La loi contre le terrorisme et prorogeant l’état d’urgence a été publiée ce matin au Journal officiel . Cette situation est étendue de 6 mois, soit jusqu’au 22 janvier 2017. Mais c’est surtout sur la partie renseignement qu’il faut s’arrêter puisque le texte profite de l’occasion pour étendre les capacités de la lutte anti-terroriste

La loi prorogeant l’état d’urgence aurait pu s’en tenir à deux articles. L’un pour prévoir un nouveau délai d’extension, l’autre pour activer telle ou telle option de la loi socle de 1955, par exemple les perquisitions informatiques. Après l’attentat de Nice, les députés et sénateurs ont profité de la fenêtre parlementaire pour charger la barque d’un texte fort désormais de 21 articles. De fait, amendement après amendement, cette loi est devenue surtout un nouveau texte contre le terrorisme, malgré des dispositions déjà adoptées lors de la loi de programmation militaire (2013), la loi contre le terrorisme (2014), la loi renseignement (2015), la loi sur la surveillance des communications internationales (2015), la loi sur la réforme pénale (2016), etc.

Dans notre panorama de ses nouvelles dispositions, il faut surtout retenir celles relatives au renseignement et spécialement à l’extension des sondes, lesquelles sont indépendantes de l'état d'urgence.

Revenons d’abord sur la mécanique de la loi sur le Renseignement. Depuis 2015, les services ont la capacité d’exploiter des algorithmes prédictifs, nourris de données de connexion moissonnées sur les réseaux, en exploitant même une partie des URL visitées par les internautes. Ce sont les fameuses « boites noires », nom trop vite donné par un conseiller technique de François Hollande lors d’une conférence presse en comité restreint à laquelle nous participions. Paramétrés, ces algorithmes veulent par traitements automatisés « détecter des connexions susceptibles de révéler une menace terroriste ». (L.851-3 du Code de la sécurité intérieur)

Dès le début 2015, lors des débats parlementaires, l’Intérieur avait dévoilé ses intentions : « Si elle nécessite un suivi exhaustif des activistes déjà identifiés et répertoriés, l’anticipation de la menace attachée aux activités terroristes, qui constitue un impératif majeur pour la sécurité nationale, rend également nécessaire la détection de personnes qui ne l’avaient pas été précédemment ». Selon les documents préparatoires au projet de loi renseignement, l’exécutif avait en effet en tête « la recherche d’objectifs enfouis sous le maquis des réseaux de communications transnationaux, Internet offrant à cet égard des opportunités de furtivité immenses pour les acteurs et vecteurs de la menace ».

De la loi de Programmation militaire...

Une fois la menace mieux identifiée, un autre dispositif législatif peut prendre le relai pour pour concentrer l’attention. Il est d’ailleurs antérieur à la loi renseignement, puisqu’implanté par la loi de programmation militaire de 2013. Avec l’article L.246-1 du Code de la sécurité intérieure, les agents de l’Intérieur, de la Défense et de Bercy, justifiant de la recherche de renseignements concernant….

la sécurité nationale,

la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France,

la prévention du terrorisme,

la prévention de la criminalité et de la délinquance organisées

la prévention de la reconstitution ou du maintien de groupements dissous.

… peuvent en effet aspirer sur « sollicitation du réseau » tous les « documents » et « informations » détenus dans les mains des acteurs du net et des télécommunications. Cette notion de « sollicitation », éclairée par le Conseil constitutionnel suite à une heureuse QPC de la Quadrature du Net, FDN et FFDN, indique qu’il faut une demande de l’autorité administrative et une réponse des opérateurs, FAI et hébergeurs. Selon les sages de la Rue de Montpensier, en effet « les autorités administratives ne peuvent accéder directement au réseau des opérateurs ». Une interprétation validée par le Conseil d’État.

...En passant par la loi Renseignement

Avec la loi Renseignement, l’outil a changé de calibre et pas seulement parce que la loi a démultiplié le nombre de finalités permettant aux services du premier cercle, comme du second, de surveiller les communications. Cet espionnage peut se faire en effet un but offensif comme défensif, visant :

L'indépendance nationale, l'intégrité du territoire et la défense nationale ;

Les intérêts majeurs de la politique étrangère, l'exécution des engagements européens et internationaux de la France et la prévention de toute forme d'ingérence étrangère ;

Les intérêts économiques, industriels et scientifiques majeurs de la France ;

La prévention du terrorisme ;

La prévention des atteintes à la forme républicaine des institutions, des actions tendant au maintien ou à la reconstitution de groupements dissous, des violences collectives de nature à porter gravement atteinte à la paix publique ;

La prévention de la criminalité et de la délinquance organisées ;

La prévention de la prolifération des armes de destruction massive.

Notre article L.246-1 du Code de la sécurité intérieure, introduit par la LPM est à l’occasion devenu le L.851-1 du même code. Il permet le « recueil » chez les FAI, opérateurs, hébergeurs, éditeurs de sites, etc. des données de connexion « traitées ou conservées par leurs réseaux ou services de communications électroniques ». Dans le marbre, on a certes perdu au passage la logique de « sollicitation » du réseau prévue par la LPM, mais il faut en réalité toujours une demande exprimée par les services, d’ailleurs transmise à la Commission nationale de contrôle des techniques du renseignement.

