Jour après jour, le projet de loi sur le renseignement dévoile ses ombres. On a appris ainsi hier que le gouvernement entendait installer des boîtes noires sur les infrastructures réseau des opérateurs télécoms. Mieux, ces mesures pourront être étendues aux acteurs de l’internet. Tour d’horizon grâce aux explications apportées par l'exécutif.

C’est jeudi que le projet de loi sur le renseignement sera déposé à l’Assemblée nationale. Une première voulue par l'actuelle majorité au pouvoir : le texte sera accompagné de l’avis du Conseil d’État. Jusqu’à présent, son analyse juridique n’était réservée qu’au Gouvernement qui pouvait donc l’ignorer superbement. Désormais, l’exécutif aura sur ses épaules un lourd aiguillon qui devrait peser sur les débats, quel que soit le sens d'ailleurs de l’analyse de la haute juridiction.

Présenté en conseil des ministres à quatre jours des élections départementales, le projet sera examiné en mode « TGV ». Et pour cause, le gouvernement entend déclarer l’urgence afin de limiter les navettes entre l’Assemblée et le Sénat lors des discussions programmées d’ici l’été.

Voilà pour la procédure. Pour l’emballage, les éléments de langage sont déjà peaufinés. L’un des points noirs est celui d’agents travaillant « sur le fil du rasoir » comme l'a dit hier le Figaro. En clair, ce texte veut encadrer des pratiques actuelles non encadrées juridiquement. Dans l’esprit des rédacteurs, le citoyen y trouvera lui-aussi son compte, les lois de la République remplaçant celles de la jungle. « Le renseignement est un service public qui doit fonctionner sur des pratiques légales » nous indique-t-on au gouvernement.

Combiner renseignement et garanties fondamentales

L’argument reste cependant fragile pour les détracteurs : ce n’est pas parce qu’une activité illicite se constate dans les faits que sa licéité devient d’une impérieuse nécessité. « Avec ce projet de loi, l’ensemble des missions régaliennes de service public bénéficiera de la légitimité de la loi » insiste malgré tout Matignon, qui a évidemment conscience que le futur chantier législatif sera source d’inquiétude dans cette ère post-snowden. « On veut montrer que le secret de la défense nationale n’est pas incompatible avec le contrôle, ce n’est pas l’arbitraire » oppose encore l’exécutif qui n'a voulu nous transmettre aucun exemplaire de ce texte. « La loi sera protectrice du citoyen, car on y gravera ce qu’il est possible de faire, ce qu’il n’est pas possible de faire. Il n’y aura aucune mesure de surveillance sans autorisation ni contrôle indépendant, moyennant quelques cas d’urgence extrêmement délimités puisqu’il n’y a aucune menace sur rendez-vous ». Faut-il craindre malgré tout l’arrivée d’une société de surveillance ? « Dans l’esprit des gens, les services du renseignement, c’est Big Brother. C’est faux ! » avait d'ailleurs martelé quelques semaines plus tôt le député Jean-Jacques Urvoas, père de ce texte.

Dans le passé, ces activités ont connu différentes couches législatives, mais il reste, selon ses partisans, des trous dans la raquette, élargis avec l'explosion du numérique et la démocratisation du chiffrement. L’objet du projet de loi, dont le coût de mise en œuvre n’a pas pu nous être chiffré, sera donc de régir l’ensemble des techniques du renseignement et de combler ces failles. Pour nourrir ses travaux, les dispositions préparées par le député Jean-Jacques Urvoas et désormais prises sous le bras de l’exécutif prévoient tout un panel d’instruments visant à décupler les pouvoirs des services. Le Figaro en a esquissé hier les grandes lignes, mais de nouveaux détails nous ont été apportés hier à Paris, par l’exécutif.

