Alors que les décrets d’application de la très controversée loi sur le renseignement, adoptée le 24 juin, ne sont pas encore parus, un nouveau texte consacré à l’espionnage des communications est dans les tuyaux du Parlement. Déposée le 9 septembre par les députés socialistes Patricia Adam et Philippe Nauche, respectivement présidente et vice-président de la commission de la défense nationale et des forces armées, la proposition de loi «relative aux mesures de surveillance des communications électroniques internationales» sera examinée le 1er octobre à l’Assemblée nationale, en procédure accélérée. Au menu : surveillance massive et contrôle allégé.

Pourquoi une nouvelle loi ?

Comme l’a révélé l’Obs début juillet, dans une longue enquête sur le siphonnage par la Direction générale de la sécurité extérieure (DGSE, le renseignement extérieur français) des câbles sous-marins par lesquels passe le trafic internet, l’espionnage des communications à l’étranger était régi, depuis 2008, par un décret secret pris par Matignon en Conseil d’Etat, c’est-à-dire après avis de la plus haute juridiction administrative. La loi sur le renseignement visait, entre autres, à codifier – partiellement – cette «légalité occulte». Sauf que l’article censé encadrer les «mesures de surveillance internationale» n’a pas été du goût du Conseil constitutionnel, qui l’a censuré dans sa décision du 23 juillet dernier.

Motif : particulièrement flou, il ne définissait ni les conditions «d’exploitation, de conservation et de destruction» des informations collectées ni les modalités du contrôle opéré par le nouveau gendarme des écoutes, la Commission nationale de contrôle des techniques de renseignement (CNCTR), le tout étant renvoyé à un décret en Conseil d’Etat, donc à l’exécutif. Un autre décret – secret – devait, lui, préciser les «modalités de mise en œuvre» de cette surveillance internationale.

Lors de l’examen du nouveau texte par la commission de la défense (qui l'a adopté au pas de charge), mercredi, la rapporteure, Patricia Adam, a jugé que cette censure ne portait «pas sur le fond, mais uniquement sur la forme». Reste que pour les «Sages» de la rue Montpensier, en laissant une telle latitude au gouvernement, le Parlement n’a pas fait son travail, puisqu’il «n’a pas déterminé les règles concernant les garanties fondamentales accordées au citoyen pour l’exercice des libertés publiques». Il a donc fallu trouver (rapidement) une rustine. Le 2 septembre, le secrétaire d’Etat en charge des relations avec le Parlement, Jean-Marie Le Guen, annonçait le dépôt d’une proposition de loi. Comme l’a relevé le site NextInpact, un texte d’origine parlementaire évite en effet au gouvernement «le passage par un projet de loi, qui l’aurait obligé à publier une étude d’impact», donc à donner quelques détails pratiques (sur le coût du dispositif, par exemple).

Qui est visé par le texte ?

Court – il tient en deux articles –, le nouveau texte reprend en grande partie l’article censuré de la loi renseignement. Il vise, là encore, les communications «émises ou reçues à l’étranger». Concrètement, trois cas de figure sont possibles. Les communications entre deux identifiants (numéros de téléphone, adresses IP…) «rattachables au territoire national» sont considérées comme franco-françaises et relèvent de la surveillance intérieure ; tombées dans les filets de la DGSE, elles doivent être «instantanément détruites». A deux exceptions près : si un correspondant communiquant depuis l’étranger avec un identifiant français faisait déjà l’objet d’une écoute en France, ou s’il est considéré comme «présentant une menace au regard des intérêts fondamentaux de la Nation». Lesquels ne se limitent pas, loin s’en faut, au terrorisme : en font aussi partie les «intérêts économiques, industriels et scientifiques majeurs de la France» ou «les intérêts majeurs de la politique étrangère»…

Dans le cas des flux «mixtes» France-étranger, les informations collectées – le contenu des communications et les données de connexion : qui communique avec qui, quand, où, combien de temps – sont conservées et exploitées dans le cadre du régime de surveillance nationale… mais sans l’avis préalable de la CNCTR, qui n’est informée qu’a posteriori. Et avec une durée de conservation augmentée pour le contenu des correspondances : un mois non pas à partir de leur recueil, mais à partir de leur première exploitation (et jusqu’à six mois après l’interception).

Enfin, pour les communications qui ne sont pas rattachables au territoire national, là encore, les délais de conservation sont plus longs : un an à compter de la première exploitation pour le contenu des communications, six ans (au lieu de quatre) pour les données de connexion, huit ans (au lieu de six) pour les données chiffrées. Le tout justifié, dit l’exposé des motifs, par «la différence de situation dans laquelle se trouvent les personnes sous surveillance résidant à l’étranger, sur lesquelles les capacités de l’Etat français sont plus limitées».

Quelle ampleur de la surveillance ?

