La Délégation parlementaire au renseignement (DPR) a mis en ligne son rapport 2016 sur le site de l’Assemblée nationale. Dans le document, plusieurs pistes sont suggérées pour réformer l’activité de renseignement, en prônant une extension des activités de surveillance.
Le rapport de plus de 90 pages dresse un bilan de la loi renseignement et celle sur la surveillance des communications électroniques internationales. Il propose surtout plusieurs réformes dans le cœur de ces textes afin de faciliter les mesures de surveillance. Dans le détail, elles concernent le L. 851-2 et plusieurs autres articles du Code de la sécurité intérieure. Explications.
Étendre la surveillance en temps réel à des « listes » de personnes (L. 851-2)
Cet article permettait à l’origine aux services du renseignement d’aspirer en temps réel, et directement, les données de connexion d’une personne identifiée comme présentant « une menace », afin de prévenir le risque terroriste.
La loi du 21 juillet 2016 ne s'est pas contentée de proroger une nouvelle fois l’état d’urgence. Comme expliqué, elle a modifié ce spectre défini à l’article L. 851-2 du Code de la sécurité intérieure. La surveillance a été étendue aux personnes identifiées comme simplement « susceptibles d'être en lien » avec une telle menace. Désormais également, le recueil est aussi autorisé à l’égard de chacune des personnes appartenant leur entourage si elles sont « susceptibles » de fournir des informations utiles à la finalité de prévention du terrorisme.
Comme le note très justement le rapport de la DPR, cet article est intimement lié à l’article L.851-3 du CSI, soit les fameuses boites noires, elles aussi vissées à cette finalité. Pour mémoire, ces boites noires permettent de larges recueils de données de connexion sur les réseaux des opérateurs « en vue, résume la délégation, de révéler des comportements suspects au moyen d’un algorithme ».
Dans la logique de la loi Renseignement, la boite noire est censée « détecter des connexions susceptibles de révéler une menace terroriste » (L.851-3). Le recueil en temps réel embraye, pour rapprocher alors la loupe et aspirer l’ensemble des données de connexion d’une personne désignée comme susceptible de constituer une menace (L. 851-2).
Seulement, cet enchevêtrement ne satisfait pas la DPR. « En effet, si l’on débouche, avec l’algorithme, sur des listes importantes de suspects potentiels », les demandes ciblées émises par les services ne pourront ensuite que viser des cas individuels. Ce qui est tout sauf confortable.
La délégation propose du coup que ce deuxième étage de la surveillance puisse s’enclencher par la fourniture de « listes ». Dit plus simplement : la boite noire détecte 20 000 personnes comme susceptibles d’être menaçantes ? Les services activent alors le suivi en temps réel de ces 20 000 personnes… et de leur entourage, qui sera toujours susceptible de détenir une information utile. Pour joindre l’utile à l’agréable, les parlementaires voudraient également que « la durée d’autorisation [soit] augmentée afin que les services puissent disposer du temps nécessaire pour procéder à tous les recoupements ».
Étendre la géolocalisation en temps réel à « l’entourage »
L’article L. 851-4 du Code de la sécurité intérieure permet de glaner en temps réel les données GPS des équipements terminaux, sur sollicitation du réseau. Ces informations sont transmises en temps réel par les opérateurs. Seulement, cet outil est jugé trop ciblé par la DPR.
Elle voudrait donc que le législateur étende là encore cette disposition à l’entourage des personnes surveillées. « La géolocalisation de personnes de l’entourage d’un objectif de retour de zone de djihad sur le territoire national pour y commettre un attentat, et permettant de conduire les enquêteurs jusqu’à lui, constituerait un véritable atout pour les services de lutte antiterroriste » plaide-t-elle.
Ceci acté, cet accroissement de l’espionnage se retrouverait dans l’ensemble des dispositions suivantes :
- L’actuel article L. 852-1 du CSI sur les « écoutes » des correspondances électroniques.
- L’actuel article L. 851-2 sur la surveillance en temps réel de toutes les données de connexion d’une personne susceptible d’être une menace.
- Et demain, l’article L. 851-4 sur le suivi en temps réel des données GPS des équipements terminaux.
À chaque fois la surveillance serait redoublée à l'entourage de la personne concernée s’il est susceptible de fournir des informations. À l’ère de Facebook et des autres réseaux sociaux, on en arrive facilement à une quantité astronomique d’internautes, ces services ayant considérablement réduit l’espace entre les gens.
Des IMSI catchers (et assimilés) dans les lieux privés
L’article L. 853-3 du CSI autorise les services à s’introduire dans les lieux privés « que pour un nombre limité de techniques de renseignement » regrette la DPR. Ce sont les outils prévus à l’article L. 851-5 (localisation en temps réel d’une personne, d’un véhicule ou d’un objet), au L. 853-1 (sonorisation et captation d’images) et au L. 853-2 (recueil et captation de données informatiques). C’est déjà beaucoup, mais pas assez aux yeux de la DPR. « La pratique a montré que la mise en œuvre de l’article L. 851-6 (captation de données de proximité) pouvait aussi s’avérer nécessaire dans un lieu privé »
Elle voudrait donc pour les IMSI catchers (et tous les outils assimilés de près ou de loin) puissent être installés dans des lieux non publics. Là encore ce serait une belle extension des outils de surveillance, sachant que déjà les antennes de nouvelle génération entrent désormais dans le spectre de l’article L.851-6.
