Au détour du projet de loi sur la programmation militaire (LPM), le Parlement a entrepris d’encadrer et d’élargir l’accès des services de renseignements français aux données des opérateurs de communications électroniques, des fournisseurs d'accès à Internet et des hébergeurs de sites Web. Le texte a été définitivement adopté en deuxième lecture au Sénat ce 10 décembre, par 164 voix contre 146.
Dans un contexte marqué par les révélations d’Edward Snowden sur l’espionnage massif pratiqué par la NSA, il n’en fallait pas moins pour provoquer un déluge de réactions des acteurs de l’Internet, criant au « Prism français » (le programme de surveillance de la NSA)
et à la « dictature numérique ». N'hésitant pas à raconter, aussi, quelques sornettes. Le président PS de la commission des lois du Sénat, Jean-Pierre Sueur, et son homologue à l’Assemblée nationale, Jean-Jacques Urvoas, assurent eux au contraire que le texte renforce les garanties des citoyens.
Les inquiétudes se focalisent sur l’article 13 du projet de loi. Remanié par un amendement du Sénat, ce dernier autorise les services de renseignements français à accéder aux fadettes (factures détaillées) et autres données de connexion des usagers, pour les mêmes motifs et dans les mêmes conditions que celles prévues pour les écoutes administratives depuis 1991. C’est-à-dire sur autorisation d’une personnalité qualifiée placée près du premier ministre et avec contrôle a posteriori d’une autorité administrative indépendante, la commission nationale de contrôle des interceptions de sécurité (CNCIS).
Il s’agit de rassembler et de clarifier deux régimes juridiques, l'un issu de la loi de 1991 sur le secret des correspondances, et l'autre d'une loi antiterroriste de 2006. Au passage, le texte légalise la géolocalisation en temps réel par les agents de renseignement, ce qui n’était pas jusqu’alors explicitement prévue dans la loi française. Mediapart décrypte les principales inquiétudes soulevées par le projet de loi.
- La LPM pérennise-t-elle et étend-elle un régime d’exception ?
La loi antiterroriste de 2006, prorogée à deux reprises, permet déjà à titre expérimental la collecte des données de connexion, mais uniquement dans le cadre de la prévention des actes terroristes. En 2011, les policiers et gendarmes habilités ont ainsi effectué 34 000 demandes de données aux opérateurs. Sans compter 197 000 autres demandes, pour la plupart d’identification d’un numéro ou d’un abonné, transmises, elles, dans le cadre de la loi de 1991.
Désormais, les agents du ministère de l’intérieur, de la défense et du budget (et non plus seulement policiers et gendarmes) y auront accès avec des motifs bien plus larges : pour sauvegarder des éléments essentiels du potentiel scientifique et économique de la France, assurer la sécurité nationale, prévenir la criminalité et la délinquance organisées, ou encore éviter la reconstitution de groupements dissous. À noter que cette liste n’a rien de nouveau. C’est celle appliquée depuis 1991 aux écoutes administratives. Ce type de formulation attrape-tout a par exemple permis aux RG de mettre sur écoute l’épicerie des militants de Tarnac en avril 2008.
Jérémie Zimmermann, porte-parole de l’association de défense des internautes La Quadrature du Net, note ainsi que la formule « potentiel scientifique et économique de la France » est « particulièrement vague » et « très inquiétante ». « Par exemple, un éco-activiste qui s’attaquerait à Areva entre-t-il dans ce cadre ? » s’interroge-t-il. Au vu des précédents, on peut craindre que oui...
- Plus besoin d’autorisation pour espionner le quidam ?
Comme pour les écoutes administratives, pour avoir accès aux fadettes, les services de renseignements devront d’abord obtenir le feu vert d’une personnalité qualifiée placée auprès du premier ministre. Et ils seront soumis a posteriori au contrôle de la commission nationale de contrôle des interceptions de sécurité (CNCIS), qui peut « recommander » l’interruption d’une géolocalisation par exemple. Dans les faits, la CNCIS a même pris l’habitude de donner a priori son avis sur les demandes d’écoutes.
« On accroît les garanties pour les fadettes, assure Jean-Pierre Sueur, président (PS) de la commission des lois du Sénat. Il faudra une autorisation du premier ministre et non plus du ministre de l’intérieur. Et pour la géolocalisation en temps réel, c'est encore plus strict, il faudra une demande écrite et motivée des ministres concernés et une réponse écrite du premier ministre. » Jusqu’alors, la DCRI pratiquait déjà les géolocalisations en temps réel, au prix d’un bricolage juridique très incertain. « Faute de texte, on avait calqué la pratique des géolocalisations sur celle des interceptions téléphoniques, explique une source. Mais la CNCIS en a eu marre. Là, on arrête les conneries, on fait un outil spécifique. » « La CNCIS était au courant, mais c’était toléré au motif que l’outil était utile. Nous avions demandé au législateur de trouver un cadre légal », reconnaît le député (PS) Jean-Jacques Urvoas, l’un des deux parlementaires membres de la CNCIS.
- Des autorités directement branchées « sur sollicitation du réseau » et en « temps réel » ?
