Les boites noires, ces outils destinées à détecter une menace terroriste, ne sont toujours pas activées en France. À l’échelle internationale, la situation est cependant toute autre : des traitements automatisés sont déjà bien mis en œuvre sur les données non rattachables au territoire national.
L’article L851-3 du Code de la sécurité intérieure est l’un des piliers de la loi Renseignement. C’est aussi l’un des principaux catalyseurs des critiques adressées au texte qui a fêté en juillet son deuxième anniversaire. Et pour cause, cette disposition autorise les services à utiliser les nouvelles technologies pour tenter de dénicher une menace terroriste sur les réseaux, ou dans le dur du texte, « des connexions susceptibles de révéler » un tel risque.
Dans le maquis des réseaux
Secret défense oblige, les détails sont minces mais ces traitements ont bien pour carburant un volume conséquent de métadonnées, soit toutes les informations encapsulant les messages échangés en ligne (lieu, origine, destination, heures, adresse IP, etc.), on pourra relire notre actualité en dressant la liste complète.
Ces lignes extraites de l’étude d’impact du projet de loi en résument bien la logique : « Il convient de dépasser l’approche exclusivement fondée sur le suivi de cibles déjà connues ou repérées pour privilégier la recherche d’objectifs enfouis sous le maquis des réseaux de communications transnationaux, Internet offrant à cet égard des opportunités de furtivité immenses pour les acteurs et vecteurs de la menace ».
Une quête toujours pas activée en France
Contactée hier, la Commission nationale de contrôle des techniques du renseignement, autorité chargée de vérifier la légalité des activités du Renseignement, nous a cependant indiqué que cet article n’avait toujours pas été mis en œuvre. Si la CNCTR dispose d’une telle connaissance, c’est que la loi du 15 juillet 2015 impose aux services de la saisir préventivement afin de jauger les paramètres des algorithmes, notamment.
Et c’est là que de gros grains de sable peuvent surgir. Dans son premier rapport annuel, la même avait soufflé avoir été « saisie d’une demande d’avis par le Premier ministre » portant sur « le projet d’architecture générale pour la mise en œuvre de ces traitements automatisés ». Le 28 juillet 2016, elle a même émis en formation plénière « des observations et des recommandations sur la procédure de collecte des données de connexion, les caractéristiques des données collectées, la durée de leur conservation, les conditions de leur stockage et la traçabilité des accès ». Pas moins.
Nul besoin de rechercher ces recommandations au Journal officiel, la délibération est classifiée. La CNCTR a cependant esquissé, toujours dans son rapport annuel, d'intéressantes bribes. Selon sa grille de lecture du Code de la sécurité intérieure, « la loi fait obstacle à ce que les agents des services de renseignement puissent accéder aux données collectées tant que le Premier ministre n’a pas autorisé l’identification d’une personne ».
Depuis cette date, rien n’a vraiment évolué. Et le renouvellement présidentiel a temporisé davantage ce déploiement. En cause, avance-t-on, la nécessaire « acculturation » des nouveaux responsables sur les possibilités ouvertes par cette législation. « Des discussions sont bien en cours », et la CNCTR promet de faire un point d’étape une fois celles-ci abouties.
L’aiguillon calendaire
Le temps presse cependant. L’article 25 de la loi Renseignement prévoit en effet une clause de caducité : « L'article L. 851-3 du code de la sécurité intérieure, indique-t-il, est applicable jusqu'au 31 décembre 2018 ». Et comme si ce terme n’était pas assez tragédien, le gouvernement aura la lourde tâche d’adresser au Parlement un rapport sur l'application de cette disposition au plus tard le 30 juin 2018, soit dans moins d’un an.
On saura alors si l’utilité supposée de ces boites noires installées chez les intermédiaires est en phase avec la réalité de terrain. De précieuses informations pourraient cependant surgir de l'échelle internationale afin d'inscrire plus durablement cette technologie dans le temps.
Des traitements de données effectifs à l’échelle internationale
Au fil de notre échange, la CNCTR nous a révélé en effet que « des traitements sont déjà effectués sur les données internationales ». Cette fois, c'est un autre article qui prend le relai, le L854-2 du Code de la sécurité intérieure. Une sorte de miroir des algorithmes visant le territoire national.
À ce stade, le volume est sans équivalent. D’une part, les données sont collectées sur la planète entière. D’autre part, alors que le L851-3 est calibré pour détecter la seule menace terroriste en France, ce L854-2 (au 4° du II) poursuit l’ensemble des larges finalités prévues par la loi Renseignement. Soit « la défense et la promotion » de toute une série d’« intérêts fondamentaux de la Nation », à savoir :
- L'indépendance nationale, l'intégrité du territoire et la défense nationale ;
- Les intérêts majeurs de la politique étrangère, l'exécution des engagements européens et internationaux de la France et la prévention de toute forme d'ingérence étrangère ;
- Les intérêts économiques, industriels et scientifiques majeurs de la France ;
- La prévention du terrorisme ;
- La prévention des atteintes à la forme républicaine des institutions, des actions tendant au maintien ou à la reconstitution de groupements dissous, des violences collectives de nature à porter gravement atteinte à la paix publique ;
- La prévention de la criminalité et de la délinquance organisées ;
- La prévention de la prolifération des armes de destruction massive
Pas d'aiguillon calendaire à l'international
Toujours sur le dos de ces identifiants non rattachables au territoire français, le confort gagne de larges crans. En plus de ces finalités élargies visant des données de connexion mondialisées, il n’est plus nécessaire cette fois de passer par un avis préalable de la CNCTR.
Celle-ci n’intervient qu’a posteriori. Mieux encore, la loi relative à la surveillance des communications électroniques internationales n’a prévu aucun verrou calendaire. Pratique : même avec un barda technologique d’une efficacité relative, le gouvernement pourra toujours parier sur de futures technologies prédictives plus aiguisées.