Edward Snowden a fini par gagner. En partie. Deux ans après que le jeune employé de la National Security Agency (NSA) a révélé au grand public l’étendue des programmes de surveillance des États-Unis, le Congrès américain a voté, mardi 2 juin 2015, une loi restreignant un peu l’étendue des pouvoirs des agences d’espionnage. Et ce au moment où la France s’engage dans la voie inverse du renforcement des méthodes de surveillance tous azimuts.
Le « Patriot Act » avait été voté en 2001 par les élus américains dans la foulée des attentats du 11-Septembre, et la crainte de ne pas être en mesure d’intercepter un projet d’attaque terroriste. La formulation sur la collecte de données était suffisamment vague pour permettre aux agences d’espionnage, et en particulier la NSA, de recueillir des documents à toutes les sources (courriers, courriels, fichiers de bibliothèque, recherches internet, coups de téléphone…). Mais ce que les Américains ne soupçonnaient pas, et que leur gouvernement n’avait jamais admis avant d’y être contraint par les révélations de Snowden, c’est que la NSA collectait les métadonnées de quasiment toutes les communications téléphoniques passées sur le sol des États-Unis (les numéros des appelants et des récipiendaires, l’horaire et la durée, mais pas le contenu). Ensuite, l’agence avait toute latitude pour fouiller dans ces milliards d’éléments bruts comme elle l’entendait, sans aucun contrôle judiciaire sérieux.
La nouvelle loi qui a été votée par le Congrès américain, et promulguée dans la foulée par la Maison Blanche, affublée d’un nom tout aussi orwellien que la précédente, « USA Freedom Act » (« la loi de la liberté américaine »), vise à encadrer davantage les activités de surveillance des agences d’espionnage sur le sol national. Plus spécifiquement, cette loi interdit désormais à la NSA de stocker les métadonnées des communications téléphoniques. Ce sont les opérateurs téléphoniques qui s’en chargent désormais et les espions ne peuvent y avoir accès que sur décision judiciaire. Par ailleurs, la Foreign Intelligence Surveillance Court (FISA), la cour de justice supervisant le recueil d’information sur des agents étrangers, devra désormais déclassifier certaines de ces décisions et des juristes extérieurs pourront plaider devant elle, mettant fin au secret absolu dans lequel elle opérait jusqu’ici.
© ReutersCette volte-face des élus américains, démocrates comme républicains, quatorze ans après le vote du « Patriot Act », vient du fait que la NSA a clairement outrepassé les intentions du législateur, agissant dans la plus grande opacité et en contradiction avec certains principes fondamentaux des libertés américaines. De plus, aucune agence d’espionnage n’a été en mesure de démontrer que cette collecte de données de grande ampleur avait permis d’éviter le moindre attentat terroriste.
Même si cette loi a été saluée par ses promoteurs comme « la plus importante réforme des activités de surveillance depuis une décennie », et par Snowden comme « un important pas dans la bonne direction », les compétences des agences d’espionnage américaines restent considérables, notamment en matière de surveillance d’internet et en dehors des frontières des États-Unis. C’est la raison pour laquelle un certain nombre d’élus, de gauche et de droite, ont averti que le « Freedom Act » n’était qu’un début. Ils envisagent désormais de restreindre l’autorisation de lire des emails vieux de plus de six mois et de permettre un contrôle plus encadré de la Foreign Intelligence Surveillance Court.
Tandis que les États-Unis semblent revenir de la logique sécuritaire qui s’était imposée après le 11-Septembre (2001), la France, elle, poursuit son chemin en sens inverse. Alors que le Sénat américain votait son « Freedom Act », leurs homologues français entamaient l’examen en séance publique du projet de loi renseignement, déjà adopté par l’Assemblée nationale.
Pour rappel, ce texte ambitionne d’inscrire dans la loi les activités des services de renseignement pour leur donner plus de pouvoir et mieux les encadrer. Mais, au motif de « légaliser » ces pratiques, le projet de loi renseignement élargit considérablement les pouvoirs des services sans pour autant renforcer les contrôles autant que nécessaire.