La disposition la plus controversée, contenue dans l’article 13 du projet de loi, prévoit de permettre la « sollicitation du réseau en temps réel » pendant une durée renouvelable de 30 jours. À l’origine, cette mesure, introduite via un amendement parlementaire, était destinée à permettre la géolocalisation des téléphones. Celle-ci « nécessite en effet l’envoi de requêtes volontaires récurrentes obligeant le terminal de l’utilisateur à se localiser », expliquait ainsi l’exposé des motifs de l'amendement , déposé par le sénateur (UMP) Jacques Hyest.
« Le dialogue technique entre un téléphone mobile et le réseau est permanent, mais si vous voulez avoir des infos plus fréquentes, le réseau doit le chatouiller pour qu’il réponde, précise un spécialiste. Chaque opérateur a une plateforme nationale pour les géolocalisations en temps réel. »
Mais le texte finalement soumis au vote ne comporte aucune référence explicite à la géolocalisation, laissant craindre une application à tout type de réseau, y compris internet et à tout type de données. « Le problème, c’est que ce terme de "sollicitation du réseau" "en temps réel", techniquement, ne veut rien dire, s’inquiète Jérémie Zimmermann. On peut très bien imaginer l’installation de sondes et de boîtes noires en amont des réseaux pour intercepter le trafic. Or, avec ces technologies, pour filtrer et cibler un utilisateur, on est obligé d’intercepter tout le trafic pour après faire le tri. Et dans ce cas, il n’y a même plus besoin de demander l’autorisation systématique des opérateurs, car il s’agit d’un dispositif permanent. »
Cette notion « est tellement floue qu’elle donne carte blanche à une interconnexion sans filet, ce qui serait intrusif », a également souligné Lionel Tardy, député (UMP) et informaticien, lors des débats. Jean-Pierre Urvoas, membre de la CNCIS, a lui-même du mal à définir cette mesure. « Je n’en sais rien, ça a été écrit au Sénat », reconnaît-il tout en affirmant qu’il s’agit de légaliser une pratique déjà couramment utilisée par les services de renseignements.
- Des activités de renseignements sans contrôle judiciaire ?
« Cette loi, c’est le plus grand coup porté au fonctionnement de la démocratie depuis les lois d’exceptions pendant la guerre d’Algérie. Il n’y a plus de pouvoir du juge », a prétendu dans Les Échos Gilles Babinet, qui porte à Bruxelles la voix numérique de la France. Il semble donc découvrir la quasi-absence de droit de regard des juges français sur les activités des services de renseignements.
C'est un vieux débat. En matière de renseignements, les écoutes ne sont pas contrôlées par une autorité judiciaire, mais par une autorité administrative indépendante, la CNCIS. « Le monde judiciaire et le monde du renseignement apparaissent, au premier abord, inconciliables, justifiait Jean-Jacques Urvoas dans son rapport sur le renseignement de mai 2013. Alors que le premier repose sur une exigence de transparence, le second attache naturellement un soin constant au secret de ses sources comme de ses opérations. » Le député assure qu’il « n’y a pas d’exemple de défaillance de la CNCIS ». Mais impossible de le vérifier. Car lorsque les juges tentent de s’intéresser de trop près aux activités des services de renseignements français, ils se heurtent au mur du secret défense comme dans l’affaire de Tarnac ou encore l’affaire Karachi.
Pour Jérémie Zimmermann, « la seule façon d’encadrer les écoutes, c’est de les placer sous le contrôle de l’autorité judiciaire, sauf cas exceptionnels. Et non faire l’inverse, c’est-à-dire prendre un dispositif d’exception pour l’étendre à tous les citoyens ». À défaut d'instaurer un contrôle judiciaire, le projet de LPM prévoit de renforcer les pouvoirs de contrôle de la délégation parlementaire au renseignement (DPR), qui était jusqu'alors une coquille vide.
- Un véritable droit de « e-perquisition » ?
Parmi les autres inquiétudes figure un autre alinéa de l’article 13, prévoyant d’autoriser la collecte « des informations et documents traités ou conservés » non seulement par les opérateurs mais également auprès des acteurs du numérique couverts par la loi pour la confiance dans l’économie numérique (LCEN). Pour les pourfendeurs du texte, cela pourrait signifier que, désormais, fournisseurs de services, plateformes diverses et hébergeurs pourraient se voir dans l’obligation de donner l’accès à toutes les informations et documents stockés sur leurs serveurs. « Cette formulation est encore une fois tellement vague qu’on peut comprendre qu’elle vise le contenu des communications, ou tout ce qui est contenu sur un serveur de cloud par exemple, ou encore les Google docs ou autres », s’insurge Jérémie Zimmermann qui y voit « un véritable droit de "e-perquisition" ».
- La création d’un « Prism » à la française ?
