2015-2020, les nouveaux défis de la loi Renseignement

Peu avant l’été, la mission d’information a rendu son rapport sur l’application de la loi Renseignement. Nous nous sommes plongés dans ce fleuve de 217 pages, fort de nombreuses propositions. Un cours d’eau menacé par ailleurs par une jurisprudence européenne de plus en plus sensible sur les données personnelles. 

Adoptée dans une France sonnée par de multiples attentats, la loi Renseignement mettait à jour la législation française à l’ère du numérique. Avec elle, des activités « alégales », comme on les baptisait poliment, allaient revenir dans les clous, sous le contrôle des autorités. Surtout, les services allaient être autorisés à mieux déployer une série d’outils 2.0 pour alpaguer aussi bien des données de connexion (le qui, quand, comment d’un échange électronique) que de contenus (l’intérieur d’un mail, d’un échange vocal ou en visio).

C’est le 24 juillet 2015 que fut promulguée la loi par François Hollande du texte, après purge constitutionnelle.  Relevons au passage plusieurs recours lancés depuis lors (notre panorama intermédiaire dressé en 2017). La loi a d’ailleurs été modifiée huit fois notamment en juin 2016, lorsque le pénitentiaire a intégré la communauté du renseignement. Le texte a fait l’objet de nombreux décrets d’application. C’est par exemple ce décret de 17 pages qui dresse la liste des services autorisés au titre du « second cercle ».

La confiance n’excluant pas le contrôle, une évaluation de l’application de la loi dans un délai maximal de cinq ans après son entrée en vigueur était programmée par le législateur. Le rapport d’évaluation commandé par le législateur a été enregistré le 10 juin dernier.

« Les membres de la mission d’information, au terme des travaux qu’ils ont menés, en partie dans le contexte particulier de confinement imposé par la nécessité d’enrayer la propagation de l’épidémie de Covid-19, font le constat que cette loi donne aujourd’hui largement satisfaction » résument très laconiquement ses auteurs, Guillaume Larrivé (LR), Loic Kervran (LREM) et Jean-Michel Mis (LREM). Avant d’en nuancer les propos.

La mécanique de la loi de 2015

Si ces dispositions ne sont pas toujours d’une limpidité exemplaire, la logique de la loi de 2015 est relativement simple :

• Réaffirmer l’importance de principe de la vie privée, mais…
• Prévoir toutefois des finalités justifiant une mesure de surveillance
• Instaurer des outils de surveillance
• Les encadrer par une autorité administrative indépendante, la CNCTR
• Installer un droit au recours devant une formation spéciale du Conseil d’État

La surveillance est ainsi autorisée pour les « seules fins de la défense et de la promotion des intérêts fondamentaux de la Nation ». Derrière cette justification d’apparence anodine, il faut comprendre que les services peuvent légalement mener de représailles (la défense), mais aussi des actions offensives (le joli terme de « promotion »), dès lors que sont en jeu les intérêts supérieurs français.

La défense ou promotion de ces intérêts doit avant tout poursuivre des finalités, soit autant de justificatifs aux coups de canif portés à la vie privée :

• L'indépendance nationale, l'intégrité du territoire et la défense nationale
• Les intérêts majeurs de la politique étrangère, l'exécution des engagements européens et internationaux de la France et la prévention de toute forme d'ingérence étrangère
• Les intérêts économiques, industriels et scientifiques majeurs de la France
• La prévention du terrorisme
• La prévention des atteintes à la forme républicaine des institutions, des actions tendant au maintien ou à la reconstitution de groupements dissous, des violences collectives de nature à porter gravement atteinte à la paix publique
• La prévention de la criminalité et de la délinquance organisées
• La prévention de la prolifération des armes de destruction massive

Avant de mettre en œuvre cette surveillance, les services (DRSD, DRM, DGSI, Tracfin, outre les services du second cercle comme l'Unité de coordination de la lutte antiterroriste) doivent d’abord requérir (en principe) l’avis de la Commission nationale de contrôle des techniques du renseignement puis l’autorisation du Premier ministre.

