Encadré par deux photos des manifestations monstres du 11 janvier, Manuel Valls a tenu jeudi matin une conférence de presse pour présenter son projet de loi sur le renseignement. Et répondre aux inquiétudes qui commencent à poindre. Tant les défenseurs des libertés publiques que les professionnels du numérique se disent préoccupés par le texte, censé légaliser, tout en les encadrant, les activités des services de renseignement.

Un système de détection très opaque

Pour Benoît Thieulin, le président du Conseil national du numérique, qui a exprimé publiquement ses préoccupations, le «dispositif destiné à révéler [...] une menace terroriste» est sans conteste la disposition la plus problématique du texte. Le gouvernement le présente comme une utilisation du «big data» à des fins préventives. Soit recourir à un algorithme pour mouliner les données des opérateurs et détecter des comportements considérés comme suspects. «Le dispositif n’est pas clair du tout, un grand flou demeure dans sa mise en œuvre», regrette Loïc Rivière, de l'Association française des éditeurs de logiciels et solutions internet (Afdel), reçu jeudi après-midi à Matignon avec d’autres organisations.

La mesure visera en premier lieu les opérateurs de communications électroniques (opérateurs réseaux, fournisseurs d’accès à Internet) mais aussi, potentiellement, les fournisseurs de services. Sébastien Crozier, président du CFE-CGC chez Orange, se dit très inquiet de «l’implantation chez les opérateurs d’un algorithme créé par les services de renseignement pour trouver des gens qui ont des comportements déviants». Des risques pèseraient sur la qualité de la connexion : «S’il est constant, sur toutes les données de connexion, le réseau des opérateurs sera ralenti. C’est un peu le phénomène chinois.»

L’opacité n’est pas prête d’être levée. Le gouvernement se montre très sensible sur ce sujet, invoquant très vite le «secret de la défense nationale» pour ne pas donner de détails. Ce que déplore Adrienne Charmet, coordinatrice des campagnes de la Quadrature du Net : «Il n’y a aucune information sur le type de dispositif mis en place, puisque c’est renvoyé à des discussions entre opérateurs et services de renseignement. Cela nécessiterait une discussion publique.» Le Conseil national du numérique a lui sursauté à la lecture de cette disposition: «Elle change la nature même du renseignement en plaçant l’algorithme au cœur de notre mode de gouvernance», détaille Benoît Thieulin. Loïc Rivière abonde : «Il s’agit de demandes qui pourraient être ressenties comme très intrusives, voire exorbitantes par les entreprises que nous représentons lorsqu’on parle de big data, donc a priori de collecte massive de données.»

Micros, caméras et keyloggers

Dans son avis du 5 mars, publié jeudi, la Commission nationale de l'informatique et des libertés (Cnil) a estimé qu’«il n’existe pas d’opposition de principe à voir doter les services de renseignement de techniques similaires à celles dont bénéficient les opérateurs de police judiciaire». Le projet de loi consacre effectivement leur extension à la «communauté du renseignement» dès lors que les informations «ne peuvent être recueilli[e]s par un autre moyen légalement autorisé». Concrètement, micros et caméras pourront être posés dans les domiciles et les véhicules, sur autorisation du Premier ministre et après avis de la nouvelle commission chargée d'encadrer les activités des services. Sera également possible la captation de «données informatiques transitant par un système automatisé de données ou contenues dans un tel système», une formulation qui peut aussi bien viser un serveur web qu’un ordinateur personnel, et qui autorise notamment l’usage de keyloggers, des logiciels espions qui enregistrent la frappe d’un utilisateur sur son clavier.

«Il semble légitime que les services de renseignement cherchent à s’adapter», juge aujourd'hui Benoît Thieulin. Qui insiste néanmoins sur la nécessité du contrôle, et sur la protection nécessaire, notamment, des droits des journalistes et des lanceurs d’alerte dans ce nouveau cadre. Mais du côté du Syndicat de la magistrature (gauche) ou de l’Ordre des avocats de Paris, le son de cloche est tout autre. Chez le premier, Laurence Blisson juge excessifs ces nouveaux moyens, «tellement intrusifs qu'ils ne devraient pas être utilisés hors cadre judiciaire. Il est répété qu'il s'agit d'un encadrement, alors que le texte revient à entériner des pratiques des services au lieu de fixer des limites». Et dans un communiqué publié ce jeudi, le second «plaide pour un régime unique d’encadrement des interceptions et demande l’intervention du juge pour contrôler, autoriser et sanctionner».

Géolocalisation et temps réel

Au-delà de la pose de balises pour localiser personnes, véhicules et objets, inscrite dans le projet de loi, le recours à des «dispositifs techniques de proximité» sera désormais possible. La formule désigne en particulier les Imsi-catchers, des appareils capables d’intercepter les communications dans un périmètre donné. En usage «classique» – c’est-à-dire hors urgence antiterroriste, où ils pourront servir à écouter des communications émises ou reçues par un appareil précis, ils sont censés «siphonner» uniquement des identifiants d’appareil, des numéros d’abonnés ou des données de localisation. Le président du Syndicat des avocats de France (classé à gauche), Florian Borg, juge la technique «beaucoup trop généralisée sur l’ensemble des individus : on ne peut pas surveiller l’ensemble d’une population sur un lieu donné. Cela pose de vrais problèmes en matière de respect de la vie privée».

