On vous explique la proposition de loi sur la surveillance internationale

Et c’est gratuit 36
image dediée
Crédits : Nomadsoul1/iStock
Loi

C’est demain en fin de journée que la proposition de loi sur la surveillance internationale entrera en discussion en séance publique au Sénat. Une douzaine d'amendements ont été déposés pour l’heure, traduisant une perfection absolue du texte… ou une faible mobilisation des parlementaires.

Fin juillet, le Conseil constitutionnel avait censuré l’un des articles importants du projet de loi gouvernemental sur le renseignement, celui sur la surveillance internationale.

Pourquoi ? La loi examinée renvoyait à l’exécutif le soin d’encadrer ces mesures. Inconstitutionnel selon les neuf sages : cet accompagnement normatif ne peut relever que de la loi. Le gouvernement a finalement chargé deux députés de son bord, Patricia Adam et Philippe Nauche, de porter une proposition de loi (PPL) pour combler (enfin) ce vide.

En passant par une proposition parlementaire plutôt qu’un projet gouvernemental, l’exécutif a confortablement évité d’avoir à présenter une étude d’impact pour notamment chiffrer ces mesures ou de requérir l’avis préalable du Conseil d’État. Cerise sur le gâteau, il a déclaré l’urgence pour accélérer le vote et réduire les débats. Il faut dire que le sujet énerve certains, ces avocats internationaux notamment qui craignent pour le secret dont ils sont dépositaires.

Mi-septembre, la « PPL » a été adoptée en deux petites heures à l’Assemblée nationale. Elle débarque maintenant au Sénat, prise en main par le rapporteur Philippe Bas. Celui-ci a fait adopter une quinzaine d’amendements dans la Commission des lois qu’il préside. À quelques encablures de l’examen en séance public, les foules sénatoriales ne se sont pas davantage pressées au portillon : seule une douzaine d’amendements sont sur la rampe au moment où nous écrivons ces lignes.

La PPL, cœur de la loi sur le renseignement

Que dit le texte en l’état ? Il est court. Composé de deux articles, il propose d’insérer dans le Code de la sécurité intérieure un chapitre intitulé « Des mesures de surveillances des communications électroniques internationales ».

Avant de rentrer dans les méandres du texte, il faut définir son champ d’application. Comme la loi sur le renseignement, le texte vise à la fois la défense ou la promotion des vastes finalités justifiant la surveillance. Les mesures pourront donc être défensives ou offensive, au choix du surveillant. Ces finalités sont celles qu’on retrouve dans la loi votée en juin dernier, à savoir :

  • L'indépendance nationale, l'intégrité du territoire et la défense nationale ;
  • Les intérêts majeurs de la politique étrangère, l'exécution des engagements européens et internationaux de la France et la prévention de toute forme d'ingérence étrangère ;
  • Les intérêts économiques, industriels et scientifiques majeurs de la France ;
  • La prévention du terrorisme ;
  • La prévention des atteintes à la forme républicaine des institutions, des actions tendant au maintien ou à la reconstitution de groupements dissous, des violences collectives de nature à porter gravement atteinte à la paix publique ;
  • La prévention de la criminalité et de la délinquance organisées ;
  • La prévention de la prolifération des armes de destruction massive

Le régime dérogatoire prévu par la proposition de loi ne se justifiera que pour « la surveillance des communications qui sont émises ou reçues à l'étranger ».

En somme, il suffira qu’un échange téléphonique soit émis entre deux personnes à l’étranger, ou entre un Français et quelqu’un situé au-delà de nos frontières pour justifier son application. De même, si un flux présente une adresse IP d’un service intermédiaire installé à l’étranger, c’est très logiquement cette PPL qui s’appliquera, en priorité à la loi sur le renseignement. Compte tenu de la popularité des acteurs américains sur les réseaux, autant dire que le cœur de loi sur le renseignement est bien le texte sur la surveillance internationale. D’ailleurs la PPL insiste : « Cette surveillance, qu'elle porte sur des correspondances ou sur des données de connexion, est exclusivement régie par le présent chapitre ».

