Le projet de loi sur le renseignement sera discuté en séance entre les 13 et 16 avril prochains. Les débats sur ce texte préparé depuis plusieurs années se feront sous la voie de « l’urgence », choix de l’exécutif. Voilà en attendant une analyse ligne par ligne du texte, avec au passage, de premières suggestions de rustines (identifiées par ces « patchs » qui égrainent notre dossier).

Le deuxième article (L. 811-2) est plus intéressant puisqu’il donne enfin une définition du renseignement : voilà une activité qui, aussi bien en France qu’à l’étranger, recherche, collecte, exploite et met à disposition du gouvernement une masse de données. Elles concernent les « enjeux géopolitiques et stratégiques » et les « menaces et risques susceptibles d’affecter la vie de la Nation. ». C’est flou, vaste, brumeux, donc sans limite précise… (Patch : mieux définir ces expressions ?).

Mais que dit exactement ce projet de loi destiné à légaliser des pratiques hors normes ? Sur le site de l’Assemblée nationale , celui-ci commence fort, réaffirmant le principe du respect de la vie privée (art. L. 811-1 du texte). La brique est cependant symbolique, très fragile même, puisque tous les autres articles sont taillés pour la réduire en poudre sur l'autel de la sécurité. Contrairement à ce que souhaitait la CNIL d’ailleurs, le gouvernement n’a pas expressément intégré dans la vie privée, aux côtés du secret des correspondances et de l’inviolabilité du domicile, le principe du respect des données personnelles. Un oubli tout autant emblématique (patch : à ajouter ?).

Le projet de loi sur le renseignement a suscité une lourde controverse. Plusieurs organisations tiendront d'ailleurs aujourd’hui, à partir de 9h30, une conférence de presse. Il s'agit de l'Observatoire des Libertés et du Numérique, de la Ligue des Droits de l'Homme, de la Quadrature du Net, du Syndicat de la Magistrature, du Syndicat des avocats de France, de CREIS-Terminal, du Centre d'étude sur la citoyenneté, l'informatisation et les libertés, d'Amnesty International France et de Reporters sans frontières. Tous sont opposés à ces mesures de surveillance que tient désormais à légaliser le gouvernement, avec le soutien de l’UMP. Autant dire déjà que le Conseil constitutionnel a très peu de chances d'être saisi avant la promulgation de la loi.

L’article L. 811-3 du projet de loi prépare la rampe de lancement, l’une des plus importantes du texte. Pourquoi ? Parce qu'elle dresse la liste des sept catégories de renseignements dont la mise en cause justifiera le déploiement de mesures très intrusives (en contrariété finalement avec ce qui est chanté dès le premier article du texte).

Quelles sont ces sept finalités ?

La sécurité nationale (qui a pour objet « d'identifier l'ensemble des menaces et des risques susceptibles d'affecter la vie de la Nation, notamment en ce qui concerne la protection de la population, l'intégrité du territoire et la permanence des institutions de la République, et de déterminer les réponses que les pouvoirs publics doivent y apporter » selon l’article L1111-1 du code de la défense). Les intérêts essentiels de la politique étrangère et l’exécution des engagements européens et internationaux de la France Les intérêts économiques et scientifiques essentiels de la France La prévention du terrorisme La prévention de la reconstitution ou du maintien de groupement dissous La prévention de la criminalité et de la délinquance organisées La prévention des violences collectives de nature à porter gravement atteinte à la paix publique.

Ces sept serrures, derrière la porte desquelles s’étend tout le champ du renseignement, tranchent quelque peu avec les cinq actuellement en vigueur. Pour justifier les interceptions de sécurité, le Code de la sécurité intérieur liste ainsi :

La sécurité nationale La sauvegarde des éléments essentiels du potentiel scientifique et économique de la France La prévention du terrorisme La prévention de la criminalité et de la délinquance organisées La prévention de la reconstitution ou du maintien de groupements dissous

On le voit, le projet de loi sur le renseignement enrichit l'actuelle liste par l’adjonction de « la prévention des violences collectives de nature à porter gravement atteinte à la paix publique » et celle des « intérêts essentiels de la politique étrangère et l’exécution des engagements européens et internationaux de la France ».

Selon l’étude d’impact annexée au projet de loi, ce dernier cas inclut « la prévention de la prolifération des armes de destruction massive », mais la liste est ouverte dans cette catégorie aux contours obscurs. Par ailleurs, aucun détail n’est donné sur la question des « violences collectives », du moins celles attentatoires à la « paix publique ». L’expression offre donc une multitude de possibilités. Iront-elles jusqu'à valider l’espionnage cyber-technologique de ceux qui se sont opposés trop violemment au barrage de Sivens ?

