Alors que La Quadrature du Net dénonçait il y a quelques semaines l’instauration de nouvelles mesures de surveillance au nom de la lutte contre la cybercriminalité dans la loi de programmation militaire en cours d’examen au Parlement, le gouvernement d’Emmanuel Macron persiste et signe.



Cette fois, il s’agit de toucher à la loi renseignement, en ouvrant aux services de renseignement intérieurs (notamment la DGSI) les montagnes de données accumulées par la DGSE dans le cadre de son dispositif de surveillance massive des communications Internet dites « internationales ». Et parce qu’il est toujours préférable de contourner le débat public lorsqu’on touche à la surveillance d’État, c’est en catimini, par voie d’amendement, que le gouvernement a choisi de procéder, non sans compter le soutien de quelques parlementaires complices.

Déni de réalité, déni démocratique

Le 22 mai dernier au Sénat, la ministre des Armées Florence Parly présente dans l’hémicycle un amendement au projet de loi de programmation militaire, déjà adopté en première lecture à l’Assemblée. À première vue, c’est sensible, puisqu’il s’agit de toucher au livre VIII du code de la sécurité intérieure, celui qui encadre les activités des services de renseignement. Mais la ministre se veut rassurante :

« Le Gouvernement ne souhaite évidemment pas, par le biais d’un amendement au détour du projet de loi relatif à la programmation militaire, remettre sur le métier la loi relative au renseignement. C’est un chantier qui nous occupera plutôt en 2020 et auquel il paraît indispensable d’associer étroitement la délégation parlementaire au renseignement, la DPR. Je vous propose donc, mesdames, messieurs les sénateurs, de permettre simplement une utilisation plus rationnelle des données légalement recueillies dans le cadre de la surveillance des communications internationale. Nous ne donnons pas aux services de nouveaux moyens de collecte ni ne modifions en profondeur les équilibres retenus en 2015 ».

Il s’agit donc d’être « rationnel » sans toucher aux « équilibres retenus en 2015 » – équilibres déjà bien précaires et dûment attaqués devant les juridictions françaises et européennes . Un petit patch bureaucratique pour faire en sorte de fluidifier le travail des services et qui, comme nous l’apprend la ministre, a été validé par la Commission nationale de contrôle des techniques de renseignement (la CNCTR) et par le Conseil d’État dans leurs avis respectifs sur l’amendement proposé.

Sauf que ces propos tiennent plus du déni de réalité, voire d’une volonté manifeste de tromper son monde. Car loin d’être anecdotique, l’amendement transforme radicalement les fameux « équilibres » de la loi renseignement.

Surveillance intérieure / surveillance extérieure

Pour le comprendre, quelques rappels sont de rigueur.

Traditionnellement, les activités de surveillance d’un État envers les personnes résidant sur son territoire sont plus étroitement encadrées que les activités de surveillance dite « internationale », c’est-à-dire celle touchant des personnes situées hors du territoire national. C’est donc dans le cadre des activités de surveillance internationale que les programmes de surveillance les plus « massifs » se sont d’abord développés (par exemple le programme UPSTREAM de la NSA, le programme TEMPORA du GCHQ britannique, ou le programme similaire lancé à partir de 2008 par la DGSE française pour collecter à grande échelle le trafic Internet au niveau des câbles sous-marins, et l’exploiter à l’envie par la suite ).

Dans les hautes sphères de l’État, ce principe continue d’être défendu. Ainsi, dans son rapport annuel de 2014 sur les libertés à l’ère numérique, le Conseil d’État notait :

« Le fait que les garanties entourant l’interception des communications soient moindres lorsqu’elles se situent à l’étranger plutôt que sur le territoire se justifie (…). (…) Dès lors que les personnes situées à l’étranger échappent à la juridiction de l’État, l’interception de leurs communications n’est pas susceptible de porter atteinte à leurs droits dans la même mesure que si elles se situaient sur le territoire ; elles ne peuvent en particulier faire l’objet de mesures juridiques contraignantes qui se fonderaient sur les éléments collectés » .

C’est en vertu de ces arguments que, en 2015, la loi renseignement a prévu un régime juridique beaucoup plus lâche pour la surveillance internationale : le Premier ministre autorise l’interception non-ciblée de vastes quantités de données associées à une région du monde, à des organisations, groupes de personne, etc. ; ces données sont conservées pendant beaucoup plus longtemps que dans le cadre de la surveillance nationale ; elles peuvent faire l’objet d’analyse « en masse » des données via des traitements « Big Data » (ce que, soit dit en passant, la DGSI a également commencé à faire depuis quelques mois grâce aux algorithmes de Palantir sur les données saisies dans le cadre de l’état d’urgence, et ce en dehors de tout cadre juridique ).

Or, comme le rappelait dès 2013 la coalition internationale « Necessary and Proportionate » en réponse aux révélations d’Edward Snowden, cette distinction national/international n’a plus lieu d’être. À l’heure où les communications Internet sont par nature transfrontières (même lorsque j’échange un mail avec ma voisine, il est probable qu’il transite via l’étranger), et où les doctrines du renseignement font de moins en moins la différence entre menace extérieure et « ennemi intérieur », les arguments qui la fondent sont caducs. En outre, comme le rappelaient La Quadrature du Net, FFDN et FDN dans leur mémoire envoyé en 2015 au Conseil constitutionnel alors que celui-ci se penchait sur la loi renseignement, cette distinction revient au plan juridique à bafouer l’universalité des droits . De notre point de vue, il s’agirait donc d’abolir tout simplement le régime dérogatoire de surveillance internationale pour faire appliquer à toutes et tous le régime le plus protecteur : celui associé à la surveillance nationale.