La proposition parlementaire prévoit évidemment le cas où les services se rendraient compte qu’un échange d’apparence internationale serait en réalité franco-français des deux côtés. Dans une telle hypothèse, il est prévu une destruction instantanée des renseignements collectés, et pour cause : normalement, c’est le régime de la loi sur le renseignement qui s’applique avec notamment l’avis préalable de la CNCTR qui fait ici défaut.

Un amendement pour mieux protéger les données des Français

On notera avec intérêt cet amendement n°1 déposé pour la séance afin d’étendre la destruction des renseignements non seulement aux communications « qui transitent » à l’étranger, aux échanges qui y sont stockés. « La rédaction actuelle ne couvre [en effet] pas les situations où les données de communications sont arrêtées, pour y être stockées, sur un serveur situé hors du territoire national. Une part considérable des communications des citoyens français, y compris lorsqu'elles sont de bout en bout franco-françaises, sont en effet stockées sur des serveurs installés à l'étranger (« cloud », webmail, réseau social, moteur de recherches...) » écrivent les sénateurs Duran, Bonnefoy et Bataille notamment.

Seulement, la PPL prévoit d’autres exceptions à la destruction instantanée. Voilà ce qu’elle dit :

« Les mesures prises à ce titre ne peuvent avoir pour objet d'assurer la surveillance individuelle des communications de personnes utilisant des numéros d'abonnement ou des identifiants techniques rattachables au territoire national, à l'exception du cas où ces personnes communiquent depuis l'étranger et, soit faisaient l'objet d'une autorisation d'interception de sécurité, délivrée en application de l'article L. 852-1, à la date à laquelle elles ont quitté le territoire national, soit sont identifiées comme présentant une menace au regard des intérêts fondamentaux de la Nation mentionnés à l'article L. 811-3. »

Cela concerne d’abord la surveillance de personnes individuellement désignées, qui communiquent depuis l’étranger alors qu’elles faisaient l’objet d’écoutes avant de quitter le territoire. En clair, la PPL prend « alors le relais des dispositifs utilisés pour les interceptions effectuées sur le territoire national, afin d’assurer la poursuite des interceptions de communications de cette personne à l’étranger, ce qui répond au surplus à une nécessité technique » commente Philippe Bas dans son rapport en Commission des lois, où il évoque un « droit de suite. »

Elle concerne d’autre part la surveillance individualisée des cibles qui communiquent techniquement depuis l’étranger (peu importe leur localisation physique, même si elles n’ont pas quitté le territoire) et qui représentent « une menace » pour la France. C’est une jolie brèche au profit des services qui pourront ainsi se passer des contraintes formelles de la loi sur le renseignement, et pour cause : c’est l’exécutif qui sera juge du degré de « menace » - terme ô combien flou - de tel individu utilisant un Gmail ou Yahoo de passage. Voilà sans doute pourquoi le groupe écologiste demande beaucoup plus de formalisme à ce stade (amendement n°8).

Sénat
Crédits : Marc Rees (licence: CC by SA 3.0)

Les autorisations du premier ministre : le champ

Le premier ministre sera au centre de ces mesures. C’est lui qui appuiera sur le bouton vert pour autoriser la surveillance sur les échanges qualifiés d’internationaux.

Dans une première phase, il désignera avant tout « par une décision motivée », les réseaux de communications électroniques sur lesquels il autorise l'interception des communications émises ou reçues à l'étranger. Dans la version votée par les députés, était évoquée la notion de « système de communication » mais Philippe Bas a trouvé l’expression un peu hasardeuse, lui préférant celle de « réseaux ».

