C’est dans moins d’une semaine que l’on connaîtra le nom du futur locataire de l’Élysée : Marine Le Pen ou Emmanuel Macron. Les électeurs s’exprimeront démocratiquement dans les urnes dimanche. Une excellente occasion pour revenir sur les pouvoirs de surveillance qui résideront dans ces nouvelles mains.
« La meilleure façon d’éviter un tel gouvernement est de ne pas accorder ses suffrages à certains : que je sache, c’est la meilleure garantie politique pour éviter l’élection d’individus ayant des idées pernicieuses ». Voilà comment, le 15 novembre 2016, Bernard Cazeneuve, alors ministre de l’Intérieur, avait tenté de rassurer les députés inquiets du déploiement rapide et sans concertation du fichier TES. Un méga fichier rassemblant en une seule base l’ensemble des cartes d’identité et des passeports des Français. Soit, théoriquement, 60 millions de personnes.
Pour autant l’Intérieur a pris ce risque. Tout comme le législateur et le gouvernement à l’occasion des votes de la loi Renseignement, de celle sur la surveillance des communications électroniques internationales, des multiples prorogations de l’état d’urgence décidées au pas de courses depuis les attentats du Bataclan en novembre 2015. Quels seront donc les pouvoirs dans les mains du ou de la futur(e) président(e) ?
Les pouvoirs nés de la loi Renseignement
Inutile de nous replonger avec un luxe de détails dans la loi du 24 juillet 2015. Nous l’avons fait, plusieurs fois, du projet initial à la publication au Journal officiel, en passant par chacune des strates de la phase parlementaire.
Retenons seulement qu’avec cette loi, le pouvoir en place, et au-dessus de tout le futur Premier ministre, aura la possibilité d’organiser une surveillance administrative d’un nombre conséquent de personnes. Seul souci : les finalités, pouvant justifier juridiquement cette surveillance, ont été rédigées en des termes très généreux.
Depuis cette loi, les services du renseignement peuvent ainsi mettre à nu la vie privée d’une personne ciblée, ou d’un groupe plus important dès lors que doivent être « la défense » ou « la promotion » d’une série d’ « intérêts fondamentaux de la Nation », à savoir :
- L'indépendance nationale, l'intégrité du territoire et la défense nationale ;
- Les intérêts majeurs de la politique étrangère, l'exécution des engagements européens et internationaux de la France et la prévention de toute forme d'ingérence étrangère ;
- Les intérêts économiques, industriels et scientifiques majeurs de la France ;
- La prévention du terrorisme ;
- La prévention des atteintes à la forme républicaine des institutions, des actions tendant au maintien ou à la reconstitution de groupements dissous, des violences collectives de nature à porter gravement atteinte à la paix publique ;
- La prévention de la criminalité et de la délinquance organisées ;
- La prévention de la prolifération des armes de destruction massive
Ces missions doivent être vues comme autant de portes permettant à cette police intervenant sans juge d’éplucher tous les secrets d’une personne, notamment ses liens noués avec des tiers. Et puisque le législateur a opté pour des termes volontairement flous, pour la plus grande satisfaction de la Place Beauvau, ce ne sont plus des portes, mais des trous d’air où la vie privée peut vite s’enrhumer.
Une fois le pont levis abaissé, les modalités de cet épiage sont en effet définis par plusieurs articles du Code de la sécurité intérieure (CSI) : la géolocalisation L851-4, les sondes L851-1 les balises L851-5, les données de connexion glanées par IMSI catcher et assimilés L.851-6, les interceptions de sécurité L. 852-1 (I), les interceptions de sécurité via IMSI catcher L. 852-1 (II), les micro et caméra espions L853-1, les mouchards informatiques L853-2, etc.
Et, comme déjà listées, les données de connexion aspirées par ces différents outils ne sont pas neutres :
- Les informations permettant d'identifier l'utilisateur, notamment pour les besoins de facturation et de paiement
- Les données relatives aux équipements terminaux de communication utilisés
- Les caractéristiques techniques, ainsi que la date, l'horaire et la durée de chaque communication
- Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs
- Les données permettant d'identifier le ou les destinataires de la communication
- L'identifiant de la connexion
- L'identifiant attribué par ces personnes à l'abonné
- L'identifiant du terminal utilisé pour la connexion lorsqu'elles y ont accès
- Les dates et heure de début et de fin de la connexion
- Les caractéristiques de la ligne de l'abonné
- L'identifiant attribué par le système d'information au contenu, objet de l'opération
- Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus
- La nature de l'opération
- Date et heure de l'opération
- L'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni
- Les nom et prénom ou la raison sociale
- Les adresses postales associées
- Les pseudonymes utilisés
- Les adresses de courrier électronique ou de compte associées
- Les numéros de téléphone
- Les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour
- Le type de paiement utilisé
- La référence du paiement
- Le montant
- La date et l'heure de la transaction
- Les données permettant de localiser les équipements terminaux
- Les données relatives à l'accès des équipements terminaux aux réseaux ou aux services de communication au public en ligne
- Les données relatives à l'acheminement des communications électroniques par les réseaux
- Les données relatives à l'identification et à l'authentification d'un utilisateur, d'une connexion, d'un réseau ou d'un service de communication au public en ligne
- Les données relatives aux caractéristiques des équipements terminaux et aux données de configuration de leurs logiciels.
