Dans le cadre du projet de loi sur le renseignement, un des points importants du dispositif concerne la centralisation des données aspirées par les outils intrusifs que ce texte institue. Des améliorations ont été apportées en Commission des lois au Sénat, mais d'importantes brèches subsistent.
Au Sénat, les sondes et les boîtes noires ont été mieux encadrées, selon le rapporteur Philippe Bas (UMP). Seulement, le texte inquiète toujours, notamment la CNIL, qui pointe en aval le manque de contrôle des fichiers nourris par ces techniques intrusives.
Mais restons en amont, car tout est loin d'être parfait, même à ce stade. Spécialement, comment savoir si les services du renseignement n’ont pas avalé plus de données que l’autorisation du Premier ministre ne le prévoyait ? Simple, en assurant la centralisation des informations collectées !
Sur ce point, dans la version votée par les députés, le Premier ministre sera chargé de deux missions. D’un, assurer la traçabilité de la mise en œuvre des techniques de renseignement. De deux, définir les modalités de la centralisation des renseignements ainsi recueillis. « Chaque mise en œuvre ferait l’objet d’un registre mentionnant les dates de début et de fin ainsi que la nature des renseignements collectés » résume en ce sens Philippe Bas, rapporteur et président de la Commission des lois du Sénat.
De même, la Commission nationale de contrôle des techniques de renseignement (CNCTR) recevra communication de l’ensemble des demandes et autorisations de mise en œuvre des techniques. Elle profitera en outre d’un « accès permanent » à tous les relevés, registres, renseignements collectés, transcriptions et extractions, mais également aux dispositifs de traçabilité. Cette CNCTR aura par ailleurs le droit de connaître les modalités des exécutions en cours (article L.833-2), mais seulement sur demande.
Une meilleure centralisation
En Commission des lois, Philippe Bas a fait adopter son amendement visant à mieux synthétiser ces obligations de centralisation (Com-43). Surtout, avec le Com-56, il est désormais prévu que la CNCTR dispose d’un accès non seulement « permanent » mais également « direct » aux éléments centralisés.
Cette nuance a été apportée suite aux critiques émises par Jean-Marie Delarue, l’actuel président de la Commission nationale de contrôle des interceptions de sécurité. Lors de son audition au Sénat, voilà quelques jours, celui-ci avait décrit la future CNCTR comme un « colosse aux pieds d’argile » en raison notamment de son incapacité à disposer d’un tel accès direct et instantané aux données brutes collectées, « contrairement à la CNCIS qui peut consulter les interceptions de sécurité depuis ses propres locaux » explique le rapport de la Commission des lois. L’amendement Com-75 vient tout autant rectifier le tir en indiquant que cet accès direct et permanent se fera sur les données brutes recueillies par les outils d’espionnage, et donc pas seulement sur les données épurées par les services.
L’amendement Com-56 a un autre intérêt : la CNCTR pourra désormais solliciter du Premier ministre tous les éléments qui n'auraient pas été correctement retracés dans ces registres, mais dont elle aurait eu connaissance « par exemple, par un "lanceur d'alerte" au sein des services de renseignement ». Par définition, des renseignements un peu trop sauvages pourraient ne pas être dûment inscrits dans les registres...
Une centralisation non absolue
Cependant, cette « centralisation » ne sera pas absolue, en un seul et même lieu, comme l'a tenté vainement cet amendement UDI. Bernard Cazeneuve, ministre de l’Intérieur, a expliqué pourquoi : « Certaines techniques, comme le processus de sonorisation, ne peuvent être mises en œuvre que de façon décentralisée, par les services opérationnels eux-mêmes ». Autre argument : « Centraliser les données ainsi recueillies en un seul point créerait une vulnérabilité considérable. Des modalités de décentralisation sont envisageables, dans un nombre d’endroits limités, auxquels la CNCTR aurait un accès immédiat. Leur liste sera arrêtée par le Premier ministre, en concertation avec cette commission. »
En clair, la centralisation sera multiple et c’est un texte ministériel qui en définira les modalités. On peut donc très bien imaginer la centralisation dans les territoires d’outre-mer des données qui y seraient glanées. Les membres de la CNCTR devront donc se déplacer loin de Paris pour savoir si l’appétit des services n’a pas trop cannibalisé la vie privée des citoyens.
Pas d’accès permanent et direct pour les données internationales
Mais il y a une autre brèche. Ce contrôle renforcé s’arrêtera aussi aux données aspirées à l’intérieur des frontières de notre pays. Le projet de loi prévoit en effet que la CNCTR dispose d’un « accès permanent et direct aux relevés, registres, renseignements collectés, transcriptions et extractions mentionnés au présent livre » mais il exclut le cas de « ceux mentionnés à l'article L. 854-1. »
Quel est cet article ? Il concerne tout le périmètre des mesures de surveillance des communications internationales, définies comme telles dès lors que la communication est « émise ou reçue de l’étranger ». Il suffira donc d’un élément d’extranéité - par exemple l’adresse IP d’un service étranger utilisé par un Français - pour que soit raboté le pouvoir d’investigation de la CNCTR. Le cas parfait sera évidemment celui de l'utilisation d'un VPN, lequel placardera sur les écrans des services la nationalité du service, non celle de l'utilisateur. En imaginant que celui-ci fasse appel à un prestataire brésilien, ou que sais-je, on comprend évidemment l'ampleur de la faille...
