On vous réexplique le projet de loi sur le renseignement

D’entrée, comme dans la version initiale, le projet de loi rappelle l’importance du respect de la vie privée en affirmant haut et fort deux de ses composantes, l’inviolabilité du domicile et le secret des correspondances.

La vie privée, privée de « données personnelles »

En commission des lois, cependant, Jean-Jacques Urvoas s’est opposé à un amendement de Sergio Coronado, inspiré par la CNIL et visant à rajouter expressément à ces deux éléments, la notion de « données personnelles ». « La question de la protection des données personnelles est devenue centrale, au fil des années, dans la défense de la vie privée des individus » a expliqué le député écologiste. Une précision jugée cependant superfétatoire par le président de la Commission des lois et rapporteur du texte : « à mon sens, la protection des données personnelles fait déjà partie de la vie privée, au même titre que le secret des correspondances. Je ne suis donc pas défavorable au fond de cet amendement, mais il me paraît inutile ».

Inutile ? Mais pourquoi préciser alors la vie privée et le secret des correspondances ? Simple anticipe Urvoas : « les autres notions auxquelles le texte se réfère ici relèvent de la jurisprudence du Conseil constitutionnel, ce qui n’est pas le cas de la protection des données personnelles ». (article L811-1)

Le renseignement, compétence exclusive de l’État ?

L’article suivant est intéressant (L811-1) : ajouté en commission, il pose que « la politique publique de renseignement concourt à la stratégie de sécurité nationale et à la défense et à la promotion des intérêts fondamentaux de la Nation. Elle relève de la compétence exclusive de l'État. »

Derrière ces affirmations, l’auteur de cette rustine, le socialiste Pascal Popelin estime que « seul l’État peut mener des activités de renseignement en raison des objectifs poursuivis et des techniques mises en œuvre. De fait, cette politique publique ne saurait faire l’objet ni d’une sous-traitance à des sociétés privées ni d’une privatisation. Car la protection des libertés de nos concitoyens passe par la capacité de contrôle de l’action de l’État qui ne peut par conséquent pas être déléguée à une instance tierce du secteur privé ».

Il n’est toutefois pas certain que cet amendement interdise l’intervention de sociétés privées, compte tenu de l’ampleur technique du projet de loi, et surtout parce que le texte prévient simplement que la politique publique est de la compétence de l’État, non ses modalités pratiques...

Définition du renseignement

L’article L. 811-2 qui vient ensuite a pour grand mérite de définir enfin dans notre droit l’activité de renseignement. Même si les termes sont très généraux, il s’agit de services spécialisés qui ont pour missions « en France et à l'étranger, la recherche, la collecte, l'exploitation et la mise à disposition du Gouvernement des renseignements relatifs aux enjeux géopolitiques et stratégiques ainsi qu'aux menaces et aux risques susceptibles d'affecter la vie de la Nation ». Une mission fléchée puisqu’ils doivent contribuer à « la connaissance et à l'anticipation de ces enjeux ainsi qu'à la prévention et à l'entrave de ces risques et menaces ».

Sept finalités rendues très extensives en commission des lois

La définition posée, embrayons sur les finalités qui peuvent en pratique justifier le déploiement de l’ensemble des mesures de renseignements. Au cinq existant actuellement, le projet de loi de Bernard Cazeneuve en a prévu sept, lesquelles ont toutefois été considérablement étendues en commission parlementaire (article L811-3).

Explications. Dans le projet de loi d’origine, les services du renseignement recueillent une masse d’informations via d’outils de surveillance, dès lors que cette quête répond « aux intérêts publics suivants » :

1. La sécurité nationale
2. Les intérêts essentiels de la politique étrangère et l’exécution des engagements européens et internationaux de la France
3. Les intérêts économiques et scientifiques essentiels de la France
4. La prévention du terrorisme
5. La prévention de la reconstitution ou du maintien de groupement dissous
6. La prévention de la criminalité et de la délinquance organisées
7. La prévention des violences collectives de nature à porter gravement atteinte à la paix publique.

En commission des lois, une série d’amendements signés principalement Jean-Jacques Urvoas a revu la plupart de ces définitions, pour étendre le plus souvent leur portée. Ces finalités sont désormais :

1. L’indépendance nationale, l’intégrité du territoire et la défense nationale
2. Les intérêts majeurs de la politique étrangère et la prévention de toute forme d’ingérence étrangère
3. Les intérêts économiques industriels et scientifiques majeurs de la France
4. La prévention du terrorisme
5. La prévention des atteintes à la forme républicaine des institutions, des violences collectives de nature à porter atteinte à la sécurité nationale, de la reconstitution ou d’actions tendant au maintien de groupements dissous en application de l’article L. 212 1
6. La prévention de la criminalité et de la délinquance organisées
7. La prévention de la prolifération des armes de destruction massive

À plusieurs reprises, on le voit, les intérêts « essentiels » du projet initial deviennent de simples intérêts « majeurs », ce qui abaisse le niveau de justification du déploiement des outils de surveillances (voir notre actualité).

Surtout, alors que le projet de loi visait « le recueil des renseignements relatifs aux intérêts publics », phrase suivie de la liste des finalités, la commission cible désormais : « le recueil des renseignements relatifs à la défense et à la promotion des intérêts publics ». Plus clairement, cet objectif autorise un renseignement non seulement défensif (« la défense »), mais également plus offensif (« la promotion ») ce qui ouvre un plus vaste champ d’actions, notamment s’agissant de la défense des « intérêts économiques, industriels et scientifiques majeurs de la France. »

Qui pourra faire du renseignement ?

Par défaut, le projet attribue cette compétence aux services spécialisés de renseignement « relevant des ministres de la Défense et de l’Intérieur ainsi que des ministres chargés de l’Economie, du Budget ou des Douanes ». Mais le projet de loi prévoit aussi qu’un décret en Conseil d’État pourra l’étendre. Mieux, le ministère de la Justice a d’ailleurs déjà été ajouté dans la liste, en Commission des lois, afin notamment de propager ces technologies dans le système pénitentiaire.