Qu’est qu’un « réseau de communication électronique » ? L'avantage de cette expression est d'être définie par l’article L32 du Code des postes et des communications électroniques. Il s’agit de « toute installation ou tout ensemble d’installations de transport ou de diffusion ainsi que, le cas échéant, les autres moyens assurant l’acheminement de communications électroniques, notamment ceux de commutation et de routage ». Cela concerne donc tous les réseaux satellitaires, terrestres, les systèmes utilisant le réseau électrique « pour autant qu’ils servent à l’acheminement de communications électroniques » mais également « les réseaux assurant la diffusion ou utilisés pour la distribution de services de communication audiovisuelle » (extrait du rapport Bas). La seule exception réside dans les transmissions hertziennes, qui obéissent à un régime à part.

De même contrairement aux députés, la Commission des lois a refusé que le Premier ministre puisse déléguer cette autorisation de déploiement, notamment en raison de sa portée stratégique et financière.

Une fois les réseaux ciblés, deux degrés d’autorisation sont prévus.

Des boîtes noires testostéronées frappant les données de connexion

Le premier scénario repose sur les boites noires, ces systèmes algorithmiques qui en France permettent de détecter une potentielle « menace » terroriste. Sauf qu’au niveau international, le mécanisme est ouvert à toutes les finalités, et ce pour une durée d’un an renouvelable autant de fois que nécessaire (entre une fois et au-delà de l’infini).

C’est ce qu’avait également repéré le député EELV Sergio Coronado lors des débats à l’Assemblée nationale : « contrairement aux boîtes noires, dont l’usage est limité à la lutte contre le terrorisme, toutes les finalités peuvent donc être invoquées pour permettre la mise en place d’une surveillance massive des communications ».

Au Sénat, la mesure a aussi ému plusieurs sénateurs qui voudraient cantonner ce mécanisme à la seule prévention du terrorisme (amendement n°2). D’autres veulent purement et simplement le supprimer des cadrans (amendement n°7).  Selon le groupe écologiste en effet, « ces systèmes de captation massifs de correspondances qu’autorisent ces alinéas n’étaient nullement prévus dans l’article de la loi relative au renseignement censuré par le Conseil constitutionnel. Les dispositions prévues par ces alinéas conduisent à un détournement par rapport au régime de droit commun. Ceci n’est pas acceptable. Il est par conséquent proposé de les supprimer ».

Si les algorithmes sont ouverts à toutes les finalités, Il faut dire que le formalisme est corrélativement en retrait, sans recours notamment à l’avis préalable de la CNCTR. La liberté d’action est donc immense pour les services.

Pour mettre en place l’algorithme (« l'exploitation non individualisée des données de connexion interceptées », son joli nom juridique), il faudra une simple demande motivée des ministres ou de leurs délégués adressée au Premier ministre (ou l’un de ses délégués). Dans cette demande initiale, les auteurs devront simplement faire état de la finalité, du motif, du service compétent et le type de traitement automatisé à appliquer.

On comprend du coup les commentaires de Sergio Coronado : « Ce texte vise une collecte de masse – c’est le terme – de toutes les communications internationales, y compris celles émises ou reçues à l’étranger. Cela implique une collecte par défaut des communications entre les personnes dont les identifiants sont rattachables au territoire national, mais dont les communications passent par l’étranger, via des serveurs qui sont, vous le savez, installés hors de nos frontières comme Google, Hotmail, Skype ou encore WhatsApp ».

Une surveillance par zones ou groupe de personnes

Le second niveau d’exploration repose toujours sur une demande des ministres (ou de leur délégué), mais il permet cette fois de cibler des zones géographiques, des organisations, des personnes ou des groupes de personnes, objets de cette surveillance. Et c’est cette fois aussi bien les données de connexion que le contenu des échanges (écoutes) qui peuvent être interceptés. Voilà pourquoi la durée est limitée à quatre mois, mais est toujours renouvelable sans plafond.