Statistiquement, la prévention du terrorisme est la finalité la plus utilisée aujourd’hui, comme le confirmait déjà le dernier rapport annuel de la Commission nationale de contrôle des techniques du renseignement (CNCTR). « Cela s’explique par la prégnance de la menace terroriste, principalement endogène depuis le recul territorial de l’organisation dite "État islamique" dans la zone irako-syrienne » commente le rapport parlementaire. Elle est toutefois en recul par rapport à 2018 où elle représentait 45 % des demandes de surveillance.

Les outils pouvant être déployés au titre de la loi Renseignement

Le texte est dense, riche, tout en étant technocentré. Il prévoit :

• Le recueil des données de connexion en temps différé chez les intermédiaires techniques (L851-1 du Code de la sécurité intérieur)
• Le recueil en temps réel des données de connexion de personnes préalablement identifiées comme présentant une menace, pour les seuls besoins de la prévention du terrorisme (L851-2).
• Les traitements algorithmiques par boites noires pour détecter de possibles futurs actes terroristes (L851-3)
• Le recueil des données de connexion en temps réel chez ces mêmes acteurs (L851-4)
• Le balisage en temps réel d’une personne, d’un véhicule ou d’un objet (L851-5)
• Recueil des données techniques relatives à la localisation des équipements terminaux, en temps réel (L851-6)
• L’interception des correspondances par l’utilisation de l’IMSI catcher et autres dispositifs assimilés (II du L852-1)
• La captation, fixation, transmission et enregistrement de paroles prononcées à titre privé ou confidentiel, ou d'images dans un lieu privé (I du L853-1)
• L’accès aux données informatiques stockées dans un système, utilisation de chevaux de Troie ou de Keylogger  (I du L853-2)
• L’introduction dans un véhicule ou un lieu privé ne constituant pas une habitation pour y mettre une balise de géolocalisation (L851-5)
• L’introduction dans un véhicule ou un lieu privé ne constituant pas une habitation pour y placer une caméra ou un micro (L853-1)
• L’introduction dans un véhicule ou un lieu privé ne constituant pas une habitation pour y placer un logiciel espion (2° du I du L853-2)
• L’introduction dans une habitation pour mettre en place, utiliser ou retirer un système de localisation en temps réel une personne, d’un véhicule ou d’un objet (L851-5) un système permettant la captation, la fixation, la transmission et l'enregistrement de paroles prononcées à titre privé ou confidentiel, ou d'images dans un lieu privé (L853-1) ou un logiciel espion (2° du I. du L853-2)
• La pénétration dans un système informatique, pour enregistrer, conserver et transmettre des données (1° du I du L853-2)

Seule la lutte contre le terrorisme permet de justifier l’ensemble de ces outils. Pour les autres finalités, certaines techniques sont autorisées, d’autres proscrites.

Données de connexion, données de contenus

Ces techniques varient selon que les services souhaitent alpaguer des données de connexion (appelées « informations ou documents » par le législateur) ou cette fois le contenu des messages (vocaux, textes, sons).

Le Conseil constitutionnel, saisi par une question prioritaire posée par La Quadrature du Net, FDN et FFDN, s’est penché sur cette expression d’ « informations et documents » pour considérer que les données conservées et traitées par les opérateurs « portent exclusivement » sur l'identification des personnes utilisatrices des services, sur les caractéristiques techniques des communications et sur la localisation des équipements terminaux, jamais « sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications ». 

Sa réponse n’a toutefois pas évacué les incertitudes s’agissant en particulier du statut des URL : est-ce une donnée de contenus parce qu’« information consultée » ou bien une donnée purement technique relevant du contenant ? La problématique dépasse les tergiversations théoriques. Le déploiement des boites noires destinées à détecter des signaux faibles sur Internet ne peut par exemple concerner que les données de connexion, jamais celles de contenus. Or, selon que l’URL appartienne à l’une ou l’autre des catégories, le spectre de la surveillance change de dimension.

« Pour le dire de manière la plus claire possible, familière à tous les usagers d’un moteur de recherche : à partir de quelle barre oblique ("slash") de l’URL une donnée cesse-t-elle d’être une donnée de connexion pour devenir une donnée de correspondances ? » s’interroge la mission. Avant de plaider pour une extension des algorithmes à l’ensemble de ces adresses, et d’étendre ce champ également à la surveillance en temps réel des individus en lien avec la menace terroriste.

