Données de connexion : les avis de la CNCTR classés secret-défense

La boîte un peu plus noire 21
Accès libre
image dediée
Crédits : Thinglass/iStock/Thinkstock
Loi
Marc Rees

Quelles sont exactement les nouvelles données de connexion que peuvent surveiller les services du renseignement ? Saisie d’une demande de communication de documents administratifs, la Commission nationale de contrôle des techniques du renseignement (CNCTR) s’abrite derrière le secret défense pour refuser de révéler ses avis.

Lorsqu’on s’intéresse à l’activité de surveillance des agents des services du renseignement, la question du périmètre des données de connexion est de premier ordre. Ces données de contenant, pourrait-on résumer, s’opposent aux données de contenu.

Selon l’une ou l’autre des deux catégories, les techniques de renseignement ne sont pas les mêmes. Un exemple : les boîtes noires, tout juste lancées, ne peuvent aspirer que les données de connexion, alors que les interceptions frappent au contraire le cœur de l’échange, le contenu.

Une atteinte différente à la vie privée

On pourrait estimer que l’atteinte à la vie privée consécutive à l’espionnage d’une donnée de connexion est moindre que face à une donnée de contenu. Dans le premier cas, on s’attaque à la surface ou au sillage des données (expéditeur, destinataire, lieux, adresse IP, heures, etc.), dans le second, à l’intérieur des échanges (le contenu).

Mais ce n’est vraiment pas l’analyse de la Cour de justice de l’Union européenne :

« Ces données (de connexion, ndlr), prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ».

Voilà ce qu’elle a dit dans son arrêt Digital Rights du 8 avril 2014. En somme, contenant ou connexion, il y a toujours une atteinte à la vie privée, celle-ci est simplement différente.

Le 14 avril 2015, durant les débats sur la loi Renseignement, la députée Isabelle Attard ne disait pas autre chose. Armée de deux exemples, elle expliquait elle aussi comment « les données de connexion fournissent finalement autant d’informations que le contenu des messages » :

« Vous vous êtes par exemple connectés à un site de rencontres échangiste ou fétichiste deux fois par jour pendant un mois, mais – nous dit-on – on ne sait pas du tout ce que vous avez écrit ou lu… Autre exemple, vous avez appelé Sida Info Service pendant douze minutes, puis un laboratoire d’analyses médicales pendant deux minutes. Une semaine plus tard, le laboratoire vous a rappelé. On ne sait pas ce que vous vous êtes dit, mais il vous a rappelé, et vous avez ensuite appelé votre médecin pendant quinze minutes, mais, encore une fois, on ne sait pas vraiment de quoi vous avez parlé. »

De ces éléments, il est donc assez simple de tirer bon nombre d’indices sur la vie privée d’une personne.

Juridiquement, que sont exactement ces données de connexion ?

En décembre 2015, un décret a fixé la liste intégrale des services du renseignement. Un mois plus tard, un autre décret fondamental signé du Premier ministre Manuel Valls a cette fois énuméré les données de connexion susceptibles d'être aspirées par chaque technique de renseignement.

À l’aide de plusieurs articles du Code des postes essentiellement, nous avions alors dressé ce long inventaire des métadonnées. Un inventaire imparfait, déjà parce que non exhaustif, mais surtout en raison d'un nœud existant sur l’adresse URL. Est-ce une donnée de connexion ou de contenu ?

Pour la CNIL, prudence. L’URL a parfois une nature mixte : « Si elle est nécessaire à l’acheminement d’une communication, l’URL permet également de révéler des informations consultées ». Lorsqu’elle véhicule ces éléments, l’adresse se range donc dans les données de contenus. Dans la lignée de cette décision du Conseil constitutionnel (considérant n°55), elles ne peuvent donc être exploitées, fouillées, analysées, que par le biais d’une interception administrative.

Dans son avis accompagnant ce deuxième texte, la CNCTR a partagé l'analyse, considérant ces URL « comme des données mixtes, qui peuvent comporter à la fois des données de connexion et des mots faisant référence au contenu de correspondances échangées ou d’informations consultées ».

Pour la Commission présidée par Francis Delon, le recueil au titre des données de connexion serait donc possible, mais seulement s’il a « pour objet que de reconstituer, grâce aux seules parties d’URL pertinentes, le chemin informatique utilisé pour échanger des correspondances ou consulter des informations ».

L’ingénieur Stéphane Bortzmeyer avait critiqué vertement cette ventilation : « Même un nom de domaine est une information très précise sur ce que l’on consulte : http://www.lutte-ouvriere.org/ donne des informations tout aussi précises sur l’engagement de l’internaute. Un nom de domaine relatif aux alcooliques anonymes peut aussi être révélateur de ce sur ce que l’on est ».

Une demande CADA visant les avis de la CNCTR sur les données de connexion

Un peu plongée dans le flou, la même commission avait dans sa foulée estimé que « les développements (...) sur la nature des données de connexion constituent une analyse globale, empirique, non exhaustive et non définitive » . Elle suggérait au Premier ministre que « les nouveaux types de données qui pourraient être regardées comme faisant partie des données de connexion fassent l’objet d’un avis de sa part avant toute autorisation de recueil, afin qu’elle puisse s’assurer qu’aucun contenu de communications ne sera collecté ».

Cette prudence laisse entendre que des flottements existent sur la catégorisation de certaines données. La suggestion a en tout cas inspiré le FAI French Data Network qui, le 12 octobre dernier, a demandé communication des avis de la Commission nationale sur ces « nouveaux types de données qui pourraient être regardées comme faisant partie des données de connexion ».

On comprend la démarche : lorsque les services du renseignement contactent un intermédiaire pour glaner par diverses techniques des données de contenant, il est important que le FAI, l’opérateur, l’hébergeur ou le service en ligne sache si les agents sont bien dans les clous de la loi ou du règlement.

Un refus pour cause de secret-défense

Surprise : la CNCTR a finalement refusé d’apporter cet éclairage élémentaire. Le 8 novembre, Francis Delon a répondu en effet à FDN que, « comme la majeure partie des travaux de la commission (…), les avis correspondant à votre demande sont couverts par le secret de la défense nationale ». Or, le Code des relations entre le public et l’administration rend vaines les demandes CADA dans une telle hypothèse.

Selon le président de cette autorité indépendante, la communication de ces avis n’est pas possible, car de nature « à révéler des méthodes d’investigations et des capacités techniques de certains services de renseignement ».

Et pour fermer plus sèchement encore les vannes, Delon ajoute que « les avis demandés sont intégralement composés d’informations couvertes par le secret : il n’est pas possible d’envisager leur communication après occultation ou disjonction des mentions protégées ».

Hier, à Grenoble, le même personnage a révélé qu’une boite noire était mise en œuvre en France depuis début octobre. Aujourd’hui, on apprend donc que les avis sur le périmètre même des futures données de connexion traitées par ces outils sont eux-mêmes classés secret défense.

avis CNCTR données de connexionavis CNCTR données de connexion


chargement
Chargement des commentaires...