Surveillance : le point d’échange DE-CIX porte plainte contre le gouvernement allemand

Le point d'échange Internet allemand DE-CIX a porté plainte contre son pays, à cause de la surveillance de son trafic par le BND. Selon l'entreprise, qui reprend l'analyse d'un expert, les requêtes des services de renseignement seraient illégales.

Le gestionnaire de points d'échange DE-CIX ne veut plus accepter la surveillance de son trafic par les services de renseignement allemands. La société a déposé plainte contre l'État fédéral, « représenté par le ministère de l'Intérieur », pour analyser la solidité légale des requêtes que le BND lui envoie.

L'an dernier, elle affirmait que les services allemands étaient directement connectés au point d'échange, récupérant le trafic qui y transite sans contrôle possible de sa part, au moins depuis 2009. Dans son communiqué, l'entreprise reprend une analyse récente (PDF) de Hans-Jürgen Papier, l'ancien président du Tribunal constitutionnel fédéral, qui estime que la surveillance appliquée par le BND est « illégale », notamment parce qu'elle ne vérifie pas si les données appartiennent à des Allemands ou des étrangers. Certaines de ces données seraient passées à la NSA.

Une clarification légale pour le DE-CIX

« Nous avons de sérieux doutes sur la légalité de la pratique actuelle » explique encore l'entreprise. Considérée comme l'un des points d'échange les plus importants au monde, l'entreprise dispose d'une dizaine de points de présence dans plusieurs pays, principalement en Europe, dont un à Marseille.

Le tribunal administratif fédéral de Leipzig devra donc déterminer si le dispositif est légal, alors que la loi sur laquelle il s'agit, dite « G10 », doit normalement n'autoriser que des traitements ciblés. Elle doit limiter les possibilités de surveillance, pour préserver la vie privée des Allemands. Ces mesures sont d'ailleurs soumises au contrôle d'une « commission G10 », liée au parlement.

Selon le DE-CIX, le BND pratique bien une surveillance de son trafic, sous-entendu de masse. « Avec ce procès, nous cherchons une clarification légale et, en particulier, une sécurité juridique pour nos clients et notre entreprise » affirme-t-il. Le contrôle de ces requêtes légales serait ainsi limité. « La commission G10 se réunit seulement un jour par mois et durant ces sessions, analyse une moyenne de 2 127 mesures de surveillance » en 2013, affirme le professeur de droit Russel A. Miller sur le Lawfare Blog.

Un contrôle des interceptions sous tension en France

En France, la loi Renseignement implique une validation a priori du renseignement intérieur. Mais cette surveillance des surveillants a aussi ses limites. Ainsi, les avis de la commission de contrôle, la CNCTR, sont rendus par les trois juges qui y siègent en permanence. Pourtant, le dispositif a un problème important : si la commission ne répond pas à une requête sous 24h, son silence vaut feu vert. En outre, son travail n'est pas facilité par le manque de centralisation des données collectées, dont elle se plaint publiquement.

Il suffit donc d'envoyer des demandes en masse pour saturer l'équipe. Notons également que si le Conseil constitutionnel venait à imposer l'encadrement des surveillances hertziennes, aujourd'hui exemptes de contrôle, la barque de la commission pourrait être une nouvelle fois chargée.

Ajoutons, pour être complets, que la même CNCTR doit contrôler en parallèle le versant international de la surveillance, mais dans cette hypothèse, elle n'intervient qu'a posteriori. Une délicatesse prévue par la loi sur la surveillance des communications électroniques internationales.

Pour le moment, aucun chiffre précis n'a émergé sur le travail de la CNCTR, dont le premier rapport annuel est attendu en octobre. Dans le meilleur des cas, il sera donc possible d'avoir des données exhaustives... Jusqu'aux frontières du secret défense, bien entendu.