Loi Renseignement : le texte sur la surveillance internationale expliqué ligne par ligne

La PPL Adam et Nauche 18
En bref
image dediée
Crédits : Bumbasor/iStock
Loi
Marc Rees

Début septembre, le gouvernement a annoncé le dépôt d’une proposition de loi sur la surveillance internationale. L'enjeu ? Combler la censure partielle du Conseil constitutionnel sur ce sujet, lors de son contrôle de la loi sur le renseignement. Next INpact vous propose une explication ligne par ligne de ce nouveau texte, désormais disponible sur le site de l'Assemblée nationale.

Pour mémoire, le Conseil constitutionnel avait censuré un des articles du projet de loi gouvernemental, celui encadrant la surveillance internationale. Pourquoi cette censure ? Principalement, parce que la disposition législative renvoyait à décret en Conseil d’État le soin de définir les modalités d’exploitation, de conservation et de destruction des renseignements collectés. Un joli cas d’incompétence négative pilonné par les Sages de la Rue Montpensier, « dès lors que le législateur n'avait pas épuisé sa compétence en matière d'exercice des droits et libertés fondamentaux, matière que la Constitution lui réserve exclusivement  » (extrait de cet article puisé sur le site du Conseil).

Après une longue période d’incertitude, le gouvernement a annoncé la semaine dernière le dépôt surprise d’une proposition de loi pour combler cette lacune. Ce sont finalement deux députés de la commission de la Défense, Patricia Adam et Philippe Nauche (PS), qui ont été chargés de porter sous leurs ailes la rustine à la loi Renseignement. La manœuvre peut surprendre – pourquoi l'exécutif présente-t-il un texte parlementaire qu'il était censé rédiger ? –, mais s’explique facilement : par ce biais, il évite le passage par un projet de loi, qui l'aurait obligé à publier une étude d’impact. Une étape potentiellement douloureuse où il aurait dû détailler le coût de ces mesures notamment.

La proposition de loi a été déposée aujourd'hui à l’Assemblée nationale (L’Obs en avait diffusé le contenu en exclusivité). Voici notre explication de texte, ligne par ligne.

Qu’est-ce qu’une surveillance internationale ? (L.854-1.-I)

Déjà, les articles sont beaucoup plus denses que la partie censurée par le Conseil constitutionnel. C’était prévisible puisque le gouvernement a dû (faire) replacer dans la future loi des dispositions qu’il tentait de publier dans un décret secret.

Que dit l’article 1er de la proposition de loi ? Il propose d’insérer dans le Code de la sécurité intérieure un article L.854-1, riche de sept sections (de .I à .VII), qui s’appliquera dès lors qu’une communication est labellisée « internationale ».

Cela sera le cas dès lors qu’une communication sera « émise ou reçue à l’étranger », dit le point L.854-1.-I. Un appel passé par un Français à destination de l’étranger devrait évidemment être qualifié d'« international », tout comme un échange entre deux Français utilisant un service de communication basé à l’étranger : en façade, c’est en effet cette seule adresse IP lointaine qui risque de transpirer sur les écrans des surveillants, un temps durant au moins. Seulement, il y a des nuances apportées par la proposition de loi dans l'exploitation de ces données.

Déjà, la surveillance sera focalisée « aux seules fins de la défense et de la promotion des intérêts fondamentaux de la Nation mentionnés à l’article L. 811-3 » tambourine le texte. Ce filtre semble très restrictif, mais en réalité il permet d’enclencher ces outils dès lors qu’une des très vastes finalités inscrites par la loi Renseignement motive leur déploiement :

  • L'indépendance nationale, l'intégrité du territoire et la défense nationale ;
  • Les intérêts majeurs de la politique étrangère, l'exécution des engagements européens et internationaux de la France et la prévention de toute forme d'ingérence étrangère ;
  • Les intérêts économiques, industriels et scientifiques majeurs de la France ;
  • La prévention du terrorisme ;
  • La prévention des atteintes à la forme républicaine des institutions, des actions tendant au maintien ou à la reconstitution de groupements dissous, des violences collectives de nature à porter gravement atteinte à la paix publique ;
  • La prévention de la criminalité et de la délinquance organisées ;
  • La prévention de la prolifération des armes de destruction massive.