Il étend tout d’abord les finalités du renseignement, c’est-à-dire les cas dans lesquels les « techniques spéciales » peuvent être utilisées. Ces dernières incluent l’interception de communications, la captation « en temps réel » de données sur internet, la pose de balises de géolocalisation ou encore la sonorisation de véhicules ou de domiciles. Une des dispositions les plus critiquées prévoit l’installation d’algorithmes, qualifiés de « boîtes noires », sur les réseaux de fournisseurs d’accès ou de services sur internet afin de détecter les comportements suspects et interpeller les apprentis terroristes avant leur passage à l’acte. En contrepartie, le texte crée une nouvel organisme de contrôle des activités des services, la Commission nationale de contrôle de technique de renseignement (CNCTR), remplaçant l'actuelle Commission nationale de contrôle des interceptions de sécurité (CNCIS).
Ce nouveau texte sécuritaire, qui intervient après le vote de la loi de programmation militaire de décembre 2013 et de la loi antiterroriste de novembre dernier, a suscité une levée de boucliers de la part de la société civile. Associations de défense des droits de l’homme, syndicats professionnels et jusqu'aux principales autorités administratives indépendantes concernées ont exprimé leurs craintes sur au moins un des aspects du projet de loi. Le texte n’en avait pas moins été adopté, après avoir été sensiblement durci, le 5 mai à l’Assemblée, par 438 voix pour et 86 contre.
Mais, depuis la transmission du projet de loi au Sénat, certaines critiques semblent avoir porté leurs fruits. Certes, le texte issu de la commission des lois ne bouleverse en rien les grands principes de la réforme voulue par le gouvernement. Mais plusieurs amendements, soutenus par la majorité, pourraient bien adoucir légèrement le dispositif.
Les finalités
Ainsi, concernant les finalités du renseignement, les députés avaient notamment inclus la défense des « intérêts majeurs de la politique étrangère ». La commission des lois du Sénat a remplacé le mot « majeur » par « essentiel », plus restrictif. De même, le texte introduit comme nouvelle finalité la prévention des violences collectives. Les députés estimaient que celles-ci devaient « porter atteinte à la sécurité nationale ». Les sénateurs ont remplacé ce dernier terme par « paix publique ». Un amendement propose par ailleurs de supprimer une autre finalité, la prévention des « atteintes à la forme républicaine des institutions ».
Les données collectées
Concernant les nouveaux pouvoirs accordés aux services de renseignement, aucun des grands principes du texte n’est, ici non plus, remis en cause. Une avancée notable concerne cependant la possibilité, pour les services, de récolter « en temps réel sur les réseaux des opérateurs » internet des données de connexion. Dans le texte voté par les députés, ces demandes pouvaient viser « des personnes préalablement identifiées comme présentant une menace ». Mais la commission des lois du Sénat a amendé cet article pour préciser que ce recueil devait être « individuellement autorisé ». Concrètement, cela voudra dire que les services ne pourront plus déposer une demande pour plusieurs personnes et devront multiplier les procédures.
Le texte prévoyait également la possibilité de collecter les données de certains proches des personnes directement suspectées et jouant un « rôle d’intermédiaire, volontaire ou non ». Cette formulation a été supprimée. Les services pourront toujours étendre la surveillance à un proche d’un suspect, mais à la condition de justifier que celui-ci est « susceptible de fournir des informations ».
Les fameuses « boîtes noires » demeurent inchangées. Leur durée d’utilisation, renouvelable, a cependant été réduite de quatre à deux mois.
Les durées de conservation
La commission des lois a également réduit certaines des durées maximales de conservation des données collectées. Pour les écoutes téléphoniques et les captations sonores, ce délai est passé de six mois à trente jours à compter de la date de recueil. Concernant les données de connexion, les métadonnées, le délai de cinq années voté par les députés a été ramené à trois années par les sénateurs. Lors de l’ouverture des débats, Manuel Valls a cependant annoncé que le gouvernement déposerait un amendement afin de le ramener à quatre ans.
