LPM 2019-2025 : le décret sur le Deep Packet Inspection attaqué devant le Conseil d'Etat

Une LBD sur la LPM 8
Accès libre
image dediée
Crédits : Marc Rees (licence CC-BY-SA 3.0)
Justice
Marc Rees

La Quadrature du Net, Franciliens.net et la Fédération FDN viennent d’attaquer le décret de la loi de programmation militaire. Un texte qui autorise le déploiement d’outils de deep packet inspection chez les intermédiaires techniques, en particulier les hébergeurs.

Publiée au Journal officiel du 14 juillet, la loi de programmation militaire pour les années 2019 à 2025 autorise les opérateurs de communications électroniques, FAI et hébergeurs, à installer des outils censés repérer, à l’aide de marqueurs techniques, des évènements susceptibles d’affecter la sécurité de leurs infrastructures.

L’agence nationale pour la sécurité des systèmes d’information (ANSSI) est en droit également d’exiger l’installation de ses propres marqueurs dès lors qu’une menace plane sur les autorités publiques ou les opérateurs d'importance vitale (OIV). Le 13 décembre 2018, un décret est venu rendre applicable cette disposition en définissant notamment ces marqueurs techniques, à savoir « des éléments techniques caractéristiques d'un mode opératoire d'attaque informatique, permettant de détecter une activité malveillante ou d'identifier une menace susceptible d'affecter la sécurité des systèmes d'information ».

Le même texte en détaille les finalités : « détecter les communications et programmes informatiques malveillants » et « recueillir et analyser les seules données techniques nécessaires à la prévention et à la caractérisation de la menace ».

Ce périmètre purement technique n’a pas convaincu les trois associations précitées. Elles viennent de déposer un recours en annulation devant le Conseil d’État, sous une pluie d’arguments.

Un défaut de notification

Les premiers tiennent d’abord à l’absence de notification du texte administratif devant les autorités européennes. Cette obligation est en principe inévitable en vertu d’une directive de 1995, dès lors qu’un texte vient imposer une règle technique dans les « services » de la « société de l’information ».

Il s’agit en effet pour la Commission européenne et les autres États membres de jauger les effets d’une norme adoptée dans un pays membre au regard des grands principes européens, dont celui de la liberté de circulation. Les conséquences d’un défaut de notification ? Douloureuses. Le 10 juin 2013, le Conseil d’État a par exemple jugé qu’un texte administratif non transmis à la Commission européenne devenait de facto inapplicable.  

Autre reproche adressé à ce décret : la disposition n’a été précédée d’aucune analyse d’impact digne de ce nom. Or, la nouvelle législation sur la protection des données personnelles l’exige dès lors qu’un « traitement est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques ».

Plus exactement, pour les trois associations, « si le gouvernement a publié une étude d’impact le 6 février 2018, celle-ci ne contient aucun passage concernant ce traitement de données à caractère personnel ».

Dans leur esprit, la mise en place d’une solution d’analyse telle que celle prévue par la LPM implique nécessairement un traitement mené sur les communications observées. Or, elle mettrait possiblement en cause des flux contenant des données personnelles sensibles, celles relatives aux opinions politiques, aux convictions religieuses, aux orientations sexuelles, etc. 

Un défaut d'information

Ce mécanisme souffrirait aussi d’un défaut d’information. Que les dispositifs techniques soient installés à la demande des hébergeurs et FAI ou de l’ANSSI, il serait nécessaire de prévoir une information des utilisateurs finaux qui est absente ici. C'est la thèse des auteurs du recours. 

Concrètement, cette obligation devrait intervenir en amont chez les intermédiaires privés où est opéré un traitement de données personnelles. Dans le second cas, l’information délivrée par l’agence nationale devrait être délivrée en aval en application de la directive Police de 2016, soit « une fois que la suspicion est levée » afin que la personne « qui a fait l’objet d’une surveillance [soit] informée » de sa possibilité d’exercer un éventuel recours.

Dans le régime actuel, le texte s’abstient « de prévoir toute forme d’information auprès de l’utilisateur final, dont les communications se retrouvent surveillées et analysées sans qu’il en soit informé, et sans qu’il ait pu s’y opposer ».

Un défaut de précision

Dans le fil du recours, un autre reproche vise la définition même de plusieurs termes centraux comme la notion de « menace » ou celle de « marqueurs techniques », jugées trop floues dans les textes. De fait, LQDN et les deux autres associations estiment être dans l’incapacité d’affirmer que cette détection des menaces se limitera aux seules données de connexion ou débordera sur le contenu des correspondances.  

« L’imprécision de cette notion, regrettent les trois acteurs, engendre un doute dans le régime appliqué et donc dans les garanties et restrictions qui doivent être attachées à une telle technique de surveillance ».

Un défaut de contrôle

Enfin, les trois associations pensent que le contrôle de l’ARCEP, une mesure prévue par la loi, n’est pas suffisant. « Ces dispositions ne confient à l’ARCEP aucun moyen d’accéder « à toutes les données à caractère personnel qui sont traitées » : elle ne réalise son contrôle qu’au regard des informations que lui transmet volontairement l’ANSSI, mais n’a pas le pouvoir d’accéder et évaluer matériellement les dispositifs techniques déployés par l’ANSSI sur les systèmes des opérateurs et hébergeurs ».

L’article L. 36-14 du Code des Postes et des Télécommunications électroniques prévoit que l’autorité « est informée sans délai » par l’ANSSI « des mesures mises en œuvre » ou des demandes exercées par elle. Elle « dispose d'un accès complet et permanent aux données recueillies ou obtenues » ainsi « qu'aux dispositifs de traçabilité des données collectées ».

Elle peut « solliciter de l'autorité nationale de sécurité des systèmes d'information tous les éléments nécessaires à l'accomplissement de sa mission ». Enfin elle se fait au besoin assister par des experts.

De fait, son pouvoir ne serait pas équivalent à un vrai contrôle sur place qui lui permettrait d’avoir accès à toutes les pièces. C’est en tout cas la certitude qu’ont les trois requérants qui reprochent aussi au texte d’empêcher l’Arcep d’exiger directement une mesure correctrice, devant se contenter de simplement d'émettre des recommandations.

L'action menée par les trois associations s'appuie sur l'arrêt Télé2, où la Cour de justice de l’Union européenne a exigé l'existence d'un contrôle préalable des mesures de surveillance, soit par une juridiction soit par une entité administrative indépendante. 

La décision du Conseil d’État est attendue dans de longs mois, après un échange de pièces puis un exposé des conclusions du rapporteur.


chargement
Chargement des commentaires...