La loi va revoir déjà le filtre d’entrée, qui délimite les hypothèses où ces mesures pourront être déployées. IL y en a cinq aujourd’hui :

La sécurité nationale

La sauvegarde des éléments essentiels du potentiel scientifique et économique de la France

La prévention du terrorisme

La prévention de la criminalité et de la délinquance organisées

La prévention de la reconstitution ou du maintien de groupements dissous

Il y en aura davantage demain, comme l’a déjà précisé le Figaro, dont :

La défense nationale

La défense des intérêts de politiques étrangères

La défense des intérêts économiques ou scientifiques majeurs

La prévention du terrorisme

La prévention de la prolifération des armes de destruction massive

Les violences collectives pouvant porter gravement atteinte à la paix publique

Les services ne pourront agir en dehors de ces finalités, mais le flou de chacune d'elles augmente bien entendu le champ du possible de ces opérations menée sans intervention prélable d’un juge.

Le contrôle des opérations de renseignement

Concrètement, ces mesures seront lancées par un service, dont la demande sera transmise pour validation à un ministre, puis au « contrôle indépendant » d’une commission de 9 membres – dont 4 magistrats de la Cour de cassation et du Conseil d’État, deux politiques et un spécialiste des réseaux nommé par l’ARCEP – avant d’être validé in fine par le supérieur hiérarchique du service d’origine. La commission en question suivra alors la mise en œuvre et la conclusion des opérations. Ce qui ne relèvera pas par exemple du terrorisme sera sorti et écrasé, promet-on. L’avant, le pendant et l’après sont mieux définis, assure encore Matignon, qui promet encore ne pas initier de surveillance généralisée des citoyens.

La logique du projet de loi est finalement de prévoir une graduation des autorisations au fur et à mesure que l’intrusion dans la vie privée sera profonde. Si cette commission n’est pas d’accord avec le gouvernement, d'ailleurs, elle pourra décider de saisir une juridiction, en fait une formation spéciale du Conseil d’État qui pourra arrêter l’appétit gouvernemental. Une autre première : le secret de la défense nationale ne lui sera pas opposable, laquelle pourra être saisie par exemple par le juge pénal dans un dossier parallèle. En cas de surveillance illégale, cela sera alors dit (malgré le secret de défense nationale). En cas de surveillance légale ou de l’absence de surveillance, silence total. Par ce biais, l’exécutif espère corriger un peu l’asymétrie dont souffre le citoyen face à ces outils de surveillance.

Les données conservées et les données chiffrées

Ce projet de loi contiendra une partie réservée à l’exploitation des métadonnées. Problème, quelle est la marge de manœuvre ? La Cour de Justice de l'Union européenne a déjà encadré très sérieusement ce dispositif en fusillant ceux jugés trop abusifs, car aspirant une quantité massive de données nominatives. Selon ses initiateurs, le texte français serait carré à souhait : d’un, le droit européen ne porte pas sur les menaces spécifiques comme l’est le terrorisme, de deux, la CJUE n’interdit pas les demandes de surveillance individualisée et donc la conservation des données ciblées qui en résulterait.

La loi va surtout modifier la durée de conservations des données interceptées, qui pourront cibler les échanges sous Skype, lequel est considéré par le gouvernement comme un opérateur comme un autre. Avec la loi contre le terrorisme, ce délai était de 10 jours, mais il sera étendu à l’avenir à 30 jours afin de répondre aux éventuels besoins de traduction des langues rares. Le Conseil d’État aurait déjà validé cette extension, qui avait cependant été retoquée au Sénat fin 2014. Autre détail d’importance : ce délai ne débutera qu’à compter du déchiffrement effectif des informations cryptées. L’État pourra donc confortablement mettre en œuvre tous les moyens existants pour arriver à la mise au clair.

Accès aux données de connexion en temps réel

À l’instar de ce qu’a prévu la loi de programmation militaire, l’accès aux données de connexion pourra aussi se faire en temps réel soit sur les réseaux de communication, soit via des balises installées sur des véhicules ou des objets, soit par capteur de proximité ciblant un téléphone mobile.