Comme la surveillance franco-française, le recueil du renseignement international pourra se faire en « défense » (tu me menaces, je collecte tes données de connexion ou intercepte tes communications) ou en « promotion » (je collecte, en préventif, pour assurer les intérêts majeurs de mon pays).

Le cas des numéros ou identifiants rattachables à la France (L.854-1.-I)

La suite de l’article L.854-1 interdit expressément « la surveillance individuelle des communications de personnes utilisant des numéros d'abonnement ou des identifiants techniques rattachables au territoire national ».

Déjà, a contrario, on peut craindre une possible brèche : la surveillance collective – pour ne pas dire plus massive – de personnes dont les systèmes de communication sont finalement rattachables au territoire national, pourrait passer entre les gouttes de cette interdiction.

Dans une note adressée au Conseil constitutionnel, préalablement à sa décision du 23 juillet 2015, le gouvernement avait d’ailleurs esquissé l’ampleur de son appétit : « Les mesures (internationales, ndlr) ne visent par ailleurs pas seulement des cibles nominativement désignées, mais aussi – pour les autorisations d’interception – des systèmes de communication, et pour les autorisations d’exploitation des correspondances, des zones géographiques, des organisations ou des groupes de personnes ». Nous reviendrons sur ce passage un peu plus loin.

Fait très important, la proposition de loi prévoit deux sérieuses exceptions à cette interdiction individualisée des communications de personnes utilisant des numéros d'abonnement ou des identifiants techniques rattachables au territoire national. Celles des personnes qui communiquent depuis l’étranger en utilisant des numéros (téléphone, IP) rattachables à la France et...

  1. soit qui faisaient auparavant l’objet d'écoutes lorsqu’elles ont quitté la France,
  2. soit « sont identifiées comme présentant une menace au regard des intérêts fondamentaux de la Nation mentionnés à l’article L. 811-3 ».

Décodons ce dernier passage : l’hypothèse est celle d’une personne qui utilise depuis l’étranger un système de communication français pour menacer la France au regard des finalités précitées. Malgré le rattachement technique à la France, c'est bien le formalisme allégé du régime international qui s’appliquera.

« Des personnes qui étaient écoutées sur le territoire national ou qui auraient justifié de l’être si elles étaient sur le territoire national peuvent l’être sur le fondement de l’article L. 854-1 (surveillance internationale, ndlr) si elles sont à l’étranger, alors même qu’elles continueraient à utiliser des numéros ou identifiants français » confirment les deux députés, en introduction de leur texte.

Des renseignements rattachés à la France instantanément détruits (L.854-1.-I)

Les mêmes parlementaires assurent que « la catégorie des communications émises ou reçues à l’étranger est définie en fonction des deux extrémités de la communication et non des territoires par lesquelles la communication peut transiter à raison des modes de transport des communications électroniques ».

Cependant, le point I de l’article L.854-1 précise qu’en dehors des deux exceptions précitées, « lorsqu’il apparaît que des communications électroniques sont échangées entre personnes ou équipements utilisant des numéros d'abonnement ou des identifiants techniques rattachables au territoire national, y compris lorsque ces communications transitent par des équipements non rattachables à ce territoire, les communications sont instantanément détruites ».

N'est-ce pas l’aveu par les auteurs de la proposition de loi que le système de surveillance risque bien d’attraper dans ses filet, des échanges entre Français utilisant un système intermédiaire étranger (là encore Skype, Facebook, Yahoo! Mail, des messages privés sous Twitter, un VPN, etc.) ?

Le texte nous dit que les renseignements collectés devront alors être supprimés instantanément. Cette instantanéité ne doit cependant pas cacher le fait que la révélation du positionnement géographique réel des extrémités surveillées supposera une enquête un peu plus approfondie, au-delà du simple recueil. Durant un laps de temps, donc, les services du renseignement sauront, mais seront in fine priés d’oublier.

