Selon nos informations, seule près d’une dizaine de personnes ont été surveillées individuellement suite au déploiement des trois boîtes noires activées en France entre 2017 et le 31 décembre 2018. Un faible nombre qui ne doit pas cacher une autre réalité : la masse de données de connexion avalées en amont.
L’épisode aura marqué la loi Renseignement lors des débats en 2015. Destiné à dépoussiérer la législation en vigueur, voire légaliser des pratiques « alégales », le texte défendu par Bernard Cazeneuve a introduit dans le Code de la sécurité intérieure (CSI), une disposition exceptionnelle.
À l’article 851-3 du CSI, il permet aux services du renseignement d’obliger les hébergeurs, FAI, opérateurs, services en lignes de mettre en place un traitement automatisé. Et celui-ci est taillé pour repérer des connexions « susceptibles de révéler une menace terroriste ».
Concrètement, le législateur autorise ces « boîtes noires » à avaler une quantité de données de connexion (les qui, quand, où, comment d’un échange électronique, non le contenu), pour espérer deviner des germes terroristes à l’aide de modèles algorithmiques réputés fiables.
Une dizaine de personnes surveillées, combien de données avalées ?
L’expression « boîte noire » avait été employée par un conseiller technique de Manuel Valls lors d’une réunion de présentation du projet de loi à Matignon, à laquelle participaient une poignée de sites de presse, dont Next INpact. Par cette formule au succès médiatique, l'intéressé voulait surtout esquisser un système protégé, inaccessible aux intermédiaires chez qui elles sont installées, tout comme leurs équivalents embarqués dans les avions vis-à-vis des pilotes.
Selon des documents internes que nous avons pu consulter, la France a pu par ce biais identifier « moins de dix personnes », lesquelles ont ensuite fait l’objet d’une surveillance individuelle. Impossible de connaître les suites actuelles, ces informations étant classifiées. Ces personnes ont en tout cas été repérées par le biais des trois boîtes noires en circulation, selon le décompte dressé au 31 décembre 2018 par la Commission nationale de contrôle des techniques du renseignement.
Pour mieux comprendre, il faut rappeler que lorsque la boîte noire génère un certain nombre d’alertes, signes d’une possible menace, le Premier ministre peut autoriser l'identification des individus concernés. Les services opèrent alors un recueil chirurgical de leurs données de connexion, lesquelles sont exploitées durant 60 jours puis détruites « sauf en cas d'éléments sérieux confirmant l'existence d'une menace terroriste ». C’est la surveillance individuelle.
La faiblesse relative du nombre de personnes identifiées ne doit pas cacher une autre réalité. En amont, la mécanique est taillée pour avaler de grandes quantités de données et tendre donc vers une surveillance dite de masse. L’enjeu est en effet de révéler, dans les flux, des « signatures » caractéristiques des groupes terroristes à partir d’algorithmes utilisant des paramètres de détection.
Par exemple, des connexions repérées sur le territoire français pour relayer des exactions menées dans un pays étranger. C’est seulement en cas d’alerte que les services ont accès aux informations, soit pour mettre hors de cause ceux signalés par le traitement, soit pour poursuivre les investigations.
Des faux positifs, l'exemple du chercheur qui consulte des sites de Daesh
Ces alertes ne valident donc pas toutes l’existence d’une menace. Les faux positifs peuvent être nombreux. Toujours selon les documents consultés, le gouvernement admet par exemple qu’un chercheur travaillant sur le terrorisme, mais consultant habituellement des sites détectés par l’algorithme, pourra tomber dans la nasse. Mais l'exécutif assure dans le même temps que les données afférentes sont systématiquement effacées.
L’exemple est intéressant, il révèle que certains sites sont donc surveillés par ces yeux électroniques d’une manière ou d’une autre. Un point qui rappelle l’épineux débat sur le statut des adresses Internet : sont-elles des données de connexion, pouvant donc être juridiquement alpaguées par les boîtes noires, ou bien des données de contenus, exclues du tamis des algorithmes ?
Début 2016, la Commission nationale de contrôle des techniques du renseignement avait estimé qu'une partie des adresses relevaient bien des données de contenant.
Le 15 avril 2015, durant les débats sur le projet de loi renseignement, Jean-Yves le Drian avait donné un autre exemple : « si Daech met en ligne une vidéo de décapitation sur des sites djihadistes connus, puis se connecte sur d’autres sites pour s’assurer de la bonne réception et de la bonne qualité des images et du message, cette dernière activité se traduit par des connexions à certaines heures, depuis certains lieux, sur certains sites ».
Le ministre de la Défense d’alors plaidait pour la nécessité « de trier anonymement les connexions et de repérer ainsi un trafic caractéristique ». Il poursuivait au Sénat deux mois plus tard, en s’interrogeant faussement : « Peut-on se priver de mettre en place un algorithme permettant d’identifier les réseaux qui recèlent des terroristes en puissance ? »
Une clause de revoyure repoussée de 2018 à 2020
Les boîtes noires vont-elles survivre ? Initialement, dans un amendement à la loi Renseignement, l’exécutif avait rendu ce régime temporaire jusqu’à fin 2018, en raison du « caractère novateur » de ce mécanisme. Un rapport devait être remis au Parlement au plus tard le 30 juin 2018, « pour apprécier l’utilité de cet outil et son caractère proportionné au regard de l’atteinte aux libertés publiques ».
En septembre 2017, dans le projet de loi sur la sécurité intérieure et la lutte contre le terrorisme, le gouvernement Philippe a finalement repoussé ces deux termes à 2020, assurant que 2018 était un terme trop proche pour tirer un bilan.
