Le CNNum flingue la loi Renseignement devant le Conseil constitutionnel

Police politique, surveillance généralisée et autres amabilités 73
En bref
image dediée
Loi
Par
le vendredi 10 juillet 2015 à 11:18
Marc Rees

C’est une première dans l’histoire du Conseil national du numérique. Celui-ci a adressé une note au Conseil constitutionnel pour épingler les risques soulevés par le projet de loi sur le renseignement, actuellement examiné par les Sages de la Rue de Montpensier. Nous révélons le contenu de ce document.

C’est dans deux semaines environ que le Conseil constitutionnel rendra sa décision très attendue sur le projet de loi Renseignement. On saura alors si le juge partage l’avis de la cohorte de détracteurs, à savoir une violation manifeste de plusieurs droits et libertés fondamentales, ou avalisera les positions gouvernementales : un texte proportionné, respectueux des normes et protégeant les citoyens. Le 12 juin dernier, soit deux semaines avant l'adoption du projet par le Parlement, le Conseil national du numérique l'a réaffirmé : ce projet de loi présente bien des failles importantes.

Dans la foulée, il a ainsi adressé une note au Conseil constitutionnel (PDF), dont les bureaux ploient également sous la grosse pile d’« amicus curiae » envoyés par la Quadrature, FDN, FFDN, des cabinets d’avocats, des think tank, du monde du web, des éditeurs de logiciels, etc.

Un faible contrôle conditionné par des moyens inconnus

Dans sa note, le CNNum aborde le périmètre du texte sous l’angle des questions techniques. On le sait, la Commission nationale des techniques du renseignement (CNCTR) aura l’épineuse mission de jauger les dispositifs d’espionnage désirés par les services spécialisés et autorisés par le Premier ministre. Son avis est cependant simple, en ce sens que le numéro un du gouvernement pourra le suivre à la lettre ou l’ignorer superbement. La CNCTR sera ainsi le principal mais très fragile maillon pour tenter d’éviter que ces nouveaux outils du renseignement ne s’emballent pas au-delà du raisonnable.

En pratique, les « algorithmes » ou « boîtes noires » passeront ainsi un petit examen de passage dans la salle de classe de la CNCTR, celle dont la note finale ne compte que pour du beurre. Pire, les conditions matérielles de l’exercice sont très fragiles : « auditer un logiciel nécessite d’assimiler des centaines de milliers de lignes de code » rappelle le mémoire signé Benoît Thieulin, président du CNNum. Sur les neuf membres de la CNCTR, une seule personne sera spécialisée dans les réseaux et les communications électroniques. En d’autres termes, s’il souffre d’un manque de compétences et/ou de moyens, il est à craindre l’avènement d’une « commission tampon », selon l’expression du CNNum. Craintes fondées, ou non ? Comme exposé ici, l’étude d’impact annexée au projet de loi est totalement silencieuse sur les ressources dont bénéficiera la CNCTR. Pire encore, si le document se félicite que la commission de contrôle disposera d’un accès direct et permanent aux renseignements collectés, la joie est de courte durée : elle ne bénéficiera d’aucun « droit d’audition et d’accès aux documents illimité ».

Boîtes noires, bêtes noires

Le gros des inquiétudes du Conseil national du numérique se focalise sur cet outil destiné à deviner, par algorithme, une menace terroriste. Comment ? En aspirant, traitant et classant quantité de données de connexion chez tous les acteurs des communications. « Ce mode de collecte des données confine à une forme de surveillance généralisée et indiscriminée des réseaux, pour une efficacité qui apparaît tout relative » s'alarme Thieulin. S’armant d'une étude de l’INRIA, il craint un déluge de faux positifs, devinant donc des menaces qui n’existent pas, ou ignorant des menaces imminentes. Pourquoi ? « Les comportements « terroristes » ne présentent pas une fréquence suffisante pour permettre de nourrir une méthode automatisée. Ce phénomène, très connu, est lié à l’identification statistique d’évènements rares. »

