Comment va s’organiser la surveillance d’Internet en France

Les députés vont voter aujourd’hui vers 17 heures, le projet de loi de programmation militaire (pdf). Le texte a soulevé de nombreuses critiques, que ce soit chez Renaissance Numérique, l’ASIC ou la CNIL laquelle a mal vécu le fait d’être mise sur la touche. PC INpact a cependant voulu se replonger dans ces dispositions pour tenter de mesurer l’ampleur de la surveillance en ligne qu’elles organisent en France

Grâce à l’article 8 du projet de loi de programmation militaire, les services de renseignement du ministère de la Défense et ceux du ministère du Budget pourront déjà accéder à de nombreux fichiers administratifs (immatriculation, carte nationale d’identité, passeports, etc.). Il suffira que soient en jeu des « atteintes aux intérêts fondamentaux de la Nation ». « Une expression consacrée en plusieurs endroits du texte, mais qui reste trop floue à mon sens » regrettera Lionel Tardy, vainement.

Des fichiers, des fichiers, des fichiers

Il reviendra à un décret en Conseil d’État de déterminer tous les services spécialisés de renseignement qui pourront ainsi piocher dans cette masse d’information alimentée par traitements automatisés. Ces atteintes aux intérêts fondamentaux de la Nation serviront également de justification d’un traitement automatisé des informations recueillies à l'occasion de déplacements internationaux en provenance ou à destination d'États n'appartenant pas à l'Union européenne : cartes de débarquement et d'embarquement des passagers, etc. (article 9 et surtout l'article 10).

Sur ces dispositions, le député Lionel Tardy marquera là encore son étonnement (les échanges retranscrits). « Fait assez rare, voire inédit dans cette enceinte, l’article 10 anticipe la transposition d’une directive. D’habitude, c’est sur le tard, voire hors délai ! Il s’agit d’expérimenter un fichier automatisé des passagers aériens. Le mieux étant souvent l’ennemi du bien, il faut savoir que la directive PNR, « Passenger name record » (en question, ici, NDLR), n’est pas vraiment en phase de transposition : elle a été rejetée par la commission des libertés civiles du Parlement européen. Je sais que la connexion entre députés européens et cadres nationaux du PS n’est pas toujours bonne, mais je précise qu’en l’occurrence, le rejet a été soutenu par les socialistes et les écologistes européens ! » Ses remarques resteront sans effet.

L’article 12 assure quant à lui l’extension de la consultation des fichiers de police judiciaire aux services de renseignement. Sur cette disposition, le député de Haute-Savoie tentera vendredi à tout le moins de mettre la CNIL dans la boucle du décret d’application. Mais la rapporteure du texte, tout comme le gouvernement, s’y sont opposés : « Ce fichier d’antécédents dont l’accès est ouvert aux services de renseignement, résumera Patrica Adam, rapporteure du texte, a été créé par la loi du 14 mars 2011 dite LOPPSI 1. Le traitement de ces données est opéré sous contrôle du procureur de la République territorialement compétent et un magistrat est spécialement chargé de suivre la mise en œuvre du fichier au ministère de la Justice. Je pense que les garanties actuelles sont largement suffisantes et que l’avis de la CNIL sur ce projet de décret d’application est superfétatoire. » Un avis suivi par Jean-Yves le Drian, ministre de la Défense. Circulez !

Mais c’est surtout l’article 13 qui suscite le plus d’interrogation. Le texte autorise les interceptions de correspondances émises par la voie des communications électroniques. Sans intervention préalable du juge.

L’article 13, ou la surveillance d’internet autorisée par la loi

Comme déjà exposé, le projet de loi apporte des modifications profondes au régime du recueil des données de connexion dans l’optique de la lutte contre le terrorisme. Ce régime dit des réquisitions administratives avait été installé par une loi antiterroriste du 23 janvier 2006. Il ne devait durer qu’un temps, mais au fil des lois sécuritaires, il a été prorogé et prorogé et prorogé.