Tirer les conséquences de l’arrêt Sverige Télé2
Alors que la CNIL n’en finit pas de réfléchir au contenu de l’arrêt Sverige Télé2 de la Cour de justice de l’Union européenne, la DPR s’inquiète ouvertement de ses conséquences. Pour mémoire, en décembre 2016, la justice européenne s’est opposée à ce que les États membres imposent aux acteurs du Net « une conservation généralisée et indifférenciée » des données de connexion de leurs abonnés ou utilisateurs.
La DPR remarque que dans le droit français, « l’article L. 34-1 du code des postes et des communications électroniques fixe la durée de conservation à un an » de ces données de connexion, de manière généralisée et indifférenciée. « C’est à partir de cette base que les juges judiciaires demandent aux opérateurs les données de connexion concernant un prévenu ou que les services de renseignement demandent à ces mêmes opérateurs l’identification de numéros de téléphone à partir d’un dossier initial concernant une personne suspecte, puis les données de connexion liées à ce numéro (48 000 demandes en 2015, y compris identification initiale des numéros d’abonnés) ».
Selon sa grille de lecture, « l’arrêt ne remet pas en cause l’accès des juges ou des services de renseignement aux « fadettes », mais il censure leur conservation, en tout cas sur une période dépassant un délai très bref. Il n’autorise plus, au fond, que les récupérations de données de connexion effectuées en temps réel ».
Pour pallier ses conséquences douloureuses (voir le cas de la Hadopi), la DPR suggère au gouvernement d’ « exiger au plus vite auprès du Conseil la révision de la directive européenne 2002/58/CE » sur la protection de la vie privée, afin de sécuriser juridiquement ces opérations. Ou dit autrement, court-circuiter cet arrêt emblématique.
Patcher la surveillance hertzienne
Le 21 octobre 2016, le Conseil constitutionnel censurait l’article du Code de la sécurité intérieure qui autorise la surveillance des communications hertziennes sans aucun encadrement et donc sans garantie pour les justiciables Cette décision rendue suite à une QPC soulevée par La Quadrature du Net, French Data Network, la Fédération des fournisseurs d'accès à Internet associatifs et igwan.net a laissé un trou dans la législation.
Pour rappel, cet article avait été injecté dans le CSI par la loi de 1991 sur le secret des correspondances. Il autorisait les services à surveiller sans aucun encadrement les transmissions hertziennes « aux seules fins de défense des intérêts nationaux ».
Le Conseil constitutionnel a considéré que cette brèche portait « atteinte au droit au respect de la vie privée et au secret des correspondances ». Pour donner un généreux mou au législateur et au gouvernement, le juge a bien voulu déporter dans le temps l’abrogation de cette disposition au 31 décembre 2017. Dans l’intervalle, suite à une réserve d’interprétation, il est fait interdiction aux services d’utiliser cet article L.811-5 CSI pour effectuer du recueil de données individualisables.
« Cette décision n’est pas sans incidence sur l’activité de certains services de renseignement, par exemple la Direction du renseignement militaire » constate la DRP. « Aujourd’hui, en effet, celle-ci procède à des interceptions de communications internationales sur le réseau hertzien (au titre de ses activités de renseignement d'origine électromagnétique) en se servant d’antennes qui peuvent être installées sur le territoire national ».
Deux exemples sont donnés : les communications relayées par satellite « constituent, en dehors de la diffusion audiovisuelle par satellite, des communications individualisables internationales ». Elles rentrent désormais dans le périmètre de la loi sur la surveillance des communications internationales. Les « communications radio dont la transmission s’effectue exclusivement par voie hertzienne – par émission d’un signal sans identification d’un destinataire individualisable par un opérateur de communications électroniques – », elles, restent non encadrées.
Les pistes de réforme de la surveillance hertzienne
S’agissant de la rustine parlementaire attendue fin 2017, la DPR sait qu’il existe un choix : on peut d'abord ne rien faire. « En ce cas, les interceptions hertziennes réalisées sur le territoire national sont régies, selon les cas » soit par la loi sur le renseignement soit par celle sur la surveillance des communications électroniques internationales. Mais ce choix est contrariant, au goût des parlementaires : problématique de la séparation des communications nationales et internationales et un régime jugé « imprécis ».
Ou bien, le Gouvernement propose un texte. Dans cette hypothèse, il devra « prévoir des modes d’intervention et de contrôle qui garantissent le bon exercice des libertés publiques ». Cette alternative a les préférences de la DPR qui plaide dans tous les cas pour le maintien d’ « une exception hertzienne encadrée par la loi qui garantisse la continuité de l’activité ROEM de la DRM » essentiellement dans les communications institutionnelles (forces armées, gouvernements).
