Rendre légales des pratiques « alégales ». Voilà comment l’Intérieur a vendu le projet de loi sur le renseignement. Cependant, une disposition du texte pourra être exploitée par ses opposants pour gripper une partie de ce système trop bien huilé.
Adopté le 5 mai dernier par les députés, le projet de loi sur le renseignement sera examiné dans les prochaines semaines par les sénateurs. Le texte prévoit tout un arsenal de mesures technicojuridiques pour permettre aux services de déployer des mesures très intrusives dans la vie privée des citoyens français, mais également des étrangers. L’une d’elles, présentée comme garante du respect des droits, est inscrite au futur article L833-3 du code de la sécurité intérieure, programmé par le projet.
Toute personne ayant un intérêt direct et personnel peut saisir la CNCTR
Elle prévoit que « de sa propre initiative ou lorsqu’elle est saisie d’une réclamation de toute personne y ayant un intérêt direct et personnel », la commission nationale du contrôle des techniques de renseignement doit procéder « au contrôle de la ou des techniques invoquées en vue de vérifier qu’elles ont été ou sont mises en œuvre dans le respect » du texte. En clair, quiconque s’estime être surveillé, peut saisir cette fameuse commission destinée à surveiller les surveillants.
Une fois l’instruction terminée, la CNCTR « notifie à l’auteur de la réclamation qu’il a été procédé aux vérifications nécessaires, sans confirmer ni infirmer leur mise en œuvre ». En interne, si elle constate qu’une autorisation a été accordée par l’exécutif en violation de la loi, elle adresse au service du renseignement et au Premier ministre une recommandation pour les inciter à tout interrompre et à supprimer les données collectées. Si rien n’est fait, elle peut décider de saisir le Conseil d’État. Ce droit d’accès au juge administratif est également reconnu aux personnes « ayant un intérêt direct et personnel et justifiant de la mise en œuvre préalable de la procédure prévue à l’article L. 833-3. »
Une possible attaque DDoS
Voilà pour la théorie. Seulement, en pratique, cet article ouvre la voie à une belle attaque par déni de service (« DDoS ») afin de saturer ces jolis rouages. Imaginons : que se passera-t-il si 10 000 personnes demandent chaque mois à la CNCTR si la surveillance dont elles pourraient être l'objet est légale ? Il leur suffirait de mettre en avant les critères flous de « intérêt direct et personnel », par exemple parce qu’elles ont utilisé un service en ligne chiffré ou des VPN.
Pourquoi ces exemples en particulier ? Dans l’hémicycle, le 15 avril dernier , Bernard Cazeneuve a révélé quelques critères qui viendront exciter les algorithmes des boites noires, ceux destinés à anticiper une possible menace terroriste à coup d’instructions informatiques :
« On sait que, et cela a été le cas dans les attentats du mois de janvier, des terroristes utilisent, pour poster des vidéos appelant au terrorisme et faisant la publicité d’actes terroristes qu’ils ont déjà commis, une multitude d’adresses IP qui se masquent les unes les autres, à partir de messages postés depuis différentes boîtes situées partout sur la planète. En tant que ministre de l’intérieur, chargé donc de prévenir la survenue d’actes de terrorisme, lorsque mes services, dont la haute compétence, monsieur Tardy, est reconnue de ceux qui, au Parlement et dans l’exécutif, ont la charge de les contrôler ou d’en assurer la direction, m’ont dit qu’il était possible, grâce à des algorithmes, de détecter des comportements et d’identifier des individus susceptibles de passer à l’acte, eh bien oui, j’ai souhaité utiliser en toute transparence ces techniques ! »
Gare à l'effet boomerang
Certes, les sénateurs ou les parlementaires de la commission mixte paritaire ont chacun une fenêtre pour boucher cette faille, mais le Conseil constitutionnel appréciera-t-il cet exercice encore moins effectif de l’accès à la justice ? D'autant que les organisateurs d'une telle opération devront agir avec un certain doigté : la loi du 12 avril 2000 relative aux droits des citoyens dans leurs relations avec les administrations a réaffirmé la possibilité pour une autorité administrative d'écarter les demandes considérées par elle comme abusives, notamment par leur nombre, leur caractère répétitif ou systématique. Autre hic, qui devrait ravir l’Intérieur : si la CNCTR est noyée par ces procédures, elle ne sera plus en capacité d’analyser les demandes d’autorisation que doit lui adresser pour avis le Premier ministre. Or, comme l’a programmé le projet de loi dès sa version initiale, « en l’absence d’avis dans les délais prévus (…), celui-ci est réputé rendu ».
