Alors que le projet de loi sur le renseignement a été adopté hier au Sénat et sera débattu à l’Assemblée nationale dans sa version finale, la Quadrature du Net, French Data Network et la Fédération FDN ont révélé leur mémoire visant à accompagner la saisine attendue du Conseil constitutionnel. Résumé des principaux points.
Le document sera ouvert à commentaire jusqu’à jeudi matin afin de permettre à quiconque d’apporter son utile contribution pour armer les arguments. Rappelons que cette intervention volontaire n’engage pas le Conseil constitutionnel qui peut l’ignorer superbement, ou bien s’en servir utilement. Pour cet amicus curiae (ou « porte étroite »), « l'équipe de juristes bénévoles et analystes de La Quadrature du Net, de French Data Network et de la Fédération FDN ont travaillé durant les dernières semaines pour produire cette analyse juridique et technique de la loi. Toutes les mesures ne sont pas passées au crible, le mémoire s'attachant principalement aux dispositions relatives à la surveillance des communications sur Internet. Mais au final, ce travail collectif aboutit à un document de plus d'une centaine de pages ».
Ce document sera très précieux pour les députés qui terminent actuellement les dernières touches de leur propre saisine (une version du projet révélée dans nos colonnes). Une centaine d’entre eux ont déjà signé cette procédure initiée par Laure de la Raudière et Pierre Lellouche (Les Républicains) avec là une différence notable : le Conseil constitutionnel est tenu cette fois de répondre aux éléments mis en cause. Autant dire que le mémoire est d’une utilité forte pour assurer la complétude de la saisine et éviter de laisser des angles morts. Mais quels sont les points saillants du mémoire de la Quadrature, FDN et FFDN ? Dans les 118 pages du document, ils dégomment...
Des finalités trop floues
Les finalités de la loi qui permettent aux services de déployer la surveillance sont estimées trop larges, parfois inintelligibles, elles seraient au surplus disproportionnées. Ainsi « La notion "d’intérêts économiques, industriels et scientifiques majeurs de la France" n’est définie par aucune disposition constitutionnelle ou légale. Dès lors, une telle finalité justifierait la surveillance de toute personne dont le comportement est simplement susceptible de nuire à la promotion des intérêts individuels d’un grand nombre d’entreprises françaises ; elle est ainsi manifestement disproportionnée au regard des atteintes faites aux droits et libertés fondamentaux de ces personnes ». Problème, ces flous augmenteraient dans le même temps les compétences du pouvoir exécutif alors que seul le législateur peut porter ainsi atteinte à la vie privée (cas « d’incompétence négative »).
L’amplitude de la surveillance définie par décret
Les services autorisés à techno-surveiller seront désignés par un décret gouvernemental. Selon le mémoire, la loi a fait preuve là encore de trop grandes générosités à l’égard de l’exécutif : « le risque que les techniques autorisées par la présente loi soient mises en œuvre en violation de celle-ci est proportionnel au nombre d’agents et de services pouvant les réaliser et, partant, la limitation de ce nombre était une garantie fondamentale au respect des droits en cause que le législateur aurait dû prendre et n’a pas prise. »
L’expression « d’informations ou documents »
Ces notions définissent la moelle du renseignement, en fait les données que peuvent aspirer les outils de surveillance via notamment les boites noires (algorithmes), les sondes, etc. Le souci, qui préexiste à la loi Renseignement mais qui est désormais amplifié, a déjà été expliqué lors de la question prioritaire de constitutionnalité initiée par les mêmes auteurs du mémoire.
En effet, la loi ne définit par ces dispositions et les débats n’ont pas été bien éclairants. Ils évoquent coup sur coup des métadonnées, des données de connexion voire « d’autres documents » également. Pas simple, mais pourtant crucial : sans définition stricte, voilà l’exécutif autorisé à des atteintes encore plus profondes dans notre vie privée. Le bug est d’autant plus patent que le périmètre des personnes manipulant ces « informations et documents » n’est pas clairement dressé. Les interprétations divergent spécialement sur l’inclusion ou non des services de correspondances privées. Ce flou est pourtant embêtant puisque c’est l’ensemble des échanges de la population qui est en jeu… Dans tous les cas, les auteurs du mémoire considèrent que la gravité de l’atteinte à la vie privée est équivalente, que ce soit lorsqu’on accède aux contenus ou aux données les encapsulant.
Les outils de surveillance
Le mémoire dézingue aussi les durées de conservation des communications chiffrées : jugées trop longues (6 ans voire indéfiniment suivant les hypothèses et les versions), alors même que les données chiffrées sont par définition des données de contenu.