Aujourd’hui, les données que peuvent réclamer la police et la gendarmerie visent non les contenus des messages, mais « les données techniques relatives à l'identification des numéros d'abonnement ou de connexion à des services de communications électroniques, au recensement de l'ensemble des numéros d'abonnement ou de connexion d'une personne désignée, aux données relatives à la localisation des équipements terminaux utilisés ainsi qu'aux données techniques relatives aux communications d'un abonné portant sur la liste des numéros appelés et appelants, la durée et la date de la communication » (article L.34-1-1 du Code des postes et des télécommunications)

Le faible encadrement de ces demandes administratives avait été dénoncé très tôt par la Commission nationale consultative des droits de l’homme (CNCDH) selon laquelle « ces mesures dérogent évidemment aux principes fondamentaux de protection des libertés (…)une fois encore, au développement des pouvoirs de police administrative dans la mise en place de ce système de surveillance d’une activité privée des citoyens dans des lieux d’expression publics que sont les cybercafés, le tout au détriment des prérogatives auparavant laissées à la seule autorité judiciaire gardienne des libertés. C’est d’abord cette dérive qui est inquiétante. »

Au Sénat, à l’initiative du sénateur Jean Pierre Sueur, la loi de programmation militaire a été l’occasion d’un grand ménage : le provisoire a été gommé pour graver dans le marbre ce dispositif tout en unifiant le recueil prévu par la loi du 10 juillet 1991 (interceptions de sécurité, et donc le contenu des messages) et celui orchestré par la fameuse loi exceptionnelle de 2006 .

Une mesure applaudie par Manuel Valls, mais regrettée par la CNIL qui n'a pas été consultée et condamnée par l’Association des acteurs du web 2.0 : « le Projet de Loi de programmation militaire propose d’aligner le régime d’exception d’accès aux données sur celui des interceptions de communications électroniques. Or, les garanties offertes ne sont que partiellement transposées, voire inopérantes, dans certains cas. » Et pour cause, le texte permettra à de nombreuses administrations d’aspirer quantité de données détenues par les FAI et les hébergeurs, le tout en temps réel et sur simple « sollicitation du réseau. »

Lionel Tardy (UMP, Haute-Savoie)

Quand pourra-t-on justifier ce recueil dans les mains des FAI et des hébergeurs ?

Avant d’ouvrir ces vannes, pas d’intervention préalable du juge. Les autorités auront simplement à justifier d’une recherche de renseignement touchant à « la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous ». En clair, le robinet pourra s’ouvrir dès que l’un de ces motifs sera secoué devant lui.

Qu’est-ce qui pourra être butiné ?

Les agents pourront directement aspirer ces flux et ces stocks chez les FAI et des hébergeurs. Le texte est généreux puisqu’il leur apporte sur un plateau les « informations », mais aussi les « documents traités ou conservés. »

On le voit rapidement, les termes « d’informations » et de « documents » sont extrêmement vastes. Le projet de loi n’est pas bavard. Il nous dit que cela concernera notamment :

• Les données techniques relatives à l’identification des numéros d’abonnement ou de connexion
• Toutes les données de connexions d’une personne désignée
• La localisation des équipements terminaux utilisés
• Toutes les communications portant sur la liste des numéros appelés et appelant
• La durée et la date des communications.

Mais cette liste inscrite dans le projet de loi n’est pas exhaustive et du coup, rien n’est dit sur l’expression « documents ». Lionel Tardy, un des rares à avoir tenté d’amender ce texte avec sa collègue Laure de la Raudière, a justement craint que ce terme « risque de l’étendre à d’autres éléments que ceux qui sont cités, et cela m’inquiète. »

L’Asic, association des acteurs du web communautaire, est sur la même longueur d’onde (pdf d'une note sur ce projet) : « contrairement au régime actuel, le texte étend très largement les modalités d’accès puisque cet accès concerne non seulement les données techniques (auparavant seules accessibles sur ce régime de l’accès) à toute “information ou document” conservés par les hébergeurs (…) Ce mécanisme revient à offrir aux autorités, sans aucun contrôle préalable, un accès à tout document et/ou contenu stocké par un hébergeur sur ces serveurs »

La présidente de la commission de la défense nationale et des forces armées, Patricia Adam, repoussera l’amendement du député de Haute-Savoie, au motif d'un souci de cohérence avec d’autres dispositions. « S’agissant du recueil de données auprès des opérateurs, les termes utilisés dans le code de la sécurité intérieure et celui des postes et des communications électroniques sont bien « informations et documents », tel que précisé dans cet article. Il n’est pas question d’en utiliser d’autres, qui risqueraient de rendre la loi moins lisible et plus difficilement applicable ».