Quels seront les services compétents du renseignement ?

En conclusion préliminaire, lorsqu’un service sera épris d’espionite, il devra d’abord expliquer et démontrer la poursuite d’une des sept finalités, un lien de cause à effet avec les mesures de renseignement sollicitées, lesquelles devront être nécessaires et proportionnelles.

Quels sont ces services ? Pour le savoir, plongeons dans le riant article L. 811-4, qui prévient que seuls les renseignements de la Défense, de l’Intérieur, de l’Économie, du Budget ou des Douanes pourront ouvrir l’une des sept portes magiques. C’est déjà beaucoup, mais histoire d’ajouter du flou au flou, le gouvernement prévoit déjà un décret en Conseil d’État pour reconnaître ce droit à d’autres services, non encore désignés (patch : encadrer, limiter cette contagion ?)

Le feu vert du Premier ministre, parfois dans le silence de la CNCTR

Une fois la porte ouverte, reste un petit bout de chemin avant de pouvoir déployer l’armada techno-intrusive. Comme le prévoit l’article L. 821-1, sur le territoire national, tout sera suspendu à l’autorisation préalable du Premier ministre (ou l’un de ses délégués).

Dans le détail (L. 821-2), la demande sera écrite, motivée et formulée par le ministre (Défense, Intérieur, Économie) saisi par le service du renseignement concerné. Elle devra préciser la technique mise en œuvre, ses finalités, les motifs et, le cas échéant, les personnes, lieux ou véhicules ciblés. Cependant, la personne n’est pas toujours nommément connue. Pas de problème ! Le projet de loi se contentera d’un « identifiant » (monsieur 1.1.1.1), voire bêtement d’une « qualité ». On peut évoquer l'hypothèse d'un potentiel responsable de tel mouvement menaçant, des possibles instigateurs d’une menace terroriste future, etc. Ces expressions ne sont malheureusement pas détaillées dans le projet de loi.

Avant de se prononcer, le Premier ministre devra consulter pour avis simple une nouvelle autorité administrative indépendante, la Commission nationale de contrôle des techniques de renseignement (CNCTR). Le dossier sera communiqué à son président (art. L. 821–3) dont l’avis sera attendu sous 24 heures, voire 72 heures en cas de doute sur la validité du dispositif sollicité. L'avis du seul président suffit pour lancer ces mesures (alors qu'il faudra une majorité qualifiée pour les stopper). (Patch : revoir les règles de vote ?) Mieux : si la Commission garde le silence, notamment parce qu’elle est surchargée, pas de problème : « l’avis est réputé rendu » assène le projet de loi. Il sera considéré comme favorable si le président de la CNCTR ne pipe mot (Patch : renverser cette logique, silence valant refus ?).

S’il accorde son feu vert, l’autorisation du Premier ministre (ou son délégué) détaillera la technique, la finalité, la durée de validité effective, les services compétents, etc. (L. 821-4). Un détail d’importance : l’autorisation sera accordée pour quatre mois maximum, mais la loi se montre doublement généreuse : le délai est renouvelable, autant de fois que nécessaire. La décision finale est enfin communiquée « sans délai » à la Commission, fichée dans les registres du Premier ministre, tenus eux aussi à disposition de l'organe de contrôle.

Voilà pour la procédure normale. Il existe cependant un cas où le premier ministre pourra se passer de l’avis de la CNCTR (art. L. 821-5.). C’est celui de « l’urgence absolue ». La Commission se contentera d’être simplement informée sans délai de la situation. Un degré de contraintes réduit au plus bas niveau...

L’avis négatif de la CNCTR

Que se passe-t-il si la CNCTR rend finalement un avis négatif, par exemple si les techniques de renseignement ne respectent pas l’encadrement prévu, ou si l’urgence absolue est une vaste plaisanterie ? Selon l’article L. 821-6, la CNCTR peut dans ce cas adresser une vigoureuse « recommandation » au Premier ministre et aux services, afin de les inciter à stopper l’intrusion et détruire les renseignements collectés.

