[libertés] Loi Renseignement (Acte 1) le projet du Gouvernement

1ere-couv-07-12-2016-ledieu-avocat-contrat-droit-nouvelle-technologie-web-saas-logiciel-cybersecurite-metadata-donnee-personnelle-renseignement-006


[13 avril 2015] En France depuis les années cinquante, le terme juridique de rigueur était celui « d’écoutes administratives » pour évoquer l’espionnage des citoyens par l’État sans contrôle judiciaire. Dans l’argot de l’époque, les policiers parlaient des grandes oreilles qui posaient des bretelles sur les câbles des centraux téléphoniques. Tout le monde le savait. Cela prêtait à sourire (voir note (1) en fin de document).

Cet univers de l’espionnage fait déjà moins rire lorsqu’on l’imagine au service d’une dictature (2).

À partir de 2015, on parlera de « recueil du renseignement » (3).

Petite introduction sur le renseignement

Le projet de loi sur le renseignement avait été annoncé par le Gouvernement dès les attentats de janvier 2015 contre le journal Charlie hebdo et l’hypermarché casher de la Porte de Vincennes. Il a été présenté en Conseil des ministres le 19 mars 2015 et son examen en procédure accélérée par la Commission des lois a démarré le 1er avril 2015.

Il ne s’agit ni plus ni moins que d’encadrer par une loi unique les moyens de surveillance utilisables par les « services spécialisés de renseignement », « sur le territoire national et à l’étranger ».

S’agissant de l’utilisation des nouvelles technologies par les services de l’État pour accéder aux données (data et voix) que nous faisons transiter par nos smartphones, nos tablettes et nos ordinateurs, nous ne pouvions rester indifférents à ce (futur) nouveau dispositif légal. Il nous paraît dès à présent utile d’en analyser le contenu, même si l’Assemblée nationale et le Sénat vont probablement le faire évoluer.

Car, à peine publié, le projet de texte fait déjà – et sans surprise – l’objet de vives critiques dans la presse spécialisée, parfois de manière très argumentée.

L’avis de la C.N.I.L. sur le sujet mérite d’être consulté, ainsi que celui du site (d’excellente qualité et très documenté) next inpact. Mentionnons enfin l’avis de l’A.R.C.E.P. (le gendarme des télécoms) rendu public le 5 mars 2015 et celui du Conseil d’Etat lors de sa séance du 12 mars 2015 (nous n’avons oublié personne ?).

Dès le 9 avril, le Bâtonnier du barreau de Paris a publiquement dénoncé le caractère liberticide de ce projet :

« Nous ne sommes qu’au milieu du chemin. En l’état, ce texte reste inacceptable et doit être remanié en profondeur. Les parlementaires et le gouvernement ne peuvent faire la sourde oreille face à une contestation de plus en plus massive« .

L’évolution du projet en commission à l’Assemblée est bien résumée dans un article du Monde daté du 14 avril 2015 (et encore mieux sur le site Next Inpact).

Venons-en au texte du projet.

ledieu avocat contrat conseil droit nouvelles technologie logiciel SaaS données personnelles renseignement

Les illustrations photographiques proviennent de sites Web sur les dispositifs d’écoute « avant les radars » de la seconde guerre Mondiale, notamment aux Pays-Bas (voir note en fin d’article)

L’exposé des motifs

L’exposé des motifs du projet du 19 mars 2015 rappelle qu’il est « paradoxal que les activités de renseignement, bien qu’essentielles à la souveraineté nationale comme à la protection de nos concitoyens, soient encore dépourvues d’un cadre juridique général et cohérent » : « le dispositif législatif [actuellement en vigueur] demeure lacunaire ».

Cet exposé des motifs rappelle que « la France est manifestement en retard par rapport aux autres grandes démocraties » : « La France demeure en effet la seule démocratie occidentale à ne pas bénéficier d’un cadre juridique, laissant de ce fait nos services [de renseignement] dans la plus parfaite indigence juridique, exposant les fonctionnaires qui œuvrent en ce domaine et créant les conditions de possibles atteintes aux libertés fondamentales pour les citoyens ».

Faisons profil bas et poursuivons…

Les objectifs de la future loi sont clairs : « rompant avec l’approche fragmentée qui a prévalu depuis un quart de siècle [pourquoi se priver du plaisir de critiquer ses prédécesseurs ?], le présent projet… vise, pour la première fois en France, à offrir un cadre légal général aux activités des services de renseignement, alliant détermination des principes, définition des techniques et renforcement du contrôle ».

Effectivement, les citoyens que nous sommes ne peuvent que se féliciter d’une démarche de transparence dans un univers par nature opaque. Il est inéluctable que nous soyons espionnés par les nôtres. Autant savoir pourquoi et comment, surtout avant de hurler contre une loi par nature liberticide.

Vous trouverez certainement difficile la lecture du projet dans sa rédaction actuelle, accessible sur www.légifrance.fr comme sur le site de l’Assemblée nationale. C’est en partie la raison de ces quelques lignes.

Est impacté principalement le Code de la sécurité intérieure (ou « CSI ») par la création de 42 nouveaux articles et la reprise (avec ou sans modifications) de 14 articles existants.

D’autres codes et lois vont également évoluer : le Code de la défense, le Code pénal, le Code de procédure pénale, le Code monétaire et financier et le Code de justice administrative, enfin la loi « Informatique et libertés » et la loi « pénitentiaire » du 24 novembre 2009. Nous ne les évoquerons pas ici.

En synthèse ? Voilà ce qui se prépare en France en matière d’espionnage, sans autorisation préalable ni contrôle du Ministère public ou d’un juge d’instruction.

ledieu avocat contrat conseil droit nouvelles technologie logiciel SaaS données personnelles renseignement

1 – Le rappel du principe du respect de la vie privée des citoyens

Lorsque la loi est claire, inutile de la paraphraser, contentons-nous de la citer :

Le respect de la vie privée, notamment le secret des correspondances et l’inviolabilité du domicile, est garanti par la loi. L’autorité publique ne peut y porter atteinte que dans les seuls cas de nécessité d’intérêt public prévus par la loi, dans les limites fixées par celle-ci et dans le respect du principe de proportionnalité (futur article L.811-1 CSI).

Non, ce rappel n’est pas inutile dans un état de droit : le respect de la vie privée des citoyens est le principe, sa surveillance une exception. Mais il est bien connu que le diable se cache dans les détails…

Il faut se réjouir que – pour une fois – notre législateur se réfère au principe pragmatique de « proportionnalité » prévu en cas d’atteinte au respect de la vie privée. Certes, le contrôle juridictionnel sera léger vu la matière et les avis de l’autorité de contrôle (la « Commission Nationale de Contrôle des Techniques de Renseignement » ou « CNCTR ») ne seront pas publics. Mais ce qui va sans dire, va mieux en le disant.

À ce titre, nous devons espérer que nous autres, Avocats, qui sommes en principe protégés par le secret professionnel qui garantit la discrétion des informations que nous livrent nos clients, pourrons bénéficier de la protection (toute relative) que ce principe de proportionnalité devrait apporter aux écoutes visant les robes noires. Les journalistes soucieux de protéger leurs sources s’interrogent déjà de manière similaire…

ledieu avocat contrat conseil droit nouvelles technologie logiciel SaaS données personnelles renseignement


La mission des services de renseignement

Les services spécialisés de renseignement … ont pour mission, en France et à l’étranger, la recherche, la collecte, l’exploitation et la mise à disposition du Gouvernement des renseignements relatifs aux enjeux géopolitiques et stratégiques ainsi qu’aux menaces et aux risques susceptibles d’affecter la vie de la Nation (futur article L.811-2 CSI)

La rédaction actuelle renvoie à un article d’une ordonnance de 1958, dont la rédaction est en fait issue de la loi de programmation militaire (ou « LPM ») du 18 décembre 2013 que nous évoquions dans une précédente chronique. Le décret n° 2014-1576 du 24 décembre 2014 relatif à l’accès administratif aux données de connexion sera donc probablement abrogé, la plupart de ses dispositions étant reprises (voire améliorées – comprendre étendues) dans le projet actuel au profit de la totalité des services spécialisés de renseignement.