Le Code de la sécurité intérieur, lorsqu’il aborde la question précise des interceptions (sur les contenus), prévoit en effet déjà que les tribunaux et le premier ministre, notamment, peuvent recueillir, auprès des intermédiaires, « les informations ou documents qui leur sont nécessaires, chacun en ce qui le concerne, pour la réalisation et l'exploitation des interceptions autorisées par la loi ». (Article L244-2). Mais ainsi, en voulant rendre la loi « plus » lisible et « plus » facilement applicable, les députés - avec l’appui du gouvernement socialiste - ont préféré étendre ce pouvoir d’aspiration sans intervention du juge ni de contrôle préalable à l’ensemble de ces pièces, comme on va le voir.

Que se passe-t-il si les administrations aspirent trop ?

L’actuel régime des interceptions prévoit des garanties sur cette question. L’article L.242-5 du code de la sécurité intérieure indique en effet que « dans les correspondances interceptées, seuls les renseignements en relation avec l'un des objectifs énumérés à l'article L. 241-2 peuvent faire l'objet d'une transcription. Cette transcription est effectuée par les personnels habilités ».

Là, il n’y a pas de mesures concrètes pour garantir la purge de ce qui n’est pas utile : en pratique, une lecture un peu paranoïaque peut faire craindre que tout soit demandé dès lors qu’un des motifs de déclenchement sera vérifié au départ (recherche de renseignement touchant à la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisées, etc.). Voilà pourquoi l’ASIC considère que « la garantie d’une mesure proportionnée n’est pas ici reprise. Les autorités pourront obtenir l’ensemble des informations en lien ou non avec la finalité recherchée ».

Notons autre chose : les parlementaires n’ont pas repris un autre verrou toujours placé dans le monde des interceptions dites de sécurité. Là, quand les autorités tombent sur un délit ou un crime, ils doivent alerter le procureur de la République (article 40 du Code de procédure pénale, cité par l’article L.242-8 du Code de la sécurité intérieure. Les autres informations recueillies). Les autres données doivent être effacées si elles ne correspondent pas au motif de déclenchement. Dans le projet de loi de programmation, rien n’a été prévu à cet effet, ce qui laisse entrouverte la porte à d'autres utilisations. Quel verrou par exemple contre une transmission des informations et des documents à d’autres administrations ?

Qui pourra accéder à cette masse de données détenues par les FAI et les hébergeurs ?

En première ligne, il s’agira des agents individuellement habilités de l’Intérieur, de des services relevant des ministres chargés de la sécurité intérieure, de la défense, de l’économie et du budget. Bref, toute une ribambelle d’administrations aux intérêts multiples.

Lionel Tardy avait là encore tenté de limiter la casse, cette fois sur le nombre de ministères concernés. « On comprend que les recueils de données puissent être demandés par les ministres de l’Intérieur et de la Défense. En revanche, faire apparaître celui de l’économie et des finances nous fait sortir du cadre de cette loi et mentionner le ministre délégué au budget, vous le reconnaîtrez, est beaucoup plus suspect. Nous traitons de sécurité intérieure et de lutte contre le terrorisme : que vient faire ici l’économie ? Sans doute va-t-on me répondre qu’il s’agit de Tracfin. Or, Tracfin traite du blanchiment d’argent et si j’en crois ses propres chiffres, les affaires de terrorisme ne représentent que 1 % de ses dossiers. Il y a sans doute d’autres moyens que de donner ce pouvoir important aux ministres de Bercy. ».

Là encore, sans succès. Patricia Adam, rapporteure, lui rétorquera que « la communauté du renseignement, monsieur Tardy, n’est pas uniquement composée des services qui dépendent du ministère de l’intérieur et de celui de la défense ». Bref, dégagez, il n’y a rien à redire : l’enjeu est d’offrir un bel éventail de droits de communication testostéroné à cette « communauté du renseignement ». Son amendement sera donc repoussé, avec l’appui du gouvernement et le silence poli des autres groupes politiques, dont les Verts ou l’UMP.