En retour, le Premier ministre doit l’informer des suites qu’il entend donner à ces remarques. S’il fait la sourde oreille, la commission pourra en bout de course décider de saisir le Conseil d’État. Seulement, cette saisine n’est possible qu’à la majorité absolue de ses membres (donc 50 % + 1). Autant dire que le choix des personnes nommées au sein de la CNCTR sera fondamental. (Patch : prévoir un système d’arrêt d’urgence en cas d’infraction manifeste, prévoir une majorité moins forte ?)

Durée de conservations des données aspirées

Les techniques de renseignements sont tracées, horodatées. Les données collectées seront centralisées en un point, puis détruites à l’issue de la durée prévue pour chaque technique. C’est à un décret en Conseil d’État, et donc au gouvernement, qu’il revient de préciser ces bornes, lesquelles devront être inférieures à douze mois (art. L. 822-1.). Voilà pour le principe, qui souffre évidemment d’une pluie d’exceptions, dénoncées par la CNIL.

Il y a déjà des brèches ouvertes pour « les besoins de l’analyse technique ». Cela vise deux cas, principalement :

Les données collectées contiennent des éléments de cyberattaque Les données collectées sont chiffrées (et les données décryptées associées)

Ces données-là seront conservées… sans limites de temps (du moins jusqu’à la fin de l’analyse technique). Seul bornage, elles ne pourront alors pas servir à justifier la surveillance des personnes concernées. Maigre filet.

Autre brèche, les correspondances écoutées (les interceptions) seront enregistrées puis en principe détruites un mois après leur enregistrement. Si elles sont chiffrées, ce délai ne débutera cependant qu’à compter de leur décryptage. Dans tous les cas, si la CNCTR juge les délais trop longs, elle pourra émettre là encore « une recommandation », puis saisir le Conseil d’État, sous condition de majorité absolue là encore.

Continuons sur ce terrain marécageux : les transcriptions ou extractions - le jus extrait de ces données - seront « détruites dès que leur conservation n’est plus indispensable à la réalisation » de la finalité initiale. C’est un nouveau flou, allant de quelques jours à l’éternité et au-delà. (Patch : plafonner dans le temps ?)

Des crimes et délits découverts par accident, lors du renseignement

Curieusement, si toutes ces opérations sont en principe mises en œuvre sous l’autorité du Premier ministre, tel n'est pas le cas de celles liées au contrôle des finalités ou relatives aux destructions, explique l’article L.822-5. (Patch : corriger cette faille ?)

De même, c’est dit et redit dans le projet de loi : ces opérations doivent être motivées par l’une des sept finalités. Cependant, l’article L. 822-6 prévient que si, lors de ces collectes, un agent du renseignement découvrait un crime ou un délit, même sans lien avec l’une de ces sept finalités, il devra en aviser sans délai le procureur de la République, en lui transmettant les procès-verbaux utiles. Grâce au jeu de l’article 40 du code de procédure pénale, on basculera dans une procédure judiciaire classique, à l’aide du déploiement d’outils exceptionnels de surveillance administrative. Précision importante : cette dénonciation pourra se faire même si les mesures de surveillance étaient à l'origine, illicites.

La Commission nationale de contrôle des techniques de renseignement

Ouvrons la porte de cette commission. Qu’y trouve-t-on ? Elle est composée de neuf membres, désignés par les structures correspondantes (L. 831-1) :

Deux députés

Deux sénateurs

Deux membres du Conseil d’État (actuels ou retraités)

Deux magistrats (actuels ou retraités) de la Cour de cassation

Une personnalité qualifiée pour sa connaissance en matière de communications électroniques (nommée sur proposition du président de l’ARCEP)

Quid du président ? C’est le décret de nomination qui le désignera parmi les seuls membres issus du Conseil d’État ou de la Cour de cassation. Son rôle est important, notamment parce que sa voix prédomine en cas d’égalité de vote.

Tout ce beau monde sera en poste pour six années, avec quelques nuances : les parlementaires siègeront pendant toute la législature de l’Assemblée, ou jusqu’au renouvellement par tiers du Sénat. De même, les membres issus du Conseil d’État ou de la Cour de cassation sont renouvelés par moitié tous les trois ans, histoire d’oxygéner ses veines.