Autre source d’inquiétude : l’accès aux données de connexion «en temps réel» sur les réseaux des opérateurs, des fournisseurs d’accès à Internet, mais aussi des hébergeurs, déjà en partie possible depuis la loi de programmation militaire de 2013. A l’époque, la disposition avait largement fait polémique, mais le décret d’application avait levé certaines craintes des intermédiaires techniques. Des craintes qui pourraient réémerger bien vite. Dans son avis, la Cnil a clairement indiqué craindre que cet accès s’effectue désormais «sans l’intermédiaire des opérateurs de communications électroniques», et qu’elle soit donc «de nature à permettre l’aspiration massive et directe des données par les agents des services concernés». Rien n'indique, dans son communiqué du jour, que cette inquiétude ait été levée.

Données conservées : jusqu'à quand ?

Jusqu’ici, les enregistrements de correspondances réalisés dans le cadre des interceptions de sécurité – les écoutes, qui concernent à la fois les conversations téléphoniques et les communications électroniques – étaient détruits au bout de dix jours. Dans le projet de loi, on passe à trente. Le délai de conservation des autres données collectées – par exemple les transcriptions, mais sans doute aussi ce qui sera recueilli via les nouveaux moyens mis à disposition des services – sera fixé par décret en Conseil d’Etat, avec un maximum d’un an. Quant aux données de connexion, le «contenant» (qui communique avec qui, quand, combien de temps), la durée de conservation maximum passe de trois à cinq ans.

Un «nouvel allongement substantiel» sur lequel la Cnil a émis des «réserves». Mais au Syndicat de la magistrature, l’avis n’est pas tranché sur la durée de conservation des interceptions de sécurité : «Quelle serait la réalité d’un recours – ouvert par le texte – si les données sont supprimées ?», soulève Laurence Blisson. Laquelle tique en revanche franchement sur l’allongement des délais lorsque les données «contiennent des éléments de cyberattaque» (un logiciel malveillant, par exemple) ou si elles sont chiffrées : dans ce dernier cas, la durée de conservation court «à compter de leur déchiffrement». «C’est bien trop peu encadré», juge-t-elle. «Cela va permettre de constituer des silos de données chiffrées qui seront gardées sans limite de délai, avec les données "en clair" qui leur sont associées, et qui sont évidemment des informations», renchérit Adrienne Charmet.

Contrôle : sans garantie ?

Le principal garde-fou posé est une nouvelle autorité administrative indépendante : la Commission nationale de contrôle des techniques de renseignement (CNCTR). Elle sera composée de quatre parlementaires, deux membres (ou anciens membres) du Conseil d’Etat, deux membres (ou anciens membres) de la Cour de cassation, plus «une personnalité qualifiée en matière de communications électroniques». Le Syndicat de la magistrature regrette que les juges ne soient pas plus nombreux, même s'il se dit rassuré que le président de la nouvelle commission soit choisi par une haute juridiction (Conseil d’Etat ou Cour de cassation). Même reproche du côté du Syndicat des avocats de France : «Les parlementaires ne sont pas garants des libertés individuelles, les magistrats oui.» Plusieurs spécialistes des services de renseignement s’interrogent aussi sur l’implication concrète et effective d’élus, déjà très occupés entre leur circonscription et leur assemblée…

Sur le fond, le Syndicat de la magistrature pointe aussi une logique inversée : «Le principe est l’atteinte aux libertés fondamentales, l’exception est la limitation de ces atteintes.» En appui de sa démonstration, Laurence Blisson cite deux exemples. La commission dispose de vingt-quatre heures, ou de trois jours s’il a un doute, pour rendre son avis. Passé ce délai, «l’avis est réputé rendu», indique le texte de loi. Autrement dit, «le silence vaut acceptation». Second exemple : lorsque le gouvernement «passe outre» l’avis de la Commission, celle-ci peut le contester «à la majorité absolue de ses membres». «Un membre suffit pour mettre sous surveillance, mais tous les membres doivent être d’accord pour s’y opposer», déplore-t-elle.

L'extension du domaine du renseignement

En plus des dispositifs techniques, le projet de loi définit les missions dévolues aux services de renseignement. «Le champ d’application est extrêmement large, constate Laurence Blisson. La prévention des violences [collectives de nature à porter gravement atteinte à la paix publique] par exemple pourrait concerner des mobilisations politiques.» Il fait partie des sept motifs cité par le texte. «Est-ce que ça veut dire que, si une manifestation est susceptible de dégénérer, on pourra préventivement surveiller l’organisateur de cette manifestation ?», se demande Florian Borg au Syndicat des avocats de France. «Extrêmement inquiet», il se demande aussi ce qu’est «un intérêt économique essentiel», également cité dans le texte au titre des missions : «Si on considère que le nucléaire, par exemple, est un intérêt économique essentiel, alors toute protestation contre le nucléaire pourra être surveillée.»

Là encore, ce que craignent les défenseurs des libertés publiques ou les professions, c'est une surveillance de masse, dont le gouvernement se défend vigoureusement. Ce matin, Manuel Valls tonnait : «Je veux le dire de façon très claire : il ne s’agit en aucun cas de mettre en œuvre une surveillance généralisée des citoyens. Il n’y aura aucune surveillance de masse. Le projet l’interdit !» Au Conseil national du numérique, Benoit Thieulin relève néanmoins que «les champs définis de façon très large ouvrent la voie à la généralisation de méthodes intrusives».