Élargissement des outils taillés pour la prévention du terrorisme
Dans cet arsenal de la surveillance administrative, des outils ont été taillés spécialement pour la lutte contre le terrorisme, ou plutôt pour assurer la prévention de cette criminalité particulière. Ce sont d’abord les boites noires, nom attribués par un conseiller du Premier ministre aux traitements algorithmiques encadrés par la loi à l’article L851-3 du CSI.
En pratique, des outils greffés chez les FAI viendront butiner des lampées de données de connexion afin d’espérer, après traitement classés secret-défense, « détecter des connexions susceptibles de révéler une menace terroriste ».
Ceci fait, les services pourront concentrer leur attention sur les personnes sorties du lot algorithmique, celles dont l’activité en ligne a été épinglée comme « susceptible de caractériser l'existence d'une menace à caractère terroriste ».
L’article L851-2 du CSI prend alors le relai. Il sera possible en temps réel de déshabiller l’ensemble de leurs données de connexion, toujours parce qu’elles ont été « préalablement identifiées susceptibles d'être en lien avec une menace ». Et mieux encore, cette surveillance pourra être élargie à l’ensemble de leur entourage si les services ont des « raisons sérieuses de penser » que les personnes le composant « sont susceptibles de fournir des informations ».
Bien sûr, on pourrait opposer que « si on n’a rien à cacher, on n’a rien à craindre ». Mais sans citer la petite phrase d’Edward Snowden qui a fait merveilleusement mouche, soulignons que cette surveillance ne repose pas sur des preuves, mais des « soupçons de », des personnes « susceptibles » d’être une menace ou simplement « susceptibles » de détenir une information concernant ces personnes. Bref : cela vise tout le monde, et n’importe qui : du vrai méchant à notre bonne vieille Mme Michu.
La protection des piliers de notre démocratie
On pourrait opposer que des piliers de la démocratie sont protégés par la loi. L’article L821-7 du CSI n’indique-t-il pas qu’ « un parlementaire, un magistrat, un avocat ou un journaliste ne peut être l'objet d'une demande de mise en œuvre, sur le territoire national, d'une technique de recueil de renseignement (…) à raison de l'exercice de son mandat ou de sa profession » ?
Comme déjà expliqué dans nos colonnes, la surveillance visant ces personnes est effectivement interdite « à raison de l'exercice » de leur mandat ou de la profession. Or, les services ne peuvent savoir - par avance - si un échange téléphonique ou par mail qui va être intercepté relève de cet exercice ou de la vie privée. Ils doivent donc tout écouter, puis trier… Après que le mal asséné à la justice, aux parlementaires ou à la presse a été consommé.
Certes, les demandes de surveillance visant ces personnes impliquent le passage obligatoire devant la Commission nationale de contrôle des techniques de renseignement réunie en formation plénière. Celle-ci, saisie pour simple avis, peut alors porter le dossier devant le Conseil d’État si le Premier ministre venait à ignorer son feu rouge. Mais se contenter de ce rappel, c’est oublier que l’intervention préalable de la CNCTR ne vaut que pour la surveillance franco-française.
La loi sur la surveillance des communications dites internationales
À l’échelle internationale, l’article L854-3 du CSI dit aussi que ces personnes « ne peuvent faire l'objet d'une surveillance individuelle de leurs communications à raison de l'exercice du mandat ou de la profession concerné ». Seulement, dans ce cadre, il n’y a plus d’avis préalable de la CNCTR. Les services gagnent donc encore en liberté de mouvement, pouvant même utiliser les traitements algorithmiques pour la défense ou la promotion de toutes les finalités précitées, pas seulement la prévention du terrorisme.
On pourrait contredire ces affirmations, soutenir que la loi sur l’international concerne uniquement l’étranger, le lointain, l’au-delà de nos frontières. Seulement, cette loi s’applique dès lors que des communications « sont émises ou reçues à l'étranger ». Avec le succès des services en ligne (Facebook, Google, Microsoft, Twitter, etc.), c’est l’adresse IP du serveur étranger qui fait écran pour imposer l’extranéité justifiant l’application de cette loi, quand bien même donc, ce ne sont que deux Français qui discutent en ligne.