Ces personnes pourront démissionner, mais non être « virées » sauf si la Commission venait à constater un « empêchement » ou « un manquement » (les modalités de ces mesures importantes sont renvoyées au règlement intérieur). Ces personnalités sont indépendantes, également dans l’exercice de leurs attributions (L.832-1). Elles « ne reçoivent d’instruction d’aucune autorité ». De même, le président ne peut être titulaire d’aucun mandat électif, ni exercer une activité professionnelle en parallèle. Autre garantie, les membres de la Commission ne pourront être en liaison d’intérêts directs ou indirects avec les services du renseignement, les FAI, les opérateurs ou les hébergeurs techniques. Cependant, la loi ne prévoit malheureusement aucune obligation de publier les déclarations publiques d’intérêts de ces personnalités. (Patch : prévoir cette publication ?).

La CNCTR ne peut délibérer que si au moins quatre membres sont présents. Classiquement, comme déjà souligné, la voix du président est prépondérante en cas de partage (L. 832-3).

Dans l’étage en dessous, on trouvera aussi un certain nombre d’agents (budget non précisé) choisis « en raison de leurs compétences juridiques, économiques et techniques en matière de communications électroniques et de protection des données personnelles ». Il n’y a pas le moindre empêchement déontologique, ce qui fait craindre de possibles problèmes d’étanchéité… (Patch : prévoir a minima des incompatibilités directes ?).

Cette autorité administrative indépendante verra ses comptes vérifiés par la Cour des comptes (L. 832-4). Cependant, sauf erreur, la loi ne prévoit pas de publication du rapport qui en ressortira (Patch : prévoir cette publication ?).

Les missions de la CNCTR

Conformément à l’article L. 832-5, les membres de la commission pourront prendre connaissance d’éléments couverts par le secret de la défense nationale (article 413-9 du Code pénal). Ils y seront eux aussi soumis, par contagion.

Quelle sera la mission première de la CNCTR ? (L. 833-1) Simple : « veiller à ce que les techniques de recueil du renseignement soient mises en œuvre sur le territoire national conformément [aux textes] ». À cette fin (art. L. 833-2.), tous, des agents aux ministres, devront faciliter son action (une obligation de moyen, sans sanction particulière). La CNCTR disposera aussi d’un droit d’accès à toutes les données collectées, transcription, etc. De même elle « est informée à tout moment (…) des modalités d’exécution des autorisations en cours ». Seul détail, cette information ne se fera qu’ « à sa demande » et non au fil de l’eau… (Patch : renverser cette logique ?)

Pour mieux l’éclairer, il est prévu que le Premier ministre lui communique aussi les éventuels rapports menés en interne sur les services du renseignement. Seulement cette communication sera optionnelle et pourra même se faire pour partie (Patch : la rendre intégrale et obligatoire ?). Selon le projet de loi, la commission « établit chaque année un rapport public dressant le bilan de son activité ».

Une CNCTR qui peut contrôler et être saisie

Cette CNCTR a aussi des relations avec l’extérieur. Opérateurs, services en ligne, hébergeurs, etc. doivent tous autoriser « à fin de contrôle » les membres et les agents de la CNCTR à entrer dans leurs locaux, là où sont installés les outils de surveillance (les boites noires et autres sondes, L.871-4). « Ils communiquent dans les mêmes conditions toutes les informations sollicitées par la commission ayant trait à ces opérations. »

Quiconque pourra aussi saisir la Commission afin que celle-ci vérifie si une technique de renseignement a été mise en œuvre contre lui par exemple (L. 833-3). Difficile cependant de le savoir puisque tout est secret défense ! D'ailleurs, cette saisine est réservée aux seules personnes ayant « un intérêt direct et personnel », non au tout-venant, ce qui va raréfier d'autant son intervention. De même, l’auteur de la réclamation restera dans un petit brouillard, comme on le verra : il ne sera pas informé très exactement des suites de sa procédure. S’il l’estime utile, il pourra toujours se retourner devant le Conseil d’État comme on le verra plus bas.

Au fil de ses missions, la CNCTR peut également procéder à des contrôles « de sa propre initiative ». En cas d’irrégularité, retour à la recommandation et la possible saisine du Conseil d’État. Conformément à l’article L. 833-4, toutes ces réclamations seront consignées dans son rapport annuel qui devra également décrire le nombre de fois où le Premier ministre a décidé de passer outre, refusant d’interrompre les opérations de renseignement. Il n’est prévu que des données chiffrées, non des détails précis sur les modalités exactes (Patch : enrichir le descriptif sur les techniques utilisées, leur volumétrie ?).