Les contrôles
Comme à l’Assemblée, la composition de l’organisme de contrôle fait l’objet d’âpres débats. Le texte initial prévoyait neuf membres (2 députés, 2 sénateurs, 2 membres du Conseil d’État, 2 magistrats de la Cour de cassation et une personne qualifiée nommée sur proposition du président de l’Arcep). Les députés avaient fait passer ce nombre à 13 en y ajoutant un député, un sénateur, un conseiller d’État et un magistrat de la Cour de cassation supplémentaires. La commission des lois du Sénat est revenue à la composition initiale mais un amendement socialiste propose de repasser à 13 membres.
Le texte prévoyait également que le président de la CNCTR serait désigné, parmi ses membres, par un décret du président de la République. Les sénateurs Jean-Pierre Raffarin et Philippe Bas proposent de sortir cette disposition du projet de loi renseignement pour l’inscrire dans une loi organique séparée sur laquelle les sénateurs auront à se prononcer en même temps que le texte principal. L’intérêt de cette manœuvre réside dans le statut que la loi organique confère à cette nomination qui fera alors l’objet d’un contrôle parlementaire. Le président devra en effet soumettre celle-ci, pour avis préalable, aux « commissions permanentes des deux assemblées ». « L’opposition des commissions parlementaires aux trois cinquièmes des suffrages exprimés empêcherait alors la nomination du candidat présenté », précise l’exposé des motifs de la loi organique.
Lors des débats à l’Assemblée, le président de l’actuel organisme de contrôle (la CNCIS), Jean-Marie Delarue, avait émis plusieurs critiques sur le nouveau dispositif. Il pointait, notamment, la question du contrôle des données stockées. Jusqu’à présent, expliquait-il, les données faisaient l’objet d’une centralisation via le Groupement interministériel de contrôle, offrant à la CNCIS « un accès direct ». Le texte initial prévoyait de déléguer le stockage des données collectées à chaque service. « Il y aura bien des registres, avec les informations administratives, mais la commission n’aura pas accès aux données elles-mêmes », regrettait Jean-Marie Delarue. « Pour cela, elle devra sonner poliment à la porte de chaque service, et attendre sa réponse. Il ne s’agira donc pas d’un contrôle en temps réel mais soumis à la diligence de chaque service et à la manière dont il organisera ces données. »
Les critiques du président de la CNCIS avaient été partiellement entendues par les députés qui avaient précisé que la CNCTR devait disposer d’un accès « permanent » aux données stockées. La commission des lois du Sénat est allée plus loin en ajoutant que cet accès devrait être également « direct ». Mais, comme le souligne le site NextImpact, cet accès ne voudra pas forcément dire centralisation. « Centraliser des données ainsi recueillies en un seul point créerait une vulnérabilité considérable », a expliqué Bernard Cazeneuve aux sénateurs, avant d’annoncer : « Des modalités de décentralisation sont envisageables, dans un nombre d’endroits limités, auxquels la CNCTR aurait un accès immédiat. Leur liste sera arrêtée par le premier ministre, en concertation avec cette commission. »
Concernant les pouvoirs, de la CNCTR, la commission des lois n’est pas revenue sur le caractère uniquement consultatif de ses avis. Un amendement propose cependant de lui octroyer « un pouvoir d’autorité préalable » lui permettant d’exercer « ainsi son contrôle de façon systématique ».
Les communications internationales
Les sénateurs ont également prévu de débattre sur un aspect peu connu mais capital du projet de loi : le cas des communications internationales. Le texte prévoit en effet pour les communications « émises ou reçues de l’étranger » un contrôle fortement réduit. Dans ce cas, l’avis préalable de la CNCTR est supprimé au profit d’un simple contrôle a posteriori. De plus, la commission perd son droit à un « accès permanent et direct » aux données collectées.