L’extension du régime dérogatoire de la surveillance internationale

Mais, comme on pouvait le redouter, non seulement le régime de la surveillance internationale tient bon, mais il est en fait en train de devenir le dénominateur commun pour l’ensemble du champ du renseignement.

Certes, dès 2015, la loi renseignement ouvrait la voix à de telles évolutions. Les dispositions régulant les usages du puissant système de surveillance de la DGSE prévoyaient déjà la possibilité de surveiller des communications « rattachables au territoire national » (via leurs identifiants techniques comme l’adresse IP ou le numéro de téléphone) dès lors que les communications en question traversaient les frontières. Mais à ce jour ces formes de surveillance étaient uniquement possible pour les résidents français situés hors du territoire national.

Ici, il s’agit d’aller encore plus loin. En vertu de l’amendement adopté au Sénat, et comme l’explique la ministre :

« Nous voulons d’abord permettre l’exploitation des données d’un identifiant technique rattachable au territoire national interceptées dans le cadre de la surveillance des communications internationales, alors même que son utilisateur est en France .»

Il s’agit notamment d’ouvrir aux services de renseignement intérieur les vannes du vaste système de surveillance déployé par la DGSE depuis 2008, et dans lequel l’État a depuis investi près de 1,5 milliards d’euros. Cela permet en effet d’accéder à quantité de données qui, dans le cadre strictement national, étaient plus difficilement exploitables .

Remonter le passé pour confirmer des suspicions

Mais ce n’est pas tout. Le gouvernement a également souhaité autoriser des opérations de surveillance dites de « levée de doute ». Et la ministre d’expliquer :

« La levée de doute prendra la forme d’une vérification ponctuelle sur les données de connexion légalement interceptées dans le cadre de la surveillance des communications internationales. Il s’agit d’opérations très rapides, non répétées et susceptibles de mettre en évidence un graphe relationnel ou la présence à l’étranger d’une personne, qui pourra alors être surveillée si elle présente une menace. Dès que la vérification fera apparaître la nécessité d’une surveillance, l’exploitation des communications ne pourra être poursuivie que via les techniques de renseignement inscrites dans la loi de 2015 ».

En gros, les services utilisent un ou plusieurs « sélecteurs » ou « identifiants » correspondant à des personnes ou groupes de personnes situés à l’étranger, avec lesquels on va sonder les bases de données pour établir le graphe social et tenter de faire émerger les données de suspects résidant en France . On peut ensuite se livrer à une surveillance plus poussée de ces suspects dans le cadre du régime de surveillance nationale (en demandant par exemple une autorisation pour procéder à une interception de sécurité) .

L’amendement inaugure également deux régimes dérogatoires à ce dispositif de « levée de doute », qui permettent non pas de constituer ces graphes à partir d’identifiants « étrangers », mais à partir d’identifiants directement rattachables au territoire national : l’un en cas de « menace terroriste urgente », l’autre s’agissant « d’éléments de cyberattaques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation »

« Des vérifications ponctuelles peuvent également être mises en œuvre pour détecter sur les communications d’identifiants techniques rattachables au territoire national, à des fins d’analyse technique, des éléments de cyberattaques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation mentionnés au 1° de l’article L. 811-3. .

Au plan opérationnel, ces opérations de levée de doutes poursuivent la même logique « exploratoire » que les boîtes noires de l’article L. 851-3 ou la surveillance en temps réel des données de connexion du L. 851-2 (elle aussi sont des manières de repérer des signaux faibles, en préalable d’une surveillance plus poussée). Sauf qu’il s’agit cette fois de sonder les données conservées massivement dans les data-centers de la DGSE, et non de faire de la surveillance de flux en « temps réel ». Pour rappel, une fois collectées, les métadonnées des résidents français sont conservées quatre ans par les services…

La fuite en avant de la surveillance

Quand un outil technique existe, il n’y a aucune raison de ne pas l’utiliser à fond… C’est en tous cas la position des caciques du renseignement et des responsables politiques qui président à ces activités secrètes, et qui estiment nécessaire de mettre au service du renseignement intérieur les vastes dispositifs de surveillance de la DGSE. La fin justifie les moyens, et tant pis pour l’État de droit.

Ni le gouvernement, ni la CNCTR, ni le Conseil d’État n’ont donc de problème à s’asseoir sur les arguments qu’ils invoquaient il y a tout juste trois ans pour justifier l’instauration d’un régime dérogatoire pour la surveillance internationale , à savoir que celle ci ne concernait que des personnes situées hors du territoire, et donc échappant a priori au pouvoir coercitif de l’État. Aujourd’hui, ils rendent ce régime dérogatoire toujours plus poreux à la surveillance des résidents français, en permettant au renseignement intérieur de piocher allégrement dans les bases de données de la DGSE. Avec cet amendement, il devient par exemple possible de retracer d’un seul coup l’historique des communications d’un résident français en remontant quatre ans en arrière, là où le régime de surveillance nationale permettait de récolter des métadonnées vieilles d’un an maximum auprès des opérateurs et de quantité d’hébergeurs. On change clairement de dimension.

Le plus choquant, c’est peut être que le gouvernement refuse de reconnaître l’importance de ces évolutions, en prétendant qu’il ne s’agit que de quelques aménagements techniques. Cette manière de procéder du gouvernement Macron – qui semble chercher à étouffer à tout prix le débat – devrait justifier à elle seule que les parlementaires s’opposent à cet amendement scélérat (la Commission mixte paritaire composée de députés et de sénateurs se réunit bientôt pour finaliser le texte).

Malgré quelques maigres avancées en termes de transparence dont témoigne notamment le dernier rapport de la CNCTR, cette affaire illustre bien l’immaturité démocratique persistante du renseignement français. Alors que la ministre promet une révision plus en profondeur de la loi renseignement pour 2020, on peut d’ores et déjà s’attendre au pire…