Les promoteurs de la loi sur le renseignement se sont toujours défendus de vouloir mettre en place une surveillance de masse, arguant que même les «boîtes noires» destinées aux opérateurs et aux hébergeurs relevaient à leurs yeux d’une surveillance «ciblée». Dans le cas de l’espionnage à l’étranger, impossible de jouer sur les mots : on est en plein dans la pêche au chalut, qui porte sur des «systèmes de communication» entiers. Seule limite posée par le texte : pour être autorisées, les interceptions doivent relever de la «défense et de la promotion des intérêts fondamentaux de la Nation» – une notion, on l’a vu, plutôt large.

Quant aux autorisations d’exploitation des données, délivrées par le Premier ministre, elles peuvent porter sur des «personnes ou groupes de personnes», des «organisations», mais également des «zones géographiques» – des pays entiers, par exemple. Les «boîtes noires» ont aussi leur pendant international, qui ne se limite pas à la lutte antiterroriste : Matignon peut en effet autoriser pendant un an (renouvelable) «l’exploitation non individualisée des données de connexion interceptées» via des «traitements automatisés» – les fameux algorithmes chargés de détecter d’éventuels comportements suspects, des «signaux faibles». Il n’est évidemment pas anodin qu’en commission de la défense, Patricia Adam ait tenu à préciser que le texte «prend en considération les activités que mène la DGSE, celles actuelles» et qu’«il n’y a pas d’ajout de capacités nouvelles». Il s’agit bien de légaliser ce qui se pratiquait déjà.

Les seuls à pouvoir prétendre échapper aux filets seront les magistrats, avocats, parlementaires ou journalistes communiquant depuis l’étranger mais exerçant en France. D’après la proposition de loi, ils «ne peuvent faire l’objet d’une surveillance individuelle de leurs communications à raison de l’exercice du mandat ou de la profession concernée». Encore faudra-t-il s’être assuré que les communications en question relèvent de leur «mandat» ou de leur «profession».

Le texte ne dit par ailleurs pas un mot des éventuels échanges entre services de renseignement de pays alliés, cette ultime «zone grise» de l’espionnage. En octobre 2013, le Monde avait justement révélé l’existence d’un «protocole d’échange de données» entre la France et les Etats-Unis, et l’Obs a de son côté fait état cet été d’un «accord majeur en matière d’interceptions» entre la DGSE et le GCHQ, le renseignement électronique britannique, conclu en 2010.

Quel contrôle ?

Tout comme l’article censuré de la loi renseignement, la proposition de loi sur la surveillance internationale pose qu’à la différence de la surveillance intérieure, la CNCTR n’est pas consultée en amont. Ce qui, pour Patricia Adam, «est pleinement justifié par la nature des missions qui concernent l’aspect le plus régalien de l’Etat à l’étranger, et dont l’appréciation ne saurait être confiée à une autorité administrative indépendante». Seul le contrôle a posteriori est censé garantir que le travail de la DGSE reste dans les clous d’une légalité par ailleurs particulièrement généreuse. La commission de contrôle reçoit donc «communication de toutes les autorisations» d’interception, et se voit garantir un accès «permanent, complet et direct» à tout ce qui est collecté. Elle peut demander la destruction des informations collectées, voire porter l’affaire devant le Conseil d’Etat, si elle constate une sortie de route. Encore faudra-t-il qu’elle ait les moyens, techniques et humains, d’exercer son contrôle. Ce dont a toujours ouvertement douté Jean-Marie Delarue, l’actuel président de la Commission nationale des interceptions de sécurité (CNCIS), que la CNCTR va bientôt remplacer.

Or, dans le décret secret de 2008, tel que l’a décrit l’Obs, la CNCIS, était, elle, bel et bien consultée en amont, «pays par pays». Elle pouvait aussi «limiter le champ des interceptions à certains thèmes, tels le terrorisme, la prolifération nucléaire ou les grands contrats», et avait, selon un ancien responsable de la DGSE cité par l’hebdomadaire, «toujours refusé les demandes d’écoutes destinées à l’espionnage économique ou politique d’un pays de l’Union européenne». Un tout relatif et fragile rempart dont il n’est manifestement même plus question.

Pour l’association de défense des libertés en ligne la Quadrature du Net, déjà vent debout contre la loi renseignement, ce nouveau texte va dans le sens d'«une véritable course à la guerre du renseignement contre nos partenaires européens et internationaux», et crée «une rupture catégorique de l’universalité des droits» entre citoyens français et étrangers. Elle a d’ailleurs déposé, avec le fournisseur d’accès à Internet French Data Network et la fédération des FAI associatifs (FFDN), deux recours contre le décret de 2008. Si le recours en référé – pour obtenir en urgence la suspension du décret – a été rejeté, le recours sur le fond, lui, court toujours. Un membre d’un collectif d’avocats franco-américain, la French American Bar Association, a par ailleurs demandé à la CNCIS de vérifier s’il était l’objet d’écoutes et d’en contrôler la légalité. Autant de démarches dont les suites pourraient venir nourrir le débat.