« Dans le détail, souligne Urvoas dans son rapport, les amendements adoptés ne font qu’ouvrir une possibilité pour l’administration pénitentiaire (et notamment pour son bureau du renseignement pénitentiaire) de solliciter la mise en œuvre de techniques de renseignement pour l’accomplissement de certaines de ses missions (lutte contre le terrorisme, lutte contre la criminalité et la délinquance organisées, lutte contre les violences collectives de nature à porter atteinte à la sécurité nationale). Si la Chancellerie le souhaite, elle pourra donc faire inscrire le bureau du renseignement pénitentiaire (BRP) dans le décret pris en Conseil d’État précisant quelles administrations, autres que celles du renseignement, peuvent recourir à ces techniques, dans quelles conditions et pour quelles finalités. »

Ce même décret devra préciser aussi la liste des finalités relevant de tel ou tel service. Par exemple, Bercy s’occupera davantage des intérêts économiques industriels et scientifiques majeurs de la France que de la prolifération des armes de destruction massive… (article L811-4).

Après avoir rappelé l’attachement à la vie privée, définit ce qu’est le renseignement, ses finalités et les services compétents, vient l’article L. 821-1 du projet de loi, où commencent les festivités.

L’autorisation préalable du Premier ministre

Cette autorisation montre combien le rôle du premier ministre est ici essentiel. C’est lui qui va décider de la mise en œuvre de la technique du recueil du renseignement sachant que celle-ci ne pourra être mise en œuvre « que par des agents individuellement désignés et dûment habilités », suite à une précision en Commission des lois.

Cette autorisation doit cependant passer par l’avis, inévitable, de la Commission nationale de contrôle des techniques de renseignement (CNCTR). (L. 821-1)

En pratique, comment cela se passe ? C’est la partie purement administrative, donc rebutante pour le lecteur. Résumons : la demande initiale est sécrétée par le service du renseignement spécialisé, portée par le ministre de la Défense, de l’Intérieur, de la Justice ou de Bercy. Ce document écrit précise la ou les techniques à mettre en œuvre (quel outil ?), la ou les finalités poursuivies (terrorisme, promotion économique des intérêts français, etc.), le ou les motifs des mesures (pourquoi ?), la durée de validité (combien de temps ?).

Est aussi renseignée la cible du renseignement : personne, lieu ou véhicule. Sur ce point, la loi est souple : tous peuvent être « désignés par leurs identifiants, leurs caractéristiques ou leur qualité, lorsqu’ils ne sont pas connus mais aisément identifiables ». Ainsi, plutôt qu’un nom (Mme Michu), le service pourra se contenter de mettre en avant le chef présumé d’un groupe plus ou moins menaçant, l’immatriculation d’une voiture, un pseudonyme utilisé sur un réseau social, telle donnée technique, ou la référence client chez un opérateur… (L. 821-2).

L’avis du président de la CNCTR, la réaction des autres membres

Émanant des services, la demande est ensuite adressée au président de la CNCTR (ou l’un de ses membres magistrats). Celui-ci rend, seul, un avis dans les 24 heures.

Ce cheminement peut toutefois être contrarié si d'une part, le président n’est pas certain de la validité de la demande, et d'autre part, il décide de réunir l’ensemble de la Commission. Celle-ci dispose alors de trois jours pour rendre son avis.

Mais que se passe-t-il si la commission n’est pas réunie ? Les autres membres sont alors informés dans les 24 heures de l’avis rendu par le président. Deux d’entre eux peuvent dès lors activer cette réunion et là encore, un avis est rendu dans les trois jours.

Quid si le président ne rend pas d’avis ? L’avis est tout simplement réputé rendu (positivement), ce qui montre combien la disponibilité du président de la CNCTR (ou son représentant) devra être forte.

L’avis obtenu expressément ou par défaut permet de finaliser l’autorisation du premier ministre. Elle vaut pour une durée maximale de quatre mois. Cependant, elle est renouvelable autant de fois que nécessaire. À chaque fois, cependant, il faudra suivre le même formalisme et respecter la même durée que l’autorisation initiale. (L. 821-3)

Après 24 h (ou trois jours) donc le premier ministre peut accorder son autorisation suprême pour quatre mois (L. 821-4). S’il autorise, malgré l’avis défavorable de la CNCTR, il doit impérativement expliquer pourquoi il a estimé nécessaire d’y passer outre. Dans tous les cas, la demande initiale et l’autorisation du premier ministre sont enregistrées dans un registre mis à la disposition (non communiqué volontairement) de la Commission.

Une procédure d’urgence dans les mains d’un chef de service

Voilà pour la procédure normale. Seulement, en présence d’ « une menace imminente » ou d’un risque « très élevé de ne pouvoir effectuer l’opération [de renseignement) ultérieurement », l’urgence prime sur l’encadrement : on passe à l’action ! La décision de déployer directement le renseignement revient en effet au seul chef du service, sans passer par la case premier ministre comme c'était prévu dans le projet de loi initial.

Seules contraintes : sans délai, il doit informer le ministre compétent, le premier ministre et la CNCTR. (L. 821-5). Dans une telle hypothèse, le Premier ministre peut alors ordonner l’interruption de la collecte et la destruction des renseignements glanés. Cette procédure d’urgence n’est pas toujours activable. Elle est interdite pour la mise en place d’écoute dans des lieux privés d’habitation ou quand la technique de renseignement cible une entreprise de presse, un parlementaire ou un avocat, seul véritable filet qui protège ces professions à caractère sensible (L. 821-5).

Urgence ou non, si la commission considère qu’il y a un bug dans l’autorisation, elle devra se contenter d’adresser une simple « recommandation » au premier ministre. Elle lui expliquera pourquoi la technique de renseignement est illicite. Le premier ministre décidera des suites à donner « sans délai ». S’il rejette ses remarques, la CNCTR saisira, si elle le souhaite, le Conseil d’État, dans une formation de jugement spécialisée. (L. 821-6). Un détail important : cette procédure ne gèle pas le renseignement en cours.

