Le projet de loi sur le renseignement sera examiné la semaine prochaine au Sénat. Après avoir été voté par les députés, le texte suscite des doutes et inquiétudes, même chez les élus socialistes. C’est en tout cas ce qui ressort de plusieurs amendements déposés par le groupe, notamment s’agissant de l’ampleur des données qui pourront être aspirées par les services. Analyse.
Souvenez-vous. La question avait soulevé des débats passionnés et passionnants lors de la discussion du projet de loi de programmation militaire en 2013. Pour synthétiser, l’article 20 de cette LPM autorise désormais les services du renseignement à se faire délivrer, sur demande, les « documents » et « informations » détenus par les acteurs du numérique, avec en tête les opérateurs et les hébergeurs. Il leur suffit de justifier la recherche de renseignements liés notamment à la sécurité nationale, la prévention du terrorisme, la criminalité et la délinquance organisées ou « la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France », et hop !
Le projet de loi sur le renseignement déjà voté par les députés et discuté la semaine prochaine au Sénat, ouvre davantage ces vannes : outre le fait que les finalités sont élargies, désormais l’accès à ces mêmes éléments pourra se faire directement, et non plus sur demande. Nuance ! En somme, il permet l’installation d’un pipeline afin que les services puissent puiser des pans entiers de la vie privée des citoyens, notamment des internautes. Un accès direct qui avait évidemment suscité les craintes de la CNIL en mars dernier (toujours vivaces, sur d'autres plans, cependant).
La LPM et les informations et documents aspirés par les services du renseignement
Les notions « d’informations » et « documents » sont depuis codifiées à l’article L.246-1 du Code de la sécurité intérieure. Nous le disions, elles avaient, dès l’origine, suscité un grand trouble chez les acteurs. Pour les uns, ces termes trop larges pourraient autoriser l’aspiration de contenus évidemment très secrets attachés à une personne physique ou une entreprise. Le gouvernement avait tenté d’éteindre l’incendie : ne vous attachez pas à la lettre de ces expressions, celles-ci ne visent juridiquement que les données de connexion, et donc « seulement » ce qui encapsule un échange (IP, numéro de téléphone appelé, appelant, géolocalisation, etc.). Pour témoigner de sa bonne foi, il a utilement rappelé que ce fameux article L.246-1 est rangé dans le Code, au creux du le chapitre lié « aux données de connexion ».
Sauf qu’il y a un possible loup. Cet article, voté notamment par les sénateurs PS, donne en effet de nombreux exemples « d’informations » et « documents » qui sont tous des données de connexion, avec un détail d’ampleur : la liste est ouverte du fait de l’usage de l’expression « y compris » (suivie de l’inventaire à la Prévert).
Cependant, fin 2014, son décret d’application a bien précisé qu’ « informations et documents » ne visent que les caractéristiques techniques, la date, l'horaire et la durée de chaque communication les données d’identification, les types de protocoles, les informations fournies lors de la souscription d’un contrat d’abonnement, etc. sans oublier les mots de passe et les données permettant de le vérifier ou de le modifier… Surtout, la liste est désormais fermée, à la grande satisfaction de la CNIL. Ouf ! Sauf que les juristes nous diront qu’un autre décret pris par le gouvernement pourrait parfaitement revoir cette philosophie afin d’exploiter la brèche législative !
Le projet de loi Renseignement accentue le trouble, les sénateurs PS aux aguets
Bref. Revenons maintenant au projet de loi sur le renseignement. Pourquoi ? Car les mêmes sénateurs PS s’inquiètent finalement du flou de ces expressions qu’ils avaient avalisées en 2013. C’est ce qui ressort de plusieurs amendements qu’ils ont déposés en vue de l’examen en séance, la semaine prochaine.
Ainsi l’amendement 155 du groupe socialiste veut corriger la faculté pour les services « de recueillir les informations ou documents » auprès des acteurs du numérique et des télécommunications. Ces sénateurs préfèreraient qu’on autorise la pêche aux seules « données de connexion », afin de suivre l'encadrement initié en Commission des lois.
Même logique avec l’amendement 156, qui autorise justement l’accès des services aux données des acteurs du numérique, initié par la LPM (les sondes).
L’amendement 157 est encore plus parlant. Il concerne les « boîtes noires », ces algorithmes prédictifs censés deviner une possible menace terroriste en auscultant les signaux faibles dans la masse « d’informations » et « documents » disponible sur les réseaux et les serveurs. Les sénateurs PS y devinent « la possibilité, à des fins de prévention du terrorisme, d’une collecte massive et d’un traitement généralisé de données », pas moins.
Surtout, ils critiquent le texte du gouvernement en ce sens que « l’argument selon lequel cette surveillance porte initialement sur des données ne permettant pas l’identification d’une personne, traitées de façon automatique et algorithmique, ne saurait offrir de garanties suffisantes. Cet argument est d’ailleurs traditionnellement avancé à l’appui de la surveillance généralisée, qui a recours à des algorithmes qui lisent et exploitent des volumes massifs de données ». Ils s’interrogent même sur sa conformité avec la jurisprudence européenne (l’arrêt Digital Rights Ireland du 8 avril 2014, pour les spécialistes) qui rappelle que tout traitement de ce type doit être ciblé et proportionné.
Bref, dans leur amendement, ils comptent interdire la « reproduction durable, provisoire, transitoire ou accessoire des informations et documents, même anonymisés », traités par l’algorithme, espérant en creux concentrer la boîte noire au strict minimum. Selon eux, cette rustine s’impose, car « il serait particulièrement préoccupant que des « effets de brèche » conduisent à l’élargissement de ce dispositif à d’autres finalités que la prévention du terrorisme. C’est pourquoi il est proposé des garanties supplémentaires pour renforcer la protection de libertés fondamentales ». Chiche ?
On notera qu'il aurait été plus efficace de s'attaquer directement à l'article L246-1 du Code de la sécurité intérieure plutôt que sa périmétrie, si le problème est considéré comme réel. Les sénateurs n'ont pas fait ce choix. En attendant, ce sujet central est à l'honneur d'une question prioritaire de constitutionnalité initiée par La Quadrature du Net, la FDN et la FFDN qui, consacrée par le Conseil constitutionnel, pourrait menacer les versants les plus intrusifs de tous les textes de surveillance.