Notez que les missions sont envisagées aussi bien sur le territoire national qu’à l’étranger. Difficile de faire plus large. D’ailleurs, une procédure spécifique visera les « mesures de surveillance internationale » (futur article L.854-1 CSI). Nous y reviendrons.

La suite du futur article L.811-2 du Code de la sécurité intérieure mérite d’être citée :

[Les services spécialisés de renseignement] contribuent à la connaissance et à l’anticipation de ces enjeux ainsi qu’à la prévention et à l’entrave de ces risques et menaces.

« Renseigner » nous dit le Larousse en ligne, c’est « donner à quelqu’un des indications, des éclaircissements, des informations, lui fournir la réponse qu’il attend ».

Savoir, être renseigné, c’est permettre d’anticiper, de prévenir des « risques et menaces ».

Mais une fois informées, que peuvent faire les autorités ? Une démocratie ne peut écrire ouvertement qu’elle peut alors confier à ses agents une mission d’éliminer la menace détectée. Alors, par pudeur, nos services spécialisés de renseignement auront pour mission « d’entraver » la menace détectée.

Reprenons notre Larousse : « entraver », c’est « empêcher quelqu’un d’agir, une action de se réaliser, ou constituer un obstacle ».

Ne faisons pas d’angélisme, cette loi permet la collecte du renseignement, elle n’est pas un guide des actions que l’État pourrait mettre en œuvre pour faire cesser une menace.

« Entraver », ce peut être brouiller les communications des téléphones portables. « Entraver », ce peut être aussi la pose d’une mine sur la coque du navire d’une ONG dont la mission gène la sécurité nationale (pour qui se souvient de l’affaire du « Raibow Warrior » dans les années quatre-vingt). « La raison se compose de vérités qu’il faut dire et de vérités qu’il faut taire » écrivait Rivarol.

Voila pointée ici la limite de l’exercice démocratique que représente une loi sur le renseignement. L’État se donne les moyens d’être informé… mais pour quoi faire ? C’est le problème de fond de ce projet

Logiquement, toute « détection » d’une menace ou d’un risque devrait faire l’objet d’une information aux forces de police ou de gendarmerie, ou de la saisine du Parquet pour des poursuites en bonne et due forme. Mais comment saisir le Parquet lorsque qu’aucune infraction pénale n’a encore été commise ? Restent l’incrimination pénale de tentative et la notion de flagrance qui permettent aux forces de l’ordre d’intervenir lorsque le délit (ou le crime) est sur le point (voire en cours) d’être commis. Mieux renseignées, nos forces de l’ordre pourront alors passer à l’action et prévenir la commission des crimes et délits les plus graves ? C’est en tout cas le but de ce texte.

Heureusement, certains garde-fous sont prévus dans le projet de loi, au premier rang duquel une liste limitative des « missions de renseignement ».

ledieu avocat contrat conseil droit nouvelles technologie logiciel SaaS données personnelles renseignement


Une liste limitative des missions de renseignement

Là est le point déterminant de ce projet. Vous serez heureux (?) d’apprendre que nous ne pourrons être espionnés que pour une série de motifs limitativement définis « relatifs aux intérêts publics suivants » (futur article L.811-3 CSI) :

1° La sécurité nationale ;

2° Les intérêts essentiels de la politique étrangère et l’exécution des engagements européens et internationaux de la France ;

3° Les intérêts économiques et scientifiques essentiels de la France ;

4° La prévention du terrorisme ;

5° La prévention de la reconstitution ou du maintien de groupement dissous en application de l’article L.212-1 ;

6° La prévention de la criminalité et de la délinquance organisées ;

7° La prévention des violences collectives de nature à porter gravement atteinte à la paix publique.

Étudions ces motifs les uns après les autres.

3.1 – La sécurité nationale

La première mission concernée ne pose pas de problème particulier : c’est la raison d’être de cette législation. Tous les états, même démocratiques, le font sur leur territoire respectif. Parfois avec une ampleur et un zèle véritablement effrayants (comment ne pas penser aux révélations d’Edward Snowden sur les pratiques de la N.S.A.).

3.2 – Les intérêts essentiels de la politique étrangère

La seconde mission a le mérite d’être assez large pour viser la surveillance des Français (et des étrangers) qui s’opposeraient à notre politique étrangère. Rappelons qu’au titre des « engagements… internationaux de la France » figure par exemple l’adhésion de la France à la Cour pénale internationale ou au traité militaire de l’O.T.A.N.. Il faut se féliciter que ce projet de loi marque l’enracinement de la France dans l’Europe, dont pour la première fois depuis 1945 (si l’on excepte le conflit dans l’ex-Yougoslavie dans les années 1990), les frontières sont ouvertement menacées par une force militaire. Demandez aux pays baltes et à la Pologne (et à l’Ukraine) ce qu’ils pensent de l’intense et très violente propagande du régime de Vladimir Poutine à l’encontre des démocraties occidentales, porteuses de tous les maux, de tous les vices et de toutes les faiblesses.

Oui, les services spécialisés de renseignements servent aussi à cela, en plus du travail de renseignement purement militaire, assuré principalement par la Direction Générale pour la Sécurité Extérieure et la Direction du Renseignement Militaire.

À noter que cette mission ne figurait pas dans le décret du 24 décembre 2014. Il s’agit donc d’un élargissement des missions des services spécialisés de renseignement qui nous paraît légitime.

3.3 – Les intérêts économiques et scientifiques essentiels

La notion d’« intérêts économiques et scientifiques essentiels » se rapproche de celle de « sauvegarde des éléments essentiels du potentiel scientifique et économique » qui figurait dans le décret du 24 décembre 2014. Les mots « sauvegarde » et « potentiel » ont disparu. Dans l’esprit, la loi ira donc plus loin que le décret appelé à disparaître. C’est bien la guerre économique et l’espionnage industriel qui sont ici encadrés. Quant à déterminer lesquels de nos intérêts sont « essentiels »…

3.4 – La prévention du terrorisme

La « prévention du terrorisme », objectif aujourd’hui majeur de l’ensemble des démocraties occidentales, ne pouvait être oubliée. Rappelons ici que ce projet de loi vise le renseignement (la prévention par l’information) et se complète avec une législation pénale qui se durcit sans cesse depuis quelques mois (blocage administratif des sites Web faisant l’apologie du terrorisme, nouveau délit d’entreprise terroriste individuelle, interdiction de sortie du territoire national pour certains nationaux, etc.).

Le présent texte prévoit d’ailleurs toute une série de dispositions et de procédures dérogatoires en vue de lutter spécifiquement contre le terrorisme. Nous y reviendrons.