Les renseignements collectés

Mais imagions que tout se passe bien. Une fois les autorisations accordées, l’ensemble des données collectées sera tracé et centralisé (L. 822-1). Chaque technique fait en effet l’objet d’un relevé, accompagné de la date de début et de fin, et précisant la nature des renseignements collectés. Un relevé là encore simplement mis à la disposition de la CNCTR, non communiqué mécaniquement.

Toutes ces informations, qui vont révéler à des yeux extérieurs jusqu’à l’intime de la vie d’une personne, seront conservées pendant 12 mois et même, pour les données de connexion, durant 5 ans à compter du recueil. En clair, si vous êtes un possible terroriste théoriquement menaçant, toutes vos métadonnées qui décrivent votre environnement social pourront être gardées en mémoire jusqu’en avril 2020. Il s’agit cependant de plafonds maximums figés par la loi qu’un décret en Conseil d’État pourra raboter, suivant les techniques de renseignement autorisées.

Ce n'est pas tout. Ces plafonds pourront être dépassés dans trois cas. Cela vise :

1. Les renseignements liés à une cyberattaque
2. Les renseignements chiffrés
3. Les renseignements déchiffrés associés à ces derniers

Là, c’est une conservation sans limites de temps, qui ne peut être justifiée que par le besoin d’une analyse technique. La loi assure aussi ces informations ne pourront pas être utilisées pour la surveillance des personnes concernées. (L.822-2).

Une rustine intéressante a été adoptée en commission des lois : les données qui concernent une affaire dont le Conseil d’État a été saisi ne pourront être détruites, histoire d’éviter que les preuves ne s’envolent dans la plus parfaite indifférence. « À l’expiration des délais prévus, elles sont conservées pour les seuls besoins du Conseil d’État » explique désormais le texte.

Toujours sur la question des délais, si « les renseignements ne peuvent être collectés, transcrits ou extraits à d’autres fins » que les sept finalités, (L.822-3) et ce, pour une durée limitée, « les transcriptions ou les extractions [devront] être détruites dès que leur conservation n’est plus indispensable à la réalisation de ces finalités ». En clair, le fruit des recueils sera conservé sans limite de temps. À toutes fins utiles, un registre sera mis là encore à disposition de la CNCTR.

Et si la CNCTR estime que la collecte, la transcription, l’extraction, la conservation, ou la destruction des renseignements se sont fait en méconnaissance des règles ? On appliquera encore une fois l’article L. 821-6 : recommandation, position du Premier ministre, saisine possible du Conseil d’État.

Des crimes et délits découverts fortuitement lors du renseignement

L’article L. 822-6 prévoit un joli cas de figure : lors de ces collectes, un agent du renseignement découvre par hasard un crime ou un délit, même sans lien avec l’une de ces sept finalités. Là, pas de choix : il devra en aviser sans délai le procureur de la République, en lui transmettant les procès-verbaux utiles.

C’est une application bête et méchante de l’article 40 du code de procédure pénale. Par ce biais, tout le mécanisme basculera donc dans une procédure judiciaire classique, à partir d’outils exceptionnels de surveillance administrative, si bien sûr le service ne tarde pas trop à faire jouer cette disposition, laps de temps durant lequel le judiciaire restera écarté... Précision importante : cette transmission au Parquet pourrait visiblement se faire même si les mesures de surveillance étaient à l'origine, illicites.

La CNCTR, comment ça marche ?

La Commission nationale de contrôle n’a pas vu sa composition modifiée en commission des lois. Reprenons donc ce que nous disions dans notre première actualité. Cette autorité administrative indépendante est composée de neuf membres (L. 831-1) :

1. Deux députés
2. Deux sénateurs
3. Deux membres du Conseil d’État (actuels ou retraités)
4. Deux magistrats (actuels ou retraités) de la Cour de cassation
5. Une personnalité qualifiée pour sa connaissance en matière de communications électroniques (nommée sur proposition du président de l’ARCEP)

Seule différence notoire avec la V.1 du texte, c’est maintenant un décret du président de la République qui désignera qui, parmi les membres sera président, lequel ne pourra être choisi que par les magistrats (actifs ou retraités). Classiquement, la voix du président est prépondérante en cas de partage (L. 832-3).

Ces personnes seront désignées pour six années, non renouvelables, à quelques détails près : les parlementaires siègeront pendant toute la législature de l’Assemblée, ou jusqu’au renouvellement par tiers du Sénat. De même, les membres issus du Conseil d’État ou de la Cour de cassation sont renouvelés par moitié tous les trois ans.

Elles pourront démissionner, non être « virées » sauf si la Commission venait à constater un « empêchement » ou « un manquement » dont les modalités sont renvoyées au règlement intérieur. Ces personnalités sont indépendantes, également dans l’exercice de leurs attributions (L.832-1). Elles « ne reçoivent d’instruction d’aucune autorité. »

La fonction de membre de la CNCTR est incompatible avec toute activité professionnelle, tout autre emploi public et tout mandat électif, exception faite des députés et sénateurs qui y siègent. (L.832-2). Autre garantie, les membres de la Commission ne pourront être en liaison d’intérêts directs ou indirects avec les services du renseignement, les FAI, les opérateurs ou les hébergeurs techniques. Cependant, la loi ne prévoit aucune obligation de publier les déclarations publiques d’intérêts de ces personnalités.