Sur les boites noires, les auteurs du mémoire ont beau relire les débats : « au plan technique, les explications fournies par le Gouvernement (…) n’ont pas permis de déterminer exactement quel serait le fonctionnement des boîtes noires algorithmiques ». Le document analyse donc de bout en bout les points sombres de cet outil censé anticiper une menace terroriste en avalant et disséquant des « informations ou documents » aux contours non précisés. Inefficace, disproportionné, soulevant le risque d'un profilage potentiel, automatisé de la population, considèrent la Quadrature, FDN et FFDN.
La captation de paroles, d’images et de données sur les « systèmes informatiques » pose aussi des soucis. Les notions sont mal définies, spécialement celle de « système informatique » dont on ne connaît pas exactement les bornes. Il y a donc encore et toujours une incompétence négative du législateur au profit de l’exécutif alors que sont en jeux des libertés fondamentales. Autre chose, les infractions justifiant la mise en œuvre de ces outils de surveillance n’est pas clairement définie, il y a là une potentielle atteinte grave aux dispositions constitutionnelles.
Les mesures de surveillances internationales font l’objet d’une attention succulente alors que depuis a éclaté le scandale FranceLeaks : « En vertu de l’article L. 854-1 sur la surveillance internationale, les agences de renseignement françaises pourront légalement, à l’instar de leurs homologues anglo-saxonnes, intercepter massivement les flux internationaux partout dans le monde (c’est-à-dire correspondant aux trois derniers cas mentionnés ci-dessus), France comprise, pour ensuite stocker, traiter et analyser ces données sur le territoire national, notamment dans les locaux franciliens de la DGSE. » Les communications émises ou reçues de l’étranger, au-delà de leur flou, feront ainsi l’objet d’un dispositif particulier puisqu’il n’y aura pas d’avis préalable de la CNCTR, et le décret qui encadrera leur surveillance ne sera pas publié. Qui plus est, le contrôle a posteriori de la CNCTR ne sera que minime. Autre chose, les critères techniques de rattachement font que des pans entiers des échanges impliquant des personnes en France tomberont sous le coup de la surveillance internationale (ex. : un internaute alsacien qui utilise Gmail…)
Des contrôles insuffisants
Au stade du contrôle, le mémoire considère qu’un contrôle juridictionnel préalable s’impose compte tenu de l’article 66 de la Constitution qui fait de l’autorité judiciaire la gardienne de la liberté individuelle. « Une mesure susceptible de porter une atteinte particulièrement grave au respect au droit à la vie privée peut être de nature à porter atteinte à la liberté individuelle » soutiennent les auteurs dans leur argumentation, pointant un doigt accusateur sur l’ensemble des dispositifs de surveillance. Le seul contrôle préalable organisé par le texte est celui de la CNCTR, mais il serait selon eux ineffectif. Son intervention est consultative, facultative (son silence vaut acceptation à la demande de mise en place d’une surveillance, même d’ampleur), voire esquivée pour les procédures d’urgence et à l’international.
L’insuffisance des garanties apportées aux professions dont le secret est protégé (journalistes, parlementaires, magistrats, avocats) est également dénoncée. Le texte zappe par ailleurs d’autres activités attachées à la personne (secret médical)
Le contrôle a posteriori serait tout autant trop limité. Il y a le cas des lanceurs d’alerte, réduit au silence suite à un amendement gouvernemental de dernière minute, le fait que les violations liées à la surveillance secrète ne soient pas publiées, le tout dans le cadre d’un contrôle jugé inopérant de la CNCTR. Il ne peut en effet pas concerner les opérations non autorisées, et la saisine du Conseil d’État n’est qu’optionnelle alors même que des illégalités sont constatées. Là, devant ce juge administratif, le principe de l’égalité des armes n’est même pas respecté. « Alors que le requérant ne sait pas quelles mesures ont été prises contre lui, l’administration, elle, le sait ».
D’ailleurs, quand la justice pénale est saisie d’une violation de la vie privée ou d’une atteinte relevant de ses compétences, elle se heurte au secret défense dont la levée est une prérogative gouvernementale. « Le législateur aurait dû octroyer au Conseil d’État un pouvoir de déclassification des documents secret-défense soumis par l’administration au cours de la procédure dès lors qu’il estime que le secret n’est pas justifié, afin que ces pièces puissent être transmises au requérant ou, le cas échéant, au procureur. »
En fin de route, le mémoire dégomme aussi le cavalier législatif visant à aggraver les sanctions pénales en cas de fraude informatique, disposition sans lien avec l’activité du renseignement.