La loi de programmation militaire : vers la NSA à la Française ?

Publié le 16/12/2013 - CIO Online - E. Papin

Le Sénat vient d’adopter en seconde lecture un projet de loi très technique dont l’un des articles – l’article 13 (qui est devenu l’article 20 dans le texte définitif) – a pourtant beaucoup fait parler de lui dans les média grands publics et particulièrement sur internet. Il s’agit de la loi de programmation militaire (LPM), adoptée le 10 décembre dernier et non encore promulguée.

Dans ce fameux article, certains ont lu l’instauration d’un système d’espionnage de l’internet par les pouvoirs publics. Alors que les secousses de l’affaire Snowden se font encore ressentir, le Gouvernement vient-il d’instaurer la NSA à la Française ?

Ce que permettait déjà le droit

La législation existante permettait déjà une forme de « surveillance » du réseau par les services de renseignement. La surveillance dont on parle est, dans les faits, la possibilité pour certains services compétents de l’administration d’accéder aux « données de connexion » (schématiquement les logs) stockées par les opérateurs de communications électroniques : les opérateurs télécoms, les FAI et les hébergeurs.

L’obligation pour ces opérateurs de conserver et de communiquer aux autorités publiques habilitées à en faire la demande les données de connexion est posée par le code des postes et communications électroniques (CPCE). Cette obligation a été introduite dans le CPCE par la loi du 15 novembre 2001 relative à la sécurité quotidienne. Ne figurant pas dans le projet de loi d’origine, ce dispositif a été introduit par voie d’amendement du Gouvernement à la suite des attentats du 11 septembre 2001 parmi d’autres dispositions destinées à lutter contre le terrorisme. L’accès à ces données était à l’origine limité à la police judiciaire, dans le cadre d’enquêtes ou d’informations judiciaires pour la recherche d’infractions pénales.

La loi du 23 janvier 2006 relative à la lutte contre le terrorisme est venue créer, par son article 6, un nouvel article L34-1-1 dans le CPCE autorisant l’accès aux données de connexion, non seulement à la police judiciaire, mais également à certains services de police administrative dans le cadre de la lutte contre le terrorisme. C’est donc depuis cette loi, dans le cadre de la seule prévention du terrorisme, que certains agents désignés et habilités des services de police et de gendarmerie chargés de la lutte contre le terrorisme peuvent obtenir la communication des données au terme d’une procédure de vérification de leur demande. Les demandes sont soumises à la « décision » d’une « personnalité qualifiée ». Cette « personnalité qualifiée », placée auprès du ministre de l’intérieur, est choisie par la Commission nationale de contrôle des interceptions de sécurité (CNCIS) sur une liste de trois noms proposée par le ministre de l’intérieur. Les demandes approuvées par la personnalité qualifiée sont adressées aux opérateurs qui doivent y répondre « sans délai » en transmettant les données concernées à l’agent. Les demandes, accompagnées de leur motif, font l’objet d’un enregistrement et sont communiquées à la CNCIS.

La CNCIS est chargée du contrôle de l’accès aux données de connexion dans le cadre de la lutte contre le terrorisme. Lorsqu’elle constate une atteinte aux droits et aux libertés, elle doit « saisir » le ministre de l’intérieur d’une recommandation.

Concrètement, les demandes des agents habilités des services de police et de gendarmerie compétents sont transmises à l’UCLAT qui centralise et transmet les demandes à la personnalité qualifiée, laquelle se prononce dans la journée, voire sur le champ en cas d’urgence.

La CNCIS fournit des éléments statistiques intéressants dans ses rapports annuels. Ainsi, pour l’année 2011, 34081 demandes ont été présentées à la personnalité qualifiée ; 31637 demandes ont été validées ; 16 demandes refusées ; 2428 renvoyées pour renseignements complémentaires.

Pourquoi y avait-il lieu de modifier cette législation ?

L’accès aux données par les services concernés est un accès a posteriori : les opérateurs de télécoms conservent les informations et les enquêteurs y accèdent sur demande, comme on vient de le voir.

Les technologies permettent aujourd’hui de géolocaliser l’utilisateur d’un téléphone portable en temps réel. Cette géolocalisation peut être réalisée par satellite, mais également par GSM ou WIFI, ou encore par le biais de l’adresse IP.

Or, la géolocalisation en temps réel n’était pas encadrée par la loi. Si elle était réalisée par les services de renseignement, c’était au mieux dans un cadre juridique flou, au pire en dehors de la loi. L’absence de régime juridique encadrant cette pratique exposait la France à une condamnation par la Cour Européenne des Droits de l’Homme.

L’idée d’origine de l’article 20 de la LPM est donc de mettre la loi en accord avec la pratique et non l’inverse…

Mais l’objectif initial du projet d’article, portant uniquement sur la géolocalisation en temps réel, a été étendu lors des débats parlementaires. Les sénateurs ont entendu remettre à plat le régime d’accès aux données de connexions par les services de renseignement.

Le nouveau régime

L’article L34-1-1 précité du CPCE est abrogé et remplacé par un article L246-1, cette fois-ci dans le code de la sécurité intérieure.

Initialement limité à la prévention des actes de terrorisme, le nouveau régime juridique issu de la LPM permet maintenant également un accès aux données de connexions dans le cadre de la recherche de renseignements intéressant la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous.

C’est donc un périmètre d’application autrement plus vaste.

S’agissant de la manière dont ces accès sont réalisés et contrôlés, le régime antérieur est reconduit à une différence près. La « personnalité qualifiée » auprès de laquelle les agents doivent diriger leurs demandes d’accès n’est plus placée auprès du ministre de l’intérieur mais auprès du Premier ministre.

Lorsque les services souhaiteront disposer d’un accès en « temps réel » aux données, il conviendra qu’ils obtiennent une autorisation spécifique du Premier ministre ou des personnes spécialement désignées par lui. Chaque décision sera communiquée au président de la CNCIS. L’autorisation ne sera accordée que pour une durée maximale de 30 jours renouvelable.

Au final

Si l’on constate que des procédures sont mises en place (autorisations ministérielles, contrôles par une commission) pour encadrer l’accès par les services de renseignements aux données de connexion, il faut souligner que le juge judiciaire est exclu de ces contrôles. Il s’agit de procédures « intra-administratives » dont on peut légitimement s’interroger sur leur capacité à prévenir les dérives potentielles du système.

Si ces procédures sont mises en avant par les rédacteurs du texte, il faut aussi constater que le périmètre d’accès aux données de connexion s’est considérablement étendu.

Le système mis en place est-il suffisamment protecteur des libertés individuelles ?

Le Conseil national du numérique s’est saisi de la question. Dans son avis du 6 décembre 2013 sur les libertés numériques, il estime que « des réflexions transversales, à la fois au niveau parlementaire et auprès du public » sont nécessaires.

La saisine du Conseil constitutionnel sur cet article de la LPM, qui devra répondre à cette question, n’est pas à exclure.

Autres publications