Loi Renseignement : les sénateurs rectifient déjà les sondes et les boîtes noires

Explications des amendements adoptés en Commission des lois 31
En bref
image dediée
Crédits : akhajon/iStock/ThinkStock
Loi
Marc Rees

Au Sénat, la commission des lois a terminé aujourd'hui l’étude des amendements sur le projet de loi Renseignement. Dans la liste des rustines adoptées, on remarque que Philippe Bas, rapporteur du texte et président de cette commission, a notamment réécrit le dispositif des sondes et celui des boîtes noires installées chez les acteurs du numérique. Explications.

Les sondes chez les députés, les sondes chez les sénateurs

L’article permettant d’injecter des sondes chez les opérateurs, les sites, les services en ligne, etc. a donc été revu et corrigé en Commission des lois du Sénat. Apprécions les différences. Dans le texte voté par les députés, on peut lire que :

« Art. L. 851-3. - Pour les seuls besoins de la prévention du terrorisme, peut être autorisé le recueil des informations et des documents mentionnés à l'article L. 851-1 relatifs à des personnes préalablement identifiées comme présentant une menace opérée en temps réel sur les réseaux des opérateurs et des personnes mentionnés au même article L. 851-1.

« Ce recueil est mis en oeuvre sous le contrôle du premier ministre, après avis de la Commission nationale de contrôle des techniques de renseignement, dans les conditions prévues au chapitre Ier du titre II du présent livre.

En commission des lois sénatoriale, cet article a été réécrit grâce à cet amendement (voir également l’amendement identique de Jean-Pierre Raffarin) :

« Art. L. 851-3. – I. - Dans les conditions prévues au chapitre Ier du titre II du présent livre et pour les seuls besoins de la prévention du terrorisme, peut être individuellement autorisé le recueil en temps réel, sur les réseaux des opérateurs et personnes mentionnés à l’article L. 851-1, des informations ou documents mentionnés au même article relatif à une personne préalablement identifiée comme présentant une menace.

« II.- Par dérogation à l'article L. 821-4, l'autorisation est délivrée pour une durée de deux mois, renouvelable dans les mêmes conditions de durée.

« III.- L'article L. 821-5 n'est pas applicable à cette technique de renseignement.

Qu’est-ce qui change ?

D'abord, les sénateurs ne veulent que les sondes puissent viser « des personnes », mais « une personne », nuance. L’usage du singulier devrait réduire la voilure, en tout cas dans la lettre de la loi. Et pour cause : la paperasserie administrative s'en trouvera démultipliée : « Il doit être clair, à la lecture de ce dispositif, que chaque personne fera l'objet d'une autorisation individuellement accordée » explique Philippe Bas. Cela pourrait réduire les cas de mises en place d'une sonde ciblant une longue liste de personnes, dont la désignation peut d'ailleurs ne pas reposer sur une identité connue (Mme Michu), mais simplement sur l’une de ses qualités (une possible femme à la tête d’un potentiel groupe terroriste menaçant potentiellement les Français).

De même, les sénateurs de la commission des lois ont clairement placé le dispositif dans le cadre dans le droit commun de la procédure, exception faite de la durée de l'autorisation : les sondes ne pourront être installées que pour deux mois, non durant quatre mois, et ce, « dans un but de proportionnalité » soutient le sénateur UMP. Que les services se rassurent : « Cette technique est en tout état de cause renouvelable », sans plafonnement. Simplement, un meilleur contrôle de proportionnalité entre l’outil et l’objectif sera effectué à chaque renouvellement par la Commission nationale de contrôle des techniques de renseignement (CNCTR).  

Enfin, les sénateurs ont interdit que la procédure d’urgence absolue puisse être ici applicable. Cette interdiction impose donc dans tous les cas le train habituel : une demande préalable de déploiement par le Premier ministre, l’avis de la CNCTR, et une possible saisine du Conseil d’État, même si l'incendie menace.

Par contre, l’économie reste la même. Avec ces sondes, les services pourront effectuer une collecte directe et en temps réel sur les infrastructures des acteurs du numérique (opérateurs, FAI, hébergeurs, services en ligne, etc.), comme l’avait déjà éclairé la CNIL dans son avis de mars 2015.

Les boîtes noires des députés, les boîtes noires des sénateurs

L’autre gros morceau des amendements adoptés en commission concerne les boites noires, désormais baptisées « algorithmes » par le gouvernement. En fait, il s'agit d'une série d’instructions qui engloutiront des masses importantes de données de connexion afin de renifler une potentielle menace terroriste. On le devine : c’est la cible privilégiée de la plupart des critiques émises contre le projet de loi, accusant celui-ci de préparer une surveillance extrêmement importante (dixit la CNIL) voire de masse des réseaux.