En commission des lois, plusieurs voix se sont faites entendre pour dénoncer l’agenda très chargé des députés et sénateurs qui y siégeront. Ils ne peuvent en effet libérer que très difficilement une seule journée par semaine. L’idée a été suggérée de proposer d’anciens députés et sénateurs, mais elle a été repoussée. Autant dire, en conséquence, que la charge de travail de cette autorité administrative indépendante reposera essentiellement sur les épaules des magistrats. Selon le texte, la CNCTR ne pourra délibérer que si au moins quatre membres sont présents. Rappelons à ce titre que le silence gardé par le président sur une demande d’autorisation vaut avis…

Quels seront ses moyens ? Comme analysé précédemment, l’étude d’impact est diablement silencieuse sur les versants économiques du projet de loi. L’article L.832-4, modifié en commission, prévient simplement qu’elle « dispose des moyens humains et techniques nécessaires à l’accomplissement de sa mission ainsi que des crédits correspondants ». Il reviendra finalement à la prochaine loi de finances de lui allouer les fonds nécessaires, sauf à vouloir noyer cette autorité sous un déluge de procédures.

Il n’est plus précisé dans le projet de loi amendé que les agents de la CNCTR seront choisis « en raison de leurs compétences juridiques, économiques et techniques en matière de communications électroniques et de protection des données personnelles ». Ce qui laisse une plus large manœuvre d’actions, même si ce genre de profils sera évidemment précieux.

Cette autorité administrative indépendante verra aussi ses comptes vérifiés par la Cour des comptes (L. 832-4). Cependant, sauf erreur, la loi ne prévoit pas de publication du rapport qui en ressortira.

Les missions de la CNCTR

Conformément à l’article L. 832-5, les membres de la commission pourront prendre connaissance d’éléments couverts par le secret de la défense nationale (article 413-9 du Code pénal). Ils y seront eux aussi soumis, par contagion : « Les agents de la commission doivent être habilités au secret de la défense nationale aux fins d’accéder aux informations et documents nécessaires à l’accomplissement de leur mission » dispose  le projet de loi désormais prêt pour être examiné en séance le 13 avril prochain.

La mission première de la CNCTR (L. 833-1) sera avant tout de « veiller à ce que les techniques de recueil du renseignement soient mises en œuvre sur le territoire national conformément [aux textes] ». À cette fin (art. L. 833-2.), tous, des agents aux ministres, devront faciliter son action (une obligation de moyen, sans sanction particulière). La CNCTR se verra destinataire de toutes les demandes des services mais également de toutes les autorisations accordées par le premier ministre. Elle disposera aussi d’un droit d’accès permanent à toutes les données relevées, collectées, transcrites, centralisées, etc. Un droit d’accès cependant non absolu puisqu’il ne concernera pas la surveillance des communications internationales.

La même CNCTR sera «informée à tout moment (…) des modalités d’exécution des autorisations en cours ». Seul détail, cette information ne se fera qu’ « à sa demande » et non au fil de l’eau…

Au-delà, elle pourra toujours essayer de solliciter du Premier ministre « tous les éléments nécessaires à l’accomplissement de sa mission », mais là encore, cette possibilité ne pourra viser des éléments communiqués par des services étrangers, des organismes internationaux « ou qui pourraient donner connaissance à la commission, directement ou indirectement, de l’identité des sources des services spécialisés de renseignement. »

Pour être mieux éclairée, elle pourra solliciter du premier ministre les éventuels rapports menés en interne sur les services du renseignement (par l’inspection des services du renseignement). Dans le texte initial, c’est le premier ministre qui décidait, ou non, de communiquer d’instinct ces éléments. Cette fois, c’est la CNCTR qui peut solliciter ces documents, nuance importante.

Selon le projet de loi, enfin, la commission « établit chaque année un rapport public dressant le bilan de son activité » (L. 833-2). En commission des lois, il a été précisé que ce rapport devra égrainer :

1. Le nombre de demandes
2. Le nombre de réclamations dont elle a été saisie,
3. Le nombre de fois où elle a sollicité du Premier ministre l’interruption d’un recueil
4. Le nombre de fois où le Premier ministre est passé outre
5. Le nombre d’utilisation des procédures d’urgence
6. Le nombre de fois où la commission a saisi le Conseil d’État.

Quiconque (ou presque) pourra saisir la CNCTR

Si quelqu’un s’estime espionné par les services, il pourra saisir la CNCTR via une réclamation. Il devra d’abord démontrer un « intérêt direct et personnel », histoire d’éviter que tous les paranoïaques en puissance ne se pressent à sa porte. Mais comment démontrer un tel intérêt à agir, face à des opérations couvertes par le secret ?

En commission des lois, il a été cependant confirmé que la CNCTR pourrait également s’autosaisir. Une garantie judicieuse. Dans ce cadre, elle déploie son contrôle pour vérifier que l’éventuel recueil a été correctement mis en œuvre. Une fois son enquête conclue, elle en alerte l’auteur de la réclamation, mais « sans confirmer ni infirmer » de la mise en œuvre de la surveillance (L. 833-3). En interne, si une irrégularité est constatée, on rebascule sur la recommandation au premier ministre, et l’éventuelle saisine du Conseil d’État (L.821-6).

Cela n’a pas été modifié en commission des lois : la CNCTR pourra adresser au Premier ministre, et à tout moment, les observations qu'elle juge utiles (L. 833-5). Ces observations seront (sur option) communiquées à la délégation parlementaire au renseignement. Seulement, dans ce cas, seront caviardés les passages qui permettraient de lever l'anonymat, ou mettraient en péril la sécurité ou la vie d'une personne. De même seront gommés les modes opératoires mis en œuvre. Bref, de la transparence relative. Enfin, histoire de nourrir un peu plus les échanges, à tout moment la commission « peut répondre aux demandes d’avis du Premier ministre, des présidents des assemblées parlementaires et de la délégation parlementaire au renseignement ».

Nouveauté adoptée en commission, elle pourra enfin consulter pour avis l’ARCEP, évidemment dans le respect du secret de la défense nationale. (L. 833-6).

