La France veut encadrer l’exportation des outils de surveillance. C’est ce qui ressort d’une interview au Monde de la ministre déléguée à l’économie numérique, Fleur Pellerin. Celle-ci profite de l’occasion pour dénoncer les pratiques des gros acteurs américains privés dans la collecte de données personnelles. Et pour cause : l’Asic, association des acteurs du web 2.0 où on retrouve en bonne place Google, a récemment demandé un moratoire au Gouvernement « sur tout nouveau texte destiné à créer un régime d’exception en matière d’accès aux données des utilisateurs Internet », pointant un doigt accusateur au projet de loi de programmation militaire.
En février 2013, le gouvernement soulignait sa volonté de contrôler l’exportation des outils de surveillance. Ces outils permettent à des démocraties contrariées de scruter les échanges par exemple des dissidents afin de prendre les mesures de rectification qui s’imposent… Mais ces solutions logicielles et matérielles passent aujourd’hui au travers des mailles du filet puisque leurs commerces « ne relèvent ni de la catégorie des matériels de guerre ni de la liste des “biens à double usage” établie par les pays signataires de l’arrangement de Wassenaar et reprise dans un règlement européen qui instaure, dans les États membres de l’UE, un régime d’autorisation pour l’exportation des biens listés ».
Matignon avait donc fait savoir en ce début d’année sa volonté d’ « inclure les technologies de surveillance et de contrôle de l’internet dans la liste des biens à double usage dont l’exportation est soumise à autorisation ».
Un arrêté imminent pour encadrer ce commerce à l'exportation
La ministre de l’économie numérique a donc répété dans les colonnes du Monde d’aujourd’hui que « je ferai en sorte que ces biens à double usage soient inscrits dans ce qu’on appelle «l’arrangement de Wassenaar», qui soumet à autorisation l’exportation de technologies duales vers les pays non démocratiques. Je trouvais normal que la France prenne une initiative pour demander à ses partenaires – il y a 41 pays dans l’accord, dont les États-Unis ou la Russie – que les matériels d’interception Internet soient inscrits sur cette liste. Nous mettrons en œuvre ce contrôle par un avis aux exportateurs dès le 5décembre. La France, patrie des droits de l’homme, doit l’être aussi à l’ère numérique. »
Concrètement, ces mesures prendront la forme d’un arrêté publié jeudi, indique pour sa part l’AFP, dont il sera intéressant de voir l’architecture. À ce jour, comme l’indiquait l’ANSSI en 2010 par exemple, « la circulation sur le territoire français de dispositifs ou de logiciels permettant l’écoute des communications est d’ailleurs strictement réglementée. Ainsi, en l’absence d’autorisation ministérielle, sont punies des mêmes peines la fabrication, l’importation, la détention, l’exposition, l’offre, la location ou la vente d’appareils conçus pour réaliser les infractions précitées, de même que la publicité d’un tel dispositif (article 226-3). En particulier, il est interdit de proposer et vendre sur internet des logiciels permettant de piéger des téléphones mobiles à des fins d’écoute et de surveillance ». On voit donc que l’exportation de ces technologies n’est pas réglementée, cependant il faut bel et bien une autorisation pour leur « fabrication »…
En février 2013, et avant la modification de la liste de Wassenaar, l’exécutif promettait de demander aux éditeurs de ces solutions « de soumettre leurs exportations à autorisation afin de prévenir la dissémination de ces technologies vers des régimes susceptibles de les utiliser pour porter atteinte aux droits et libertés fondamentales des individus ». Les déclarations du jour de Fleur Pellerin laissent entendre que ces mesures n'ont pas été mises en oeuvre depuis lors.
L'acteur privé américain, un nouveau danger selon Fleur Pellerin
Fait notable, dans son interview au Monde, la ministre déléguée au numérique s’en est aussi pris aux acteurs américains, « un nouveau danger » puisque ces acteurs engloutissent chaque jour « des dizaines de milliards de données ». « Potentiellement, des milliards de gens sont concernés par les programmes de surveillance de la NSA via les entreprises privées, qui sont pour l’essentiel nord-américaines. Ce sont des entreprises qui se comportent en quasi-États souverains et ne reconnaissent pas la réglementation de droit commun européenne. On a affaire à de nouveaux acteurs, totalement inédits, qui sont des entreprises à vocation hégémonique. L’activité de ces entreprises doit se faire dans un cadre démocratique en respectant un standard minimal de protection de la vie privée et des données personnelles. »
La torpille adressée à l'ASIC
Problème, l’origine de ces demandes vient surtout d’un pays, les États-Unis. Mais Fleur Pellerin refuse de les voir pavaner en victimes s'abritant sous les jupes de la NSA : « Ils tentent de se parer de vertu. C’est ce qu’ils ont essayé de faire en voulant forcer l’administration américaine à publier toutes les requêtes [de renseignement] et en nous enjoignant, en France, via l’Association des services Internet communautaires (ASIC), de faire un moratoire sur le projet de loi de Programmation militaire alors qu’ils sont les premiers collecteurs mondiaux de données personnelles. On voit bien qu’ils sont dans une sorte de jeu de rôle où ils essayent de se mettre du côté des défenseurs des libertés et de tourner les principes à leur avantage. Il y a quelques années, ils faisaient la même chose avec la neutralité du Net, ce qui était déjà pour eux un moyen d’échapper à la régulation. »
La mise en confrontation de ces deux faits – le contrôle français des exportations des outils de surveillance, la dénonciation des acteurs privés américains et l’Asic, présentée comme une simple courroie – intervient alors que les députés viennent de voter le projet de loi de programmation militaire.
Le contexte de la loi de programmation militaire
L’exposé de ce texte, décortiqué dans notre (longue) actualité, montre que la France s’arme justement d’outils pour accéder sur simple « sollicitation du réseau » à une masse de données que les FAI et hébergeurs devront transférer. Le texte présente cependant plusieurs points gris, soit autant de brèches qu’aucun juge ne pourra contrôler faute d’intervenir en aval de ces opérations.
Dans le même temps, le Monde a révélé samedi avec l’aide de documents d’Edward Snowden que la DGSE avait tissé des relations étroites avec la NSA dès 2005 («une franche discussion entre la direction des relations extérieures de la NSA et la direction technique de la DGSE »), portant « sur les besoins en information et sur l’idée de créer un modèle de référence en termes de partenariat. ». Depuis, a été signé protocole d’échange de données massif puisque, écrivent nos confrères, « la France bénéficie d’une position stratégique en matière de transport de données électroniques par les câbles sous-marins. Ce flux d’informations étranger-France, cette «matière première» comme la qualifie la NSA dans une note révélée par M. Snowden, fait l’objet d’une large interception par la DGSE ». Enfin, selon le quotidien néerlandais NRC Handelsblad, la NSA profite de points d’interception sur des câbles à Marseille, sans qu’on sache si ces mesures ont été placées en collaboration avec les services français.
On notera au final qu'aujourd'hui, dans son interview de Fleur Pellerin, le Monde n'a pas soulevé la question de la coopération NSA-DGSE qu'il révélait dans son édition de samedi.