Le CNNum le dit haut et fort à l’oreille de Jean-Louis Debré, président du Conseil constitutionnel : la boîte noire est « un dispositif particulièrement attentatoire au droit fondamental au respect de la vie privée ». Prenant l’exemple donné par Bernard Cazeneuve dans l’hémicycle, selon lequel « l’algorithme permettrait de repérer les premières connexions à [une] vidéo [de décapitation] émanent de France », il considère même que l’analyse des URL qu’implique une telle surveillance exigera nécessairement de s’intéresser au contenu des communications. Or, « déterminer une URL suppose une inspection en profondeur des communications électroniques – ce que l’on appelle le deep packet inspection (DPI) ». Une technique « utilisée par les gouvernements totalitaires pour surveiller leur population et pratiquer la censure généralisée ». Ambiance.

Une sécurité insécurisée, les professions sensibles nécessairement visées

Dans son mémoire, le CNNum épingle un autre risque, cette fois en termes de sécurité informatique. « Placées dans les réseaux des opérateurs et des hébergeurs, ces "boîtes noires" classées secret défense – ne pourront pas être contrôlés par les personnes qui les hébergent. Elles pourraient ainsi présenter des failles de sécurité potentiellement très critiques pour leurs réseaux, puisqu’il sera par définition impossible de les auditer. »

note Cnnum conseil constitutionnel

Évidemment, les outils de détection automatisée ne pourront respecter les protections encadrant le secret des avocats, journalistes, magistrats et parlementaires (voir notre actualité). La raison est évidente, même si elle a été esquivée durant les travaux parlementaires par l’exécutif. D’un, « une anonymisation complète des données est illusoire ». De deux, « il n’existe aucune base de données regroupant les données permettant d’identifier ces personnes telles que les adresses IP, il est techniquement impossible pour le logiciel de faire une distinction ». Autrement dit, « la lecture d’une vidéo de propagande djihadiste entraînera donc la conservation, par l’algorithme à des fins d’analyse, des données de la personne qui la consulte, qu’il s’agisse d’un journaliste ou d’un potentiel terroriste ». Par ce levier, de même, les relations étroites d’un journaliste pourraient être connues des services. Lanceurs d’alerte, vous êtes prévenus...

La brèche des surveillances internationales

La liste des soucis égrainés s’étend également aux mesures de surveillance internationale. Dès lors qu’une communication est émise ou reçue à l’étranger, alors l’encadrement franco-français saute. En effet, dans cette hypothèse, nulle demande d’avis préalable de la CNCTR. Le Premier ministre a les mains libres pour faire écouter, voire pirater n’importe quel tuyau, fibre optique, serveur, hébergeur, service en ligne, si tant est que celui-ci soit géolocalisé au-delà de nos frontières.

Justement. L’ARCEP avait jugé délicate pour un opérateur de déterminer les règles de territorialité des communications, dans son avis révélé dans nos colonnes. Et pour le CNNum, cette problématique est une brèche évidente. La raison est simple. « D’un point de vue purement technique, une grande majorité des communications des ressortissants français peuvent être considérées comme étant ‘émises ou reçues à l’étranger’ ». En effet, « il suffit par exemple qu’une boîte mail soit hébergée sur un serveur situé à l’étranger pour que les communications qui en émanent relèvent de cette catégorie. Ou encore qu’une personne choisisse de domicilier sa connexion à l’étranger en utilisant un Réseau privé virtuel (VPN) ». Cette faille rend bien fragiles les quelques garanties claironnées par les partisans du texte, compte tenu de la popularité des services (notamment américains) dans le quotidien des internautes français.

Un panoptique numérique

Plus philosophiquement, le CNNum craint aussi l’avènement d’un panoptique numérique où « un algorithme, placé en cœur du réseau pourra surveiller en puissance les comportements de 60 millions de Français pour en extraire les anomalies, les déviances mathématiques traduites des comportements suspects. Le dispositif algorithmique aura lui-même une influence sur le comportement des individus, car le fait de se penser surveillé – alors même que ce n’est pas le cas – pousse à se conformer à une conduite prédéterminée et à l’autocensure ».