3.5 – La prévention de la reconstitution ou du maintien de groupement dissous

La référence aux « groupements dissous » se comprend à la lecture de l’article L.212-1 Code de la sécurité intérieure en vigueur :

Sont dissous… toutes les associations ou groupements de fait :

1° Qui provoquent à des manifestations armées dans la rue ;

2° Ou qui présentent, par leur forme et leur organisation militaires, le caractère de groupes de combat ou de milices privées ;

3° Ou qui ont pour but de porter atteinte à l’intégrité du territoire national ou d’attenter par la force à la forme républicaine du Gouvernement ;

4° Ou dont l’activité tend à faire échec aux mesures concernant le rétablissement de la légalité républicaine ;

5° Ou qui ont pour but soit de rassembler des individus ayant fait l’objet de condamnation du chef de collaboration avec l’ennemi, soit d’exalter cette collaboration ;

6° Ou qui, soit provoquent à la discrimination, à la haine ou à la violence envers une personne ou un groupe de personnes à raison de leur origine ou de leur appartenance ou de leur non-appartenance à une ethnie, une nation, une race ou une religion déterminée, soit propagent des idées ou théories tendant à justifier ou encourager cette discrimination, cette haine ou cette violence ;

7° Ou qui se livrent, sur le territoire français ou à partir de ce territoire, à des agissements en vue de provoquer des actes de terrorisme en France ou à l’étranger…

L’Histoire explique l’origine de ce texte qui vise les milices armées qui menacent la République (comme les Croix de Feu en 1934 ou le F.L.N.C. dans l’Île de beauté à une époque plus récente).

3.6 – La prévention de la criminalité organisée

L’encadrement de la « prévention de la criminalité et de la délinquance organisées » n’appelle pas de commentaire particulier. La sécurité des personnes et des biens que l’État doit assurer passe aussi par la surveillance de ceux qui troublent l’ordre public pour des raisons purement pécuniaires, en usant de violence.

Avec ce texte, le grand banditisme et les trafiquants de drogues en tous genres seront-ils plus ou mieux surveillés qu’avant ? Est-ce bien le but de cette loi que de surveiller les braqueurs et les dealers ?

3.7 – La prévention des violences collectives

La « prévention des violences collectives de nature à porter gravement atteinte à la paix publique », dernier volet de la mission des services spécialisés de surveillance est plus problématique. Un exemple d’actualité vous permettra de mettre le doigt sur l’ambiguïté de la notion : faut-il surveiller de manière préventive les opposants au barrage de Sirvens ou au projet d’aéroport de Nantes ? En cas d’atteinte « grave » à la paix publique, la réponse sera dorénavant positive.

À noter que cette mission est également une nouveauté qui ne figurait pas dans le décret du 24 décembre 2014. Et ce second élargissement des missions des services spécialisés de renseignement nous paraît plus difficile à accepter dans son principe que la surveillance des « intérêts essentiels de la politique étrangère ».

Il sera dorénavant légalement possible de surveiller les émeutiers de tout poil (on se souviendra par exemple des violences commises à Villiers-Le-Bel en 2007). Sont ici également visés les incendiaires réguliers de voitures des fêtes de fin d’années dans les banlieues. Notamment…

ledieu avocat contrat conseil droit nouvelles technologie logiciel SaaS données personnelles renseignement


Qui décide de surveiller ? Le Premier ministre !

[Les services spécialisés de renseignement] agissent dans le respect…des instructions du Gouvernement et des orientations déterminées en conseil national du renseignement (futur article L.811-2 alinéa 2 CSI)

La mise en œuvre… des techniques de recueil du renseignement… est soumise à autorisation préalable du Premier ministre.

Les autorisations sont délivrées, après avis de la Commission nationale de contrôle des techniques de renseignement, par le Premier ministre… (futur article L.811-3 CSI)

Il est rare de constater que deux alinéas d’un même article rappellent ainsi que l’autorisation d’utilisation des moyens de surveillance est donnée par le Premier ministre (comme si le fait de le répéter pouvait rendre plus transparent un système qui par nature ne l’est pas).

4.1 – La procédure ordinaire (contrôle a priori)

Les services spécialisés de renseignement devront faire une demande préalable, écrite, détaillée et « motivée » d’utilisation d’un moyen de surveillance (futur article L.821-2 alinéa 2 CSI) à la CNCTR.

La CNCTR rendra son avis qu’elle transmettra au Premier ministre, qui à son tours rendra un avis d’autorisation « écrit et motivé » pour une première durée de quatre mois.

La CNCTR (dont la composition et les missions font l’objet d’une longue description dans les futurs articles L.831-1 à L.833-6 CSI) procède donc à un contrôle a priori de toute demande d’utilisation de « techniques de renseignement ». C’est une véritable garantie démocratique, affirmons-le !

4.2 – La procédure d’urgence absolue (contrôle a posteriori)

En cas d’urgence absolue et par dérogation…, le Premier ministre peut autoriser le service à mettre en œuvre la technique concernée sans avis préalable [de la CNCTR] (futur article L.821-5 CSI).

C’est affaire de pragmatisme. Un garde-fou existe, puisque l’autorisation du Premier ministre accordé sans avis préalable de la CNCTR devra faire l’objet d’une information « immédiatement et par tout moyen » de la CNCTR.

Une procédure destinée à contrebalancer les risques d’utilisation abusive de la procédure « d’urgence absolue » est prévue dans le futur article L.821-6 CSI :

Lorsque le Premier ministre ne donne pas suite [aux] recommandations [de la CNCTR] ou lorsque [la CNCTR] estime que les suites qui y sont données sont insuffisantes, la [CNCTR] peut, à la majorité absolue de ses membres, décider de saisir le Conseil d’État.

Voilà les limites du contrôle a posteriori : un vote à la majorité absolue des membres de la CNCTR… Ce point ne manquera pas d’être soulevé lors des débats parlementaires.

La procédure de vérification des moyens mis en œuvre lors de la collecte des renseignements est identique.

Il est intéressant de noter que la loi n’envisage pas de sanction pénale contre les agents des services spécialisés de renseignement qui outrepasseraient les autorisations accordées. C’est un principe de droit administratif en France : les agents de l’État ne sont pas personnellement responsables en cas de « faute non détachable du service ». Serait ici réputée une « faute détachable du service » toute utilisation à titre personnel et/ou sans autorisation préalable, d’une « technique de renseignement ».

4.3 – La procédure d’urgence liée à une menace imminente

Le futur article L.851-6 CSI prévoit une procédure dérogatoire à l’autorisation préalable du Premier ministre :

En cas d’urgence liée à une menace imminente ou à un risque très élevé de ne pouvoir effectuer l’opération ultérieurement… [pour] l’utilisation d’un dispositif technique permettant la localisation en temps réel d’une personne, d’un véhicule ou d’un objet.

Cette exception n’est pas un blanc-seing donné aux services spécialisés de renseignement pour agir sans autorisation de qui que ce soit, dans la mesure où :

Cette mesure fait l’objet d’une autorisation [du Premier ministre] dans les 48 heures après avis [de la CNCTR].

Vous avez été patients de lire tout ce charabia, bien compliqué, et vous vous demandez quand seront évoqués le type de données « recueillies » et les « techniques pour le recueil des renseignements » (futur article L.811-3 CSI). Et bien c’est maintenant.

ledieu avocat contrat conseil droit nouvelles technologie logiciel SaaS données personnelles renseignement


Les renseignements recueillis

5.1 – TOUTES les informations et TOUS les documents

Nous pourrions citer dans son intégralité le futur l’article L.851-1 du Code de la sécurité intérieure. Mais, du fait du caractère extrêmement général de sa rédaction, retenez que peuvent être recueillis « des informations ou documents traités ou conservés par [les] réseaux ou services de communications électroniques ».

Donc, TOUTES les informations qui transitent ou qui sont enregistrées sur un réseau de communication : communications vocales ou audiovisuelles, SMS, e-mails (évidemment), messageries instantanées (messages texte ou voix), documents et photos sauvegardés en ligne, etc.

Il s’agit d’une rédaction extrêmement large et voulue comme telle, puisqu’on retrouve cette notion « d’informations et documents » dans les articles L.851-2, L.851-3 et L.851-5 du futur Code de la sécurité intérieure.

