La surveillance des réseaux : nécessité doit-elle faire loi ?

Publié le 14/04/2015 - CIO Online - C. Féral-Schuhl

La lutte contre le terrorisme se joue aussi sur les réseaux. L’attaque de TV5 monde en est une nouvelle illustration. Les réseaux sont eux-mêmes un moyen de propagande et un vecteur de recrutement pour les terroristes et l’actualité tragique de ce début d’année nous l’a rappelé.

Au cours de ces 15 dernières années, après chaque épisode terroriste, la loi française a été modifiée pour doter les autorités chargées d’enquête et de renseignement de moyens d’actions plus importants que ceux dont elles disposaient précédemment. Consécutivement, l’intrusion des pouvoirs publics dans la sphère des libertés individuelles se trouve régulièrement débattue.

Le projet de loi relatif au renseignement, déposé le 19 mars 2015, et qui vient en première lecture devant l’Assemblée Nationale ce lundi 13 avril 2015 fait partie de ces projets de loi qui soulèvent des débats passionnés car les principes essentiels de libertés individuelles et de sécurité publique sont invoqués.

Vendredi 10 avril, sept sociétés françaises spécialisées dans l’hébergement ont pris part au débat public et publié un communiqué commun indiquant qu’elles seraient obligées de délocaliser leur data center si le projet de loi était adopté en l’état.

Qu’il y a-t-il dans ce texte qui puisse susciter la crainte des acteurs du net ou des citoyens ?

Une remise à plat de la législation

Les moyens légaux dont disposent les autorités publiques pour intercepter les communications électroniques (téléphonie ou données) ou prendre connaissance de documents ou données présents dans un système d’information font l’objet de dispositions légales hétéroclites. Depuis les attentats du 11 septembre 2001, plusieurs  lois sont venues modifier les textes au gré des circonstances.

Sur la forme, il en résulte une législation difficilement lisible. Sur le fond, il existe également une différence de moyens entre la police judiciaire et les services de renseignement. Aujourd’hui, seule la police judiciaire, qui intervient dans le cadre d’une enquête pénale sous le contrôle d’un magistrat, dispose de la possibilité d’utiliser des appareils pour enregistrer les paroles et images des personnes et des logiciels espions pour capter des données informatiques.

Avec le projet de loi sur le renseignement, l’ensemble des moyens offerts aux agents du renseignement sera regroupé sous un même titre, dans le code de la sécurité intérieure, intitulé « Du renseignement ». Plus substantiellement, le recours à toutes ces techniques fera l’objet d’une procédure d’autorisation unifiée. Qu’il s’agisse de l’accès aux données de connexion conservées par les FAI, de la géolocalisation d’objets ou de véhicules par la pose de balise, des captations de sons, images ou données, d’interceptions téléphoniques, etc. toutes ces mesures devront préalablement être autorisées par le Premier ministre, après avis de la Commission Nationale de Contrôle des Techniques de Renseignement (CNCTR), qui remplacera l’actuelle Commission nationale consultative des interceptions de sécurité (CNCIS).

Cette autorisation aura une durée limitée allant de 72 heures à 4 mois en fonction des techniques en cause. Cependant, en cas d’  « urgence absolue », il est prévu que le Premier ministre pourra se passer de l’avis de la CNCTR qui sera seulement informée « immédiatement », c’est-à-dire en tout état de cause postérieurement à la décision.

Une innovation importante du projet de loi est l’introduction d’un recours devant le juge administratif, à savoir le Conseil d’Etat. En effet, les conditions de mises en œuvre de toutes les mesures d’interception, de captation et de géolocalisation pourront faire l’objet d’un recours « par toute personne ayant un intérêt direct et personnel » et par la CNCTR elle-même lorsque sa recommandation n’aura pas été suivie par le Premier ministre. Le Conseil d’Etat pourra aller jusqu’à prononcer l’annulation de la mesure et la destruction des données collectées. Cependant, on notera l’absence de tout contrôle de l’autorité judiciaire, alors même qu’elle est constitutionnellement garante des libertés individuelles.

Des nouveaux pouvoirs controversés

C’est le recours à deux techniques inédites qui fait plus particulièrement l’objet d’une controverse importante.

M. le préfet Alain Zabulon, coordonnateur national du renseignement, interrogé par la commission Défense de l’Assemblée Nationale explique ainsi la problématique : pour être efficace, il faut pouvoir suivre en temps réel, sur internet et les réseaux, les connexions d’environ 3 000 individus présentant une menace terroriste, parce qu’elles nous renseignent sur leurs intentions. « Savoir que tel individu s’est connecté à tel autre individu bien connu des services depuis des années est une information qui s’appelle un « signal faible », et le défi des services est d’être capable de détecter ces micro-informations qui, mises bout à bout, permettent de renseigner sur un éventuel projet d’attentat. »

Le futur article L. 851-3 du code de la sécurité intérieur prévoirait que pour les seuls besoins de la prévention du terrorisme, le recueil des informations relatives à des personnes préalablement identifiées comme présentant une menace, peut être opéré « en temps réel » sur les réseaux des opérateurs et FAI.

Associé à cette faculté, l’article L. 851-4 prévoirait d’imposer aux opérateurs la mise en œuvre d’un dispositif destiné à révéler, sur la seule base de traitements automatisés d’éléments anonymes, une menace terroriste sur les informations et documents traités par leurs réseaux. C’est ce qui est communément appelé « la boîte noire ».

Selon les FAI cités par le journal le Monde, ce projet « n’atteindra pas son objectif, mettra potentiellement chaque Français sous surveillance et détruira, ainsi, un pan majeur de l’activité économique de notre pays », en poussant leurs clients à se tourner vers d’autres territoires moins intrusifs.

La Commission « numérique » de l’Assemblée Nationale est tout aussi critique sur ces articles. Dans une recommandation qui vient d’être rendue publique[1], la Commission se dit « fortement préoccupée par l’usage préventif de sondes et d’algorithmes paramétrés pour recueillir largement et de façon automatisée des données anonymes afin de détecter une menace terroriste ».

La Commission estime que l’article L. 851-4 ouvre la possibilité d’une collecte massive et d’un traitement généralisé de données. Elle souligne que les données concernées ne sont pas anonymes, puisque leur exploitation peut conduire, sous certaines conditions, à la levée de l’anonymat. La Commission s’est interrogée sur la possibilité d’un encadrement strict de ce type de technologie de surveillance. En l’état des informations disponibles, cet encadrement ne lui est pas apparu envisageable. C’est pourquoi la Commission appelle de ses vœux la suppression de l’article L 851-4 du projet de loi.

Le débat sur ce texte ne fait que débuter mais il n’est pas près de s’achever car il met jeu la question fondamentale de l’exercice des libertés numériques dans la lutte de l’Etat de droit contre l’obscurantisme terroriste.



[1] http://www2.assemblee-nationale.fr/14/commissions/numerique

 

Pour lire l’article de Christiane Féral-Schuhl pour CIO Online.

Autres publications