« On est en train de créer notre petit Prism à nous, le système de surveillance géant mis au point aux États-Unis au cours des dernières années », lance dans Le Point Benjamin Bayart, président de la Fédération des fournisseurs d'accès à Internet associatifs (FFDN). « Cette architecture est totalement similaire aux différents programmes dévoilés par Edward Snowden », assure lui aussi Jérémie Zimmermann. « On critique Prism, et là, on va bien plus loin, s'inquiète également Gilles Babinet, dans Les Échos. On institue l’état de surveillance permanent. »
Ce risque est évacué d’un revers de la main par un bon connaisseur du renseignement militaire : « On est partis sur une boîte à fantasmes, alors que ce n'est pas du tout du tapissage. L’idée de cribler la société française quand on connaît les moyens des services français, ça fait rire. » Un industriel, habitué à travailler avec les policiers et gendarmes français, s’agace lui aussi : « Tout le monde ne peut pas être suivi en temps réel ! Il faut des effectifs pour traiter ces données. Les garde-fous, ce sont les effectifs pour exploiter les données. » Mais un ancien policier de feu la DST (direction de la surveillance du territoire) aujourd'hui retraité, Patrick Cahez, souligne que c'est la logique de stockage des données qui est inquiétante. « C'est un système de préconstitution de preuves : on amasse tout ce qu'on peut et le jour où on identifie une personne suspecte, on regarde tous les renseignements qu'on a sur elle », indique-t-il.
- Pourquoi une telle précipitation du gouvernement français ?
Il n’y avait a priori pas d’urgence à légiférer, puisque le dispositif expérimental prévu par la loi antiterroriste n’expire que le 31 décembre 2015. Et que le gouvernement a prévu d’ici 2015 une grande loi sur le renseignement. « On est toujours sur l’engagement pris fin 2012 par Manuel Valls d’unifier les deux systèmes avant 2015 (celui de la loi de 1991 et celui de 2006, ndlr) », justifie Jean-Jacques Urvoas. Le gouvernement craignait également une condamnation de la Cour européenne des droits de l’homme. Le 2 novembre 2010, dans une affaire de tentatives de meurtres et d’attentats à la bombe en Allemagne, la CEDH avait estimé que la géolocalisation en temps réel pouvait se justifier, mais uniquement si elle était expressément prévue dans la loi et susceptible d'un contrôle judiciaire.
Benoît Thieulin, président du conseil national du numérique, regrette la méthode choisie par le gouvernement : « Il est tout d’abord très difficile d’avoir un débat serein dans ces conditions. Ensuite, ce sujet dépasse selon moi très largement le cadre de la LPM. Nous avons basculé dans une nouvelle société où la surveillance peut être potentiellement généralisée. Cela menace l’un des fondements de l’économie numérique : la confiance. » Pour le président du CNNum, qui s’est auto-saisi du sujet, il faut « une concertation très large entre l’État, la société civile et les entreprises, et arrêter de compartimenter les sujets ».
- Pourquoi une réaction aussi forte des acteurs de l’Internet ?
La fronde a d’abord été menée par les industriels de l’internet, rejoints par le Medef, qui disent craindre de perdre la confiance de leurs clients. « Après les révélations sur Prism, l’Europe était vue comme un îlot protecteur pour les données. Là, on autorise une entrée dans les systèmes d’information de manière administrative. Cela signe la perte d’un avantage compétitif important », s’insurge dans Les Échos Jamel Labed, un industriel président de l’AFDEL, le syndicat des logiciels. C’est un communiqué de l'Association des sites Internet communautaires (Asic), un lobby qui regroupe notamment Google, Facebook, Microsoft, Yahoo, qui, le 21 novembre 2013, a mis le feu aux poudres, alors que le texte était débattu depuis un mois et demi.
Cela ne manque pas de faire sourire Jean-Jacques Urvoas : « Ils font preuve d’une très grande tartufferie. Se présenter comme les parangons de la protection des libertés individuelles, c’est balèze, quand on sait les aspirateurs à données qu’ils sont. » Le 27 septembre 2013, la Commission nationale de l'informatique et des libertés (Cnil) avait d’ailleurs mis en demeure Google de se conformer à la loi informatique et libertés. « Ils ont voulu se refaire une virginité », estime une source parlementaire, qui assure que l’Asic n’a jamais demandé à être reçue par les parlementaires.
«Ce texte accroît les garanties et les contrôles, c'est bizarre de se faire accuser du contraire surtout par les majors de l’internet qui font commerce de milliards de données et qui coopèrent avec la NSA », s’agace de son côté Jean-Pierre Sueur, étonné de l’« affolement » général.
Mais les défenseurs des libertés, nettement moins suspects d’agenda commercial caché, ont vite pris le relais. D’autant plus nombreux que « la liste des cibles potentielles a été étendue non plus seulement aux fournisseurs d’accès à internet, mais également à tous les fournisseurs de services et hébergeurs, explique Jérémie Zimmermann. C’est bien pour cela qu’il y a une telle opposition de la part des représentants de l’industrie du numérique qui craignent la mise en place d’un dispositif semblable à Prism ».
« Dans le débat français, il peut y avoir, effectivement, une certaine hypocrisie de certains acteurs qui essayent de se refaire une virginité à peu de frais, confirme Benoît Thieulin. Mais, concernant les grandes plateformes, celles-ci sont en réalité très ennuyées par la situation car, en réalité, elles ont été contraintes par le Patriot Act, et forcées par la NSA, à collaborer. »