La loi sur l’état d’urgence impassible jusqu’au 15 juillet 2017
Enfin, rappelons qu’avec l’état d’urgence, le préfet peut interdire la circulation des personnes ou des véhicules dans les lieux et aux heures fixés par arrêté, instituer, toujours par arrêté, des zones de protection ou de sécurité où le séjour des personnes est réglementé. Le même peut également interdire le séjour dans tout ou partie du département « à toute personne cherchant à entraver, de quelque manière que ce soit, l'action des pouvoirs publics ».
Cette loi autorise également l’assignation administrative à résidence non seulement des personnes soupçonnées de terrorisme mais également celles à l'égard desquelles « il existe des raisons sérieuses de penser que [leur] comportement constitue une menace pour la sécurité et l'ordre publics ».
Le ministre de l’Intérieur et le préfet peuvent aussi interdire « à titre général ou particulier, les réunions de nature à provoquer ou à entretenir le désordre ».
S’ajoutent contrôles d'identité, inspection visuelle et fouille des bagages, visite des véhicules circulant, arrêtés ou stationnant sur la voie publique ou dans des lieux accessibles au public. Enfin, il est possible d’orchestrer des perquisitions et des saisies notamment informatiques « en tout lieu, y compris un domicile (…) lorsqu'il existe des raisons sérieuses de penser que ce lieu est fréquenté par une personne dont le comportement constitue une menace pour la sécurité et l'ordre publics ».
Il est vrai que l’article 4 de la loi du 3 avril 1955 dont les dispositions sont ici égrainées indique que « la loi portant prorogation de l'état d'urgence est caduque à l'issue d'un délai de quinze jours francs suivant la date de démission du Gouvernement ou de dissolution de l'Assemblée nationale ». La démission du gouvernement consécutive à la régénérescence présidentielle devrait donc mettre un terme automatiquement à cet état exceptionnel. Mais c’est un peu vite omettre que la dernière loi de prorogation de l’état d’urgence du 19 décembre 2016 a mis entre parenthèse cette disposition.
« Pendant la période de prorogation (…), l'article 4 de la loi n° 55-385 du 3 avril 1955 relative à l'état d'urgence n'est pas applicable en cas de démission du Gouvernement consécutive à l'élection du Président de la République ou à celle des députés à l'Assemblée nationale » explique le législateur. En clair l’état d’urgence sera maintenu - pour l’instant - jusqu'au 15 juillet 2017.
Le fichier TES, un changement de société
SI l’on revient enfin sur le fichier TES, cette base de données cumulant l’ensemble des cartes nationales d’identité et des passeports constitue une cible de choix pour le gouvernement qui voudrait asséner un tour de vis sécuritaire.
C'est vrai, le décret instaurant ce dispositif interdit de basculer d’un système d’authentification (Mme Michu est bien celle mentionnée sur la carte) à un système d’identification (à qui appartiennent les traces biométriques stockées sur la base centrale ?). Toutefois, dans un audit, l’ANSSI tout comme la DINSIC ont, contrairement aux affirmations de l’Intérieur, exposé que ce système pouvait « techniquement être détourné à des fins d’identification, malgré le caractère unidirectionnel du lien informatique mis en œuvre pour relier les données d’identification alphanumériques aux données biométriques ».
Juridiquement, un tel glissement exigerait donc une adaptation des textes, mais il demeure qu’Isabelle Falque-Pierrotin avait plusieurs fois tiré la sonnette d’alarme sur cette méga base : « En constituant cette base, on franchit un pas dans le type de société qui est la nôtre. La menace terroriste est évidente (…) Mais est-ce que pour autant cette menace justifie que l’État constitue un fichier qui enregistre de manière permanente et indélébile des données biométriques sur l’ensemble de la population, ceci permettant le cas échéant d’identifier les personnes ? ».
La présidente de la CNIL ajoutait, toujours le 15 novembre 2016 devant la Commission des lois du Sénat qu’ « on constitue une base de l’ensemble de la population qui, bien sûr à ce stade ne peut servir qu’à des fins d’authentification, mais qui, en réalité peut illustrer une sorte de préconstitution de preuve au bénéfice de l’État par rapport à l’ensemble des citoyens, si d’aventure il s’avérait utile de les identifier dans certaines situations. On sent bien que cette préconstitution de preuve, pour des citoyens communs, sans relation avec la justice, change un petit peu notre relation avec la sécurité et la démocratie ».
Les élections présidentielles seront organisées ce dimanche. Le scrutin sera ouvert à 8 heures et clos à 19 heures, parfois 20 heures dans certaines communes. Les élections législatives, concernant les députés, seront organisées le dimanche 11 juin 2017 et, en cas de second tour, le dimanche 18 juin 2017. Bon vote.