De plus, cette suppression immédiate n’est pas généralisée. Il y a une exception (article L.854-1.-VI) concernant les interceptions mixtes, celle d'un correspondant qui dispose d'un numéro d'abonnement ou à un identifiant technique rattachable au territoire national. Les données, les mails lus, les échanges vidéo regardés, les appels écoutés ne doivent surtout pas être « instantanément détruites » dans un tel cas, mais basculer dans un régime d’exploitation franco-français. Cerise sur le gâteau, le délai de conservation ne courra qu’à compter de leur première exploitation, sans excéder six mois à compter de leur recueil. Des durées à comparer aux 30 jours prévus normalement en France (article L822-2.-I 1° du CSI).

La phase administrative de l’interception (L.854-1.-II)

C’est le Premier ministre qui désignera « les systèmes de communications » où pourront être placés les oreilles et yeux électroniques pendant un an. Le champ du possible est le plus vaste possible puisque « par construction, il est effet impossible aux pouvoirs publics français de procéder à des réquisitions légales à l’égard des opérateurs auprès desquels les cibles de la surveillance sont abonnées. Ces opérateurs ne sont en effet pas soumis à la loi française » (observations complémentaires du gouvernement devant le Conseil constitutionnel).

Une fois ces systèmes chaudement installés sur les câbles sous-marins, les liaisons satellites, etc. deux grandes options s’ouvrent aux services, avec un niveau d'exploitation différent selon l'atteinte à la vie privée visée.

La boîte noire, version internationale (L.854-1.-II)

Sur demande motivée des ministres compétents, le Premier ministre pourra d’abord autoriser « l’exploitation non individualisée des données de connexion interceptées ». Cette exploitation se fera par « traitements automatisés », dit la proposition de loi.

Le champ lexical rappelle à plein nez le mécanisme de la « boîte noire » prévue par l’article L. 851-3 de la loi Renseignement. Rappelons que grâce à cette disposition, les services peuvent mettre en œuvre « sur leurs réseaux de traitements automatisés destinés (…) à détecter des connexions susceptibles de révéler une menace terroriste », traitements qui portent là aussi sur les seules métadonnées (ou données de connexion). C'est un traitement algorithmique censé deviner une possible menace à partir de ces informations techniques.

À l’échelle internationale, il y a une différence – de taille – : le mécanisme n’est plus limité à la seule détection de la possible menace terroriste, mais étendu à la défense ou la promotion d’une des nombreuses finalités de la loi Renseignement. La boîte noire gagne donc en volume. Avec une autre particularité : il n’est pas prévu de limite temporelle dans cette pêche au chalut...

Une surveillance par zone ou groupe de personnes (L.854-1.-II)

Ensuite, deuxième hypothèse, le Premier ministre, saisi dans les mêmes formes par un ministre, définit des zones géographiques, des organisations, ou les personnes voire les groupes de personnes pour cibler cette surveillance hors de nos frontières.

Cette surveillance se fera soit sur la base des données de connexion, soit en écoutant directement le contenu des communications (mail, échanges vidéo, chats, appels, etc.). Elle sera plus ciblée, en tapant par exemple sur un pays déterminé ou un continent (l’Amérique, l’Europe, pourquoi pas).

Histoire de soigner les relations diplomatiques, la proposition de loi réserve le cas de « certains numéros d'abonnement ou identifiants techniques » qui pourront être soumis à « des conditions particulières » voire épargnés de toute surveillance. Obama peut souffler.

assemblée députés
Crédits : Assemblée nationale

Les magistrats, journalistes, parlementaires et avocats (L.854-1.-III)

La proposition veut combler une lacune que nous avions relevée dans la loi Renseignement. Celle-ci interdit en France la surveillance des magistrats, journalistes, parlementaires et avocats pour le seul exercice de leur mandat ou de leur profession. En creux, cela signifie donc qu’à l’étranger, c’est open bar !

Le Conseil constitutionnel n'y avait vu que du feu, mais la proposition de loi comble cette brèche en étendant le régime français à l'international. Seulement, on le comprend, il reste un petit problème : par construction, on ne peut pas a priori déterminer la nature d’un échange qui va se nouer devant les yeux des services : est-il de l’ordre du mandat et de la profession ou bien se raccroche-t-il à la vie privée du journaliste, du magistrat, du parlementaire, de l’avocat ?