La version de la PPL votée par les députés autorisait le gouvernement à prévoir l'exclusion de certains numéros d'abonnement ou des identifiants de toute surveillance, histoire de préserver les relations internationales avec des dirigeants étrangers. Mais Philippe Bas a considéré que ces mesures, de l’ordre du détail, devaient relever du seul gouvernement lorsqu’il s’adressera aux services. Tel n’est cependant pas l’avis de M. Leconte qui insiste pour que la loi encadre ces restrictions (amendement n°6).

nsa surveillance
Crédits : nolifebeforecoffee (licence: CC by SA 2.0)

La protection des avocats, magistrats, journalistes, parlementaires

Ces personnes bénéficient de la même protection que celle prévue en France. Elles « ne peuvent faire l'objet d'une surveillance individuelle de leurs communications à raison de l'exercice du mandat ou de la profession concernée » dit la PPL.

Sergio Coronado a là encore jugé ce bouclier bien lacunaire : comme nous l’avons exposé plusieurs fois dans nos colonnes, « le tri entre les communications privées et professionnelles est impossible à opérer a priori : n’importe quel technicien vous le dira. En effet, cela implique d’abord une collecte des données, puis un traitement des renseignements collectés, pour ensuite faire le tri ».

Le même député a déploré également que ce dispositif ne soit limité qu’aux seules professions protégées exerçant en France. « Ainsi, les journalistes ou encore les avocats européens, et a fortiori ceux qui exercent en dehors de l’Union européenne, peuvent faire l’objet d’une surveillance individualisée. Ils ne bénéficient donc pas des mêmes protections : c’est donc en ce sens que la loi est lacunaire. »

Il avait tenté de généraliser cette protection, en séance le 16 septembre dernier. En vain. Pour Jean-Yves Le Drian, ministre de la Défense, l’adoption d’un tel amendement aurait en effet donné « à nos adversaires un mode d’emploi de la façon de se protéger contre la surveillance de nos services de renseignement ». Coronado s’était alors demandé « qu’en est-il des avocats français, travaillant pour des organisations internationales à l’étranger – ils sont un certain nombre parmi les deux millions de Français établis à l’étranger –, et dont les communications ne sont plus rattachables au territoire national ? ». Sans réponse solide des partisans de la PPL.

On remarquera qu’un amendement similaire a été déposé au Sénat, histoire d’étendre cette protection à ceux qui exercent en France ou hors du territoire national (amendement n°3). L’amendement n°5, déposé par le sénateur Leconte, veut lui instaurer une protection globale encore plus musclée à destination de ces professions sensibles. Enfin les écologistes voudraient à tout le moins qu’un avis préalable de la CNCTR soit requis (amendement n°9).

Traçabilité, centralisation

La PPL impose que toutes les mesures d’interception et d’exploitation fassent l'objet de dispositifs de traçabilité. C’est le Premier ministre, après avis de la Commission nationale de contrôle des techniques de renseignement, qui sera chargée d’en établir les modalités. Le même texte indique aussi que « le Premier ministre définit les modalités de la centralisation des renseignements collectés », avec une nuance : il n’est plus question de consulter la CNCTR pour régler ces questions d’importance majeure, alors que cette mesure avait été pourtant prévue dans la loi Renseignement…

Philippe Bas ne s’en inquiète pas : « selon les informations fournies à votre rapporteur, ces dispositifs de traçabilité et ces modalités de centralisation devraient très largement s’inspirer du régime de droit commun ». Et si tel n’était pas le cas ?

Durée de conservation des renseignes collectés

Ces durées sont dérogatoires au régime de la loi sur le renseignement. Pourquoi ? Selon Patrica Adam et Philippe Nauche, cela tient au fait que les capacités d’intervention de l’État français sur les personnes sous surveillance résidant à l’étranger « sont plus limitées qu’à l’égard des personnes résidant en France ». Philippe Bas ajoute qu’il peut y avoir des difficultés de traduction ou des affaires plus complexes, plus vastes.

