Un texte qui vise une surveillance massive, sans véritables garde-fous. Voilà comment l’association des sites Internet communautaires (ASIC) analyse le projet de loi sur le renseignement. Elle concentre son attention sur les boîtes noires qui pourront être installées sur n’importe quelle infrastructure.
L'association qui regroupe Google, Dailymotion, eBay, eBuzzing, Exalead, Facebook, Microsoft ou encore Vivastreet déplore d’entrée ne pas avoir été associée par le gouvernement à l’élaboration du projet de loi. Depuis, plusieurs de ses membres ont toutefois été auditionnés par Jean-Jacques Urvoas, président de la commission des lois. Et c’est à partir de ces échanges et de la lecture du texte que l’ASIC regrette que plusieurs points soulevés soient restés sans effet.
Si elle se félicite de la légalisation des mesures de surveillance, « mises en œuvre, jusqu’alors de manière opaque et sans contrôle, par les services de renseignement », elle sollicite des explications plus épaisses sur la mise en œuvre programmée des dispositifs, dont la fameuse boîte noire qui servira, par algorithme, à prédire et prévenir les menaces terroristes.
Des boites noires, pas seulement chez les FAI ou les opérateurs
Surtout, selon ces acteurs du web, cette loi instaure bien « une surveillance généralisée pour identifier les cibles d’une surveillance plus fine ». Urvoas a rejeté sèchement dans son rapport parlementaire une telle critique, mais l’ASIC répond que les services de renseignement veulent bel et bien installer « des boîtes noires dans les infrastructures des diverses plates-formes d’hébergement de données, que ce soient des plates-formes de vidéos, des forums de discussion, des plates-formes de commerce électronique, des réseaux sociaux, etc., dans le but de collecter des informations. »
En effet, la lettre du projet de loi ne se limite pas aux opérateurs téléphoniques ou aux fournisseurs d’accès, mais tape très large. « Il s’agirait pour les autorités d’analyser en temps réel les données de tous les internautes visitant ces plates-formes afin d’identifier des comportements suspects. Il s’agit bien d’une surveillance généralisée de tous les internautes, d’une analyse permanente du comportement de ces internautes - afin d’identifier des comportements suspects qui feront l’objet ensuite d’enquêtes spécifiques. »
Certes, un tamis est imposé en amont de ces procédures notamment via la question des personnes et des finalités recherchées notamment, mais les expressions seraient suffisamment floues pour déployer un large filet. « Le plus étonnant est que les ministres rappellent que ces mesures visent à placer sous surveillance les “3000 personnes” qui représentent aujourd’hui une menace pour la sécurité nationale. Dès lors qu’un chiffre existe, cela signifie que ces personnes sont d’ores et déjà identifiées. En conséquence, le principe d’une collecte massive de données de tous les internautes apparaît disproportionnée » en déduit l’ASIC.
Quid des acteurs installés hors de France ?
Dans le discours d’Urvoas, la boîte noire va concerner essentiellement les opérateurs télécoms et les fournisseurs d’accès. Mais dans la lettre du projet de loi, on tape plus large, débordant sur les intermédiaires du numérique, dont les hébergeurs. Problème : très peu d’entre eux ont des infrastructures en France.
Dans notre pays, si la Fédération française des télécoms reste très silencieuse, Gandi considère que cet appareil destiné à « révéler une menace terroriste » par algorithme est en réalité « un deep packet inspection qui ne dit pas son nom ». Mieux, « ce mode opératoire se rapproche du type de surveillance de masse opérée par la NSA, consistant à placer sous contrôle une large partie du trafic internet à la recherche de comportements « suspects » selon l’algorithme mis en place. Algorithme, bien évidemment confidentiel pour le grand public et donc source de nombreuses craintes tant les possibilités de détournement sont importantes. »
Pour ceux disposant d’une infrastructure technique à l’étranger, l’ASIC ajoute qu’il leur reviendra finalement d’avoir à mener ces opérations pour le compte des services du renseignement. « En effet, et selon les précisions apportées lors des débats en Commission, il reviendrait alors aux acteurs du Web - sur la base de critères encore flous fournis par les autorités - de rechercher proactivement des individus potentiellement suspects. Il ne s’agit pas de rechercher des personnes qui manifestement commettent ou s’apprêtent à commettre un crime ou un délit. Il s’agit bien de rechercher proactivement des personnes qui potentiellement pourraient représenter un danger pour la sécurité nationale ». Si bien que l’ASIC évoque une « course à la délation ».
Incertitudes sur le périmètre des données traitées
Autre chose, les boîtes pourraient être plus généreuses, collectant « non plus des données techniques, mais toute la vie des internautes ». Pourquoi ? Tout simplement parce qu’« à l’occasion des débats au sein de la Commission des Lois, le ministre de l’intérieur a indiqué que les algorithmes contenus dans les boîtes noires devraient permettre, au travers de l’analyse des profils des internautes, d’identifier les comportements suspects. »
Dans la lettre du projet de loi, cependant, seuls les « informations ou documents » rangés dans la catégorie des « données de connexion » peuvent être aspirés. D’ailleurs l’article « boîte noire » du texte gouvernemental interdit de « procéder au recueil d’autres données que celles qui répondent aux critères de conception des traitements automatisés ».
La grille de lecture de l’ASIC est différente : le gouvernement entendrait aller plus loin, pour déborder sur les données de contenus (spécialement les URL des sites visités) : « En voulant utiliser des boites noires pour “profiler” les internautes français, les services de renseignement cherchent de facto à récolter l’ensemble des données de contenus dont les internautes peuvent être à l’origine (par exemple, cercle d’amis dans un réseau social, historique des sites visités, etc.) ». L’association insiste en ce sens : « le mécanisme de boîtes noires cherche à mettre en œuvre une collecte systématique de l’ensemble des internautes, de l’ensemble des contenus qu’ils visitent ou qu’ils regardent et cela en s’affranchissant totalement des garde-fous existants. »
Dans son rapport, Urvoas a souligné au contraire combien le texte était opposé à une surveillance de masse, grâce notamment à un encadrement des procédures. Google, Microsoft & co rétorquent qu’on pourrait aller plus loin en mettant, pourquoi pas, ces pratiques de surveillance « sous un contrôle complet de la part de la CNIL ».
Faute de mieux, l’association demande la suppression pure et simple de la boîte noire « dans les infrastructures d’intermédiaires techniques. À défaut, outre la mise en oeuvre d’une surveillance sans précédent en France, de telles mesures risquent de remettre en cause l’attractivité de la France pour les acteurs du numérique par exemple, les exploitants d’infrastructure (data center, points d’interconnexion, câblessous-marins) qui feront tout pour éviter notre territoire. La France poursuivra alors sa lente descente dans la récession numérique. »