Ce n'est qu'après recueil que l'on peut classer. Il est donc à craindre que des données couvertes par le secret tombent accidentellement dans les filets. Remarquons que le texte ne prévoit pas de « destruction instantanée » des secrets involontairement collectés.

L’interception des communications interceptées à l’international (854-1.IV)

Cet article dit que l’interception et l’exploitation des communications devront faire l’objet d’une traçabilité qui sera organisée par le Premier ministre, après avis de la Commission nationale de contrôle des techniques de renseignement. Celle-ci interviendra donc en périmétrique, non pour rendre un avis sur la collecte, mais simplement pour s’exprimer sur sa traçabilité, ce qui n’est pas du tout la même chose.

Les écoutes glanées seront certes centralisées, mais selon des modalités définies par le seul Premier ministre. Cette question est fondamentale, puisqu’une centralisation contrariée, relative, « éparpillée », pourra gêner les opérations de contrôle a posteriori de cette CNCTR si tributaire du budget que la loi de finances voudra bien lui accorder.

La destruction des renseignements collectés (854-1 V)

Les renseignements collectés au rang « international » devront être détruits dans le délai d’un an après leur première exploitation s’agissant des correspondances (contenu des mails, échanges téléphoniques, etc.) et dans la limite d’une durée de quatre ans à compter de leur recueil. La durée est toutefois portée à six ans à compter de leur recueil pour les données de connexion. Et pour les renseignements chiffrés, le délai court seulement à compter du déchiffrement, sans conservation possible au-delà de huit années à compter du recueil.

Si on compare avec les renseignements collectés sur des communications reçues et émises en France, il y a un fort allongement : dans la loi Renseignement, la destruction des correspondances interceptées doit se faire dans les 30 jours à compter du recueil, celle des données de connexion dans les quatre ans. Et pour les renseignements chiffrés, le délai court à partir du déchiffrement sans pouvoir être conservé plus de 6 ans plus tard.

Notons aussi l’exception particulière de la loi reprise par la proposition de loi : pour les besoins de l'analyse technique, « les renseignements collectés qui contiennent des éléments de cyberattaque ou qui sont chiffrés, ainsi que les renseignements déchiffrés associés à ces derniers, peuvent être conservés au-delà des durées mentionnées », sans limites de durée. Enfin, comme en France, les transcriptions ou les extractions, les fruits renseignés de cette collecte devront être détruits dès que leur conservation n'est plus indispensable à la poursuite des finalités qui ont motivé leur existence.

Le rôle de la CNCTR (article 851-1.-VII)

La loi sur le Renseignement se contentait de renvoyer à un décret le soin de définir l’action de la CNCTR, ce qui a occasionné la colère constitutionnelle des neuf Sages. La proposition de loi met donc plus en avant le rôle de cette commission. Celle-ci recevra par exemple « communication de toutes les autorisations » qui encadre la surveillance internationale.

On note la nuance, importante, avec le régime français : on ne demande pas à la CNCTR d’émettre un avis préalable à l’autorisation du Premier ministre. On lui offre le droit d’avoir « communication » de ces autorisations.

Elle dispose aussi d’un accès « permanent, complet et direct aux dispositifs de traçabilité » qu’elle aura elle-même accompagné, tout comme aux renseignements collectés, aux transcriptions et extractions réalisées et aux relevés. De même, elle pourra contrôler les dispositifs techniques nécessaires à l’exécution des autorisations. Elle sera également informée des mesures de suivi à international d’une personne qui, depuis notre territoire, présente une menace au regard des finalités, via une communication étrangère. Mais, dans tous les cas, son contrôle est bien a posteriori.

En cas d’indélicatesse, elle pourra évidemment émettre une recommandation au Premier ministre qui, s’il ne la suit pas, pourra déboucher sur la saisine du Conseil d’État.

On précisera enfin que « de sa propre initiative ou sur réclamation de toute personne souhaitant vérifier qu’aucune mesure de surveillance n’est irrégulièrement mise en œuvre à son égard », la Commission pourra exercer un contrôle sur un dossier nominatif. Cependant, l’auteur de la réclamation sera alerté simplement de l’accomplissement de ces vérifications, sans que soit confirmée ni infirmée la mise en œuvre de mesures de surveillance.


chargement
Chargement des commentaires...