Hier, Catherine Morin-Dessailly, sénatrice de l’Union des démocrates indépendants (UDI), organisait un débat à Paris autour du thème « Comment concilier le droit à la sécurité et les libertés publiques ? ». Nous avons à cette occasion interrogé la présidente de la CNIL en visant spécialement le projet de loi Renseignement.
Plus de sécurité pour moins de libertés, ou plus de sécurité pour mieux les protéger ? La question, vielle comme les philosophes grecs, a été relancée lors des débats autour du projet de loi sur le renseignement. Un texte complexe qui n’évite pas les critiques anticipant notamment des outils de surveillance de masse. Une simple requête sur un moteur (ou un autre) témoigne de leur popularité.
Qu’en dit justement la CNIL sur cette possible surveillance de masse ? « Est-ce que la CNIL considère que le projet de loi répond à toutes les questions relatives à la surveillance, si ce n’est de masse, en tout cas extrêmement importante ? La réponse est non » nous a rétorqué sans détour la présidente de la Commission, Isabelle Falque-Pierrotin, hier lors de cet échange au siège de l’UDI. Selon elle, donc, le projet de loi institue bien et à tout le moins, une surveillance « extrêmement importante » des réseaux, ou en tout cas ne prévient pas d'un tel risque.
Elle le concède dans la foulée : « Il y a eu des améliorations qui ont été faites au texte à la suite de l’avis de la CNIL du 5 mars et de l’avis du Conseil d’État. Nous avions demandé que le dispositif soit resserré, que ces nouvelles techniques, sans entrer dans le détail, puissent être plus finement mise en œuvre, avec des principes de subsidiarité ou que certains outils soient utilisés que pour certaines finalités, etc. Le gouvernement et le Parlement ont pour partie répondu à ça » (voir notre actualité sur cette réponse partielle).
Selon la CNIL, « il n’y a aucun contrôle » en aval du renseignement
Bref, il y a du mieux. Mais ce travail d’encadrement est resté au milieu du gué : « En revanche, le texte n'a absolument pas progressé par rapport à ce déséquilibre initial que nous observions et qui existe toujours : la collecte via ces nouvelles techniques est encadrée par la Commission nationale de contrôle des techniques de renseignement, mais une fois que la donnée entre dans le système et alimente les fichiers des renseignements, il n’y a aucun contrôle. »
Toujours selon la présidente de la CNIL, il y a donc « une forme de déséquilibre entre le contrôle amont de la donnée que le gouvernement et le Parlement veulent robuste, et son contrôle en aval qui aujourd’hui est inexistant. Nous avons dit que ce dispositif n’est pas raisonnable, et nous souhaitons que la CNIL puisse être chargée du contrôle des fichiers en aval, alimentés via ces nouvelles techniques de collecte. »
Le gouvernement alerté par la CNIL depuis de longs mois
Le gouvernement agit donc en pleine connaissance de cause puisque de l’aveu même d’Isabelle Falque-Pierrotin, « c’est une proposition que nous avons faite depuis de nombreux mois au ministre de l’Intérieur et au Premier ministre. Pour le moment, nous n’avons pas été entendus. Ce qui est intéressant c’est que le G29, le groupe des CNIL européennes, s’est penché sur l’ensemble des questions de la surveillance. Il y a quelques mois, entre des autorités venues d’horizons aussi divers que la Pologne et le Royaume-Uni, le G29 a souligné la nécessité que les services du renseignement fassent l’objet, dans leurs fichiers, d’un contrôle externe et indépendant au sein duquel les autorités de protection des données doivent jouer un rôle. Aujourd’hui, on a une hyper collecte via ces nouvelles techniques et on n’a pas de contrôle des fichiers du renseignement. On en est là. J’espère que la discussion au Sénat va apporter des réponses. »
Les membres de la CNCTR risquent de se faire « enfumer »
Également présent autour de la table, Bernard Benhamou, secrétaire général de l’institut de la souveraineté numérique, a embrayé sur ce thème : selon lui, les boîtes noires, ou l’utilisation d’algorithmes pour surveiller la menace terroriste, ne serviront tout simplement à rien. Prenant appui sur l’ouvrage de Bruce Schneir (« Data and Goliath »), il rappelle que « cela a été prouvé y compris dans un rapport rendu à la demande de la Maison Blanche il y a quelques mois. »
En toute évidence, de son point de vue, le projet de loi instaure bien une surveillance massive des données de connexion : « Fondamentalement, ces outils sont des outils de surveillance de masse. L’analyse des métadonnées ne sert qu’à la surveillance de masse, non aux enquêtes ciblées où généralement, il est plus intéressant d’aller dans le contenu. Là-dessus, on a eu une forme, dans le meilleur des cas de manque de connaissances techniques, dans le pire des cas, d’intoxication par certains qui ont vu qu’en face la résistance était faible sur les questions techniques ». Jean-Manuel Rozan et Éric Leandi, cofondateurs du moteur de recherche QWANT, épauleront ces propos en soulignant le déficit de confiance que va instaurer le projet de loi pour les acteurs du numérique.
En tout cas, alors que la CNIL se satisfait des avancées du contrôle en amont, Bernard Benhamou est plus circonspect : « L'une des critiques qu’on fait à bon droit sur le projet de loi Renseignement, c’est qu’effectivement la CNCTR n’a qu’une seule personne représentant « l’expertise technique » [un représentant désigné par l’ARCEP, ndlr]. Même le très posé INRIA (Institut national de recherche en informatique et en automatique) s’en est ému car, quelle que soit la qualité des élus ou des magistrats qui y siègeront, ils pourront être « enfumés » assez rapidement par des techniciens qui, eux, maîtrisent ces outils. C’est un propos « Lessigien » que nous connaissons depuis plusieurs années : celui qui a finalement toujours raison, c’est celui qui est dans le code. »
Une collecte très « importante » qui n’évitera pas les professions sensibles
En marge de cet échange, nous avons encore demandé à la présidente de la CNIL comment les fausses antennes relai (IMSI catcher), aptes à aspirer les secrets des téléphones passant dans son spectre, mais aussi les sondes installées chez les acteurs du numérique ou encore les algorithmes, sauront épargner les métadonnées issues des professions « protégées » (journalistes, parlementaires, avocats, magistrats, voire médecins). Réponse d’Isabelle Falque-Pierrotin ? « Je ne saurais pas vous répondre. »