Nous révélons l’avant-projet de lettre rectificative du gouvernement. Cette mise à jour vient compléter le tout récent projet de loi « relatif à la prévention d’actes de terrorisme et au renseignement », présenté le 28 avril dernier en Conseil des ministres.
Une rustine, ou « lettre rectificative », a été examinée cette semaine par le Conseil d’État. Nous avons pu obtenir une version antérieure à cette saisine pour avis. Pour mémoire, ce second texte vient « patcher » le projet de loi pour tenir compte notamment d’une jurisprudence de la Cour de justice de l’Union européenne et du Conseil d’État.
- Conservation des données de connexion : la justice de l'UE siffle la fin du match, ou presque
- Comment le Conseil d’État a sauvé la conservation des données de connexion
Le projet de lettre rectificative que s’apprête à présenter le Conseil des ministres devrait être court. Dans la version que nous diffusons, moins d’une dizaine d’articles.
Des algorithmes pérennisés, étendus aux URL
Le cœur de ces nouvelles dispositions n’est pas une surprise : le texte met fin au caractère expérimental d’un outil introduit avec la loi Renseignement de 2015 pour détecter les germes de menaces terroristes sur les données de connexion électroniques. Ces « algorithmes » devaient en effet s’achever à la fin de l’année après déjà plusieurs reports.
Pour justifier la pérennisation de ce dispositif, l’Intérieur vante « sa pertinence opérationnelle, cette capacité de détection ne pouvant pas être remplie par aucun des moyens traditionnels des services de renseignement ».
Toujours pour le gouvernement, les actions terroristes sont « de plus en plus, le fait d’individus qui s’inspirent des messages de propagande qui émanent des organisations terroristes, incitant au passage à l’acte en fournissant les tutoriels pour leur réalisation, mais qui ne sont pas entrés en contact visible ou direct avec des organisations, réseaux ou groupes terroristes, échappant ainsi à toute capacité de détection par le biais d’une surveillance ciblée ».
Ces « boites noires » ne sont pas seulement pérennisées. Elles sont également étendues aux URL, ou « adresses complètes de ressources sur Internet », dixit le texte. Cette extension, susceptible de ne pas passer le cap du Conseil constitutionnel, permettra à ces traitements automatisés d’ingurgiter les contenus des informations consultées par les internautes. L’argument du ministère ? Alors que ces contenus « échappent aujourd’hui au champ d’application », « leur recueil permettrait de fournir des renseignements particulièrement utiles à la prévention du terrorisme ».
Même extension pour la surveillance en temps réel
Comme prévu également, le champ de l’article 851-2 du Code de la sécurité intérieure subit la même extension aux adresses.
Cet article met en œuvre non plus une recherche indiscriminée, mais une surveillance en temps réel des données de connexion d’une personne identifiée, susceptible d'être en lien avec de tels faits. La surveillance des URL pourra tout autant concerner son entourage, si les personnes qui le composent sont « susceptibles de fournir des informations » utiles.
Réforme de la conservation des données de connexion
Le Code des postes et des télécommunications subit également une réforme appelée par la jurisprudence du Conseil d’État. Elle concerne la conservation des données de connexion, jusqu’à présent généralisée et indiscriminée, mais qu’a plusieurs fois condamnée la Cour de justice de l’Union européenne.
Alors que la Cour constitutionnelle belge a tiré comme conséquences la destruction de l’édifice légal, le régime français a été maintenu à flot par le Conseil d’État en avril dernier, au prix d’un arrêt d’une quarantaine de pages et d’une gymnastique digne d’un contorsionniste.
En substance, le gouvernement déduit de cette décision un nouveau régime :
- Les opérateurs de communications électroniques doivent conserver toutes les informations relatives à l’identité des utilisateurs, jusqu’à l’expiration d’un délai de cinq ans après la fin de validité de son contrat
- Les autres informations fournies lors de la souscription d’un contrat ou de la création d’un compte, ainsi que les informations relatives au paiement, seront conservées pendant un an, comme aujourd’hui.
- Même délai de 12 mois, pour l’ensemble des données techniques permettant d’identifier l’utilisateur ou relatives aux équipements terminaux de connexion utilisés (adresses IP).