Les services spécialisés de renseignement peuvent donc TOUT écouter, visionner, lire, enregistrer… « y compris les données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communications électroniques, au recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée, à la localisation des équipements terminaux utilisés ainsi qu’aux communications d’un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications » (futur l’article L.851-1 CSI).

La LPM et le décret du 24 décembre 2014, qui resteront en vigueur jusqu’à l’adoption du présent projet de loi, évoquaient une autorisation de surveillance « à titre exceptionnel ». Ce caractère « exceptionnel » a purement et simplement disparu du projet de loi. C’est assez clair pour vous ?

D’ailleurs, la LPM et le décret de 2014 définissaient de manière (volontairement ?) compliquée les « informations et documents » susceptibles d’être recueillis, en renvoyant à la lecture des « articles R. 10-13 et R. 10-14 du code des postes et des communications électroniques et à l’article 1er du décret n° 2011-219 du 25 février 2011 modifié ».

Avant, c’était bien compliqué. Maintenant, le recueil concerne les « informations et documents ». Sans autre précision. Donc, TOUTES les « informations » et TOUS les « documents ». C’est tellement plus simple écrit comme cela ! On comprend mieux pourquoi le gouvernement a mis plus d’un an à écrire le décret du 24 décembre 2014 (4), et surtout pourquoi le présent projet de loi a pu être préparé en une poignée de semaines.

5.2 – Les interceptions de correspondances

Pour résumer ce qui se pratique aujourd’hui, l’ensemble des données de connexion et de localisation peuvent faire l’objet d’une surveillance. Les données de connexion, c’est important. Mais le contenu des messages, c’est quand même plus intéressant…

C’est pourquoi, en plus des « informations et document » , le projet de loi traite spécifiquement du contenu des « correspondances émises par la voie des communications électroniques » (futur article L.852-1 CSI). Et si ce projet d’article prévoit que « peuvent être autorisées… les interceptions de correspondances », il faut comprendre (sans doute possible) que les services spécialisés de renseignement pourront avoir accès au contenu de ces correspondances. Aux conversations écrites ou verbales, instantanées ou non, dont vous gardez copie ou non… C’est ici le fondement de la dérogation au secret des correspondances rappelé au début de la loi.

Ce « droit à l’écoute » généralisé est une des grandes nouveautés du projet au regard de la législation précédente.

L’autorisation d’interception vaut « autorisation de recueil des informations ou documents ».

La future loi prévoit d’ailleurs dans le même article la « transcription » de ces correspondances, c’est-à-dire la prise de notes écrites (en vue de la rédaction de synthèses et d’extraits verbatim).

Et la loi ratisse large. En principe, la mesure de surveillance autorisée de manière préalable doit viser une personne identifiée. Mais (c’est fou ce que les gens mal intentionnés peuvent être méfiants – et inventifs) si cette personne opère avec des complices ? Faut-il prévoir une procédure spécifique permettant d’étendre l’autorisation préalable de surveillance à l’ensemble des suspects qui gravitent autour de la personne surveillée ? Même pas !

Lorsqu’une ou plusieurs personnes appartenant à l’entourage de la personne [surveillée] sont susceptibles de jouer un rôle d’intermédiaire, volontaire ou non, pour le compte de celle-ci ou de fournir des informations au titre de la finalité faisant l’objet de l’autorisation, celle-ci peut être accordée également pour ces personnes (futur article L.852-1 CSI).

On ne peut pas prévoir plus large (et plus souple) que la notion « d’entourage », bien plus large que celle, par exemple, du « cercle de famille » du Code de la propriété intellectuelle… Il suffit « d’être susceptible de jouer un rôle d’intermédiaire » Même sans le savoir, puisqu’on peut être surveillé lorsque l’on joue « volontairement ou non » ce rôle d’intermédiaire…

Tout est donc prévu dans la future loi pour que vous puissiez être surveillé si une de vos relations se sert de vous (à l’insu de votre plein gré ?) pour comploter contre les intérêts nationaux.

Heureusement, notre législateur pense à tout (comment en douter ?) et la loi prévoit certaines limites (futur article L.852-1 CSI) :

Le nombre maximum des autorisations d’interceptions en vigueur simultanément est arrêté par le Premier ministre… La décision fixant ce contingent et sa répartition entre les ministères… ainsi que le nombre d’autorisations d’interception délivrées sont portées à la connaissance de la CNCRT.

Nous voilà rassurés ! Il est alors temps de trembler à la lecture de ce qui suit.

ledieu avocat contrat conseil droit nouvelles technologie logiciel SaaS données personnelles renseignement


Les procédés de captation

6.1 – Des procédés pour tout type de données

Posons ici encore rapidement le principe, tant il est simple : peuvent être autorisés TOUS les procédés de « captation », de « fixation », de « transmission » et « d’enregistrement » « de paroles prononcées à titre privé ou confidentiel, ou d’images dans un lieu privé » ou « de données informatiques transitant par un système automatisé de données ou contenues » dans un tel système.

Surtout « lorsque les renseignements… ne peuvent être recueillis par un autre moyen légalement autorisé » (futur article L.853-1 CSI).

En synthèse ? TOUS les procédés pourront être autorisés. Et PARTOUT. TOUTES vos conversations et TOUTES vos données électroniques, qu’elles soient dans un de vos disques durs ou transmises par un procédé électronique quelconque. Difficile de faire plus large ici encore.

Sous réserve d’y être autorisés, les services spécialisés de renseignement pourront même introduire « dans un véhicule ou dans un lieu privé » des dispositifs d’écoute et d’enregistrement (1° du futur article L.853-2 CSI) ou s’introduire « directement ou par l’intermédiaire d’un réseau de communications électroniques » dans tout « système de traitement automatisé de données » (2° du futur article L.853-2 CSI).

Cette notion de « système de traitement automatisée de données » n’est pas une nouveauté, elle est apparue dans notre législation pénale en 1988 pour incriminer les attaques informatiques (5). On ne sera donc pas étonné que notre législateur réutilise une notion juridique susceptible de fonder – par la suite – des poursuites judiciaires, puisque tel n’est pas le but de la présente loi.

Nous comprenons mal l’intérêt de préciser « lorsque les renseignements… ne peuvent être recueillis par un autre moyen légalement autorisé », puisque, en principe, ces autorisations ne peuvent être obtenues qu’en justifiant au préalable de « la nécessité de recourir à cette modalité » après avoir identifié le « lieu », « l’usage » et, « lorsqu’ils sont connus, [le] propriétaire ou toute personne bénéficiant d’un droit [NDLR : ???], ainsi que la nature du dispositif envisagé ».

Faut-il comprendre que ces dispositifs ne pourront pas être permanents ? Il est en fait à craindre que l’installation de ces dispositifs (surtout pour les matériels de surveillance lourds à mettre en œuvre et chers) puisse être permanente, mais que seule leur utilisation soit « ponctuellement » autorisée ?

Que de précisions en apparence nécessaires pour justifier des intrusions de nos services spécialisés de renseignement… Comme disait Monsieur de Talleyrand-Périgord à une candidate au service de la maison Impériale : « Voila, Madame, une robe bien courte pour un serment de fidélité ».

6.2 – Les dispositifs techniques de localisation en temps réel

N’oublions pas de préciser que le projet de loi prévoit également « l’utilisation d’un dispositif technique permettant la localisation en temps réel d’une personne, d’un véhicule ou d’un objet » (futur article L.851-6 CSI).

Le projet ne précise pas sur ce point précis que ces « dispositifs techniques » ne peuvent être autorisés « lorsque les renseignements… ne peuvent être recueillis par un autre moyen légalement autorisé ».

