Renseignement : le gouvernement décloisonne les frontières de la surveillance

La loi Renseignement 3 7
Accès libre
image dediée
Crédits : Marco_Piunti/iStock
Justice
Marc Rees

Dans le projet de loi de programmation militaire (LPM) pour 2019 à 2025, le gouvernement a introduit en dernière ligne droite un amendement visant à faire tomber des murs entre surveillance internationale et renseignement national. Le texte a été adopté hier à l’Assemblée.

Le 18 mai, le gouvernement a déposé un amendement à la LPM pour tirer « les conséquences de l’intensification des menaces pesant sur les intérêts fondamentaux de la Nation ». Le texte est dense, ardu, mais non sans conséquence pour les libertés fondamentales.

Pour sécuriser chacun de ses pas, il a d’abord sollicité en avril l’avis du Conseil d’État. Satisfaction : la haute juridiction a conclu au caractère « proportionné des atteintes au respect de la vie privée », estimant qu’il n’y avait aucun coup de rabot au contrôle administratif ou juridictionnel déjà prévu par les textes. Certes, ce n’est pas une garantie absolue – le Conseil d’État n’avait su anticiper la censure constitutionnelle de la loi Renseignement – mais un tel avis est un « plus » pour l’exécutif.

Pareillement consultée, la Commission nationale de contrôle des techniques du renseignement (CNCTR) a été du même avis. « Pas d’objection » a-t-elle considéré, ajoutant que les restrictions actuelles se devaient d'être « allégées ».

Mais que prévoit exactement cette disposition, signalée par la Quadrature du Net et Libération notamment ? Essentiellement, la possibilité pour les services du renseignement international de consulter des numéros techniques rattachables au territoire national dans le stock des données glanées au-delà de nos frontières.

Loi Renseignement, loi sur la surveillance des communications internationales

En pratique, le 22 Bis A du projet de loi, validé en fin de semaine dernière par la Commission mixte paritaire (CMP), modifie déjà le champ d’un article phare de la loi sur la surveillance des communications internationales.

Depuis cette loi de novembre 2015, le législateur autorise les services à surveiller les appels émis ou reçus à l’étranger, dès lors qu’est justifiée la poursuite de l’une des vastes finalités de la loi renseignement dont la lutte contre le terrorisme ou la défense des intérêts fondamentaux français (intelligence économique, etc.)

La procédure est beaucoup plus allégée que la surveillance des identifiants franco-français cher à la loi Renseignement. Formellement, il n’y a pas d’avis préalable, et donc de contrôle a priori de la CNCTR. De même, au-delà de nos frontières, les boites noires peuvent être justifiées pour toutes les finalités, non seulement pour traquer une menace terroriste comme en France.

À ce niveau, toujours, deux avis du Premier ministre sont nécessaires, l’un pour la collecte l’autre pour l’exploitation. Cette dernière peut alors être indiscriminée (« non individualisée »), ou ciblée à une zone géographique, une organisation, un groupe de personnes ou des personnes concernées.

Enfin, en principe, les services ne peuvent épier, avec les outils de la surveillance internationale, des personnes qui utilisent  des numéros rattachables à la France (adresse IP, numéro de téléphone).

Des restrictions à gommer

Cet article 854-1 prévoit toutefois deux exceptions. Elles concernent des personnes qui communiquent depuis l’étranger avec des identifiants français et soit, faisaient déjà l’objet d’une surveillance interne lorsqu’elles ont quitté le territoire, soit parce qu’elles représentent une menace aux intérêts fondamentaux de la nation.

Trois ans après le vote de la loi Renseignement, le gouvernement dénonce ces restrictions : « l’exploitation des communications vers ou depuis l’étranger liées à un numéro ou un identifiant français n’est possible que si son utilisateur est à l’étranger et présente une menace avérée pour les intérêts fondamentaux de la Nation » commente-t-il.

 « Ainsi, déplore-t-il, il n’est pas possible d’exploiter les données légalement recueillies au titre de la surveillance des communications internationales pour apprécier la menace que présente un résident français en France du fait de ses liens hors du territoire national ».

La procédure de levée de doute sur les métadonnées

Dans l’article validé par la Commission mixte paritaire, le gouvernement entend corriger cette situation. Il pose d’abord que les autorisations d’exploitation prises en France pourront déborder sur le stock des métadonnées glanées à l’international. Et donc que les services du renseignement intérieur pourront butiner les données du renseignement extérieur.

Cela concerne la surveillance en temps réel ou a posteriori, tout comme la surveillance des personnes préalablement identifiées et susceptibles d’être en lien avec une menace d’ordre terroriste.

Cette procédure a un petit nom. C’est celle de la « levée de doute ».

Concrètement, des « vérifications ponctuelles » seront faites sur le stock des données glanées à l’échelle internationale par tous les aspirateurs possibles (dont les traitements algorithmiques).

« Ces vérifications ponctuelles prendront la forme d’opérations très rapides (quelques minutes), non répétées, et susceptibles de mettre en évidence un graphe relationnel ou la présence à l’étranger d’une personne », écrit l’exécutif. « Des mesures préparatoires destinées à lever des soupçons et tout au plus, à vérifier si une telle surveillance [individuelle] devrait être mise en oeuvre» complète la CNCTR. »

Il ne s’agit plus de surveiller une personne déjà identifiée comme étant une menace, mais de confirmer ou infirmer l’existence d’une menace.  Nuance. À l’instar des boites noires, l'idée est de remonter le plus tôt possible dans le précrime afin de détecter de possibles graines dans l’océan de données.

