Au Journal officiel, ce week-end, a été publié l’un des tout derniers décrets d'application de la loi sur le renseignement. Il touche au cœur de la mécanique de surveillance, en dressant la liste des données techniques de connexion accessibles aux services de surveillance.

Ce décret confie d’abord un rôle pivot au groupe interministériel de contrôle, dont le président a été nommé dimanche par Manuel Valls. Le GIC, organisme créé dans les années 1960, officialisé en 2002 et placé auprès du Premier ministre, va en effet enregistrer l’ensemble des autorisations de surveillance qu’aura prononcée celui-ci. Ceci fait, il recueillera et conservera l’ensemble des métadonnées glanées auprès des intermédiaires techniques, hébergeurs et FAI, tout en centralisant l'exécution des interceptions de sécurité (« écoutes ») et leurs retranscriptions. Enfin, il va « contribuer » à la centralisation et à la traçabilité de ces différentes opérations. Bref, un rôle fondamental dans la mise en œuvre de la loi sur le renseignement.

Quelles sont les données de connexion ?

Le même texte définit surtout ce que sont les données de connexion susceptibles d’être recueillies. Ce point est là encore primordial, car il touche aux « informations ou documents » pouvant être aspirés par les services sur le dos des infrastructures, serveurs, etc. des intermédiaires.

Le nouvel article R851-5-I commence par définir ce que les données de connexion ne sont pas : elles ne peuvent viser le « contenu des correspondances échangées ou des informations consultées ». C’est là une suite de la décision du Conseil Constitutionnel, qui fut appelée à définir ce champ suite à une question prioritaire de constitutionnalité soulevée par la Quadrature du Net, FDN et FFDN.

Mais quelles sont donc les données de connexion que pourront butiner les services ? Elles dépendent de la qualité de l’intermédiaire, tel que définit par le Code des postes et des télécommunications. Ces données peuvent par ailleurs être glanées en temps différé ou en temps réel.

Les données glanées en temps différé

Opérateurs de communications électroniques :

Les informations permettant d'identifier l'utilisateur, notamment pour les besoins de facturation et de paiement

Les données relatives aux équipements terminaux de communication utilisés

Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication

Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs

Les données permettant d'identifier le ou les destinataires de la communication

Les opérateurs de téléphonie :

Les données permettant d'identifier l'origine et la localisation de la communication

Les données permettant d’établir la facturation

Les « opérateurs » :

Les données permettant d'identifier l'origine de la communication

Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication

Les données à caractère technique permettant d'identifier le ou les destinataires de la communication

Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs

Les FAI :

L'identifiant de la connexion

L'identifiant attribué par ces personnes à l'abonné

L'identifiant du terminal utilisé pour la connexion lorsqu'elles y ont accès

Les dates et heure de début et de fin de la connexion

Les caractéristiques de la ligne de l'abonné

Les hébergeurs :

L'identifiant de la connexion à l'origine de la communication

L'identifiant attribué par le système d'information au contenu, objet de l'opération

Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus

La nature de l'opération

Les date et heure de l'opération

L'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni

Les FAI et hébergeurs :

Au moment de la création du compte,

l'identifiant de cette connexion

Les nom et prénom ou la raison sociale

Les adresses postales associées

Les pseudonymes utilisés

Les adresses de courrier électronique ou de compte associées

Les numéros de téléphone

Les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour

Lorsque la souscription du contrat ou du compte est payante, les informations suivantes relatives au paiement, pour chaque opération de paiement :

Le type de paiement utilisé

La référence du paiement

Le montant

La date et l'heure de la transaction.

Les données recueillies en temps réel

Il s’agit de données d’une personne présentant une menace terroriste, mais également le spectre des boites noires, celles chargées de calculer par algorithme la présence d’une telle menace à partir d’un stock « d’informations ou documents ». On trouve celles :

Permettant de localiser les équipements terminaux

Relatives à l'accès des équipements terminaux aux réseaux ou aux services de communication au public en ligne

Relatives à l'acheminement des communications électroniques par les réseaux

Relatives à l'identification et à l'authentification d'un utilisateur, d'une connexion, d'un réseau ou d'un service de communication au public en ligne

Relatives aux caractéristiques des équipements terminaux et aux données de configuration de leurs logiciels.

Les conditions d’accès aux données de connexion

Pour les procédures de recueil en temps différé, la demande de recueil, émise par le ministre de la Défense, de l’Intérieur, des ministres de Bercy, devra spécifier la technique à mettre en œuvre, le service compétent, la finalité poursuivie, ses motifs, la durée de validité, etc., mais également les informations ou documents ciblés.

En principe, cette demande doit indiquer le nom et la qualité du demandeur, mais le décret autorise les demandes anonymes. Dans ce cas, « lorsque l'anonymat de l'agent concerné doit être préservé », donc, « la demande comporte toute indication permettant à la Commission nationale de contrôle des techniques de renseignement et au Premier ministre ou à ses délégués de vérifier l'identité du demandeur. »

Ces demandes et la décision de surveillance sont stockées, tracées, etc. par le GIC, tout en étant « automatiquement effacées du traitement, sous l'autorité du Premier ministre, à l'expiration de la durée de conservation ». Au-delà, donc, ce sera le trou noir.