Les vendeurs de mouchards en tout genre vont (enfin) pouvoir faire preuve de créativité technique… Si vous saviez déjà ce que nos clients n’hésitent pas à faire pour leur divorce (jetons un voile pudique sur les errements de la nature humaine que le secret professionnel nous interdit de répéter), vous seriez (vraiment) surpris.

ledieu avocat contrat conseil droit nouvelles technologie logiciel SaaS données personnelles renseignement

6.3 – Les recueils d’informations sur sollicitation du réseau

Une procédure spécifique de recueil des « informations et documents » est prévue « sur sollicitation du réseau » (???) qui peuvent alors être transmis « en temps réel par les opérateurs » aux services spécialisés de renseignement (futur article L.851-5 CSI).

Sur ce point, il est à espérer que le texte final sera mieux rédigé que celui du projet de loi. Le texte actuel traite « du réseau ». Parions que le terme sera remplacé par la notion de « réseaux ou services de communications électroniques » comme dans le projet actuel d’article L.851-1 CSI (ce qui aurait la logique du parallélisme des formes).

Mais ce qui intrigue le plus dans la rédaction actuelle de ce projet, c’est la notion d’informations recueillies « sur sollicitation du réseau ».

Que faut-il comprendre ? Les opérateurs de réseaux de communications électroniques vont supporter un devoir d’espionnage, spontané et à titre préventif, sur les communications qui transitent dans leur système d’informations ? Et qu’en conséquence de cette détection spontanée, les opérateurs devront transmettre « en temps réel » aux services spécialisés de renseignement les « informations et documents » présumés suspects (ou intéressants, selon le point de vue que l’on adopte) ?

Soit ce projet de loi contient une erreur de rédaction (et il faut espérer une correction par les parlementaires lors de l’examen du texte en séance publique), soit il faut comprendre que pour la première fois en France, une obligation de surveillance est imposée aux opérateurs (privés) de services de communications électroniques.

Hélas, il est probable qu’il ne s’agisse pas ici d’une erreur de rédaction. Ce qui pose alors clairement le problème de savoir ce que les opérateurs peuvent mettre en place spontanément afin de détecter les « informations et documents » suspects.

Mais est-ce bien aux opérateurs privés de définir seuls ce qu’ils doivent surveiller spontanément ? Une démocratie peut-elle accepter ce principe de délégation de surveillance a priori ? Nous devons répondre, sans aucun doute, par la négative.

Que les services de renseignements imposent un système de mots-clés à surveiller par les opérateurs, pourquoi pas. Mais seulement si la surveillance est imposée, selon un mécanisme contrôlé par exemple par la CNCTR. Mais en l’état de la rédaction du projet de loi, ce n’est pas le cas.

6.4 – Les dispositifs techniques de proximité

Enfin (car ce n’est pas fini), citons le futur article L.851-7 CSI qui permet de recueillir « au moyen d’un dispositif technique de proximité » :

1° Les données techniques de connexion strictement nécessaires à l’identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur ;

2° Les données techniques relatives à la localisation des équipements terminaux utilisés.

ledieu avocat contrat conseil droit nouvelles technologie logiciel SaaS données personnelles renseignement

exemple de « valise » IMSI Catcher. L’International Mobile Subscriber Identity (IMSI) est un numéro unique, qui permet à un réseau mobile GSM, UMTS ou LTE d’identifier un usager. Ce numéro est stocké dans la carte SIM (USIM en UMTS et LTE) et n’est pas connu de l’utilisateur (http://fr.wikipedia.org/wiki/International_Mobile_Subscriber_Identity)

Voulez-vous une traduction en anglais de ce que peut-être un « dispositif technique de proximité » ? Cela se dit « IMSI catcher » et ça tient dans une (petite) valise. Rien de très secret, la presse vous dira tout. En résumé, une fois activée, la valise est automatiquement identifiée comme une antenne relais par les téléphones portables, qui s’y connectent donc sans problème. Sans que vous le sachiez, bien entendu. Apparemment, c’est extrêmement efficace (et pas très cher à l’achat).

Car il n’est pas une information qui puisse échapper à un « IMSI catcher ». Dans le périmètre de détection de la valise, toutes les communications instantanées deviendront lisibles, sans restriction aucune, même lorsqu’elles sont cryptées (6). Petit rappel technique : le transport de la voix par un réseau télécoms de type « GSM » (3G ou 4G) est compressé, mais cette compression de données n’est pas sécurisée (8). Pour écouter une conversation, il suffit de décompresser le flux de données (aujourd’hui numérisé directement par votre smartphone).

L’utilisation d’un VPN (7) est une alternative qui vous protégera (plus ou moins) de la collecte massive de vos données de comportement de navigation par les Google et autres Amazon, mais pas des gouvernements qui cherchent à tout savoir de vous et, pour cela, collaborent entre eux en matière de cryptologie. Il faut savoir, par exemple, que les États membres de l’O.T.A.N. se transmettent systématiquement les clés privées des opérateurs de cryptologie agréés pour commercialiser leur solution (logicielle) de cryptologie sur leur territoire. Il est toujours plus facile d’ouvrir une porte lorsque vous possédez les clés de la serrure (cela ne laisse pas de trace et vous évite des frais de serrurier).

De ce fait, une solution logicielle de cryptage asymétrique de type « SSL », même associée à une connexion en VPN ne fera que ralentir le processus d’accès à l’information recherchée. Les clés 256 bits (classiques) se cassent désormais en quelques heures (c’est juste affaire de puissance de calcul informatique). Pour se prémunir de tout décryptage trop facile, il faudrait utiliser un cryptage « à clés flottantes » (qui associe par exemple un mot de passe à une configuration spécifique de disque dur – ou à une altitude – ou à une température…) pour envisager déjouer les grandes oreilles.

Oui… mais non ! Car l’usage d’une clé flottante fera (à n’en pas douter) l’objet d’une détection toute particulière de la part des services spécialisés de renseignement, et le contenu ainsi protégé sera alors traité avec un soin tout particulier, en vertu du principe selon lequel « plus l’information est cryptée, plus elle doit être importante ».

Mais attention, cette valise « IMSI catcher » ne devra être utilisée que pour des « données techniques de connexion ». Rien d’autre (c’est promis !). Les fameuses « méta-données »…

Sauf… en matière de prévention du terrorisme. C’est une des dérogations légales prévues dans la loi (futur article L.851-7 III CSI). Dans ce seul cas de figure, la valise pourra faire usage de son disque dur (apparemment d’origine) pour « intercepter directement des correspondances émises ou reçues par un équipement terminal ». C’est-à-dire les décrypter et les enregistrer en temps réel. Cela tombe bien, cette valise a été conçue pour cela.

La transition est parfaite pour évoquer les autres mesures légales dérogatoires, réservées à la seule « prévention du terrorisme ledieu avocat contrat conseil droit nouvelles technologie logiciel SaaS données personnelles renseignement


Les spécificités de la prévention du terrorisme

Puisqu’il s’agit d’une loi générale sur le renseignement, il fallait bien prévoir des procédures dérogatoires en matière de lutte contre le terrorisme. Voici ce qui est d’ores et déjà prévu dans le projet actuel.

« Pour les seuls besoins de la prévention du terrorisme » :

(i) « le recueil des informations et documents… relatifs à des personnes préalablement identifiées comme présentant une menace, peut être opéré en temps réel » sur les réseaux télécoms et les services de communication en ligne (futur article L.851-3 CSI);

(ii) le Premier ministre pourra « imposer » (sic) aux opérateurs de réseaux et de services en ligne la « mise en œuvre… d’un dispositif destiné à révéler, sur la seule base de traitements automatisés d’éléments anonymes, une menace terroriste » (futur article L.851-4 CSI).