Par défaut, les renseignements interceptés seront donc détruits à l'issue d'une durée de « 10 mois, à compter de leur première exploitation, pour les correspondances, dans la limite d'une durée de quatre ans à compter de leur recueil », et même de « six ans à compter de leur recueil pour les données de connexion ». En France, le plafond respectif est de 30 jours et quatre ans...

Il y a toutefois des exceptions. Pour les renseignements chiffrés, le délai ne court qu’à compter du déchiffrement, avec une limite : « Ils ne peuvent être conservés plus de huit ans à compter de leur recueil » (contre six ans en France).

Exception parmi l’exception, les renseignements relatifs aux cyberattaques et les renseignements chiffrés peuvent être conservés sans limite « dans une mesure strictement nécessaire aux besoins de l'analyse technique et à l'exclusion de toute utilisation pour la surveillance des personnes concernées ». De même, en cas de procédure devant le Conseil d’État, les renseignements en liaison ne peuvent être effacés tant que la procédure n’est pas terminée.

Précisons que les écologistes aimeraient raboter ces délais qu’ils jugent trop longs (amendement n°10)

L’exploitation des renseignements collectés

En principe, seuls les services désignés par l’autorisation pourront exploiter les renseignements collectés. La PPL prévoit de plus que les transcriptions ou les extractions seront impérativement détruites « dès que leur conservation n'est plus indispensable à la poursuite des finalités », il n’y a donc aucune limite temporelle pour traiter le fruit de la surveillance. En pratique, ce sera le groupement interministériel de contrôle (GIC) qui sera chargé de ces mesures.

Suite à un amendement adopté en Commission des lois, il a été expressément prévu que « les conditions prévues à l'article L. 871-6 sont applicables aux opérations matérielles effectuées par les opérateurs de communications électroniques pour la mise en œuvre des mesures prévues au I de l'article L. 854-2 ». Que veut dire cet article en clair ?

Le L871-6, qui réécrit une partie de l’actuel L242-9 du Code de la sécurité intérieure, prévoit que les opérations matérielles nécessaires à la mise en place des interceptions ne peuvent être effectuées que sur ordre du ministre chargé des communications électroniques « ou sur ordre de la personne spécialement déléguée par lui, par des agents qualifiés de ces services, organismes, exploitants ou fournisseurs dans leurs installations respectives. »

Comme l’a souhaité Philippe Bas, en pratique cela signifie que les opérations matérielles (l’espionnage des câbles sous-marins, etc.) reposera sur un ordre de l'exécutif, toujours par des agents qualifiés de ces opérateurs dans leurs installations respectives.

Le cas particulier des flux mixtes (une partie étrangère, une partie française)

Les flux mixtes sont ceux dont au moins l’un des numéros d’abonnement ou un identifiant technique est rattachable au territoire national. Dans ce cadre, les communications surveillées doivent être exploitées selon les conditions définies par la loi sur le renseignement, soit selon le régime franco-français.

On retrouve donc un contrôle plus accru de la Commission nationale de contrôle des techniques de renseignement ainsi que des délais de conservation de droit commun. « Le délai de conservation des correspondances court toutefois à compter de leur première exploitation, mais ne peut excéder six mois à compter de leur recueil » prévient Philippe Bas dans son rapport. Les données de connexion sont traitées conformément aux règles définies par la loi de juin 2015.

Le Contrôle de la CNCTR

La Commission nationale de contrôle des techniques de renseignement est destinataire de toutes les décisions et autorisations prises par les ministres ou le Premier ministre. Comme en France, « elle dispose d'un accès permanent, complet et direct aux dispositifs de traçabilité, (…), aux renseignements collectés, aux transcriptions et extractions réalisées ainsi qu'aux relevés ».

Elle a toute latitude pour « contrôler les dispositifs techniques nécessaires à l'exécution des décisions et autorisations » et « peut solliciter du Premier ministre tous les éléments nécessaires à l'accomplissement de ses missions ».