Que dit le texte adopté par les députés ?

« Art. L. 851-4. - Pour les seuls besoins de la prévention du terrorisme, le premier ministre ou l'une des personnes déléguées par lui peut, après avis de la Commission nationale de contrôle des techniques de renseignement, imposer aux opérateurs et aux personnes mentionnés à l'article L. 851-1, pour une durée de quatre mois renouvelable, la mise en œuvre sur leurs réseaux d'un dispositif destiné à détecter une menace terroriste sur la base de traitements automatisés des seules informations ou documents mentionnés au même article L. 851-1. Dans le respect du principe de proportionnalité, l'autorisation du premier ministre précise le champ technique de la mise en œuvre de ces traitements. Cette dernière ne permet de procéder ni à l'identification des personnes auxquelles ces informations ou documents se rapportent, ni au recueil d'autres données que celles qui répondent aux critères de conception des traitements automatisés. Les conditions prévues à l'article L. 861-3 sont applicables aux opérations matérielles effectuées pour cette mise en œuvre par les opérateurs et les personnes mentionnés à l'article L. 851-1. L'article L. 821-5 n'est pas applicable à cette technique de renseignement.

« Si une telle menace est ainsi révélée, le premier ministre ou l'une des personnes déléguées par lui peut décider, après avis de la Commission nationale de contrôle des techniques de renseignement dans les conditions prévues au chapitre Ier du titre II du présent livre, de procéder à l'identification des personnes concernées et au recueil des informations ou documents afférents. Leur exploitation s'effectue alors dans les conditions prévues au chapitre II du même titre.

« La Commission nationale de contrôle des techniques de renseignement émet un avis sur le dispositif et les critères des traitements automatisés mentionnés au premier alinéa du présent article. Elle dispose d'un accès permanent à ceux-ci, est informée de toute modification apportée et peut émettre des recommandations. Lorsqu'elle estime que les suites données à ses avis ou à ses recommandations sont insuffisantes, elle peut faire application de l'article L. 821-6. » ;

Que dit le texte amendé en commission au Sénat ?

« Art. L. 851-4. – I. Dans les conditions prévues au chapitre Ier du titre II du présent livre et pour les seuls besoins de la prévention du terrorisme, il peut être imposé aux opérateurs et aux personnes mentionnés à l'article L. 851-1 la mise en œuvre sur leurs réseaux de traitements automatisés destinés, en fonction de paramètres précisés dans l’autorisation, à détecter des communications susceptibles de révéler une menace terroriste.

« Ces traitements automatisés utilisent exclusivement les informations ou documents mentionnés à l’article L. 851-1, sans recueillir d’autres données que celles qui répondent à leurs paramètres de conception et sans permettre l’identification des personnes auxquelles les informations ou documents se rapportent.

« Dans le respect du principe de proportionnalité, l'autorisation du premier ministre précise le champ technique de la mise en œuvre de ces traitements.

« II.- La Commission nationale de contrôle des techniques de renseignement émet un avis sur la demande d’autorisation relative aux traitements automatisés et les paramètres de détection retenus. Elle dispose d'un accès direct et permanent à ces traitements ainsi qu’aux informations et données recueillies. Elle est informée de toute modification apportée aux traitements et paramètres et peut émettre des recommandations.

« La première autorisation de mise en œuvre des traitements automatisés prévue au I est délivrée pour une durée de deux mois. L'autorisation est renouvelable, dans les conditions de durée prévues au chapitre Ier du titre II du présent livre. La demande de renouvellement comporte un relevé du nombre d'identifiants signalés par le traitement automatisé et une analyse de la pertinence de ces signalements.

« III. - Les conditions prévues à l'article L. 871-6 sont applicables aux opérations matérielles effectuées pour cette mise en œuvre par les opérateurs et les personnes mentionnés à l'article L. 851-1.

« IV. - Si une menace terroriste est révélée par le traitement automatisé visé au I, il peut être décidé, dans les conditions prévues au chapitre Ier du titre II du présent livre, de procéder à l'identification des personnes concernées et au recueil des informations ou documents y afférents. Leur exploitation s'effectue alors dans les conditions prévues au chapitre II du même titre.

V.- La procédure prévue à l'article L. 821-5 n'est pas applicable au présent article.

Quelles sont les nouveautés ?

