« Il ne s’agit pas d’adopter un Patriot Act à la française » promettait Axelle Lemaire, le 14 janvier dernier. Le projet de loi sur le renseignement sera présenté demain en conseil des ministres. L'objectif ? Muscler les moyens d’anticipation de la police administrative en France. Le texte devrait cependant susciter de vives critiques compte tenu de son ampleur.
Ce texte, rédigé dans ses grandes lignes par le député PS Jean-Jacques Urvoas, est maintenant porté par Bernard Cazeneuve, ministre de l'Intérieur. Il prévoit toute une série de moyens spéciaux que les autorités pourront dorénavant utiliser sans l’intervention préalable du juge. Ces mesures sont très sensibles puisque, comme le souligne Le Figaro, qui en dévoile aujourd’hui les grandes lignes, elles portent atteinte frontalement à la vie privée ou au principe de l’inviolabilité du domicile. Le projet de loi commence d’abord par définir limitativement les cas où ces outils pourront être déployés. Ce sont :
- La défense nationale
- Les intérêts de politiques étrangères
- Les intérêts économiques ou scientifiques majeurs
- La prévention du terrorisme
- La prévention de la prolifération des armes de destruction massive
- Les violences collectives pouvant porter gravement atteinte à la paix publique
Si les attentats contre Charlie Hebdo seront d’une aide précieuse pour assurer un vote express, on peut craindre que chacune de ces conditions soit susceptible d’interprétations très floues. Or, une fois l’une d’elles vérifiée, les services auront au ceinturon une large palette de moyens. Certains d'entre-eux sont déjà mis en œuvre aujourd’hui, mais sans toujours profiter d’un encadrement bien franc... ou au contraire d’un périmètre assez étendu.
Mouchards et autres moyens (très) intrusifs
Dans un bel inventaire à la Prévert, le projet de loi promet l’accès aux données de connexion (dont les fameuses factures détaillées), la possibilité d’effectuer des interceptions de sécurité (donc un accès au contenu des mails et des conversations téléphoniques) ou celle d’installer deux mois durant des keyloggers (enregistreurs de frappe) sur les ordinateurs des personnes soupçonnées. Ce n’est pas tout. Il y aura également la capacité de cacher des outils de captation dans les voitures, ainsi que dans n'importe quel Système de Traitement Automatisé de Données. Cette notion de « STAD », qui existe déjà dans notre droit pénal, est très vaste puisqu’elle vise aussi bien les logiciels que les sites Internet. D’une certaine manière, le renseignement français pourrait placer en ligne de jolis pots de miel afin d'identifier ceux venus y butiner des informations sensibles, ou plus vraissemblament cibler les échanges sur Skype comme l'a souhaité Jean-Jacques Urvoas.
Avec sa loi, Bernard Cazeneuve entend également armer ses services afin qu’ils puissent mettre en place des balises de géolocalisation sur un objet quelconque. Selon le Figaro, ces mêmes services pourront aussi utiliser des dispositifs afin de faire parler les téléphones placés à proximité d’un point donné. L’exemple type est celui de l’IMSI-catcher qui, comme l’indique Wikipedia est un appareil qui « peut faire croire aux téléphones mobiles qui sont dans sa zone qu’il est une station légitime du réseau mobile, car un téléphone mobile n'a pas de moyen d'authentifier le réseau ». Les autorités aspireront alors toutes les données transitant vers ou depuis ce téléphone pour faire ensuite le tri entre celles relevant de la stricte vie privée et les indices d'exactions futures.
Ces différentes opérations seront soumises à un sandwich d’autorisations variables, mais qui pourront être contournées en cas d’urgence importante. Dans tous les cas, il n’y aura pas d’intervention préalable du juge, puisqu’on se situe ici dans le cadre de la police administrative, dont la frontière devient de moins en moins nette avec ce que peut aujourd’hui décider l’autorité judiciaire.
Les intermédiaires obligés de deviner les comportements suspects
Paris l'avais promis en février dernier : il faut accentuer la responsabilité des opérateurs. En l'état actuel du texte, de nouvelles obligations pèseront donc sur ces acteurs du numérique, ceux-là même qui sont actuellement la cible de fortes critiques par l'exécutif.
La conservation des enregistrements variera d’un mois (interception) à cinq ans pour les données de connexions relatives aux données interceptées. Ces délais seront étendus pour les besoins du déchiffrement. Quelque peu à rebrousse-poil de la jurisprudence de la CJUE, le gouvernement quintuple ici la durée de conservation de certaines de ces métadonnées tout en musclant dans le même temps les traitements. Un mouvement qui intervient alors que ces opérations sont actuellement attaquées devant la haute juridiction administrative par La Quadrature du Net, FDN et FFDN mais également Reporters sans frontières.
Il est tout autant prévu que les agents pourront obtenir « un recueil immédiat » de ces informations de connexion afin de tisser au plus vite tout l’environnement social d’une personne déterminée. Cet accès direct rappelle d'une certaine manière celui organisé par la loi sur le terrorisme, voté en novembre dernier.
Mais comment déceler ces personnes à risque ? Simple ! Les intermédiaires pourront se voir contraints à « détecter, par un traitement automatique, une succession suspecte de données de connexion » dit le projet de loi. Ils auront donc des obligations de surveillance prédictive visant à anticiper de futures activités interdites. Par exemple ? Selon le Figaro, « les fournisseurs d’accès à Internet, mais aussi Google, Facebook ou Twitter, devront eux-mêmes déceler des comportements suspects, en fonction d’instructions qu’ils auront reçues, et transmettre ces résultats aux enquêteurs. Il pourrait s’agir des connexions fréquentes sur des pages surveillées ». Le gouvernement pourra donc considérer comme suspectes les multiples tentatives d’accès à un site Internet pas très net. Cette défiance se répandra donc du site au visiteur, lui-même alors objet d'actions intrusives. Ces différentes nouveautés devraient aisément conduire les adversaires du texte à évoquer un Patriot Act à la française, du nom du texte américain qui contient plusieurs mesures destinées à surveiller les citoyens.
Dans ce cadre, l’anonymat des personnes pourra être levé si ce siphonnage détecte une possible menace terroriste. Pour couronner le tout, les opérateurs seraient soumis à de nouvelles obligations pour aider au déchiffrement des données, alors que la récente loi contre le terrorisme a déjà dépoussiéré ce secteur. En tout cas, leurs locaux pourront être visités par la CNCTR.
La CNCIS est morte, vive la CNCTR
CNCTR ? Le projet de loi prévoit en effet de remplacer l’actuelle commission nationale des interceptions de sécurité (CNCIS) par la commission nationale de contrôle des techniques du renseignement. On y trouvera des magistrats, des ingénieurs, des juristes, informaticiens, cryptographes. Elle pourra recommander - mais non ordonner - l’arrêt de la mise en œuvre d’une technique jugée irrégulière. Et si sa demande reste sans effet, le Conseil d’État sera saisi, mais uniquement si la majorité absolue (50 % +1) des membres de la CNCTR le décide. Enfin, toute personne « justifiant d’un intérêt direct et personnel d’une enquête relative à la mise en place des techniques de renseignement » pourra elle aussi saisir la haute juridiction. On se demande cependant si ce levier est bien réaliste, ces mesures étant par nature très secrètes.