Comment seront encadrés ces recueils ?

Ces indiscrétions se feront sur demandes initiales des administrations concernées et seront soumises à la décision d’une personnalité qualifiée placée auprès du Premier ministre. Cette personne établira un rapport d’activité annuel qu’elle adressera à la Commission nationale de contrôle des interceptions de sécurité (CNCIS). Le recueil des « informations » et des « documents » pourra alors se faire sur « sur sollicitation du réseau », et donc à tous le moins à la demande.

Sur sollicitation du réseau ?

Cette notion fait là encore tiquer Tardy, seul poil à gratter présent vendredi, quelque peu désemparé par la pauvreté des débats sur ce terme. Il a ainsi voulu gommer ce passage jugé trop floue. « Soit [cette notion de sollicitation du réseau] va à l’encontre de l’objectif parce qu’elle est trop large et sujette à interprétation, soit elle est tellement floue qu’elle donne carte blanche à une interconnexion sans filet, ce qui serait intrusif. Dans les deux cas, ce n’est pas satisfaisant. J’aimerais savoir ce que recouvre cette notion. À mon sens, il faut que les opérateurs puissent intervenir, être consultés entre guillemets…Si c’est cela, autant le préciser, car, en l’état, ce n’est pas clair du tout ».

Le député, et donc les citoyens n’auront aucune réponse puisque les débats ont été d’un vide sidéral. Son amendement sera sèchement « repoussé par la commission et le Gouvernement », sous le silence poli des autres groupes, là encore.Ou du Conseil national du numérique qui n'a jamais ouvert sa bouche sur ce texte. 

Fait notable, les FAI et hébergeurs auront l’obligation de transmettre toute cette masse d’information « en temps réel », ce qui accentue d’autant plus les capacités des autorités administratives sur les données et documents détenus par les opérateurs et hébergeurs, et spécialement la géolocalisation des équipements.

Ce « temps réel » croisé avec « la sollicitation du réseau » s’entrechoquent avec les dernières révélations d’Edward Snowden. Selon les documents cités dans l’édition du 30 novembre du Monde, la DGSE a noué des relations étroites avec la NSA dès 2005, relations où s’est établie «une franche discussion entre la direction des relations extérieures de la NSA et la direction technique de la DGSE ». Elle a porté « sur les besoins en information et sur l’idée de créer un modèle de référence en termes de partenariat. »

Le partenariat en question s’est même resserré entre la DGSE, la NSA et les autres pays anglo-saxons dès la fin 2011 avec l’adoption d’un protocole d’échange de données massif, écrivent encore nos confrères. Et pour cause : « la France bénéficie d’une position stratégique en matière de transport de données électroniques par les câbles sous-marins. Ce flux d’informations étranger-France, cette «matière première» comme la qualifie la NSA dans une note révélée par M. Snowden, fait l’objet d’une large interception par la DGSE ». Le Monde rappelle aussi les révélations du quotidien néerlandais NRC Handelsblad expliquant que la NSA a placé des points d’interception à Marseille, là où arrivent et partent six câbles sous-marins. On ne sait cependant « s’il s’agit d’un point d’accès «clandestin» ou du fruit d’une coopération avec les services français » temporisent nos confrères.

Et pour la procédure ?

La procédure en amont de cette sollicitation des réseaux en temps réel prend le soin tout particulier, nous l’avons dit, d’éviter tout contrôle a priori. L’autorisation de recueil de ces informations ou documents sera en effet accordée, sur demande écrite et motivée des ministres, par le Premier ministre pour une durée maximale de trente jours. Tardy avait bien tenté de raboter ce délai mais Patricia Adam lui a encore demandé d’aller voir ailleurs : « dix jours ne seraient pas suffisants pour permettre aux services d’effectuer correctement leur travail de surveillance et d’analyse ». Il y a cependant une subtilité passée sous silence puisque cette autorisation peut être renouvelée, dans les mêmes conditions de forme et de durée. Or, la loi ne prévoit aucune limitation permettant du coup des renouvellements successifs sur des périodes très longues !

Comment sont contrôlées ces données ?