Les recours contre les techniques de renseignement

Ce n’est qu’après avoir saisi la CNCTR qu’un particulier pourra porter le recours devant une juridiction (L. 841-1). Pas n’importe laquelle : La commission des lois donne compétence à une formation spécialisée du Conseil d’État du soin de connaître ces requêtes adressées contre la mise en œuvre des techniques de recueil.

La CNCTR pourra elle-même saisir cette juridiction spéciale, soit après un avis non suivi par le Premier ministre, soit à l’occasion d’une réclamation de toute personne y ayant un intérêt direct et personnel.

Enfin, cette formation pourra être saisie par une autre juridiction, dont la solution dépend de l’examen de la régularité d’une ou plusieurs techniques de recueil. Elle statue alors dans le délai d’un mois.

Recueil de données de connexion sur personnes identifiées

Passons maintenant aux différentes techniques de renseignement présentes dans la trousse à outils des services. Le projet de loi réorganise le code de la sécurité intérieure opposant d’un côté l’accès administratif aux données de connexion, de l’autre sur les interceptions (les écoutes).

Commençons par les premières qui concernent non le contenu des correspondances (voix, texte, vidéo), mais tout le contexte d’un échange : le contrat d’abonnement, l’adresse IP, l’adresse postale, le lieu, la date, les numéros de téléphone, etc.,. Pour installer un tel pipeline, il faudra évidemment l’autorisation du Premier ministre, l’inévitable avis de la CNCTR et heureusement le respect de deux grandes conditions (L.851.3). D’une part, le recueil doit viser des personnes « préalablement identifiées comme présentant une menace ». C’est-à-dire identifiées nommément, par qualité, caractéristiques ou identifiant dixit l’article L821-2. D’autre part, ce recueil est fléché à la seule prévention du terrorisme.

Ces conditions réunies, les agents du renseignement peuvent pomper en temps réel toutes les informations autres que le contenu des échanges « relatifs » à ces personnes. Selon nous, le terme « relatif » ne signifie pas seulement émis ou reçus par ces individus, mais tout ce qui est en relation avec elles, nuance d'ampleur. 

Ce recueil est alors très énergique : les services profiteront alors d’un accès « en temps réel sur les réseaux des opérateurs » pour récupérer des wagons de données de connexion. Il n’y a pas que les opérateurs télécoms qui sont ici visés, s’y ajoutent les sites, les FAI, les hébergeurs, bref, toute la jungle des acteurs du net qui devront tous ouvrir un accès privilégié. Contrairement à la loi de programmation militaire, qui organisait une transmission sur demande, cette fois on change de niveau : l’accès pourra être direct. Les agents entrent, se servent, repartent, sans rien demander à quiconque. Un service tout confort, open bar.

Dernier détail, les acteurs du numérique se verront interdire de révéler la mise en œuvre d’une technique de recueil du renseignement. Le cas échéant, ils risqueront une amende de 375 000 euros. Ce même montant sera dû s’ils refusent « de communiquer les informations ou documents ou de communiquer des renseignements erronés ». Bref, toute résistance sera futile… car coûteuse.

Recueil de données de connexion en cas de (possible) menace terroriste

L’article L. 851-4 est celui sans doute qui suscite le plus de trouble (relire la réaction de l’ASIC ou de Gandi, par exemple). C’est la fameuse boite noire qui concerne cette fois l’hypothèse de personnes non identifiées. Cet article tente de trouver une solution pour anticiper une possible menace terroriste, qu’elle soit fantôme ou finalement bien réelle.

Concrètement, le Premier ministre pourra imposer à tous les acteurs des nouvelles technologies une « boite noire » sur leurs infrastructures (tuyaux, DSLAM, serveurs, etc.), en fait « un dispositif destiné à détecter une menace terroriste sur la base de traitements automatisés ». L’expression de menace terroriste est elle-même très floue, variant selon les sensibilités sécuritaires et anxiogènes.

Mais quelle est exactement cette boite noire, ce dispositif lesté d’algorithmes prédictifs ? Rien n’est décrit précisément dans le projet de loi ou son étude d’impact, laquelle évoque simplement « l’anticipation de la menace attachée aux activités terroristes ». C’est sans doute un chalutage profond de toutes les données de connexion pour tenter de trouver, au tamis,  des signaux faibles. À la barre, un algorithme, et en guise de marins, pourquoi pas du deep packet inspection ? Questionné, Matignon nous a simplement répondu que ces détails seraient discutés avec les opérateurs, sans infirmer notre hypothèse. Une obligation : ce chalutage ne portera que sur les données de connexion, non les contenus, cependant la CNIL a déjà expliqué combien il était simple de retracer toute l'identité d'une personne via ces simples éléments...

Fait important : l’algorithme ne pourra pas procéder à l’identification des personnes concernées. Si les algorithmes « matchent » une possible menace terroriste, cependant, alors le Premier ministre pourra autoriser l’identification des données glanées, après l’avis de la CNCTR. Les services passeront alors à plus musclé, comme c’est déjà prévu par le texte, spécialement à de l’interception judiciaire. On n’ose à peine imaginer les conséquences d’un plantage de l’algorithme, d’un faux positif ou si le logiciel remonte trop tôt dans le précrime.

Nouveauté en commission des lois : pour apporter un peu de lumière dans cette boîte noire, la Commission nationale de contrôle des techniques de renseignement émettra un avis sur le dispositif et les critères des traitements automatisés (pourra-t-elle ausculter techniquement l’algorithme, ou seulement les critères qui le nourriront ?). Elle aura en tout cas un accès permanent à ces traitements et sera informée de toutes les modifications. En cas de doute, jouera l’éternelle recommandation au premier ministre, suivi d’une possible saisine du Conseil d’État.