S’agissant des boites noires, le même rapport confirme notre actualité d’août 2019 : seuls trois dispositifs algorithmiques ont été mis en œuvre depuis 2015. Mais il ne dit mot sur le nombre de personnes surveillées.

• Renseignement : trois boîtes noires, moins de 10 personnes à risque identifiées en France

Le résultat n’est en tout cas pas fameux : « d’après les informations qui ont été transmises à la mission d’information, les trois algorithmes ont fourni des résultats intéressants. Ils sont néanmoins moins probants qu’ils ne pourraient l’être eu égard au champ relativement limité des données qui peuvent faire l’objet de l’algorithme. Les données pouvant nourrir l’algorithme sont en effet limitées aux seules données de connexion ne révélant aucun contenu, à l’exception donc des URL ». Malgré tout, elle plaide pour une extension de l’expérimentation. Mesure désormais programmée jusqu’à la fin 2021, par un projet de loi actuellement sur la rampe. 

Pour les interceptions des correspondances, « cela peut sembler paradoxal, car internet est très majoritairement chiffré et de plus en plus impénétrable, mais les interceptions de sécurité – non seulement de voix, mais aussi de flux internet – connaissent une forte croissance ». La hausse a été

• + 5,6 % en 2016
• + 7,6 % en 2017
• + 20 % en 2018
• + 19 % en 2019

Une hausse similaire a été également enregistrée pour la surveillance des communications internationales, lequel a fait l’objet d’un chapitre législatif particulier suite à une première censure de la loi renseignement.

Vers une mise à jour de la loi de 2015

Au fil du document, les parlementaires relèvent aussi des incohérences dans le texte, notamment s’agissant de la durée de conservation des renseignements collectés, après mise en œuvre de ces outils.

Par exemple, « les images peuvent être conservées 120 jours alors que les paroles ne peuvent l’être que 30 jours. Cela aboutit à des situations inopportunes où une même vidéo ne peut plus être exploitée après 30 jours que sans le son. La durée de 30 jours est calquée sur celle des interceptions de sécurité, mais il paraîtrait logique d’harmoniser, à la hausse, cette durée s’agissant de la sonorisation avec celle de la fixation d’image ».

Ils demandent une durée maximale de conservation de 120 jours pour ces deux types de données.

Nombreuses sont à ce titre les voix à souhaiter une mise à jour de cette loi âgée seulement de cinq ans. L’an passé, l’Intérieur annonçait déjà sa volonté de dépoussiérer ce dispositif. En 2018, l’ancien numéro un de la DGSI estimait même la loi menacée d’obsolescence, avec à l’index, la question du big data. « Si la loi a été rédigée de manière à pouvoir s’adapter aux évolutions technologiques, embraye le rapport parlementaire, il est indéniable que plusieurs d’entre elles ont ou auront des incidences sur le cadre d’intervention des services de renseignement. »

Un texte qui fait face à plusieurs défis, dont l’IA

Toujours selon la mission, « le recours à la multiplicité des outils de l’intelligence artificielle suppose "d’entraîner les machines", ce qui soulève la question des modalités de conservation des données nécessaires, en masse, pour permettre cet entraînement ».

Lors de son audition du 8 mars 2018 devant la commission de la Défense nationale et des forces armées, le général Ferlet, directeur du renseignement militaire a ainsi assuré qu’« il ne saurait être question de faire face [à ce tsunami de données, ndlr] en se contentant de demander des moyens supplémentaires en exploitants ou en analystes ». Il réclame « des solutions plus innovantes, à base d’outils d’intelligence artificielle », au motif qu’ « il ne sert à rien de collecter toujours plus de données et de renseignements si nous n’arrivons pas à les exploiter en tirant de nos bases de données les informations pertinentes au moment utile. »

Mais à quoi pourrait servir l’IA ? La mission dresse plusieurs pistes : « L’IA doit permettre aux agents des services d’avoir un meilleur accès à l’information, de développer la traduction et la transcription automatiques, de détecter une langue ou de reconnaître un locuteur, d’extraire des informations telles que des entités nommées, d’accélérer le traitement de la vidéo par élimination ou sélection de scènes sur requête sémantique, de détecter des schémas de communication ou encore de masquer des passages, extraits ou parties de documents à des fins de protection de la vie privée ».