La CNCTR pourra aussi adresser au Premier ministre, et à tout moment, non seulement des recommandations, mais aussi des observations qu'elle juge utiles (L. 833-5). Ces observations seront (sur option) communiquées à la délégation parlementaire au renseignement. Seulement, dans ce cas, seront caviardés les passages qui permettraient de lever l'anonymat, ou mettraient en péril la sécurité ou la vie d'une personne. De même seront gommés les modes opératoires mis en œuvre. Bref, de la transparence relative.

Enfin, histoire de nourrir un peu plus les échanges, à tout moment la commission « peut répondre aux demandes d’avis du Premier ministre, des présidents des assemblées et de la délégation parlementaire au renseignement » (L. 833-6).

Passons maintenant à la cybersurveillance.

Crédits : cherezoff/iStock/ThinkStock

Données de connexion ciblant des personnes identifiées

Le projet de loi réorganise le code de la sécurité intérieure concerné. Il intègrera à l’avenir deux chapitres, l’un sur l’accès administratif aux données de connexion, l’autre sur les interceptions (les écoutes).

Commençons par les premières qui concernent tout le contexte d’un échange y compris les contrats d’abonnement, soit selon les acteurs concernés IP, adresse, lieu, date, numéros, etc., mais jamais le contenu des correspondances (voix, texte, vidéo). Pour installer un tel pipeline, il faudra l’autorisation du Premier ministre , l’inévitable avis de la CNCTR et le respect de quelques conditions.

D’un, le recueil de ces données doit viser ici des personnes « préalablement identifiées comme présentant une menace » dit l’article L. 851-3 (identifiées nommément, par qualité ou identifiant). De deux, cette menace doit être couplée avec la finalité de la prévention du terrorisme. Quelques individus qui s'autoradicalisent à tour de bras sur Facebook pourraient théoriquement justifier ce déploiement. Si l’une et l’autre de ces conditions sont vérifiées, c’est le pont d’or : les services profiteront alors d’un accès « en temps réel sur les réseaux des opérateurs » pour récupérer par wagon les données de connexion de ces personnes.

Cet accès est vaste puisqu’il s’étend jusqu’aux infrastructures des intermédiaires techniques (hébergeurs, FAI) et même aux autres services en ligne (Skype, etc.). C'est un bond énorme par rapport à la loi de programmation militaire, du moins sur le terrain du terrorisme. Celle-ci avait déjà suscité beaucoup de troubles en 2013, parce qu’elle oblige les opérateurs à fournir les données de connexion à la demande des services, en temps réel. Avec la loi sur le renseignement, ces mêmes services sauteront cette étape pour aspirer directement de la donnée ! Pour prendre une image, on passe d’un restaurant classique à un self-service en open-bar. Telle l’abeille sur sa fleur, l’agent butinera en accès direct et temps réel tout ce qu’il jugera potentiellement utile, tant que ce n’est pas du contenu et qu’il reste sur les rails de la fameuse « menace » terroriste.

Données de connexion anticipant une menace terroriste : la boîte noire

S’il n’y a pas de personnes identifiées, les services ne sont pas dépourvus. L’article L. 851-4 permet cette fois à la truffe du renseignement de renifler, anticiper une possible menace terroriste, qu’elle soit fantôme ou finalement bien réelle.

Concrètement, le Premier ministre pourra imposer à tous les acteurs des nouvelles technologies une « boite noire » sur leurs infrastructures (tuyaux, DSLAM, serveurs, etc.) « destinée à révéler, sur la seule base de traitements automatisés d’éléments anonymes, une menace terroriste ». L’expression de menace terroriste est elle-même très floue, variant selon les sensibilités sécuritaires et anxiogènes.

Mais quelle est exactement cette boite noire, ce dispositif lesté d’algorithmes prédictifs ? Rien n’est décrit précisément dans le projet de loi ou son étude d’impact, laquelle évoque simplement « l’anticipation de la menace attachée aux activités terroristes ». C’est un chalutage profond de toutes les données de connexion pour tenter de trouver des signaux faibles. À la barre, un algorithme, et en guise de marins, pourquoi pas du deep packet inspection ? Questionné, Matignon nous a simplement répondu que ces détails seraient discutés avec les opérateurs, sans infirmer notre hypothèse. On espère du coup que le travail parlementaire sera utile sur ce point. Une obligation : ce chalutage ne portera que sur les données de connexion, non les contenus, cependant la CNIL a déjà expliqué combien il était simple de retracer toute l'identité d'une personne via ces simples éléments...