Grâce à l’aiguillon constitutionnel, qui avait sanctionné quelques défaillances, elle dispose désormais d’un contrôle vaste. Ce contrôle est néanmoins limité à ses propres capacités financières et humaines, ainsi qu’aux modalités de centralisation qu’aura décidées le Premier ministre. Si on caricature, une centralisation à Saint-Pierre-et-Miquelon sera un peu moins pratique qu’une centralisation dans tels locaux parisiens…

Dans tous les cas son contrôle sera tardif, a posteriori, jamais avant le déploiement de la surveillance. Cela signifie qu’en cas d’atteinte injustifiée à la vie privée, son rôle ne sera que curatif, jamais préventif. Un amendement a tout de même été déposé afin d’obliger le Premier ministre à informer la CNCTR dans un délai rapproché qui ne peut excéder sept jours (amendement n°4).

Sur initiative de Philippe Bas, un autre amendement a déjà été adopté en Commission des lois pour lui rendre applicable le délit d’entrave à l’exercice de ses missions de contrôle. Un oubli qui était effectivement regrettable. Celui qui refuserait par exemple de lui communiquer des documents encourra ainsi un an d’emprisonnement et 15 000 euros d’amende.

Le contrôle de la CNCTR est-il assez puissant et étendu ? Ce n’est en tout cas pas l’avis d’EELV qui voudrait qu’au surplus, elle soit informée des accords de coopération ou d'échange d'informations et de données entre les services du renseignement. (amendement n°11 et 12)

Le recours contre les mesures de surveillance

La CNCTR, de sa propre initiative ou sur réclamation de toute personne souhaitant vérifier qu'aucune mesure de surveillance n'est irrégulièrement mise en œuvre à son égard, pourra adresser une recommandation au Premier ministre.

La missive l’invitera à faire cesser le manquement et à détruire les renseignements illégalement collectés. Si le Premier ministre ne donne aucune suite, ou si ces suites sont insuffisantes, alors la même CNCTR pourra saisir le Conseil d’État soit via son président, soit par au moins trois de ses membres.

Philippe Bas se satisfait de ces mesures : « Alors que la loi votée par le Parlement en juin dernier limitait les facultés de saisine par la commission du Premier ministre et, le cas échéant, de la juridiction administrative, aux seuls manquements qu’elle aurait pu constater sur les « flux mixtes » de communications, ce sont désormais l’ensemble des mesures de surveillance des communications électroniques internationales qui pourraient faire l’objet de cette procédure de recours ».

Il y a toutefois une différence notable entre le droit au recours dans la PPL face à celui de la loi sur le renseignement. Dans la PPL, le justiciable doit saisir d’abord la CNCTR, qui jouera le rôle de filtre afin de ne pas saturer la juridiction administrative.

Enfin, à tout moment, la même commission pourra émettre des recommandations et des observations au Premier ministre.

L’incertitude constitutionnelle perdure

À l’Assemblée nationale, nombreux ont été ceux saluant ce nouveau texte, affirmant sans nuance que le Conseil constitutionnel avait avalisé ce régime à part, notamment parce qu’il se passe de l’avis préalable de la Commission de contrôle des techniques du renseignement.

PPL surveillancePPL surveillance

Extrait du rapport Adam et Nauche à l’Assemblée nationale (à gauche) et du rapport Bas (à droite)

Un avis que ne partage pas le sénateur Philippe Bas (LR) pour qui « le Conseil constitutionnel ne s’est pas prononcé, bien qu’il ait été saisi de griefs allant en ce sens dans la saisine des députés, sur la conformité ou non de ces mesures de surveillance à des règles constitutionnelles de fond ». Tout reste donc à trancher, avec l’espoir que le juge suprême soit saisi après l’adoption d’un texte commun entre l’Assemblée et le Sénat.

Publiée le 26/10/2015 à 17:37
Marc Rees

Journaliste, rédacteur en chef Droit, LCEN, copie privée, terrorisme, données personnelles, surveillance, vie privée, et toutes ces choses...

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €


chargement
Chargement des commentaires...