À ce jour, seule la DGA peut effectuer des tests, prévus par l’article 2371-2 du Code de la défense.

• L’armée autorisée à faire des tests de surveillance en France  

La mission sollicite du coup un allègement du cadre en matière de conservation des données en phase d’apprentissage. Les données personnelles, pseudonymisées, seraient conservées par un tiers de confiance indépendant des services investigateurs et leur exploitation exclurait toute activité opérationnelle.

La 5G et le chiffrement de bout en bout

Deuxième défi, le recours à la 5G « est de nature à remettre en cause l’usage de techniques de renseignement telles que l’IMSI-catcher ». Selon les parlementaires, « lors de leurs auditions, les responsables des différents services de renseignement n’ont pas manqué d’alerter les membres de la mission d’information sur le fait que le développement de la 5G pourrait compliquer, voire rendre impossibles, les actuels repérages de communications, écoutes et localisations ».

La 5G va rendre complexes, voire impossibles, « le recueil de données de connexion et donc l’identification et la localisation d’appareils mobiles », en particulier la lecture de l’IMSI (International Mobile Subscriber Identity). Elle rendra également difficile l’analyse des données captées : « le chiffrement de bout en bout de l’ensemble du trafic sur le réseau 5G compliquera les opérations de criminalistique informatique en ralentissant le travail d’enquête puisqu’il rendra nécessaire le déchiffrement ou décryptage des données. »

Quant à la technologie du réseau par tranches, elle « va répartir l’ensemble des communications sur l’ensemble des réseaux virtuels. Chaque réseau virtuel étant géré par une société différente, cela va contraindre à collaborer avec plusieurs prestataires de services, parfois à l’international, afin de pouvoir récupérer auprès de chacun d’eux des fragments de l’information recherchée ».

De même, le chiffrement de bout en bout des communications cette fois au travers de solutions comme Whatsapp, Telegram, Signal ou Wire « vise à garantir la  confidentialité des échanges et à protéger la vie privée des utilisateurs de ces logiciels ou applications ». Toutefois, « il représente évidemment un obstacle pour les services de renseignement souhaitant procéder à des interceptions de sécurité ».

La mission n’a pas vraiment de solution. S’agissant des IMSI catcher (ces fausses antennes relai installées entre les mobiles et les vraies antennes), une piste pour résoudre en partie ces difficultés serait que « les opérateurs de télécommunications fournissent en temps réel un accès à un annuaire permettant de relier identifiants éphémères et identifiants pérennes. On pourrait aussi demander à l’opérateur les identifiants électroniques qui se sont connectés à telle ou telle antenne, à tel instant ».

Biométrie et renseignement

Enfin, la biométrie. « Cet outil, déjà utilisé dans certains domaines, nécessiterait un certain encadrement juridique, mais aussi des ajustements techniques avant de pouvoir, le cas échéant, être exploité par les services de renseignement ».

Les usages sont là aussi multiples :

• « Recherche, dans une base de données comportant des photographies, de l’état civil d’une personne (victime, suspecte, etc.) non identifiée, ainsi que le permet par exemple en France le traitement des antécédents judiciaires »
• « Suivi des déplacements d’une personne dans l’espace public, par comparaison entre son visage et les gabarits biométriques des personnes circulant ou ayant circulé dans la zone surveillée, par exemple en cas d’oubli d’un bagage ou à la suite de la commission d’un délit »
• « Reconstitution du parcours d’une personne et de ses interactions successives avec des personnes tierces, par une comparaison des mêmes éléments, mais réalisée en différé, pour identifier ses contacts par exemple »
• « Identification sur la voie publique de personnes recherchées, par confrontation en temps réel de tous les visages captés à la volée par des caméras de vidéoprotection et une base de données détenue par les forces de l’ordre ».

Des interlocuteurs de la mission d’information jugent cette technologie « inéluctable » pour le renseignement. Dans le rapport, trois sources d’approvisionnement en images sont scénarisées : les images collectées par les services, celle rendues disponibles sur Internet où il s’agirait alors cibler certaines personnes. Enfin, l’espace public.