Si les algorithmes « matchent », alors le Premier ministre pourra autoriser la levée de l’anonymat des IP glanées. Les services passeront alors à plus musclé, pointant leur aspirateur sur toutes les données de connexion sécrétées par la personne désormais identifiée (art. L851-3). On n’ose à peine imaginer les conséquences d’un plantage de l’algorithme, d’un faux positif ou si le logiciel remonte trop tôt dans le précrime. Quid si un avocat, un parlementaire et autres professions « sensibles » tombent dans le filet ?

Précision importante: la boite noire sera installée pour 30 jours. C'est peut être satisfaisant, sauf que le délai sera autant de fois renouvelable que nécessaire, pourquoi pas 365 jours par an si notre menace fantôme devient constante. Le cas échant (comme à chaque fois dans le texte) il faudra cependant reprendre la procédure à zéro (demande, etc.). Petite tracasserie : le nombre de renouvellements obtenus ne sera pas détaillé dans le rapport de la CNCTR (Patch : prévoir cette information ?)

Une armada d’autres techniques de renseignement, parfois sans autorisation

À l’article L. 851-6, sont décrites d’autres techniques, plus limitées au terrorisme, mais donc motivées par la prévention des sept plaies de la loi. Il y a d’abord la mise en place d’un mouchard permettant de localiser en temps réel une personne, un véhicule ou un objet. Là encore, tout passe par une autorisation du Premier ministre, en principe, évitée cependant en cas d’urgence, de menace imminente ou « de risque très élevé de ne pouvoir effectuer l’opération ultérieurement ». Dans une telle hypothèse, l’autorisation spéciale est accordée par la loi pour 48 heures.

Il y a ensuite le dispositif technique de proximité (IMSI Catcher), en fait une fausse antenne relai (L. 851-7). Sa vocation ? D'une part, aspirer les données de connexion afin d’identifier un équipement terminal ou le numéro d’abonnement de son utilisateur. D’autre part, géolocaliser l’équipement. Ces fausses antennes pourront être installées, après « autorisation spécialement motivée » du Premier ministre, sur un lieu déterminé où ils glaneront tout ce qui passe dans leur spectre. Durée de mise en place maximale ? 6 mois.

Crédits : Manuel-F-O/iStock/Thinkstock

Les interceptions de sécurité

Afin de prévenir un acte de terrorisme, l’IMSI catcher pourra parfois monter en capacité et faire de l’interception de correspondance (écoutes). La durée d’installation sera alors limitée au strict nécessaire, dit le texte. Concrètement, la tranche de base sera de 72 heures, mais... renouvelable sans limites.

Là encore, ces outils pourront être installés et exploités sans autorisation si urgence, menace imminente ou « risque très élevé de ne pouvoir effectuer l’opération ultérieurement ». Lanceurs d’alerte, journalistes, parlementaires, avocats, et autres citoyens, tant pis pour vos données si vous passez dans les environs d’IMSI. Seule garantie : les données inutiles devront être détruites.

Comment se dérouleront les interceptions de sécurité, notamment plus classiques ? Déjà une précision : l’autorisation d’une écoute emportera celle visant la donnée autorisée. La CNIL l’a regretté, mais le gouvernement s’en est peu soucié. Donc en cas d’écoute, seront avalés les données de connexion, les contenus des échanges, les voix, sons, images, vidéos, écrits émis ou reçus. Bref toute une vie privée, professionnelle, familiale et sociale. L’individu se retrouvera virtuellement « à poil » dans une pièce bardée de capteurs, palpeurs et yeux électroniques.

En pratique, après autorisation du Premier ministre, la demande devra viser une personne bien déterminée (en post-boîte noire par exemple). Seulement, l’écoute est extensible. Elle visera ses proches s’ils sont « susceptibles de jouer un rôle d’intermédiaire, volontaire ou non » ou s’ils peuvent « fournir des informations » répondant aux sept finalités. Par effet domino, les proches des proches des proches, etc. devraient tout autant être impactés. Tant que le filon est jugé potentiellement exploitable, il faut continuer l’excavation ! Un fonctionnement identique à la gigantesque toile tissée par la NSA et dont l'agence avait dû expliquer le fonctionnement devant le Congrès américain.

Le nombre d’interceptions est comme aujourd’hui contingenté par le Premier ministre (après avis de la CNCTR), sans limites particulières.