Le problème soulevé par plusieurs sénateurs réside dans le caractère extrêmement large des communications internationales. L’expression « émise ou reçue de l’étranger » inclut tout d’abord les communications entre un ressortissant étranger et un résident français qui se retrouvera ainsi placé sous surveillance sans bénéficier des garanties que la loi devrait lui accorder. Elle risque ensuite de couvrir un grand nombre de communications électroniques entre personnes pourtant basées en France mais utilisant des services électroniques basés à l’étranger. Les messages entre deux Français utilisant Facebook, Twitter ou Gmail seront-ils considérés comme des communications internationales ? Pour dissiper ces doutes, des sénateurs PS ont déposé un amendement proposant une modification discrète mais capitale : les communications internationales ne seraient plus les communications « émises ou reçues de l’étranger » mais celles « émises et reçues de l’étranger ». Cette formulation, explique l’exposé des motifs, « permet à la CNCTR d’assurer son pouvoir de contrôle de droit commun lorsque la communication est dirigée vers le territoire national et / ou provient du territoire national ».
Les prisons
Les sénateurs ont également décidé de revenir sur une autre disposition ayant fait l’objet d’un vif débat à l’Assemblée nationale. Contre l’avis du gouvernement et de la garde des Sceaux Christiane Taubira, le rapporteur du projet de loi Jean-Jacques Urvoas avait réussi à faire adopter un amendement insérant les services pénitentiaires dans les services de renseignement, leur permettant ainsi « de recourir aux techniques de recueil utiles ». La ministre de la justice s’était vivement opposée à cette transformation du personnel pénitentiaire en agent de renseignement mais avait été mise en minorité par une coalition de députés de droite et de gauche. La commission des lois a tenté de trouver un compromis en retirant les services pénitentiaires de la liste de services de renseignement. L’administration pénitentiaire conservera toutefois la possibilité de recourir aux techniques spéciales prévues par le texte en demandant l’aide d’un service habilité.
Les sénateurs ont désormais jusqu’au 9 juin, date du vote solennel, pour trancher ces derniers détails. En vertu de la procédure d’urgence décrétée par le gouvernement, le texte sera ensuite transmis à la commission mixte paritaire, composée de sénateurs et de députés, qui sera chargée de trouver un compromis entre les deux versions du projet de loi. En cas de désaccord, celui-ci retournera devant l’Assemblée nationale qui aura le dernier mot.
L’issue d’une bonne partie des débats dépendra de l’attitude du gouvernement, et de son soutien ou non à certains amendements. Lors de l’examen par l’Assemblée nationale, la majorité était apparue inflexible, rejetant la plupart des critiques parfois sèchement, comme lorsque le rapporteur Jean-Jacques Urvoas qualifiait les opposants « d’exégètes amateurs ». Mais depuis, les critiques se sont multipliées, non seulement de la part des traditionnels défenseurs des libertés numériques, mais également de la part d’autorités comme la commission nationale de contrôle des interceptions de sécurité (CNCIS), la commission nationale de l’informatique et des libertés (Cnil), le conseil national du numérique (CNNum), la commission nationale consultative des droits de l’homme (CNCDH), le Défenseur des droits…
Face à cette fronde sans précédent, François Hollande avait tenté, le dimanche 19 avril, de reprendre la main. Sur le plateau de Canal+, le président avait assuré qu’il saisirait le Conseil constitutionnel pour vérifier la légalité du texte. Un groupe de parlementaires a également annoncé avoir recueilli assez de signatures pour déposer son propre recours.
Devant les sénateurs, le premier ministre Manuel Valls a pour la première fois ouvert la porte à certains adoucissements. « Il est inhabituel que le président de la République annonce une saisine du Conseil constitutionnel », a-t-il reconnu. « Cette loi concerne le droit à la vie privée. Il est donc normal qu’elle suscite des interrogations et des inquiétudes. » Le chef du gouvernement a cependant exclu tout retour en arrière. « Anticiper, détecter, analyser et comprendre les menaces qui pèsent sur la France, c’est garantir la sécurité du pays », a-t-il affirmé avant de brandir la menace terroriste. « Le nombre d’individus à suivre et à surveiller a explosé. » « Il pourrait y avoir à la fin de l’année près de 10 000 Européens en Syrie et en Irak », a assuré le premier ministre. Face à cette menace, « le suivi des terroristes en temps réel, sur leurs réseaux, est indispensable ».
A lire aussi sur le blog de Tuxicoman : Hotplug SATA sous linux