Toujours pour cette procédure en temps différé (851-1 CSI), la discrétion est étendue. L’ordre de procéder au recueil est adressé aux intermédiaires, sans que cet ordre ne leur mentionne l’origine exacte de la demande, ni le service pour lequel il est présenté, la ou les finalités poursuivies et les motifs. De leur côté, les intermédiaires doivent transmettre « sans délai les informations ou documents demandés » au GIC « selon des modalités assurant leur sécurité, leur intégrité et leur suivi ». Un temps différé, mais sans l’ombre d’un retard.

Le décret applique cette même discrétion à un autre mode de collecte, celui visant à aspirer les données de localisation « sur sollicitation du réseau et transmise en temps réel par les opérateurs à un service du Premier ministre » (851-4 CSA). Le texte d’application reformule cette phrase issue de la loi sur le renseignement : « La transmission des données techniques demandées intervient en temps réel sur sollicitation du réseau par l'opérateur qui l'exploite ». En clair, les services appuieront sur un bouton, et les intermédiaires devront répondre à cet ordre en révélant la position géographique des personnes surveillées en temps réel.

La loi sur le renseignement prévoit une autre procédure de recueil en temps réel : il s’agit cette fois de tracer tous les échanges d’une personne constituant une menace terroriste (851-2 CSI). Tout est ici plus simple puisqu’il n’y a plus de passage administratif dans les mains des intermédiaires : « le groupement interministériel de contrôle recueille en temps réel, sur les réseaux (…) les informations ou documents demandés ». Il n’y a pas davantage de sollicitation du réseau toujours via les intermédiaires, mais un accès direct à leurs infrastructures, leurs serveurs, etc.

Et pour les boites noires (851-3 CSI) ? Le décret sur l’accès aux données de connexion est très silencieux sur le mode opératoire, qui ne fera en outre l’objet d’aucun texte d’application particulier.

Évidemment, tous ces flux relatifs à l’environnement d’une correspondance (métadonnée, etc.) pourront permettre de pousser le bouchon plus loin afin de savoir ce qui est dit dans les tuyaux. Comme la loi sur le renseignement, le décret prévoit que ces « informations ou documents » recueillis pourront « être exploités aux fins d'accéder au contenu de correspondances échangées ou d'informations consultées », il faudra toutefois une autorisation spécifique…

Les intermédiaires remboursés non au réel, mais selon un tarif ministériel

La Commission nationale de contrôle des techniques de renseignement disposera d'un accès permanent, complet, direct et immédiat aux traitements automatisés orchestrés par le décret. Seulement, ce dernier ne précise pas comment sera centralisé l’ensemble de ces informations… c’est pourtant un point central pour qui veut assurer un contrôle effectif.

Ajoutons que les intermédiaires seront remboursés des frais liés à la mise en œuvre des techniques du renseignement. Cette compensation se fera sur la base non du réel, mais d’un tarif fixé par le Premier ministre. Précisons que ces remboursements viseront la mise en œuvre de toutes les techniques du renseignement, couvrant notamment la mise en place de boite noire.

Le même texte organise la saisine du Conseil d’État par la commission de contrôle des techniques du renseignement, si celle-ci venait à constater un manquement dans la mise en œuvre de la loi. La loi sur le renseignement l’autorise en effet à émettre dans un tel cas une recommandation à l’attention du Premier ministre. Si celui-ci l’ignore en tout ou partie, la CNCTR pourra saisir la haute juridiction administrative « dans le délai d'un mois à partir de la date où [elle] a eu connaissance de la décision du Premier ministre prise à la suite d'une recommandation qu'elle a émise. »

Les agents autorisés à concevoir des logiciels et appareils de surveillance

Enfin, le décret patche plusieurs dispositions réglementaires du Code pénal qui confient de longue date au Premier ministre le soin de définir la liste des appareils de surveillance pouvant être importés, distribués, commercialisés, détenus, etc. en France. Ce pouvoir est désormais étendu des appareils (hardware) aux « dispositifs techniques » (software).

Que les services du renseignement soufflent : ils n’auront pas à solliciter une telle autorisation du premier ministre pour concocter et mettre en œuvre leurs yeux et oreilles électroniques : notre décret prévient qu’à leur égard, l’autorisation du Premier ministre « est accordée de plein droit » pour la fabrication d'appareils ou de dispositifs techniques. Ils n’auront donc qu’à claquer du doigt.

Enfin, ce texte a été précédé de plusieurs avis, émis par la Commission nationale de l'informatique et des libertés, l'Autorité de régulation des communications électroniques et des postes, et la Commission nationale de contrôle des techniques de renseignement. Aucun n’ayant été publié à ce jour, nous allons les solliciter auprès des autorités concernées.