Sonorisation des lieux et véhicules et mouchards informatiques

Ces intrusions ne seront possibles que subsidiairement, si les renseignements espérés ne peuvent être recueillis par un autre moyen légalement autorisé (L. 853-1.). Le projet de loi est généreux, prévoyant l’installation de caméras et micros, même dans un lieu privé, lequel pourra être celui de Mme Michu, d’un chef d’entreprise, et même d’un avocat, d’un journaliste ou d’un parlementaire, puisque le gouvernement a là encore oublié de protéger ces personnes « à risque ». Évidemment, l’inviolabilité du domicile, affichée fièrement au premier article du texte, ne jouera pas. Symbolisme, on vous dit.

Autre chose, des mouchards informatiques pourront aussi être placés sur n’importe quel « système automatisé de données ». Selon Matignon, l'expression vise un ordinateur. Mais juridiquement, cela concerne aussi les tablettes, smartphones, les sites internet, les serveurs... bref n’importe quel bidule qui manipule des flux d’octets.

Cette foire à l’indiscrétion peut durer deux mois, bien entendu renouvelable si nécessaire. Puisqu’on touche aux correspondances, les données collectées devront cependant être détruites au plus tard à l’expiration d’un délai d’un mois à compter de leur enregistrement. Le décret précisant les modalités de mise en œuvre de ces outils surveillance ne sera pas publié, visiblement lorsqu'ils seront utilisés dans un cadre international, selon l’étude d’impact.

Les mesures de surveillance internationale

La loi prévoit un régime à part pour le renseignement sur les communications internationales (L. 854-1). Cette hypothèse vise par exemple un émetteur en France et un récepteur à l’étranger. Concrètement, s’il y a un tel élément d’extranéité, surprise( !), l’autorisation initiale du Premier ministre n’est plus soumise à l’avis de la CNCTR (patch : prévoir cette saisine ?).

La CNCTR se contentera en effet d’intervenir que lors de la rédaction du décret encadrant ces mesures (conditions d’exploitation, de conservation et de destruction des renseignements collectés, etc.) ou pour leur mise en œuvre, histoire de vérifier si droit et pratiques sont en phase. Elle rédigera enfin un rapport tous les semestres. Par contre, elle n’a semble-t-il pas possibilité de saisir une quelconque juridiction, laissant une liberté encore plus vaste à l’exécutif (patch : prévoir, confirmer cette possibilité de saisine juridictionnelle ?)

Comme souligné par l’ARCEP, ce dispositif pose d’autres soucis. Il sera parfois « délicat pour les opérateurs de déterminer de manière suffisamment certaine le régime dont relèvent les communications internationales émises ou reçues sur le territoire national ». Imaginons en effet des émetteurs et des récepteurs en France, mais qui empruntent des voies internationales (exemple : un VPN à l’étranger). Est-on dans un cas français ou étranger ?

Le projet de loi apporte un peu d’eau au moulin : lorsqu’une communication renvoie à des numéros d’abonnement ou à des identifiants techniques rattachables au territoire national ou à des personnes surveillées en France, les données seront conservées et détruites conformément aux règles en vigueur dans notre pays. Avec une nuance : « le délai de conservation des correspondances court à compter de la date de leur première exploitation » (et non du recueil).

Cette précision prédit en creux que ce renseignement aspirera métadonnées et contenus. Question : qu’en est-il des données qui ne seraient pas rattachées à un identifiant national ? Quelques éclairages de la NSA seraient les bienvenus... Plus sérieusement, souhaitons des demandes d’explications des parlementaires sur l'application de la loi dans l'espace.

Un piratage informatique légal

Sur le terrain international toujours, nos services du renseignement profiteront d’un beau visa. Comme déjà expliqué, selon l’article 10 du projet de loi, le droit pénal de l’informatique leur sera inapplicable dans cette sphère extraterritoriale. Dans le jargon, c’est là une exceptionnelle « excuse pénale. »

Les services pourront donc pirater, modifier, effacer, copier, enregistrer tout ce bon leur semble, dès lors qu’on reste vissé à l’une des sept finalités. Jamais ils ne risqueront de se voir condamner à une quelconque amende ou peine de prison (sauf cas exceptionnel : pays mis à feu et à sang, etc.). Le périmètre géographique pose aussi des questions ici : quelle est la nationalité d'une donnée, d'un serveur ? Qui sera juge pour l'apprécier ? Quid si des Français se retrouvent sur un serveur basé à Cuba ?

