Le projet de loi de programmation militaire (LPM) a été adopté fin mai par les sénateurs. Le texte va désormais être arbitré en Commission mixte paritaire. La question des données pouvant être recueillies et analysées par l’ANSSI fait partie des points de dissension.
L’article 19 de la LPM 2019-2025 veut autoriser les opérateurs de communications électroniques, en particulier les fournisseurs d'accès Internet (FAI), à installer volontairement des dispositifs destinés à repérer, à l’aide de marqueurs techniques, des évènements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés.
L’ANSSI, l’agence nationale pour la sécurité des systèmes d’information, pourra exiger cette détection, à l’aide de ses propres marqueurs, en cas de menace touchant les autorités publiques ou des opérateurs d'importance vitale (OIV). Le tout sera chapeauté par l’Arcep qui agira comme contrôleur, histoire de vérifier que les acteurs privés comme l’agence, restent dans les clous de la loi.
Guillaume Poupard avait expliqué que « la détection d’attaque est absolument nécessaire. Si on ne cherche pas, il y a des attaques qu’on ne trouve pas ». À destination des hébergeurs, le numéro un de l’ANSSI avait regretté qu’« aujourd’hui nous avons une liste d’adresses IP, de serveurs, où on a la quasi-certitude qu’il y a des attaques très hostiles, mais nous n’avons pas les moyens règlementaires d’aller voir ».
De la loi Renseignement à la LPM
Seulement, jusqu’où peut-on aller dans cette analyse approfondie ? Comme expliqué dans nos colonnes, le champ lexical de la LPM diffère de celui de la loi Renseignement. Cette dernière évoque les « informations et documents » lorsqu’elle veut se référer à la surveillance des métadonnées, à savoir celles qui encapsulent une correspondance privée. La LPM utilise, elle, d’autres expressions : « dispositifs », « marqueurs techniques », « évènements », « menace », etc.
Guillaume Poupard avait assumé cette différence : « certes, il y a un champ lexical qui existe, mais il ne colle pas forcément trop à nos métiers (…). Si on commence à me dire qu’on ne peut pas manipuler des URL, nous ne pouvons pas travailler ».
Or, les URL sont des données de contenus, non des métadonnées. Dit autrement, la LPM inscrit dans la loi la possibilité pour une autorité publique d’initier du deep packet inspection (inspection profonde des paquets) chez des acteurs privés. Une ligne rouge que n’avait jamais franchie un texte de cette importance.
La constitutionnalité d'un DPI sans définition des données
Au Sénat, Philippe Bonnecarrère (UC), rapporteur pour avis auprès de la commission des lois, s’est interrogé sur la constitutionnalité de ce mécanisme. Faute de précision sur le périmètre même de ces données, en effet, « le dispositif de l'article 19 pourrait être considéré comme portant une atteinte disproportionnée au secret des correspondances et au droit au respect de la vie privée ».
Pour tenter de colmater cette brèche, il a fait adopter un amendement (identique à celui du sénateur Christian Cambon). pour renvoyer à un décret en Conseil d’État le soin de définir « les catégories de données techniques qui pourront être conservées ».
Dans son esprit, « de telles précisions permettent à la fois d'exclure les données de contenu et de limiter la collecte aux seules données techniques nécessaires à la prévention des attaques informatiques. L'exclusion des données portant sur le contenu des correspondances apparaît d'autant plus justifiée que seules les données techniques seraient susceptibles d'être demandées par l'ANSSI. Aussi n'y aurait-il aucune nécessité pour les opérateurs de recueillir d'autres données ».
Le gouvernement opposé à un tel inventaire
En séance, au Sénat, la ministre des Armées, Florence Parly, s’est opposée à un tel encadrement. « Restreindre les catégories de données techniques susceptibles d’être ainsi recueillies aurait pour effet de limiter les capacités de l’ANSSI à analyser le mode opératoire d’un attaquant, sans pour autant renforcer le droit au respect de la vie privée qui n’est pas, en soi, affecté par cette analyse » assure-t-elle.
« De surcroît, l’expérience montre que les techniques d’attaque évoluent sans cesse, en tout cas extrêmement rapidement. Le risque existe donc que des données qui auraient été préalablement définies par grandes catégories dans un décret ne soient plus celles qu’il serait in fine pertinent de recueillir », a-t-elle exposé, le 22 mai dernier.
Pour le gouvernement, dresser la liste des données techniques pouvant être analysées par deep packet inspection serait incompatible avec la caractéristique première des attaques, qui est d’évoluer « sans cesse ». Définir une telle liste limitative serait même « tout à fait contre-productif » selon Florence Parly.
L'exécutif a donc déposé un amendement pour couper court à une telle définition exhaustive, demandant au décret d’application de seulement définir « les modalités d’application du texte ». Sans plus de détail… mais selon l’exposé des motifs, cela permettrait « d’en entourer la mise en œuvre de garanties supplémentaires ». Juré, promis !
Sans définition précise, pas de contrôle de proportionnalité
Dans le fil des débats, le rapporteur au fond Christian Cambon (LR) a critiqué cette rustine : « la définition précise des catégories de données, madame la ministre, est une des conditions permettant au Conseil constitutionnel de considérer que la collecte et la conservation par les opérateurs ne portent pas une atteinte disproportionnée au secret des correspondances et au respect de la vie privée ».
Un argument suivi par le rapporteur au fond, qui a pris l’exemple d’une analyse contraignante d’un mail aux fins de cybersécurité : « Dans la mesure où l’ANSSI recherche des marqueurs de virus, il lui faut ouvrir le mail en question et ses éventuelles pièces jointes pour vérifier toute anomalie de signature ou de caractère. La recherche des virus oblige donc intrinsèquement à regarder dans le document, non pour le lire – je vous en donne acte, madame la ministre –, mais pour vérifier la présence d’un caractère anormal. Sous cet angle, il nous semble difficile de contester l’existence d’une atteinte à la vie privée. Et cette atteinte est d’autant plus marquante que l’ANSSI conservera les données qu’elle aura collectées – ce qu’elle a excellemment justifié lors de nos auditions – durant dix ans ».
L’amendement du gouvernement a ainsi été rejeté, laissant prospérer l’obligation de fixer par décret la liste des données techniques pouvant être traitées par l’ANSSI.
La balle est désormais dans le camp de la commission mixte paritaire. Les sept parlementaires des deux chambres devront trouver un terrain d’entente, sachant que l’Assemblée nationale, où le groupe LREM a une large majorité, aura dans tous les cas le dernier mot.