Le point (i) ci-dessus ne nécessite pas de commentaire.

Le point (ii) en mérite plusieurs.

D’abord, la méthode : « imposer » aux professionnels un « dispositif ». Matériel ? Logiciel ? Probablement les deux mon général (pourquoi se priver ?). Et si le « procédé » en question ralentit le service des opérateurs télécoms ou celui des prestataires de services de communications électroniques ? S’il le perturbe ? Tant pis pour les clients…

De plus, qui va supporter le coût de l’installation de ces « boites noires » ? Les opérateurs vont supporter seuls le temps passé à brancher les « procédés » imposés par l’État dans leur système d’information ? L’opération ne sera pas simple. Ni facile. Mais onéreuse et compliquée, c’est certain ! Et la manière dont est prévue dans la loi le dédommagement des frais imposés aux opérateurs ne leur fera pas plaisir (voir ci-dessous « Qui paie ? »).

Pour pouvoir collecter les informations recherchées, l’État peut donc imposer à des opérateurs le branchement de routeurs intégrés dans l’infrastructure de leur système d’informations.

Mais l’État peut aussi choisir d’installer son « dispositif » directement sur un « point de collecte » (ou « Internet Exchange Points ») situé sur le territoire national. Vous serez édifiés d’apprendre que la France dispose de 13 « IEP » (dont 8 autour de Paris). Il est donc très simple en principe (techniquement, cela l’est un peu moins) de brancher un câble sur le « port mirroring » d’un routeur principal d’un IEP ce qui permet alors à un dispositif spécial grandes oreilles (en clair, un serveur avec un logiciel un peu spécial tout de même) de disposer en temps réel de l’ensemble des données transitant par l’IEP. Dans cette configuration informatique, l’État n’a donc plus besoin de traiter avec les opérateurs télécoms ou les FAI, puisque l’information à capter provient directement des tuyaux qui assurent le transit de tout l’Internet. TOUTES les informations… Cela fait beaucoup d’information à collecter et à stocker. Cela nécessite une énorme puissance de calcul et de stockage.

À titre d’exemple, la N.S.A. avec son programme PRISM aurait utilisé en 2013 jusqu’à 10.000 serveurs et une capacité de stockage de 1.000 Péta-octets (soit 250 milliards de DVD). Plus fort, la presse a révélé que la même N.S.A. avait branché (9) un dispositif de collecte du trafic Internet directement sur un câble sous-marin assurant le transit des données entre l’Europe et le continent nord-américain.

Trêve de digression et revenons à notre (modeste ?) futur Code de la sécurité intérieure.

Un « traitement automatisé d’éléments anonymes » ? Il s’agit certainement d’un traitement d’informations par recherche de mots-clés sensibles (au hasard, « fabrication » + « bombe » ?).

Une détection par mots-clés ? C’est un « filtre », un logiciel capable de lire en temps réel jusqu’à la « couche 7 » (voir note 10) des informations en transit sur Internet. La « couche 7 » définit le détail de la donnée transportée (format du fichier ET contenu de ce même fichier). Ainsi, l’accès à la « couche 7 » permet de déterminer qu’un fichier est, par exemple, de type Excel et donne accès aux données contenues dans le fichier Excel transporté. On appelle cette technique le « deep packet inspection« .

Aujourd’hui, les logiciels de type « hyperviseur » utilisés par les entreprises permettent d’analyser les flux de données entrants et sortants de leur système d’informations afin d’optimiser la performance de leur réseau. Avec un hyperviseur doté d’une fonctionnalité de type « filtre », il est possible de lire le contenu analysé sous sa forme littérale (en clair). Faut-il préciser que cette fonctionnalité est aujourd’hui réservée aux états ? (C’est encore la fameuse « boite noire »…).

En mots simples, la future loi pourrait imposer aux opérateurs d’activer un logiciel qui moulinera en permanence pour détecter les mots qui fâchent. Ce n’est qu’après la détection d’une « telle menace » que pourrait être autorisée « la levée de l’anonymat sur les données, informations et documents » (futur article L.851-4 al.2 CSI).

Il est probable que cette obligation aura pour conséquence pratique d’obliger les opérateurs à donner aux services spécialisés de renseignement un accès complet à l’ensemble des logiciels de supervision de leur système d’informations. Ce faisant, l’État disposera d’un véritable double des clés de l’infrastructure de chaque opérateur, ce qui lui permettra – en cas de besoin – d’en prendre le contrôle. Rien de moins !

Mais qui sont ces opérateurs ? Car, après tout, nos grandes oreilles n’ont pas besoin de concevoir des « dispositifs » ex-nihilo, puisque les informations transitent par des réseaux parfaitement connus et identifiés.

ledieu avocat contrat conseil droit nouvelles technologie logiciel SaaS données personnelles renseignement

M. Bernard Cazeneuve, Ministre de l’intérieur, présente aux parlementaires le futur dispositif « IMSI catcher » qu’utiliseront nos services spécialisés de renseignement. Quand tout va mal, reste l’humour ?


 

Auprès de qui peuvent être recueillis les informations et documents ?

Revenons au projet d’article L.851-1 du Code de la sécurité intérieure.

Vous craignez que ce soit compliqué ? Rassurez-vous, rien de tel.

8.1 – Les opérateurs télécoms et les opérateurs de communications électroniques

Les « informations et documents » peuvent être recueillis auprès « des opérateurs de communications électroniques et des personnes mentionnées à l’article L.34-1 du code des postes et des communications électroniques » qui prévoit que :

I – Le présent article s’applique… à la fourniture au public de services de communications électroniques… notamment aux réseaux qui prennent en charge les dispositifs de collecte de données et d’identification.

II -… Les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques en vertu du présent article…

Sont ici concernés TOUS les prestataires qui permettent de faire circuler la voix humaine ou des données, quelles qu’elles soient : les opérateurs Télécoms traditionnels (fixe ou mobile), les services d’applications comme Face Time, Viber, Skype, Snapchat, Twitter, etc.

Attention cependant de bien distinguer la « captation à distance » (interception de la communication émise par le téléphone) de la « prise en main à distance » d’un dispositif (prise de contrôle à distance du micro ou de la caméra d’un téléphone).

Prenons l’exemple d’un échange Face Time audio (ou vidéo). Apple ne stocke pas la voix, mais la transmet de manière quasi instantanée. Pour avoir accès au flux de données audio (ou vidéo), il est donc nécessaire de disposer d’un micro à proximité de la conversation émise (indépendant du micro de l’ordinateur ou du smartphone) pour l’écouter ou l’enregistrer. Autre solution : intercepter le flux lors de son transitant depuis le téléphone (ou l’ordinateur ou la tablette) vers le réseau Wi-Fi ou celui de l’opérateur Télécoms.

Tout cela marche de la même manière pour les messageries dites « instantanées ». Sauf que ces dernières enregistrent les échanges écrits, comme le font les opérateurs télécoms pour les SMS.

Reprenons l’exemple d’Apple : les « iMessages » ne sont pas stockés par Apple. Mais les utilisateurs d’Apple peuvent choisir de stocker leurs iMessages via le service iCloud, ce qui leur permet de suivre une même conversation écrite à partir de leur téléphone ET de leur ordinateur ET de leur tablette. Alors, quoi de plus simple pour les grandes oreilles que d’aller chercher la conversation, puisque la loi permet d’accéder aux « informations et documents » stockés ? Et s’il est difficile pour les services spécialisés de renseignement français d’aller fouiller dans les serveurs d’Apple, il sera en revanche franchement facile d’aller intercepter le flux d’information lors de son transfert depuis le territoire national vers ces mêmes serveurs.