Pour la prévention du terrorisme, la dynamique de l’open bar dénoncée par Snowden aux États-Unis, trouve ici ses lettres de noblesse grâce à un nouvel article. Le L.851-2 du CSI permet en effet « la collecte, en temps réel, sur les réseaux des opérateurs, de la totalité des données, informations et documents relatifs aux communications de personnes préalablement identifiées comme des menaces » (extrait de l’étude d’impact). Dans ce cadre spécifique, la loi Renseignement autorise le recueil en temps réel de l’ensemble des traces numériques laissées dans le sillage d’une personne qualifiée de menaçante par les services. Ce critère de la menace est important puisqu’« on est donc au-delà d’une simple suspicion. Il faut un minimum d’éléments tangibles pour la mise en œuvre de cette technique – c’est ce qu’a prévu le législateur » expliquait en ce sens Françis Delon, président de la CNCTR, lors d'une audition à l’Assemblée nationale en mai dernier.

L’autorisation de pistage délivrée par le Premier ministre vaut pour deux mois, renouvelable autant de fois que nécessaire, sans qu’il soit toutefois possible de se passer de l’avis préalable de la CNCTR, cette hypothèse ouverte en cas d’ « urgence absolue » étant interdite ici.

Ce mécanisme a été validé par le Conseil constitutionnel, celui-ci considérant que « le législateur a assorti la procédure de réquisition de données techniques de garanties propres à assurer entre, d'une part, le respect de la vie privée des personnes et, d'autre part, la prévention des atteintes à l'ordre public et celle des infractions, une conciliation qui n'est pas manifestement déséquilibrée » (point 56, voir aussi notre actualité détaillée).

Jusqu’à la loi contre le terrorisme et prolongeant l’état d’urgence

Après le choc de l’attentat de Nice, les parlementaires ont profité de l’instant pour asséner un nouveau tour de vis sécuritaire à cette disposition née avec la loi de Programmation militaire, grandie avec la loi Renseignement.

Comme expliqué dans nos colonnes, désormais, ce recueil en temps réel des données de connexion pourra viser non les seules données de connexion d’ « une personne préalablement identifiée comme présentant une menace » mais aussi celles d’une personne « préalablement identifiée susceptible d'être en lien avec une menace ».

Vous voyez la nuance ? La « menace » est certes toujours une condition nécessaire, mais le cercle concentrique des individus pouvant être traqués est considérablement élargi. Ses vagues n’éclaboussent plus seulement ceux en lien direct avec la « menace » mais aussi ceux simplement « susceptibles » de l’être.

Mieux. Cette extension du domaine de la lutte s’étend davantage, grâce à une logique de contamination sociale. Avec ce même article, les services pourront alpaguer, toujours en temps réel, également le nuage de données de connexion délesté par l’entourage de cette personne. Il suffira de disposer, non de preuves, mais de « raisons sérieuses de penser » qu'une ou plusieurs personnes « sont susceptibles de fournir des informations » au titre de la lutte contre le terrorisme.

Et en pratique ?

Avec la loi Renseignement, les services pouvaient espionner en temps réel l’individu A, car ils disposaient d’informations montrant que celui-ci est une menace terroriste. Avec la loi sur le terrorisme et prolongeant l’état d’urgence, un individu B pourra subir le même sort, si ces mêmes services estiment qu’il est simplement susceptible d’être en lien avec une telle menace. Et puisque la menace terroriste est diffuse, le renseignement gagne nécessairement en liberté d’action.

L’environnement social de B, ses amis dans la vraie vie ou sur Facebook, ou les amis de ses amis sur le réseau social, ses followers ou les followers de ses followers sur Twitter pourront subir le même sort. Comment ? Rien de plus simple. Les services du renseignement, après autorisation du Premier ministre et avis de la CNCTR, n’auront qu’à disposer de « raisons sérieuses de penser » que l’un de ces individus est « susceptible » de fournir des informations intéressant « une menace » avec laquelle l’un de ses proches, même indirect, serait lui-même « susceptible » d’être en lien… Ouf !

En toute logique, on peut avoir des « raisons sérieuses de penser » que n'importe qui est « susceptible » d’être ainsi visé s’il est l’ami de l’ami de l’ami d’un possible apprenti terroriste, puisqu’à ce stade les services n’ont aucune information solide. Et pour cause, cette quête informationnelle est la raison d’être de la surveillance.

Revenons pour finir à l’audition du président de la CNCTR. Un député lui avait spécialement demandé pourquoi, via ce fameux article L851-2, « en matière de surveillance à bas bruit, on ne pêche pas plus large, si vous me passez l’expression ». Réponse de Francis Delon : « Parce que la loi ne le permet pas. La loi dispose expressément que l’individu considéré doit représenter une menace ». Et celui-ci, de presque regretter du coup que « cette technique commence à être mise en œuvre, mais, pour l’heure, sur un nombre assez réduit de personnes ». Désormais, par le trou de serrure de la loi sur l’état d’urgence, les services pourront taper sur un nombre bien plus vaste de personnes, même celles ne représentant aucune « menace ».