Boîtes noires, peurs bleues

En commission des lois, toujours, les inquiétudes ont été denses. Sergio Coronado (EELV), par exemple : « La pose de telles boîtes noires fragilise l’ensemble du réseau, d’autant que celles-ci pourront être installées même en l’absence de péril imminent. Il est à noter que le recours à une telle technique n’est actuellement pas possible pour les autorités judiciaires. L’article L. 851-4 qui a trait à la mise en place d’algorithmes est le dispositif le plus contesté. Le principe même de cette technologie consiste à filtrer l’ensemble des données circulant sur un réseau, ce qui nous conduira au système qui a été institué dans certains pays et qui fut parfois dénoncé par des lanceurs d’alerte tels qu’Edward Snowden. Du fait de la rédaction très large du texte, un nombre très important de données et de personnes pourraient être contrôlées à l’aide de ces algorithmes. Par ailleurs, l’anonymat allégué dans le texte est totalement illusoire, car il n’est pas de données sur Internet qui ne puissent être identifiables ni identifiantes ». Son amendement de suppression a cependant été rejeté lors des débats en commission, suite aux avis défavorables du socialiste Jean-Jacques Urvoas et du ministre Bernard Cazeneuve.

Toujours lors de l’examen en commission, Jean-Yves Le Drian, ministre de la Défense a donné un cas pratique que pourrait permettre ce fameux article L.851-4 : « lorsqu’un terroriste décapite un homme dans un pays étranger, des connexions se mettent en place sur notre territoire, pour identifier les réseaux sociaux qui montrent la scène. Un algorithme vérifie immédiatement les connexions qui assurent la diffusion de l’acte terroriste commis en Jordanie, en Iran, en Irak ou en Syrie. Il s’agit non pas de pêche au chalut, mais de ciblage de réseau. Une telle intervention, qui n’existe que dans le cadre de la lutte antiterroriste, ne lèse pas les libertés ». Seul souci, les URL sont considérées comme des données de contenus, non des données de connexion… Erreur ou aveu gênant ?

Bernard Cazeneuve a ajouté son lot de (petites) précisions : « En ce qui concerne la détection sur données anonymes, on ne peut à la fois refuser de recueillir toutes sortes d’informations et rejeter les dispositifs qui permettent de sélectionner les personnes qui doivent être suivies. Les algorithmes permettent justement de cibler les informations dont nous avons besoin. »

De même, il a détaillé (un peu) le mode opératoire : « Les services de renseignement définiront, après avis de la CNCTR, un algorithme permettant de sélectionner des données en fonction de critères préétablis. Ces critères sont précisément destinés à éviter la « pêche au chalut » : ils permettront de sélectionner les caractéristiques spécifiques des modes de communication de personnes engagées dans des activités terroristes (…) Les opérateurs mettront en œuvre le dispositif sur les flux de données de connexion empruntant leurs réseaux. Lorsque l’algorithme détectera un profil correspondant aux critères d’une menace terroriste, ce profil sera communiqué au service de renseignement concerné de manière anonyme. C’est seulement si le service estime que le profil correspond bel et bien à une personne susceptible de représenter une menace terroriste que le Premier ministre pourra, après avis de la CNCTR, autoriser l’identification de la personne. »

La commission des lois a fait sauter au fil des discussions le délai plutôt bref de mise en place de cette boîte noire. Initialement fixé à 30 jours, renouvelables autant de fois, ce délai est maintenant figé dès l’autorisation initiale, soit jusqu’à 4 mois, toujours renouvelables tant que la menace existe, ce qui risque d'être du 365j/an puisque la prévention du terrorisme est dans l'ADN du renseignement.

La localisation en temps réel des personnes et des objets

À l’article L. 851-6, sont décrites d’autres techniques, non plus seulement limitées au terrorisme, mais motivées par la prévention des sept plaies de la loi. Il y a d’abord la mise en place d’un mouchard permettant de localiser en temps réel une personne, un véhicule ou un objet. Là encore, tout passe par une autorisation du Premier ministre, en principe, évitée cependant en cas d’urgence, de menace imminente ou « de risque très élevé de ne pouvoir effectuer l’opération ultérieurement ».

Le dispositif de proximité (IMSI Catcher) largement étendu en commission des lois

Le projet de loi initial initial organise l’installation d’un dispositif technique de proximité (IMSI Catcher), en fait une fausse antenne relai. Sa vocation ? D'une part, aspirer les données de connexion afin d’identifier un équipement terminal ou le numéro d’abonnement de son utilisateur. D’autre part, géolocaliser l’équipement. Ces fausses antennes pourront être installées, après « autorisation spécialement motivée » du Premier ministre, sur un lieu déterminé où ils glaneront tout ce qui passe dans leur spectre. Durée de mise en place maximale ? 6 mois.

En commission des lois, gros changement passé un peu inaperçu dans le dédale technico-juridique du texte : plutôt que d'autoriser un dispositif « de proximité », le texte adopté fait maintenant référence à un « appareil » ou « un dispositif technique » dans le sens de l’actuel article 226-3 du code pénal.

On étend très clairement les capacités de surveillances sous cette discrète référence. L’article en question ne concerne en effet pas seulement les fausses antennes relai, mais vise également tous les « appareils ou dispositifs techniques » qui permettent d’ « ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination » ou « d'en prendre connaissance » ou « d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie électronique ». (L’article 226-3 du Code pénal renvoi à l’article 226-15 du même code). Il voit donc nettement plus large !

Même amendé, le texte prévoit toujours que les informations ou documents recueillis par ce biais seront détruits dans les 30 jours s’ils ne sont pas en rapport avec l’autorisation de mise en œuvre. Sinon, s’appliquera le délai programmé en amont.

Important encore, ces super outils dédiés aux données de connexion pourront également être utilisés pour un autre volet du projet de loi : les interceptions de sécurité, notamment par le déploiement des solutions comme Tempest (surveillance à distance des émissions compromettantes, généralement électromagnétiques).

Les interceptions de sécurité

Après l’aspiration des données, on passe en effet aux écoutes (voix, écrits, vidéo, texte). D'entrée, prévenons d'une nuance qu’on retrouve déjà dans l’actuelle législation : si les autres outils de surveillance doivent répondre à l’une des sept finalités, cette fois, les interceptions pouvant être autorisées seront celles « susceptibles de révéler des renseignements » relatifs à l’une des finalités. Ce n’est pas vraiment la même chose et permet de taper un peu plus à l'aveugle. 