Si on résume, la v2 dit qu’il s’agira d’une série de « traitements automatisés » œuvrant en fonction « de paramètres précisés dans l’autorisation », capables de détecter des communications « susceptibles de révéler une menace terroriste ».

Un premier souci rédactionnel perdure cependant : les algorithmes s’installeront sur les « réseaux », ce qui tend, selon une première approche, à privilégier une logique de tuyau. Cependant, les partisans de l'expression pourront toujours se retrancher derrière la définition apportée par le Code des postes et des communications électroniques, déjà très englobante.

Ces traitements automatisés devront uniquement se focaliser sur les métadonnées (du moins dans leur définition très ouverte du Code de la sécurité intérieure) « sans recueillir d’autres données que celles qui répondent à leurs paramètres de conception et sans permettre l’identification des personnes auxquelles les informations ou documents se rapportent ». Il devra donc y avoir correspondance dans le périmètre des données programmées dans l’algorithme et celles effectivement glanées. En d’autres termes, le texte amendé reformule le passage pour mieux canaliser l’estomac, lequel reste cependant bien vaste.

Observons une autre différence : la version des sénateurs autorise la détection des « communications susceptibles de révéler une menace terroriste » alors que la version des députés se contentait d'un « dispositif destiné à détecter une menace terroriste ». Selon une grille de lecture, cette réécriture semble plus cadrée : c’est parce que telle communication est susceptible de révéler une menace qu’elle peut donc être auscultée, alors que dans la version des députés, l’algorithme a pour mission de détecter des menaces, sans champ de bataille défini. Ce sont certes des « pinaillements » de juristes, mais vérifiés, ils pourraient réduire un peu la volumétrie de la boîte noire. Ses adversaires pourront toujours opposer que cela ne change rien, puisqu'à en croire les discours anxiogènes, la menace terroriste est constante, la collecte de données de connexion sera massive, un point c’est tout !

Si le traitement automatisé « susceptible de révéler une menace terroriste » révèle effectivement une telle menace, alors les personnes impliquées pourront être identifiées. On passe en effet d'une potentialité pour s'approcher d'une réalité. C’est là que devraient en toute logique entrer en vigueur les autres outils de surveillance, on pense à la sonde ou aux dispositifs de proximité (de type IMSI catcher) afin d’aspirer toutes les données de connexion d'une personne ainsi que celles de son entourage. 

Comme pour les sondes, les sénateurs de la commission des lois estiment que la procédure d’urgence n’a pas lieu d’être pour les algorithmes. Pourquoi ? Simple : « Par construction, elle suppose une préparation relativement longue en amont. »

Autre chose, le délai de la première autorisation a été là aussi ramené de 4 à 2 mois. Mais ces demandes pourront là encore être renouvelables. Il faudra simplement que le Premier ministre justifie un peu mieux de la nécessité d’une telle reconduction, « le renouvellement étant subordonné en outre à la production du nombre de signalements et une analyse de leur pertinence » explique Philippe Bas.

Désormais également, la CNCTR aura un accès non seulement permanent, mais également « direct » aux traitements et critères de détection utilisés, ainsi qu’aux informations et données recueillies. Il serait toutefois judicieux de préciser, d’une manière ou d’une autre, que ses experts disposeront d'accès à l’intégralité du code source en amont de ces algorithmes, afin de contrôler un peu mieux, s’ils en ont les moyens, les traitements.

Sur ce terrain, enfin, on précisera que l’amendement COM-54 a été adopté. Derrière ce joli nom se cache une disposition très vicieuse : le budget de fonctionnement de la CNCTR sera adossé sur celui des services du Premier ministre, sous le contrôle de la Cour des comptes. En somme, plus elle aura de besoins moyens humains et matériels, ce qu’implique le texte, plus Matignon devra tailler dans ses finances.

Et maintenant ?

Le texte amendé en commission va être soumis en séance à la discussion puis au vote des sénateurs entre les 4 et 9 juin prochain. Les différences restantes entre les deux versions seront arbitrées en Commission mixte paritaire, composée de sept députés et sept sénateurs. Si aucun texte de compromis n'en ressort, le gouvernement pourra laisser le dernier mot à l’Assemblée nationale. En suite de quoi, aura lieu la saisine du Conseil constitutionnel à la demande de François Hollande mais également de plus de 60 députés déjà prêts à lancer un tel contrôle de conformité au regard des textes fondateurs, dont la Déclaration des droits de l'Homme et du citoyen de 1789.


chargement
Chargement des commentaires...