Pour le Royaume-Uni, l’espionnage des réseaux sociaux est légal

Le directeur de l’espionnage anglais, Charles Farr, a défendu l’idée d’un fondement légal de la collecte de masse opérée au Royaume-Uni sur une bonne partie des communications. Des arguments détaillés ont été donnés mais l’explication des nuances a provoqué la colère des associations de défense des libertés civiles et de la vie privée

GCHQ, NSA : même combat, même méthodes 

Depuis les premières révélations d’Edward Snowden il y a maintenant plus d’un an, le paysage de la surveillance des télécommunications a largement été décrit. Bien que la NSA (National Security Agency) ait été au centre de nombreux articles, notamment via ses programmes dont Prism était le plus emblématique, son homologue anglais était régulièrement abordé. Le GCHQ (Government Communications Headquarters) emploie en effet des méthodes similaires.

Pour l’agence anglaise, tout comme pour la NSA d’ailleurs, il n’y a aucun problème : chaque décision, chaque action, chaque programme est parfaitement légal, le socle juridique étant très clair sur ce qu’il est possible de faire. Mais pour la première fois dans l’histoire du Royaume-Uni, le directeur de l’espionnage en personne, Charles Farr, a dû détailler dans un document la vision de GCHQ en ce qui concerne la collecte de masse et comment il la justifie (programme Tempora).

Farr est plus précisément le directeur de l’Office for Security and Counter-Terrorism, autrement dit le « Bureau de Sécurité et de Contre-Terrorisme ». Il est donc à la tête des programmes d’espionnage et de surveillance, ce qui inclut celle des citoyens britanniques eux-mêmes. Il existe en effet une différence de taille entre nos voisins d’outre-Manche et les États-Unis : dans ces derniers, une collecte de masse visant les citoyens est interdite. Ainsi, la NSA a beau disposer de nombreux programmes, ils sont basés sur une législation pensée pour les étrangers, dès que leurs communications passent par des serveurs sur le sol américain (la fameuse Section 702 de la loi FISA).

Remise en cause de la surveillance globale des communications 

Mais plusieurs associations de défense, dont Privacy International et Amnesty International, avaient décidé d’attaquer trois agences anglaises en juillet 2013 : le GCHQ, le Secret Intelligence Service et le Security Service. Les associations remettent en cause la légalité des collectes de masse dans tous les communications, qu’il s’agisse de métadonnées téléphoniques ou de données personnelles interceptées dans les connexions à Internet. La plainte a été déposée devant l’Investigatory Powers Tribunal (IPT), créé justement pour régler les affaires touchant à la surveillance.

L’IPT avait donc demandé à Charles Farr d’expliquer précisément les fondements juridiques de ces programmes et comment le GCHQ interprétait la loi. La réponse du directeur tient dans 48 pages et les thèmes abordés sont particulièrement importants. Ainsi, au cœur du dispositif global de surveillance et d’espionnage, on trouve la loi Regulation of Investigatory Powers Act (RIPA). Celle-ci établit dans les grandes lignes deux points cruciaux :

1. Toute surveillance d’une communication interne ne peut être mise en place que sur la base d’un mandat ne pouvant concerner qu’une seule personne à la fois
2. Les communications externes peuvent être surveillées en masse et n’ont pas besoin d’un mandat

Toute la question est donc de savoir ce que l’on entend par communications internes et externes.

Utiliser un service américain fait sortir les données du pays

Selon la loi RIPA, un juge doit donc émettre un mandat pour la surveillance d’une communication interne. Il s’agit d’une mesure que l’on rencontre dans la grande majorité des législations puisqu’une communication interne est décrite comme prenant place entre deux personnes. Qu’est-ce qu’une communication externe dans ce cas ? Pour Charles Farr, la réponse est très claire : quand un internaute se sert d’un service étranger, ses données quittent le territoire anglais pour aller, dans la plupart des cas, dans des serveurs américains. Il s’agit manifestement d’une communication externe.

De fait, une communication externe a de très fortes chances de caractériser la plupart des activités en ligne d’un internaute aujourd’hui. Car cela revient à dire que le GCHQ peut espionner Facebook, Twitter, Gmail, Outlook.com, Yahoo et les autres services américains de manière tout à fait légale : les serveurs sont aux États-Unis. D’ailleurs, les informations vont même être collectées deux fois : une première par le GCHQ puis une seconde par la NSA.

Pour autant, il faut noter selon Charles Farr un distinguo très important : collecter les données ne signifie pas nécessairement les lire. Selon lui, toutes les données récupérées alimentent des bases qui sont utilisées « au cas où ». Les informations puisées « ne peuvent pas être lues, observées ou entendues » à moins de circonstances décrites comme très précises.

Une seule interprétation d'une communication « externe » n'était pas suffisante 

Mais l’interprétation des communications externes va plus loin que le simple transport des données hors des frontières du pays. Selon Farr, quand un internaute place une information sur une plateforme de communication telle que Facebook ou Twitter, il ne s’agit pas d’une communication directe avec une autre personne dans le sens strict du terme : l’internaute communique en effet « avec la plateforme elle-même, parce que cette dernière est à la fois le dépositaire du message et le moyen par lequel il est diffusé » (voir la page 40 du rapport).

Que doit-on comprendre ? En fait, si vous utilisez Facebook et que vous partagez une information, il ne s’agit pas d’une communication privée prenant place entre vous et une autre personne, par exemple via un appel téléphonique. Farr explique que Facebook induit la diffusion d’une information : si vous l’avez choisi, c’est justement pour ce qu’un réseau social implique. C’est une autre variante de la communication externe, le directeur de l’espionnage ne voyant aucun problème à donner deux définitions pourtant très différentes aux mêmes termes.

Pour les associations, ces explications sont la preuve qu'une révision est nécessaire 

Évidemment, de telles explications ont provoqué la colère des associations de défense de la vie privée. James Welch, responsable juridique de l’association Liberty, ne mâche d’ailleurs pas ses mots : « Les services de sécurité estiment qu’ils sont autorisés à lire, écouter et analyser toutes nos communications sur Facebook, Google et autres plateformes basées aux États-Unis. S’il existait encore un doute que nos lois de furetage ont besoin d’une sérieuse reprise en main, il ne fera pas long feu ». Pour Eric King, l’un des directeurs de Privacy International, les agences anglaises de sécurité sont coupées du Parlement et des citoyens anglais « car leurs actions sont masquées derrière des interprétations secrètes » des lois du pays.

Pourtant, comme l’indique le site de la BBC, le problème relatif à la loi RIPA avait déjà été souligné par Caspar Bowden en 2000. Selon lui, la loi était particulièrement floue et donc très délicate à comprendre, laissant alors le champ libre aux interprétations. Il ne s’agit donc pas pour lui d’une surprise : « Je pense que ce qui se passe maintenant est que les gens découvrent simplement la législation qui existe depuis longtemps, probablement parce que les associations de défense des libertés civiles ont exprimé leur inquiétude ». Pour lui, le principal problème reste la très grande complexité de rédaction de la loi, qui contient de nombreux croisements de définitions à travers ses chapitres.

Difficile de savoir pour l’instant comment s’orientera le procès au Royaume-Uni, justement à cause de cette complexité. Il faut cependant noter que nos voisins d’outre-Manche permettent justement à des associations telles que Privacy International de remettre en cause la manière dont sont menées les opérations de surveillance.