Une ferme de serveurs à Paris. THOMAS COEX/AFP

C'est une disposition du projet de loi de programmation militaire (LPM) qui était passée un peu inaperçue. Examinée mardi 26 novembre à l'Assemblée nationale, elle précise pourtant les moyens dont disposent les autorités pour accéder aux données des internautes, à la suite d'un amendement déposé par le Sénat en première lecture.

Lire : Renseignement : les sénateurs votent un contrôle renforcé des services

Mercredi 20 novembre, l'Association des sites Internet communautaires (ASIC), un groupement de professionnels qui compte dans ses rangs Dailymotion, Facebook ou Deezer, a dénoncé ces nouvelles dispositions et s'est alarmé « de la course à l'échalote dans le domaine de la surveillance de l'Internet ».



Qu'y a-t-il dans ce projet de loi ? Pour simplifier, il encadre la collecte de deux grandes familles de données :

les données de connexion – c'est-à-dire l'historique des utilisateurs ayant visité ou utilisé un service comme un site, un hébergeur de vidéo, un service courriel – les métadonnées des communications – l'émetteur et le récepteur de la communication, sa date... –, la géolocalisation des appareils utilisés pour communiquer ;

le contenu des correspondances.

En réalité, le projet de loi ne propose pas grand chose de nouveau et se contente de rationaliser des dispositions déjà existantes.

LE CONTENU DES COMMUNICATIONS



Dans sa version actuelle, l'article L. 241-2 du code de la sécurité intérieure autorise déjà l'interception administrative de correspondances, c'est-à-dire le contenu des communications.

L'amendement présenté limite, par rapport à la loi existante, la durée d'autorisation de la collecte des correspondances à dix jours, contre quatre mois actuellement. Cette durée pourra évoluer en fonction du processus législatif : à l'Assemblée, la commission des lois s'est prononcée pour un retour de cette autorisation à quatre mois, tandis que la commission de la défense est en faveur d'une autorisation d'un mois.

Cependant, le projet de loi élargit les ministères qui pourront demander l'interception administrative d'une communication. Actuellement, ce sont les « ministre de la défense, ministre de l'intérieur ou ministre chargé des douanes » qui peuvent demander une interception. La nouvelle version parle des « ministres chargés de la sécurité intérieure de la défense, de l'économie et du budget ».

LES DONNÉES DE CONNEXION, MÉTADONNÉES ET GÉOLOCALISATION



Le projet de loi met fin à une séparation entre deux circuits législatifs, l'un issu d'une loi de 1991, et l'autre, d'une loi antiterroriste de 2006.



La collecte des données de connexion a été introduite dès 1991 dans la loi. Cette dernière permettait la collecte de ces données pour l'ensemble des services de renseignement, comme étape préliminaire à une surveillance du contenu des correspondances. La loi de 2006, dont est issu l'actuel article 34-1-1 du code des postes et des communications électroniques, permet la collecte de ces données en tant que telles, mais aux seules fins de lutte contre le terrorisme. La LPM permet donc d'harmoniser les deux régimes juridiques et inscrira dans la durée, si elle est adoptée, certaines dispositions de la loi de 2006, qui était une loi d'exception destinée à l'expiration le 31 décembre 2015.

Dans le même temps, la LPM insère davantage de garanties dans le dispositif existant. Auparavant, c'était le ministère de l'intérieur qui devait approuver la collecte de données de connexion, ce qui l'amenait à se prononcer sur des demandes émanant de sa propre administration. L'autorisation est désormais du ressort du premier ministre. Jean-Pierre Sueur, président de la commission des lois au Sénat et auteur de l'amendement, insiste sur le caractère « rigoureux » de ce contrôle.

Concernant les données liées à la géolocalisation, l'amendement permet d'encadrer par la loi des pratiques qui « existaient sans bases juridiques », explique par ailleurs M. Sueur.

VERS UNE COLLECTE EN TEMPS RÉEL DES DONNÉES

Le nouveau texte élargit aussi les entités auprès desquelles les autorités pourront aller réclamer des interceptions. Si ces acteurs ne sont pas précisés dans les textes actuels concernant le contenu des communications, il s'agissait jusqu'à présent, pour les données de connexion, les métadonnées et la géolocalisation uniquement des intermédiaires techniques (essentiellement les fournisseurs d'accès à Internet). Si la LPM est adoptée en l'état, cela concernera également les hébergeurs de contenus (Google ou Dailymotion par exemple).

Une autre disposition a de quoi inquiéter au-delà du cercle des professionnels. Dans sa forme adoptée par le Sénat, la LPM ouvre la voie à la collecte « en temps réel » des données, par la « sollicitation » du réseau. Cette formulation un peu floue conduit l'ASIC à se demander si les autorités seraient en train de « donner un cadre juridique à une interconnexion directe sur les réseaux ». Ce qui pourra conduire à l'installation, par les autorités, de dispositifs d'interception directement sur les équipements des entreprises d'Internet, comme les fournisseurs d'accès, les opérateurs de téléphonie ou les sites Web.

Par ailleurs, la formulation adoptée au Sénat est vague, puisqu'il autorise la collecte de toute « information ou document traité ou conservé », contrairement aux textes déjà existants qui délimitaient plus nettement le contour des données dont la collecte est autorisée.

UN « PROGRÈS »

Aux détracteurs du projet de loi, Jean-Pierre Sueur oppose le « progrès » que constitue ce texte, et juge « excessives » les conclusions tirées par l'ASIC. Ces modifications sont finalement dans l'air du temps : à l'image des services de renseignement américain et britannique, les espions français sont gourmands en métadonnées. « Pour les services de renseignement, les métadonnées sont encore plus parlantes que le contenu », estime Thiébaut Devergranne, juriste spécialisé dans les nouvelles technologies – elles permettent en effet d'établir avec une certaine précision les rapports entretenus par plusieurs personnes.

Le débat à l'Assemblée intervient quelques jours après un avis du Conseil national du numérique, qui rappelait la place centrale que doit occuper le juge dans la régulation d'Internet. Au CNN, on indique aujourd'hui surveiller la LPM, et notamment son calendrier parlementaire, avant de s'emparer du sujet.