Les rapporteurs soulignent la nécessité d’en faire une technique de renseignement en soi, à l’instar des sondes ou des traitements algorithmiques. Toutefois, pas de charrue avant les bœufs. En raison de la sensibilité et du risque important d’atteinte aux libertés publiques, ils ne préconisent pas à ce jour d’évolution législative en matière d’usage de la reconnaissance biométrique par les services de renseignement, ce « même à titre expérimental ».

Ils jugent aussi inopportune l’idée de contrôler les échanges internationaux d’informations entre les services de renseignement, mais militent pour un élargissement des possibilités d’interconnexion de fichiers du renseignement en France.

Le « hold-up » de la jurisprudence européenne

Les rapporteurs ont surtout évoqué la question très actuelle de la jurisprudence européenne relative à l’accès et à la conservation des données personnelles. Avec une décision en point d’orgue : l’arrêt Télé2 Svérige AB rendu le 21 décembre 2016, considéré par les deux députés comme un « hold up jurisprudentiel », une épée de Damoclès pour les services de renseignement. Pas moins.

• La CJUE s’oppose à l'obligation généralisée de conservation des données de connexion

Pour mémoire, dans cet arrêt la Cour a considéré que « seule la lutte contre la criminalité grave » est susceptible de justifier une conservation des données relatives au trafic et à la localisation des individus. En attendant, toute « réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique » est interdite.

Problème : en France, les intermédiaires techniques ont l’obligation de conserver un an durant l’ensemble des données de connexion, qui restent alors mises à disposition notamment de la justice et du renseignement… « au cas où », même s’agissant des infractions non aussi graves que le terrorisme.

À la lecture de cet arrêt, la mission considère « qu’il n’est pas possible de soutenir qu’une conservation de l’ensemble des données de la population puisse être justifiée par le haut niveau de la menace terroriste que la France connaît actuellement. Ce serait une interprétation par trop contraire au principe de l’interdiction de toute conservation généralisée des données ».

Seules les données puisées en temps réel et les traitements algorithmiques passeraient ainsi les tests européens, puisqu’elles ne reposent pas sur une conservation généralisée.

En attendant, cet arrêt entraine « la remise en cause de toutes les techniques de recueil de renseignements qui ne sont pas mises en oeuvre en temps réel ». Ainsi, « cette décision Tele2 Sverige AB, si elle devait être confirmée, remettrait en cause les techniques nécessitant le recueil, en temps différé, de données de connexion conservées par les opérateurs, qui font l’objet de près de 40 000 demandes par an ». Pas étonnant que « les acteurs du renseignement ont dénoncé unanimement et avec énergie les conséquences qu’emporte une telle décision juridictionnelle »

Une décision confirmée ? La CJUE a été invité par le Conseil d’État à examiner le régime français à la demande de la FDN, la FFDN et la Quadrature du Net. Le dossier est toujours en cours.

• Conservation généralisée des données : le Conseil d’État en quête de justifications devant la CJUE
• Les conclusions mesurées de l’avocat général

L’arrêt est attendu dans les mois à venir. En attendant, la direction des affaires juridiques du ministère de l'Europe et des Affaires étrangères a suggéré la piste d’une modification des textes européens pour autoriser finalement les États membres à « prévoir une obligation faite aux opérateurs de conserver les données nécessaires aux fins de protection de la sécurité publique ou de lutte contre la criminalité grave, qui relève de la compétence des États membres ». Ou comment shunter le juge, en modifiant les textes.

D’autres hypothèses sont envisagées par la mission comme « une rébellion des juridictions nationales au nom du principe d’identité constitutionnelle de la France ». L’idée ? Que les juridictions administratives considèrent l’interdiction de la conservation généralisée des données, énoncée dans l’arrêt Tele2 comme « contraire au principe de souveraineté, défini au titre premier de la Constitution – principe inhérent, s’il en est, à l’identité constitutionnelle de la France ». Pour le rapport, « on n’aurait sans doute d’autre solution que de considérer que la primauté du droit européen cesse quand on se trouve au coeur du coeur de la souveraineté nationale et de notre droit constitutionnel ».