalité est susceptible de constater l’infraction », d’en aviser « le procureur de la République » et de transmettre « l’ensemble des éléments portés à sa connaissance à la Commission nationale consultative du secret de la défense nationale afin que celle-ci donne au Premier ministre son avis sur la possibilité de déclassifier tout ou partie de ces éléments en vue de leur transmission au procureur de la République. ». Concrètement, si Edward Snowden avait été français et soumis à cette législation, le fait d'avoir transmis des documents à des journalistes, et non à la CNCTR, l'aurait exclu du bénéfice de cet article et l'aurait donc exposé à d'eventuelles sanctions.
Un autre amendement de Jean-Jacques Urvoas adopté contre l’avis du gouvernement double, lui, les « sanctions pécuniaires applicables en cas de manœuvre frauduleuse à l’encontre d’un système de traitement automatisé de données et à les tripler lorsqu’il s’agit d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat ».
L’une des seules avancées sur le texte a été le fait des acteurs économiques. Le 9 avril, sept des principaux hébergeurs français avaient frappé un grand coup en menaçant tout simplement de délocaliser leurs activités si le texte était adopté en l’état. Quelques jours plus tard, ils étaient rejoints par de nombreux autres entreprises du web au sein de la pétition « Ni pigeons ni espions » (dont Mediapart est signataire). Dès le lendemain, la secrétaire d’Etat au numérique Axelle Lemaire annonçait l’organisation d’une réunion entre les acteurs du secteur et le ministre de l’économie Emmanuel Macron et Bernard Cazeneuve. A l’issue de trois heures de discussions, le ministère de l’intérieur annonçait le dépôt d’un amendement censé répondre à leurs inquiétudes.
La rustine proposée n’est que très superficielle. Elle ne concerne tout d’abord que l’algorithme prédictif que le gouvernement veut imposer chez les hébergeurs et fournisseurs de services afin de pouvoir détecter des futurs terroristes. L’amendement réaffirme le « principe de proportionnalité » des mesures de surveillance et exclut la pose des « boîtes noires » de la procédure d’urgence. Il prévoit également que ce sont les « exploitants de réseaux ou fournisseurs de services de télécommunications » eux-mêmes qui installeront ces dispositifs sur leurs réseaux, et non des agents des services. Selon le gouvernement, cette mesure doit permettre aux acteurs « de s’assurer par eux-mêmes que les données de contenu seront exclues de la mise en œuvre de ces traitements », en résumé que seules les données de connexion seront captées et non les contenus. Ce dernier point reste cependant hypothétique. Si les entreprises auront bien le droit d’installer elles-mêmes les boîtes noires, leur contenu, c’est-à-dire l’algorithme, restera lui bien secret.
Un amendement du gouvernement tente cependant de faire de cet algorithme un dispositif temporaire en insérant une « clause de rendez-vous fin 2018 », date à laquelle devra être menée « une évaluation (…) pour apprécier l’utilité de cet outil et son caractère proportionné au regard de l’atteinte aux libertés publiques ». « Le gouvernement remettra au Parlement un rapport au plus tard le 30 juin 2018, représentant une évaluation du dispositif avant qu’il n’arrive à expiration ».
Difficile de dire, en l’état des débats, quelle pourraient être les conclusions du conseil constitutionnel. La saisine présidentielle pouvant porter sur l’ensemble du texte, les motifs de censure pourraient être nombreux, d’autant plus que, comme le souligne la CNCDH dans son avis de 26 pages particulièrement sévères, le projet de loi renseignement semble également contestable au regard du droit européen. Il faudra en outre compter sur les éventuelles modifications qui pourront être apportées lors du passage du texte au Sénat, et sur la mobilisation toujours croissante des opposants.
A lire aussi sur le blog de Tuxicoman : Lettre à mon député sur le projet de loi sur le renseignement