L'institution s’appuie sur cette citation signée du journaliste Glenn Greenwald : « la surveillance de masse créée une prison dans l’esprit qui est bien plus subtile mais bien plus efficace pour favoriser la conformité aux normes sociales, bien plus effective que la force physique ne pourra jamais l’être ».

Les risques économiques du projet de loi

Ce déluge de moyens aura aussi « pour conséquence une érosion de la confiance des utilisateurs », flingue encore le CNNum. Et puisque ces utilisateurs sont aussi consommateurs, le projet de loi devrait entraîner dans son sillage des pertes importantes pour les entreprises françaises, à l’instar de ce qu'il s’est passé outre-Atlantique après les révélations Snowden. Le Conseil cite cette fois Stéphan Ramoin, le PDG de Gandi : « je reçois tous les jours des clients américains ou asiatiques qui viennent chez nous, car nous ne sommes pas concernés par Prism ou la NSA. Si le texte passe tel quel, nous perdrons au moins 40 % de notre chiffre d’affaires ».

Un tel projet « semble s’inscrire à rebours de l’ambition affichée par le gouvernement de construire une véritable stratégie numérique, de concurrencer les géants américains de l’Internet et de relancer la croissance » poursuit le Conseil, craignant délocalisations et fuites de la demande vers des contrées plus à cheval sur la vie privée.

Des finalités beaucoup trop larges, trop peu cadrées

Comme les autres amicus curiae déposées au Conseil constitutionnel, l’extension des finalités permettant d’activer le renseignement est dénoncée sans ménagement : défense ou promotion des « intérêts économiques, industriels et scientifiques majeurs de la France » ou encore des « intérêts majeurs de la politique étrangère de la France », tous suscitent des commentaires acidulés. « Avec quels arguments justifier que la surveillance de tel individu ne relève pas d’un intérêt majeur de la politique étrangère de la France ? »

Le souci tient du conflit d’intérêt : l’appréciation des finalités très floues repose sur le Premier ministre, donc celui chargé d’autoriser la surveillance voulue par les services spécialisés. Pourquoi donc le locataire de Matignon viendrait-il contrarier la soif de connaissance de Manuel Valls ? Certes consultée, la CNCTR pourra toujours exprimer un avis contraire. Mais l’avis étant simple, disions-nous, le chef du gouvernement pourra l’ignorer superbement. Il faudrait au final compter sur le Conseil d’État, mais même en cas de violation flagrante, une disposition l’autorise à ne pas annuler telle opération de surveillance...

La lutte contre les violences collectives, une autre des larges finalités, attise également l’attention. « Quelques casseurs isolés, par exemple, et tous les participants à une manifestation pourraient ainsi être surveillés ». À tel point qu’est évoqué le risque « d’une police politique », notamment face aux mouvements ZADistes.

Le contrôle de la conservation des données 

Dans son passage en revue de la galerie des horreurs, le CNNum s’en prend aussi aux données en clair associées aux données chiffrées, qui échapperont, en raison de ce couplage, aux délais normalement en vigueur.

Benoît Thieulin dénonce au final le manque d’encadrement des renseignements « raffinés ». « Le texte ne dit mot sur les fichiers de souveraineté, leur encadrement, la question de leur croisement intra-service, alors même que ces documents portent une atteinte évidente au droit au respect de la vie privée et que le projet de loi est susceptible d’en accroître significativement le nombre et la sensibilité. »

En mai dernier, répondant à une de nos questions, Isabelle Falque-Pierrotin, présidente de la CNIL, a partagé elle aussi ce constat brutal mais évident : « la collecte via ces nouvelles techniques est encadrée par la Commission nationale de contrôle des techniques de renseignement, mais une fois que la donnée entre dans le système et alimente les fichiers des renseignements, il n’y a aucun contrôle. »


chargement
Chargement des commentaires...