La conservation généralisée est donc maintenue par défaut pour ces trois séries de données, qui seront détaillées dans un décret en Conseil d’État. Dans l’hypothèse d’une menace grave, actuelle ou prévisible sur la sécurité nationale, le Premier ministre pourra enjoindre aux opérateurs « de conserver de manière générale et indifférenciée, pendant une durée d’un an, certaines catégories de données relatives aux communications électroniques ».
La grille de lecture de l'arrêt du 21 avril dernier ne nous semble pas être totalement respectée (nous y reviendrons).
Retenons aussi que c’est encore un décret qui définira le spectre de l'état de la menace, comme l’avait réclamé le Conseil d‘État. Avec une subtilité : le texte ne sera pas renouvelé tous les 6 mois mais pourra l’être autant de fois que nécessaire si les conditions prévues pour son édiction, à savoir la menace grave actuelle ou prévisible, continuent d’être réunies. Ce renouvellement sans fin n’aura toutefois aucune incidence sur la durée de conservation de chacune de ces données, fixée à un an.
Rappelons également que la notion de sécurité nationale est très vaste. Le Conseil d’État raccroche à ce train l’ensemble des finalités prévues par le Code de la sécurité intérieure (L.811-3 du Code de la sécurité intérieure) : cela concerne évidemment la lutte contre le terrorisme, mais également la défense ou promotion des intérêts majeurs de la politique étrangère ou encore des intérêts économiques, industriels et scientifiques majeurs de la France. Bref, du vaste, du large.
Pas d'avis conforme de la CNCTR
Le Conseil d’État avait par ailleurs exigé un « contrôle préalable par une autorité administrative indépendante dotée d’un pouvoir d’avis conforme ou une juridiction », avant tout déploiement de certains outils de surveillance. Nous en avions rapidement déduit l’introduction d’un mécanisme d’avis conforme avant cette mise en œuvre.
Le choix opéré par l’exécutif est plus fin : la CNCTR continuera à émettre des avis simple. En cas d’avis défavorable de la Commission nationale de contrôle des techniques du renseignement, préalable à la mise en œuvre en France de n’importe quelle technique de recueil de renseignements, le Conseil d’État pourra être saisi. Il rendra le cas échéant sa décision dans les 24 heures.
Dans ce laps de temps, la décision d'autorisation à la surveillance du Premier ministre sera suspendue, « sauf en cas d’urgence dûment justifiée et si le Premier ministre a ordonné sa mise en oeuvre immédiate ». Une exception dans l’exception : ce régime d’urgence ne pourra être activé pour la technique de l’algorithme.
Transmission entre judiciaire et l’ANSSI en cas d’attaque informatique majeure
Le dernier article de la lettre rectificative dresse une passerelle entre le judiciaire et d’autres services, notamment l’ANSSI. La loi de programmation militaire de 2014 a ouvert la possibilité pour la France de répondre à une attaque informatique. L’article L 2321-2 du Code de la défense rend cette réponse informatique possible dès qu'est affecté « le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ».
Et c’est notamment l’ANSSI qui se voit dotée de ce pouvoir, outre le service du commandement opérationnel de cyberdéfense de l'état-major des armées, la direction technique de la direction générale de l'armement, etc.
La lettre rectificative crée donc une incise dans le secret des procédures judiciaires. Elle ouvre la possibilité de transmettre à ces entités les éléments nécessaires à l’exercice de leur mission en matière de sécurité et de défense des systèmes d’information.
Un pont identique est créé avec les services du renseignement entre le Procureur de la République de Paris et les services du renseignement chargé « de la prévention de la criminalité et de la délinquance organisées ».
Lorsque les procédures font l’objet d’une information, précisons que ces communications sont conditionnées à l’avis favorable du juge d’instruction, qui peut de lui-même procéder à ces envois.
La lettre est susceptible d’avoir évolué depuis l’avis du Conseil d’État. Relevons que sont également attendus ceux de la CNIL, de l’ARCEP et de la CNCTR. Elle sera présentée officiellement la semaine prochaine.