La CNIL l’a regretté, mais le gouvernement et la commission des lois s’en sont peu souciés : les données de connexion afférentes seront aspirées en même temps que les contenus des échanges. Ces écoutes pourront donc se répandre chez les proches de celui qui est écouté, plus exactement chez ceux « susceptibles de jouer un rôle d’intermédiaire, volontaire ou non, pour le compte de cette dernière ou de fournir des informations au titre de la finalité faisant l’objet de l’autorisation ». Un exemple ? Un chauffeur de taxi qui a échangé sans le savoir avec une personne à risque... C’est finalement tout l’environnement social, numérique, sonore, textuel, visuel, professionnel, familial d’un individu qui sera aspiré dès lors que ce tissu est « susceptible » d’être utile pour l’une des sept finalités.

Ces outils pourront être installés et exploités sans autorisation, si urgence, menace imminente ou « risque très élevé de ne pouvoir effectuer l’opération ultérieurement », en suivant la procédure vu plus haut.

En commission des lois, plusieurs mesures ont été adoptées pour assurer une certaine centralisation des interceptions, histoire d’éviter un éparpillement rendant délicat le contrôle de la CNCTR. Le nombre d’interceptions sera comme aujourd’hui contingenté par le Premier ministre (après avis de la CNCTR), sans limites particulières.

Sonorisation des lieux et véhicules et mouchards informatiques

Ces intrusions très profondes dans la vie privée d’une personne ne seront possibles que subsidiairement, si au regard des sept finalités, les renseignements espérés ne peuvent être recueillis par un autre moyen légalement autorisé (L. 853-1.).

Elles seront conditionnées à un avis exprès de la CNCTR (le silence ne vaudra donc pas acceptation). Et si son avis n’est pas suivi par le Premier ministre, deux de ses membres pourront saisir le Conseil d’État afin de trancher le conflit (L.853-1 et L.853-2).

Le projet de loi est généreux, prévoyant l’installation de caméras et micros, même dans un lieu privé. Évidemment, l’inviolabilité du domicile, affichée fièrement au premier article du texte, ne jouera pas. Symbolisme, on vous dit. Autre chose, des mouchards informatiques pourront aussi être placés sur n’importe quel « système automatisé de données ». Selon Matignon, l'expression vise un ordinateur. Mais juridiquement, cela concerne aussi les tablettes, smartphones, les sites internet, les serveurs... bref, n’importe quel bidule qui manipule des flux d’octets.

Cette foire à l’indiscrétion peut durer deux mois, bien entendu renouvelable si nécessaire. Puisqu’on touche aux correspondances, les données collectées devront cependant être détruites au plus tard à l’expiration d’un délai d’un mois à compter de leur enregistrement.

Ces opérations seront mises en œuvre sous le contrôle de la CNCTR qui pourra solliciter leur interruption et la destruction des renseignements collectés.

Les mesures de surveillance internationale

La loi prévoit un régime à part pour le renseignement sur les communications internationales (L. 854-1). Cette hypothèse vise par exemple un émetteur en France et un récepteur à l’étranger. Concrètement, s’il y a un tel élément d’extranéité, l’autorisation initiale du Premier ministre n’est plus soumise à l’avis de la CNCTR.

En amont, la CNCTR se contentera d’intervenir que lors de la rédaction des décrets encadrant ces mesures (conditions d’exploitation, de conservation et de destruction des renseignements collectés, etc.) et pour leur mise en œuvre, histoire de vérifier si droit et pratiques sont en phase. Elle rédigera enfin un rapport tous les semestres. L’exploitation des données sera sous la responsabilité du Premier ministre.

Comme mis en lumière par l’ARCEP, ce dispositif pose d’autres soucis. Il sera parfois « délicat pour les opérateurs de déterminer de manière suffisamment certaine le régime dont relèvent les communications internationales émises ou reçues sur le territoire national ». Imaginons en effet des émetteurs et des récepteurs en France, mais qui empruntent des voies internationales (exemple : un VPN à l’étranger). Est-on dans un cas français ou étranger ?

Le projet de loi apporte un peu d’eau au moulin : lorsqu’une communication renvoie à des numéros d’abonnement ou à des identifiants techniques rattachables au territoire national ou à des personnes surveillées en France, les données seront conservées et détruites conformément aux règles en vigueur dans notre pays, sous le contrôle de la CNCTR. Avec une nuance : « le délai de conservation des correspondances court à compter de la date de leur première exploitation » et non du recueil comme c’est le cas dans les hypothèses franco-françaises.

Contrairement à ce que nous avions (mal) précisé dans notre première actualité, la CNCTR pourra intervenir a posteriori, de sa propre initiative ou sur réclamation de toute personne y ayant un intérêt direct et personnel. L’objet ? S’assurer que les mesures mises en œuvre respectent les conditions des deux décrets. Seulement, la Commission n’a semble-t-il pas possibilité de saisir une quelconque juridiction, laissant une liberté encore plus vaste à l’exécutif. La CNCTR n’aura en tout cas aucun accès permanent « aux relevés, registres, renseignements collectés, transcriptions et extractions » conformément à l’article L.833-2.

Davantage de pression dans l’univers de la cryptographie

Un amendement porté par Jean-Jacques Urvoas, et adopté en Commission des lois, va aussi obliger les prestataires de cryptologie à remettre désormais « sans délai » les clefs de déchiffrement aux services du renseignement.