Chaque autorisation sera communiquée dans les quarante-huit heures au président de la Commission nationale de contrôle des interceptions de sécurité. Celui-ci pourra recommander d’y mettre fin s’il doute de la légalité de ces mesures. Tardy, encore et toujours, avait regretté ces modalités d’intervention de la CNCIS, et pour cause : son avis n’intervient qu’a posteriori. « Elle doit être saisie dans les quarante-huit heures et se réunir dans les sept jours. Son avis peut donc intervenir jusqu’à neuf jours après l’autorisation effective. Autrement dit, s’il y a manquement ou erreur, c’est déjà trop tard » constate le député qui a tenté de réduire le délai de sept à trois jours. Mais, sans surprise, son amendement sera « repoussé par la commission et le Gouvernement » sans davantage d’explication ou de soutien chez les autres députés, tous plongés dans un silence radieux.

Que se passe-t-il en cas de manquement ?

Fait notable, la CNCIS, une autorité administrative indépendante, disposera en outre d’un accès permanent au dispositif de recueil des informations ou des documents, histoire d’y mettre son nez. En cas de manquement, elle pourra adresser une autre recommandation au Premier ministre qui fera connaître à la commission, dans un délai de quinze jours, les mesures prises. Trop long là encore, répond Tardy : « le délai de quinze jours me paraît trop long pour revenir sur une erreur, c’est-à-dire sur une intrusion dans la vie privée, une atteinte aux libertés qui n’avait pas lieu d’être ». Il voulait ramener ce délai à 7 jours. Mais son amendement a, comme les autres, été rejeté.

L’Asic a également soulevé ce problème consécutif à tout contrôle tardif : « avoir une recommandation négative postérieurement à la captation des données est totalement inopérante au regard de l’objet même de la mesure. Les données auront déjà été collectées par les autorités (par exemple, récupération de toutes les données stockées dans le cloud) ».

Les FAI et hébergeurs seront-ils remboursés ?

Dans ce dispositif, les FAI et hébergeurs seront remboursés des éventuels « surcoûts identifiables et spécifiques ». Un décret devrait préciser les modalités de ce remboursement puisque selon la jurisprudence du Conseil constitutionnel, il n’est possible de faire peser sans contrepartie de telles obligations à des acteurs privés qui ne sont pas des auxiliaires de justice à titre gratuit.

Problème, la loi ne prévoit pas de délai pour la publication de ce décret. Lionel Tardy a voulu en imposer un en ayant l’exemple d’Hadopi en tête, où on attend, depuis 2009, pareil décret. « Dans mes souvenirs, la dernière fois que j’ai vu une disposition visant à indemniser les fournisseurs d’accès Internet de leurs obligations techniques à l’égard d’une autorité publique, c’était dans la loi HADOPI. En effet, un décret similaire à l’article L. 34-1 du code des postes et communications électroniques est censé prévoir les modalités de compensation des surcoûts identifiables et spécifiques des prestations assurées par les opérateurs pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, ou d’un manquement à l’obligation (de sécurisation) ». Peine perdue.

Ces opérations seront-elles dévoilées au public ?

Non. Dans une dernière tentative parlementaire, Tardy voulait qu’au moins un rapport publie les différentes statistiques autour de l’usage de ces nouveaux droits de communications surmusclés. « Je n’ai pas l’habitude de demander des rapports, mais ici il me paraît essentiel que nous puissions avoir des retours chiffrés pour évaluer la portée du dispositif et le nombre de fois où il a été mis en œuvre. Dans un souci de transparence, ce rapport contiendrait des statistiques sur chacune des étapes : rien sur le contenu bien sûr, mais uniquement des chiffres, pour voir si réellement la procédure s’applique ou si les erreurs sont nombreuses. »

Patricia Adam repoussera avec l’aide du gouvernement encore cette demande. « La CNCIS publie régulièrement un rapport d’activité qui est très complet. On peut penser qu’à l’avenir, il permettra d’avoir des éléments statistiques sur cette nouvelle procédure ». Avec ce superbe « on peut penser », les députés acceptent de n’avoir aucune visibilité, aucune certitude, tout juste un espoir sur cette publication qu’ils n’ont voulu ordonner dans leur œuvre législative,  censée garantir les droits et libertés des citoyens.