En l’état du texte actuel, ces mesures de surveillance internationale seront prévues « aux seules fins de protection des intérêts fondamentaux de la Nation », expression pour le moins floue. C’est en outre un décret non publié qui décrira leurs modalités de mise en œuvre. La CNCTR interviendra certes pour avis lors de sa rédaction, mais se mettra ensuite en large retrait. Ces outils seront en effet déployés sans son avis initial, contrairement aux mesures franco-françaises, et donc sans accès direct et permanent.
Seule exception, lorsqu’une correspondance écoutée renvoie finalement à un numéro d’abonnement ou un identifiant technique rattachable au territoire national, elle sera exploitée dans les conditions prévues pour les interceptions françaises. Ce rattachement bleu blanc rouge est également programmé lorsque sont visées des personnes écoutées en France, mais qui ont depuis quitté le territoire. Dans ces cas, le contrôle de la CNCTR reviendra dans le droit commun. Seulement, on le voit, cette intervention ne sera que tardive...
Enfin, l’article en question prévoit tout autant que, de sa propre initiative ou sur réclamation de toute personne y ayant un intérêt direct et personnel, la CNCTR pourra s’assurer que les mesures mises en œuvre respectent les conditions de la loi, du décret et des autorisations données par le Premier ministre. Toutefois, ce contrôle sur demande sera conditionné à sa curiosité et surtout à ses moyens financiers et humains, à propos desquels on ne sait rien.
Commentaires (16)
#1
“Les membres de la CNCTR devront donc se déplacer loin de Paris pour
savoir si l’appétit des services n’a pas trop cannibalisé la vie privée
des citoyens.”
on ne lui FACILITE PAS la tâche…..au contraire !
(aux frais de QUI) ?
#2
Comme prévu, les personnes voulant cacher leur info pourrons le faire via VPN. Par contre Mme Michu sera “surveiller” vu qu’elle n’est pas journaliste, avocat ou femme politique.
Le fait que les données soient centralisée va faire saliver les hackers …
Encore une loi qui ne servira à rien sauf à gâcher plus d’argent du contribuable.
#3
J’ai cru mal lire un petit détail.
Du moment qu’une IP française ne communique pas avec une IP française, la CNCTR n’as plus rien a dire ?
Quelle portion de nos communications sur Internet sont exclusivement sur le territoire français ?
Ce qui voudrais dire que toute communication vers un acteur tel que Google, Facebook, Twitter, Yhaoo, Apple, Microsoft, … et beaucoup d’autre (et même une part des serveurs hébergé chez des acteurs français tel que Gandi ou OVH, n’ayant pas forcément exclusivement des serveurs en France) pourrais se faire sans aucune sorte de contrôle ?
C’est trop gros. J’ai du mal comprendre …
#4
Pareil, j’ai besoin d’un autre café.
#5
Pareil, j’ai besoin d’un VPN
" />
#6
#7
Je l’ai compris comme toi.
Mais si quelqu’un peut confirmer si nous avons raison et peut aussi me réexpliquer au passage très concrètement en quoi un serveur basé à l’étranger ce sera mieux (français/étranger), merci d’avance (je continue à me perdre beaucoup dans cette loi malgré les explications, désolée)
#8
OK. Donc en gros la CNCTR ne servira à rien
" />
#9
#10
Comme Hadopi
" />
#11
Une seule question valable reste en suspens :
“reste-t-il une goutte de champagne dans les caves de Beauvau et du ministère de la défense ainsi que la DGSE et DGRI ?”
Utiliser comme prétexte Charlie hebdo pour faire passer un texte liberticide, la grande classe. Y en a qui doivent faire le ventilateur depuis leurs tombes.
La politique est un monde dégueulasse mais là ils préparent leurs propres suicides, ils vont avoir tellement d’infos sur tous les emmerdeurs, lanceurs d’alertes, libres penseurs et indépendants d’esprits qu’ils ne pourront s’empêcher de les utiliser et pas pour le meilleur…. à un moment ça va se voir et là ça va faire très mal….
#12
#13
oui, mais le PS ne sera pas, toujours, au Pouvoir, donc, ça va se retourner CONTRE EUX !
et puis, SI jamais “l’autre Parti” arrive au Pouvoir –> aïe !!!
#14
#15
#16
Pour ceux que ça intéresse, un MOOC sur l’Informatique et libertés sur internet.