« En gros, les services utilisent un ou plusieurs « sélecteurs » ou « identifiants » correspondant à des personnes ou groupes de personnes situés à l'étranger, avec lesquels on va sonder les bases de données pour établir le graphe social et tenter de faire émerger les données de suspects résidant en France. On peut ensuite se livrer à une surveillance plus poussée de ces suspects dans le cadre du régime de surveillance nationale » analyse la Quadrature du Net.

Procéduralement, cette autorisation se fera après avis de la Commission nationale de contrôle des techniques du renseignement. Une manière de mettre la loi au diapason de la loi puisque la CNCTR avait déjà introduit ce contrôle dans les faits.

Passé ce petit cap, les services pourront comparer et mettre en relation les identifiants français avec les renseignements glanés sur des zones géographiques, des organisations ou des personnes situées à l’étranger, pour enfin détecter une menace.

La détection en urgence sur les communications

Si les services veulent détecter en urgence une menace « terroriste », alors on gagnera en profondeur. Cette fois la comparaison se fera non seulement sur les métadonnées, mais aussi sur le contenu des correspondances, donc très en profondeur. Le DPI n’est pas expressément exclu par la loi.

Une garantie a été néanmoins ajoutée pour faire passer la pilule : les numéros et identifiants concernés seront communiqués sans attendre au premier ministre et à la CNCTR, laquelle pourra au besoin demander des comptes voire saisir le Conseil d’État.

La détection en urgence d’une attaque informatique

Mieux encore, ce dispositif exceptionnel est étendu à la détection de cyberattaques, du moins celles « susceptibles de porter atteinte aux intérêts fondamentaux de la Nation » (indépendance nationale, intégrité du territoire, défense nationale…).

Les services pourront tout autant pénétrer les messages pour tenter de trouver des signaux faibles susceptibles de leur mettre la puce à l’oreille, dans une finalité cyber.

Sauf erreur, c’est la première fois que ce risque est exposé en dur dans un texte touchant au renseignement. Plus intéressant, le 22 mai, en séance au Sénat, Florence Parly, ministre des Armées, a expliqué le principe : « détecter les cyberattaques majeures » avec pour moteur, la mise en évidence, non d’une menace que représente un individu, « mais des marqueurs techniques de flux malveillants circulant entre des machines victimes ou relais de l’attaque ».

Marqueurs techniques ? L’expression est tout sauf neutre puisqu’elle renvoie directement aux nouveaux pouvoirs de l’ANSSI nés de l’article 19 de la même LPM.

Avec lui, l’Agence nationale pour la sécurité des systèmes d’information aura la possibilité d’exiger des FAI et hébergeurs, la détection d’évènements susceptibles d’affecter la sécurité des systèmes d’information des autorités publiques ou des opérateurs d'importance vitale (OIV). Une détection qui passera par le deep packect inspection.

Autrement dit, il semble y avoir une jonction profonde entre ces nouveaux pouvoirs des services du renseignement et le travail technique de l’ANSSI, avec pour trait commun le DPI.

Une troisième possibilité d’exploitation

Si cette pêche à la menace est fructueuse, à coups de « vérifications ponctuelles », l’exploitation des communications reviendra sur une procédure plus classique, précédée donc d’une autorisation spécifique du premier ministre.

Une troisième hypothèse est enfin envisagée : une personne est située en France, ses identifiants de connexion sont rattachés à ce territoire. Malgré tout, le premier ministre pourra autoriser l’exploitation de ses communications et/ou métadonnées issues de la surveillance par la DGSE, dans le cadre de la loi sur la surveillance internationale. En somme une surveillance individuelle faisant tomber les frontières.

Cette faculté sera ouverte pour la plupart des finalités, exception faite de la prévention des atteintes à la forme républicaine des institutions, des actions visant les groupements dissous et les violences collectives.

Une précision néanmoins : un mécanisme de contingentement fixera le nombre maximum d’exploitations chaque année.

Un droit au recours auprès du Conseil d’État

Enfin, le texte introduit un droit au recours pour les personnes qui s’estimeraient visées par les mesures de surveillances individuelles pourront saisir directement le Conseil d’État pour faire vérifier « qu'aucune technique de renseignement n'est irrégulièrement mise en œuvre à son égard ».

Dans son avis, la CNCTR a regretté cette saisine trop restreinte. Selon elle, toutes les mesures « concernant des numéros d’abonnement ou des identifiants rattachables au territoire national devraient pouvoir être contestées, qu’il s’agisse de mesures de surveillance individuelle ou de vérifications ponctuelles ». En effet, « toutes (…) peuvent porter une atteinte à la vie privée des personnes en causes ».

Plus largement encore, elle s’interroge « sur la pertinence de maintenir une inégalité en matière de droit de recours, qui ne se fondrait que sur le rattachement au territoire national des numéros ou des identifiants concernés ». L’eurodéputée Sophia in’t Veld a été victime de cette discrimination. Une personne qui s’estime surveillée par le renseignement extérieur n’a pas la possibilité de saisir le Conseil d’État, contrairement à celle surveillée en France. Elle ne peut que passer par la CNCTR qui dispose de la liberté de rester passive.

Il reste qu’avec cet amendement, passé sans difficulté ni débat un peu solide, contrairement aux deux textes de 2015, la Quadrature du Net juge désormais « possible de retracer d'un seul coup l'historique des communications d'un résident français en remontant quatre ans en arrière, là où le régime de surveillance nationale permettait de récolter des métadonnées vieilles d'un an maximum auprès des opérateurs et de quantité d'hébergeurs. On change clairement de dimension ».


chargement
Chargement des commentaires...