La généralisation des enregistrements de données en « cloud computing » est donc une aubaine pour les services spécialisés de renseignement.

8.2 – Les professionnels visés par la loi pour la confiance dans l’économie numérique

Les « informations et documents » peuvent aussi être recueillis auprès « des personnes mentionnées aux 1 et 2 du I de l’article 6 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique » :

I – 1. Les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne informent leurs abonnés de l’existence de moyens techniques permettant de restreindre l’accès à certains services ou de les sélectionner et leur proposent au moins un de ces moyens…

2 – Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services…

Sont donc visés ici les fournisseurs d’accès à internet (F.A.I.), les hébergeurs (bien sûr), les prestataires de service accessibles par internet et de manière générale, les personnes physiques ou morales qui exploitent, même à titre gratuit, un site Web (un « service de communication au public en ligne »). Là encore, pas besoin de faire une longue liste. TOUS les opérateurs sont concernés.

En fait, faisons simple : pensez à un service, quel qu’il soit, qui vous permet de récupérer une image, un message, ou de communiquer à titre personnel ou professionnel de manière électronique. Et bien, TOUS ces services et TOUS les opérateurs de services sont concernés.

Vous pourriez penser que seuls les professionnels des télécoms et de l’internet sont impactés par cette rédaction ? Vous vous trompez. Tremblez vous aussi, chers DSI, qui fournissez un service de messagerie privée à l’ensemble des salariés de votre entreprise, ou même un accès internet via un Wi-Fi « invités ».

Tous ces opérateurs étaient déjà visés à l’identique dans la LPM et le décret du 24 décembre 2014. Nous ne vous apprenons donc rien (« nul n’est censé ignorer la loi »).

Les futurs modes ou système de communication (que nous ne connaissons pas encore) entreront parfaitement dans la définition légale. Plus besoin à l’avenir de faire évoluer ce texte, tant sa portée est générale. Nous ferons donc des économies avec le temps de nos parlementaires. C’est important pour une démocratie de ne pas abuser de la capacité de réflexions de ses élus…

Nous en avons presque terminé. Reste à voir comment toute cette belle mécanique va s’appliquer « à l’international ».

ledieu avocat contrat conseil droit nouvelles technologie logiciel SaaS données personnelles renseignement

9 – Le renseignement international

Souvenez-vous, « les services spécialisés de renseignement… ont pour mission, en France et à l’étranger… » (futur article L.811-2 CSI).

La « surveillance et le contrôle des transmissions qui sont émises ou reçues à l’étranger » font l’objet d’un article à part entière (futur L.854-1 CSI).

ET ?

… et cet article prévoit seulement qu’un décret devra définir « les conditions d’exploitation, de conservation et de destruction des renseignements collectés et précise la procédure de délivrance des autorisations d’exploitation des correspondances » et qu’un autre décret précisera pour sa part « les modalités de mise en œuvre de la surveillance prévue au présent article ».

Oui, nous aussi, nous sommes restés sur notre faim (ce laconisme n’augure rien de bon).

10 – Qui paie (encore une question d’argent…) ?

Les surcoûts identifiables et spécifiques éventuellement exposés par les opérateurs… pour répondre [aux] demandes [de l’État] font l’objet d’une compensation financière de la part de l’État.

Le futur article L.851-9 du Code de la sécurité intérieure n’est que la reprise verbatim de l’actuel article L.246-4 al.2 du même code. En ces temps de crise économique et de déficit budgétaire (nous présumons que vous êtes au courant), soyez assurés de l’intense lobbying des opérateurs télécoms, des F.A.I. et des hébergeurs qui a déjà dû commencer… Le gouvernement semble avoir mené une étude d’impact (en téléchargement depuis ce lien), sensée prendre en compte le coût des mesures à venir. Passons rapidement sur ce document dont le contenu pourrait faire sourire les moins bien informés (lire les premières critiques de la presse spécialisée), si ce n’est que la matière ne s’y prête guère.

En matière de renseignement (comme ailleurs), l’argent reste le nerf de la guerre (11) et conditionnera de manière très concrète la mise en œuvre effective de la future loi, qu’il s’agisse du coût des matériels de surveillance ou des personnels de l’État pour les opérer. Il va falloir recruter et surtout, former des personnels qualifiés. C’est d’ailleurs un des arguments du Président de la république pour justifier de son changement de politique en matière de réduction des personnels affectés au renseignement, intérieur ou militaire, dès le mois de janvier 2015.

« La confiance n’exclut pas le contrôle » disait le grand démocrate Vladimir Ilitch Oulianov (dit Lénine). Voyons donc ce que prévoit le projet de loi.

ledieu avocat contrat conseil droit nouvelles technologie logiciel SaaS données personnelles renseignement

La confiance n’exclut pas le contrôle… (la phrase est de Staline)

11 – Le contrôle des mesures de surveillance

11.1 – La finalité des mesures de surveillance

À quoi peuvent servir les données collectées ? (futur article L.822-3 CSI) :

Les données ne peuvent être collectées, transcrites ou extraites à d’autres fins que celles [figurant dans la liste des missions de renseignement de] l’article L.811-3.

Le principe – idyllique à souhait – rappelle celui de finalité des traitements de données personnelles figurant dans la loi Informatique et libertés. Ne pas l’écrire aurait été pour le moins suspect. L’écrire n’apporte pas grand-chose pour les citoyens que nous sommes, dans la mesure où les informations relatives au non-respect de ce principe seront rarement publiques… Faisons confiance à la CNCTR (avons-nous vraiment le choix ?) ?

11.2 – Durée de conservation

Les données collectées… sont détruites à l’issue d’une durée… de douze mois ou, pour les données de connexion, de cinq ans à compter de leur recueil (L.822-2 I du futur CSI).

Les transcriptions ou extractions doivent être détruites dès que leur conservation n’est plus indispensable à la réalisation de ces finalités (futur article L.822-3 al.2 CSI).

11.3 – L’exception de stricte nécessité

En cas de stricte nécessité, pour les seuls besoins de l’analyse technique, celles des données collectées qui contiennent des éléments de cyberattaque ou qui sont chiffrées, ainsi que les données déchiffrées associées à ces dernières, peuvent être conservées au-delà de la durée mentionnée à l’alinéa précédent, à l’exclusion de toute utilisation pour la surveillance des personnes concernées (L.822-2 I al.2 du futur CSI).

Cette exception envisage pour la première fois à ma connaissance la notion de « cyberattaque », à laquelle est associée la notion de « chiffrement », comme si seuls les espions, les militaires et les « hackers » procédaient au cryptage de leurs données (les internautes qui téléchargent sur les sites pirates seront heureux de se voir assimilés à eux).

11.4 – L’exception de correspondance enregistrée

Par exception, rappelle l’article L.822-2 II alinéa 1er du futur Code de la sécurité intérieure :

…les données collectées prenant la forme de correspondances enregistrées sont détruites au plus tard à l’expiration d’un délai d’un mois à compter de leur enregistrement [ou de leur déchiffrement] (article L.822-2 II alinéa 2 CSI).

Pour bien faire, et il faut s’en féliciter, la CNCTR doit pouvoir accéder aux « relevés de la destruction des données collectées, transcriptions ou extractions » précise le futur article L.822-4 CSI.

En guise de conclusion

… et si tant est que l’on puisse tirer une conclusion sur ce sujet, citons l’étude d’impact qui accompagne ce projet de loi :

La recherche du renseignement constitue un impératif majeur pour la sécurité de la France, de sa population et de son territoire.