À ce jour, l’article L244-1 du Code de la sécurité intérieure (CSI) oblige ceux qui fournissent des prestations de cryptologie à « remettre aux agents (…) sur leur demande, les conventions permettant le déchiffrement des données transformées au moyen des prestations qu'ils ont fournies ». Dans son amendement, Urvoas accentue la pression sur ces acteurs en exigeant une fourniture des clefs le plus rapidement possible (« sans délai », article L 871-1) : « cet amendement prévoit de contraindre les personnes physiques ou morales qui fournissent des prestations de cryptologie à remettre sans délai aux agents des services de renseignement les clés de déchiffrement des données transformées au moyen des prestations qu'elles ont fournies » a éclairé le député PS.

Selon l'article L245-2 du CSI, le fait de ne pas déférer aux demandes des autorités habilitées est puni de deux ans d'emprisonnement et de 30 000 euros d'amende…

Un piratage informatique légal

Sur le terrain international, nos services du renseignement profiteront d’un beau visa. Comme déjà expliqué, selon l’article 10 du projet de loi, le droit pénal de l’informatique leur sera inapplicable dans cette sphère extraterritoriale. Dans le jargon, c’est là une exceptionnelle « excuse pénale. »

Les services pourront donc pirater, modifier, effacer, copier, enregistrer tout ce bon leur semble, dès lors qu’on reste vissé à l’une des sept finalités. Jamais ils ne risqueront de se voir condamner à une quelconque amende ou peine de prison (sauf cas exceptionnel : pays mis à feu et à sang, etc.). Le périmètre géographique pose aussi des questions ici : quelle est la nationalité d'une donnée, d'un serveur ? Qui sera juge pour l'apprécier ? Quid des Français se retrouvant sur un serveur basé à Cuba ?

Cette disposition a été simplement corrigée à la marge en commission des lois, malgré les inquiétudes de Sergio Coronado (EELV).

Le Conseil d’État et la mise en œuvre des techniques de renseignement

Le Conseil d’État sera la juridiction de premier choix pour ces dossiers sensibles (L. 841-1). Il sera susceptible d’être saisi par trois voies :

Par toute personne « ayant un intérêt direct et personnel » et qui aura préalablement pris soin de saisir la Commission, afin de faire vérifier les activités de renseignement.

Par la CNCTR en cas d’autorisation accordée illégalement, de techniques de renseignement qui dépassent les bornes.

Par une autre juridiction lorsqu’une affaire met en cause le secret de la défense nationale. Il doit alors statuer dans le délai d’un mois à compter de la décision de saisine de la juridiction de renvoi.

Sa compétence est en premier et dernier ressort (Art. L. 311-4-1). Toutefois, c’est une formation spécialisée de la juridiction qui intervient ici (Art. L. 773-2), le secret de la défense nationale interdisant la moindre publicité des débats (huis clos total). Cette formation sera composée de trois membres du Conseil d’État. Ils pourront heureusement soulever d’office tout moyen qui n’aurait pas été signalé par la CNCTR par exemple. En cas de contentieux, les membres de cette juridiction ont accès aux pièces du dossier et la CNCTR peut être entendue.

Si le Conseil d’État constate l’absence d’illégalité (pas de surveillance ou surveillance régulière) sa décision indique au requérant simplement « qu’aucune illégalité n’a été commise » : Il lui sera interdit de confirmer ou infirmer « la mise en œuvre d’une technique ». Au contraire, s’il constate une illégalité, il pourra (ce n’est pas obligatoire) d’un, annuler l’autorisation du recueil, de deux, ordonner la destruction des renseignements irrégulièrement collectés. Dans un tel cas, le requérant est informé de l’illégalité et l’État peut être condamné à indemniser son éventuel préjudice.

Lorsque la même juridiction estime que l’illégalité constatée est susceptible de constituer une infraction, elle doit en aviser le procureur de la République et transmettre l’ensemble des éléments du dossier à la CNCTR. Celle-ci donnera son avis au Premier ministre, qui pourra, s'il le veut, alors déclassifier tout ou partie des pièces en vue de leur transmission au procureur de la République. Autant dire, de l'hypothétique.

TRACFIN : un droit de communication élargi

Le gouvernement profite de l’occasion pour accroître les pouvoirs de communication des agents de TRACFIN (renseignement financier national). Ils obtiendront auprès de toute entreprise de transport (terre, fer, mer, air) opérateur de voyage, voire de séjour tous «les éléments d’identification des personnes ayant payé ou bénéficié d’une prestation ainsi que les dates, les heures et les lieux de départ et d’arrivée de ces personnes et, s’il y a lieu, les éléments d’information en sa possession relatifs aux bagages et aux marchandises transportés. »

Dans le même sens, « les opérateurs de transport routier proposant des prestations internationales sont tenus de recueillir l’identité des passagers transportés et de conserver cette information pendant une durée d’un an. » (L. 561-26 du code monétaire et financier)

La CNIL a finalement été entendue en Commission des lois, après s’être plaint du manque de précision du projet de loi initial.

Big data et contrôle du fichage

Toutes les informations glanées lors de ces différentes opérations feront l’objet d’un fichage dont les éléments pourront être croisés à d’autres fichiers de police déjà en place. Soit un joli big data.

Le projet de loi vient du coup modifier le droit d’accès indirect reconnu aux citoyens (article 11 du projet de loi). En principe, quand est en cause la sûreté, la défense ou la sécurité publique, il faut passer par l’intermédiaire de la CNIL pour contrôler ces mécanismes. En cas de contentieux, le projet de loi adapte toutefois le principe du contradictoire normalement respecté en raison de « la nature particulière des traitements concernés ».

Dans un tel cas, en effet, la juridiction chargée de trancher un contentieux ne pourra ni révéler ni préciser si le requérant figure ou non dans le traitement en cause. Celui-ci ne disposera d’informations que si des données personnelles le concernant sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite. Et encore… C’est une simple option ouverte à la juridiction, qui pourra donc décider de ne rien dire. Sur ce terrain, l'ASIC a de son côté demandé à ce que la CNIL soit davantage mise dans la boucle. On verra en séance, à partir du 13 avril prochain, si ces voeux seront entendus.