Le Conseil d’État et la mise en œuvre des techniques de renseignement

Le Conseil d’État sera la juridiction de premier choix pour ces dossiers sensibles (L. 841-1). Il sera susceptible d’être saisi par trois voies :

Par toute personne « ayant un intérêt direct et personnel » et qui aura préalablement pris soin de saisir la Commission, afin de faire vérifier les activités de renseignement.

Par la CNCTR en cas d’autorisation accordée illégalement, de techniques de renseignement qui dépassent les bornes.

Par une autre juridiction lorsqu’une affaire met en cause le secret de la défense nationale. Il doit alors statuer dans le délai d’un mois à compter de la décision de saisine de la juridiction de renvoi. (Patch : aucun délai n’est imposé pour les deux premiers cas, à corriger ?)

Sa compétence est en premier et dernier ressort (Art. L. 311-4-1). Toutefois, c’est une formation particulière de la juridiction qui intervient ici (Art. L. 773-2), le secret de la défense nationale interdisant la moindre publicité des débats (huis clos total). Cette juridiction pourra heureusement soulever d’office tout moyen qui n’aurait pas été signalé par la CNCTR par exemple. En cas de contentieux, les membres de cette juridiction ont accès aux pièces du dossier et la CNCTR peut être entendue.

Si le Conseil d’État constate l’absence d’illégalité (pas de surveillance ou surveillance régulière) sa décision indique simplement « qu’aucune illégalité n’a été commise », mais il lui sera interdit de confirmer ou infirmer « la mise en œuvre d’une technique. »

Au contraire, s’il constate une illégalité, il pourra annuler l’autorisation du recueil et ordonner la destruction des renseignements irrégulièrement collectés. Dans un tel cas, le requérant est informé de l’illégalité et l’État peut être condamné à indemniser son éventuel préjudice. De même, il est possible alors de lever le secret sur tout ou partie du dossier pour transmission au procureur de la République. La décision revient cependant au Premier ministre, après avis de la Commission consultative du secret de la défense nationale. Autant dire qu’on nage dans l'hypothétique.

TRACFIN : un droit de communication élargi

Le gouvernement profite de l’occasion pour accroître les pouvoirs de communication des agents de TRACFIN (renseignement financier national). Ils obtiendront auprès de toute entreprise de transport (terre, fer, mer, air) ou d’un opérateur de voyage, voire de séjour les « éléments permettant d’identifier des personnes ayant payé ou bénéficié d’une prestation ainsi que des éléments relatifs à la nature de cette prestation, et s’il y a lieu, aux bagages et marchandises transportées. »

Tout sera « siphonnable » : date, heure et lieu de départ et arrivée notamment, à ceci près que le projet ne détaille pas le champ du recueil, au grand désespoir de la CNIL qui n’a pas été entendue sur ce point.

Quid du contrôle du fichage ?

Toutes les informations glanées lors de ces différentes opérations feront l’objet d’un fichage dont les éléments pourront être croisés à d’autres fichiers de police déjà en place. Soit un joli big data.

Le projet de loi vient du coup modifier le droit d’accès indirect reconnu aux citoyens. En principe, quand est en cause la sûreté, la défense ou la sécurité publique, il faut passer par l’intermédiaire de la CNIL pour contrôler ces mécanismes. En cas de contentieux, le projet de loi adapte toutefois le principe du contradictoire normalement respecté en raison de « la nature particulière des traitements concernés ».

Dans un tel cas, en effet, la juridiction chargée de trancher un contentieux ne pourra ni révéler ni préciser si le requérant figure ou non dans le traitement en cause. Celui-ci ne disposera d’informations que si des données personnelles le concernant sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite. C’est du moins une option ouverte par la juridiction qui pourra donc décider de ne rien dire (patch : la contraindre à le dire).

Surveillance et prison

L’article 12 du projet prévoit enfin plusieurs outils pour surveiller l’intrusion et l’utilisation des moyens de communication dans les prisons.

Les services pénitentiaires pourront en effet mettre en place « toute mesure de détection, brouillage et interruption » des échanges. De même, ils installeront au besoin un dispositif technique de proximité (IMSI catcher) afin de localiser un téléphone puis glaner ses données de connexions. Ce dispositif sera simplement mis en œuvre par un agent individuellement désigné « et dûment habilité par le ministre de la Justice. »

Enfin, l’administration obtient le droit d’accéder aux données informatiques contenues dans les ordinateurs, tablettes, téléphones détenus par les prisonniers. Elle pourra aussi « détecter toute connexion à un réseau non autorisé, dans des conditions et selon des modalités qui [seront] précisées par décret. »