Dans le cadre du projet de loi de programmation militaire, le président de la Commission des lois, le socialiste Jean-Jacques Urvoas, voudrait que l’administration puisse être autorisée à géolocaliser à distance les objets connectés, qu’ils soient voiture ou frigo 2.0.
L’actuel code de la sécurité intérieur organise un système d’interception de sécurité par voie électronique. Pour les mettre en œuvre, il est nécessaire de décrocher une décision écrite et motivée du premier ministre (ou de l'une des deux personnes spécialement déléguées par lui), à la demande du ministre de la Défense, du ministre de l'Intérieur ou du ministre chargé des douanes. À cette fin, il faut l’avis de la Commission nationale de contrôle des interceptions de sécurité (CNCIS) et surtout il faut répondre à l’un des cinq motifs énumérés par la loi : la recherche de renseignements intéressant la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et notamment de la délinquance organisée.
Géolocaliser un objet connnecté, automobile comprise
Cependant, les mesures actuellement organisées semblent trop mollassonnes à Jean-Jacques Urvoas. Dans le cadre du projet de loi de programmation militaire, le président socialiste de la Commission des lois de l’Assemblée nationale veut que l’intérieur, la défense ou Bercy soient autorisés à mettre en œuvre « tout dispositif technique ayant pour objet la localisation en temps réel, sur l’ensemble du territoire national, d’un véhicule ou de tout autre objet, sans le consentement de son propriétaire ou de son possesseur ». En clair, il s’agira de surveiller l’internet des objets dès lors qu’une des cinq finalités sera vérifiée (sécurité nationale, prévention du terrorisme, criminalité, etc.).
Mise en oeuvre en toute discrétion
Comment mettre en œuvre ces espions connectés ? Simple, ces administrations pourront être autorisées encore à introduire des mouchards « dans un véhicule ou un lieu privé, à l’insu ou sans le consentement du propriétaire ou du possesseur du véhicule ou de l’occupant des lieux ou de toute personne titulaire d’un droit sur ceux-ci ». (Précisons au passage que des garanties spécifiques existent lorsqu’il s’agira d’espionner les entreprises de presse, les entreprises audiovisuelles, les parlementaires, les avocats ou les magistrats)
Ces systèmes seront cette fois mis en place sur autorisation de la Commission nationale de contrôle des interceptions de sécurité et sur proposition écrite et motivée du ministre de la Défense, du ministre de l’Intérieur ou du ministre de l’Économie et du Budget. La CNCIS aura 48 heures pour prendre sa décision, ou même une heure en cas d’urgence. L’autorisation d’interception sera donnée pour une durée maximum de quatre mois. Elle peut enfin être renouvelée dans les mêmes conditions de forme et de durée, sans autre limite de temps.
Sur autorisation de la CNCIS ou décision du Premier ministre
Selon Jean-Jacques Urvoas, l’enjeu est ici « de permettre aux services spécialisés de renseignement et d’enquête de recourir à la géolocalisation en temps réel par pose de dispositif technique ». Il s’agit selon lui, « d’adapter les moyens des services à la nouvelle configuration des menaces et de la criminalité ». Le député PS considère qu’en confiant ce mécanisme à la Commission nationale de contrôle des interceptions de sécurité, une autorité administrative indépendante, est assurée « une parfaite protection des libertés fondamentales de nos concitoyens dans le cadre des opérations de police administratives. »
Quid si la CNCIS refuse cette autorisation ? Simple : le Premier ministre pourra passer outre en prétextant « des raisons d’urgence et d’intérêt national majeur ». Cependant, la surveillance sera autorisée cette fois pour un seul mois.
Comme exposé dans nos colonnes depuis plusieurs mois, le projet de loi de programmation militaire prévoit encore d’habiliter des agents de la sécurité intérieure, de la Défense, de l’Économie et du Budget à solliciter des opérateurs en temps réel la transmission « des informations ou documents traités ou conservés par leurs réseaux ou services de communication électronique ».Ce point a été décrié par l'ASIC, l'association des acteurs du web 2.0, qui demande un moratoire sur les régimes d'exception.
Le texte va également autoriser l’ANSSI à pénétrer des systèmes informatiques à l’origine d’une attaque « pour rechercher des données permettant de comprendre le fonctionnement de l’attaque informatique ». Il prévoit en outre toute une série de mesures d’hygiène informatique que devront mettre en œuvre les opérateurs d’importance vitale (OVI) contre les cybermenaces (voir notre actualité, aux Assises de Monaco). Enfin, les agents habilités de l’ANSSI pourront « obtenir des opérateurs de communications électroniques l’identité, l’adresse postale et l’adresse électronique d’utilisateurs ou de détenteurs de systèmes d’information afin de les alerter sur la vulnérabilité ou la compromission de leur système » si est en jeu la sécurité des systèmes d'information de l'État et des opérateurs d’infrastructure vitale.