Le mal est nécessaire, et – quitte à choisir – nous préférons cette démarche de mise à plat du cadre légal de pratiques par essences condamnables, qui, de toutes les façons, existeront d’une manière ou d’une autre. Clairement, nous préférons cette démarche à la politique de l’autruche (« il est plus facile de nier les choses que de se renseigner à leur sujet » disait le poète Mariano José de Larra) ou à la contestation teintée d’angélisme consistant à ne voir dans cette loi qu’une démarche exclusivement liberticide et condamnable par principe.

Si le Gouvernement s’en donne les moyens (humains – c’est apparemment en cours – et financiers…), reconnaissons que ce texte devrait remplir ses objectifs, dans un cadre légal suffisamment transparent, selon nous, pour être acceptable (supportable ?) par une société démocratique comme la France.

Comme le disait Woody Allen : « j’aurais voulu être espion, mais il fallait avaler des microfilms et mon médecin me l’a interdit »…

Oui, MAIS…

Est-ce véritablement ce qu’il faut pour la France ?

L’espionnage massif pratiqué aux Etats-Unis (et dans le monde entier) par la N.S.A. est la voie choisie par notre gouvernement. Est-ce la bonne ?

Faut-il que la France s’engage aujourd’hui dans un processus de surveillance de masse ? Pour surveiller 1.000 à 2.000 personnes prêtes à rejoindre la Syrie ou l’Irak en guerre, devons-nous, nous les 63 millions de citoyens français, accepter une collecte massive de nos données électroniques ?

Gardons notre sang-froid et recouvrons un peu de bon sens : si la N.S.A. avait engrangé des succès avec son programme PRISM de collecte massive de données personnelles, le gouvernement des Etats-Unis aurait été trop content de le faire savoir.

Mais qu’avons nous lu ou entendu à cet égard ? RIEN !

La surveillance de masse est simplement inefficace

Ne nous trompons pas d’objectif. Et soyons réaliste : un programme de surveillance massive est inefficace. Et probablement contre-productif. C’est le sens de la contestation publique du mouvement « ni pigeon, ni espion » lancé par les professionnels du secteur. Il y a effectivement une « énorme incohérence entre l’objectif et les méthodes utilisées » comme le dénonce aussi M. Octave Klaba (fondateur d’OVH) dans « les Echos » daté du 13 avril 2015.

Malgré les déclarations de M. Bernard Cazeneuve, Ministre de l’intérieur le 11 avril 2015 dans un entretien au quotidien Libération (« parler de surveillance généralisée est un mensonge !« ), le quotidien Le Monde du 14 avril 2015 rapporte (page 8) cette phrase de M. Jean-Jacques Urvoas, rapporteur du projet auprès de la Commission des lois : « … en ce domaine, les Etats-Unis font figurent d’exemple« . Le « Patriot Act » des Etats-Unis organise pourtant une surveillance massive des données électroniques.

Alors, devons nous faire pareil ? Lisez le rapport du Conseil de l’Europe sur « les opérations massives de surveillance » de février 2015 et les rares articles de presse ici et qui s’en sont fait l’écho.

L’enfer est pavé de bonnes intentions… Nos gouvernants se trompent d’objectif. Pour notre bien, nous allons être espionnés d’une manière absolument inédites vu l’ampleur des droits accordés à nos services spécialisés de renseignement.

Mais lorsque TV5 Monde fait l’objet d’une véritable cyberattaques, quelle est notre réponse ? Nous ne disposons que d’une capacité d’analyse a posteriori de l’attaque (et pas très rapide apparemment, quoique… il faut savoir rester discret lorsque l’on sait…), et nous sommes consternés par le constat de notre fragilité et par les dégâts occasionnés.

A quand un cyber G.I.G.N. français ? C’est de cela dont nous avons besoin. D’une véritable capacité de défense. Pas d’un Big Brother bleu-blanc-rouge.

Connaissez-vous l’article 40 al.2 du Code de procédure pénale ?

Vous doutez de nos propos ? Vous pensez (comme nos ministres le clament – drapés dans leur dignité) que si seuls sept motifs précis permettent d’avoir recours aux mesures de surveillance, et si vous n’avez rien à vous reprocher, vous n’avez rien à craindre ?

ET BIEN C’EST FAUX :  Si lors d’une collecte de renseignement, un agent des services spécialisés de renseignement découvre un crime ou un délit, sans lien avec une de ces sept finalités, il DOIT en aviser le procureur de la République et lui transmettre « tous les renseignements, procès-verbaux et actes qui y sont relatifs » (article 40 du code de procédure pénale). Même si les mesures de surveillance étaient à l’origine illicites. Ca y est ? Vous tremblez ?

Alors, « liberté – égalité – tous surveillés » ?

ledieu avocat contrat conseil droit nouvelles technologie logiciel SaaS données personnelles renseignement

Souriez ! Vous êtes écouté…

Les illustrations photos en noir et blanc proviennent de sites web sur les dispositifs d’écoute et de détection des menaces aériennes avant l’apparition des radars, notamment aux Pays-Bas.

___________________________________________________________

—> Pour aller plus loin

([1]) pour les cinéphiles, voir « Les barbouzes » (1964) de Georges Lautner, dialogué par Michel Audiard, dans la veine des « Tontons flingueurs ». Les amateurs de bandes-dessinées chercheront l’excellente série intitulée « RG » de Dragon et Peeters, publiée chez Gallimard, qui illustre encore mieux l’univers et les moyens techniques utilisés par les policiers français dans les années 2000.

([2]) voir par exemple « La vie des autres » qui raconte l’histoire d’une surveillance ordinaire dans l’ex-République Démocratique d’Allemagne.

([3]) Les Anglo-Saxons utilisent le terme « intelligence » pour « renseignement » (d’ou le nom de Central Intelligence Agency aux Etats-Unis).

([4]) Et ne pensez pas que la date du 24 décembre choisie pour la publication de ce décret soit le fruit du hasard, nos gouvernants (de tous bords politiques) sont assez doués pour cela.

([5]) Article 323-1 Code pénal :

Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30.000 euros d’amende.

Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45.000 euros d’amende.

Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à cinq ans d’emprisonnement et à 75.000 € d’amende.

([6]) A l’exception de quelques messageries instantanées dont l’émetteur et le récepteur transitent par le même écosystème applicatif. Pour le dire autrement, les deux parties doivent utiliser la même application de messagerie, ET utiliser un même protocole de sécurisation du flux (par exemple, un VPN).

([7]) VPN pour Virtual Private Network.

([8]) lorsque vous compressez un document .doc (ou .pdf…) en un fichier .zip, vous le compressez. Pour le décompresser, il suffit de le « dézipper ». Pour le protéger vraiment, il faudrait « zipper » votre .doc puis chiffrer votre dossier .zip.

([9]) Pourquoi parler au passé ? Naïfs que nous sommes…

([10]) Les quatre premières couches (ou « layer ») d’un transport de données sous protocole IP organisent la gestion du transport (liaison physique, liaison de données, couche réseau et transport), les trois couches suivantes gèrent la session (gestion entre les adresses logiques et physiques), c’est-à-dire l’origine, la destination, la quantité et le débit des flux de données (http ou ftp par exemple). La matière nécessite certaines connaissances techniques…

([11]) Vous apprendrez peut-être avec surprise que l’expression est apparu – semble-t-il – pour la première fois sous la plume de Nicolas Machiavel, citant l’historien romain Quinte-Curce.

([12]) Frans Imbert-Vier est le Président de UBcom. Ancien CIO de TBWA, membre d’Eurocloud, il est spécialiste des infrastructures techniques (matériel, logiciel et liaisons). Il enseigne dans le Master 2 Pro « cloud computing » à l’ISEP.


1ere-couv-07-12-2016-ledieu-avocat-contrat-droit-nouvelle-technologie-web-saas-logiciel-cybersecurite-metadata-donnee-personnelle-renseignement-006