Dans ce dernier cas, l’idée sera d’y butiner l’identification de l’appareil pour mener à bien des mesures plus musclées, par les voies cette fois classiques. L’exécutif veut en tout cas pouvoir siphonner en continu toutes les sources d’information jugées pertinentes dans le cadre des finalités prévues par la loi. Autre apport, le texte étendra la possibilité d’installer des mouchards dans les STAD (ou systèmes de traitements automatisés de données, soit les ordinateurs, les logiciels, les sites, puisque tout est STAD dans les nouvelles technologies…)

Application de la loi dans l’espace international

Alors que la loi de 91 se focalisait sur le renseignement des échanges entre émetteur et récepteur basés sur le territoire national, la loi va aussi donner base légale aux mesures de surveillance des communications internationales.

Cela ne supposera pas nécessairement la présence physique dans notre pays de l’émetteur ou du récepteur. Il suffira simplement qu’un identifiant y soit localisé : une IP, une carte SIM, un identifiant du terminal, etc. Bref, n’importe quel point de rattachement permettra de justifier la débauche de moyens. Ces critères pourraient avoir des effets non négligeables sur les choix stratégiques d’implantation des acteurs du Net…

Des boites noires sur les infrastructures pour détecter les comportements suspects

C’est l’un des autres gros morceaux du texte : forcer les opérateurs (d’abord télécom) à détecter par avance les comportements suspects. Qu’en est-il en pratique ? Une disposition réservée au seul terrorisme permettra déjà aux services de renforcer la surveillance individualisée des personnes afin de récupérer leurs métadonnées toujours en temps réel (IP, géolocalisation, numéro de téléphone, etc.). Une surveillance totale et continue qui ne visera donc pas le contenu des échanges et sera censée améliorer le taux de « juridiciarisation ».

Surtout, un autre outil innovant viendra en accompagnement. Le gouvernement envisage en effet de recourir à des dispositifs techniques de détections anonymisés des comportements « signants ». En pratique, des scénarios types seront intégrés dans des algorithmes, soumis au contrôle de la commission précitée, et le tout sera injecté dans « une boite noire » placée sur les infrastructures réseau des opérateurs.

Les flux seront ensuite filtrés pour vérifier l’existence de manifestations suspectes répondant à ces scénarios. Un exemple ? Une connexion à un site déterminé, tous les matins, à telle heure bien précise ou lors de la réalisation d’un fait quelconque. Le cas échéant, l’anonymat des personnes concernées pourra être levé avec autorisation du Premier ministre. « On va demander aux opérateurs de détecter ces marqueurs très signants » nous confie-t-on à Matignon. L’avantage d’œuvrer sur des données anonymisées évitera de se frotter de trop près aux contraintes de la CNIL, laquelle se montre selon le Monde, très critique sur ce projet.

Dopé au big data prédictif, l’exécutif compte en tout cas définir des modèles (« patterns ») afin d’anticiper les risques qui correspondront au déclenchement possible d’une attaque terroriste. Ces opérations viseront les « informations et documents ». L'expression avait suscité des craintes lors des débats sur la loi de programmation militaire, mais les services le disent et le redisent : l'expression vise les seules périmètres des métadonnées.

L’opérateur n’aura aucune connaissance des algorithmes et des modèles surveillés, mais simplement l’assurance d’une validation par la commission. En clair, il sera responsable des données en entrée et en sortie, mais pas de la cuisine interne mitonnant notre Internet bleu blanc rouge... Chaque strate de ce ciblage (matière terroriste, demande individualisée, etc.) serait en tout cas autant de témoignages d’un mécanisme en rien comparable avec les révélations Snowden, assure Matignon. Autre chose, l’attention serait portée aux seuls faits liés au terrorisme, non à son apologie de ces actes qui a suscité tant de condamnations depuis janvier dernier.

Enfin le gouvernement souhaite d’abord installer ces boites noires sur les réseaux de transmissions (télécoms), mais, petite finesse : la loi sera agnostique et s’appliquera théoriquement à n’importe qui, notamment aux opérateurs de l’Internet. Le gouvernement s'interdira-t-il de mettre en place un filtrage par deep packet inspection ? À cette question, Matignon fait la pirouette : les modalités techniques seront débattues avec chaque acteur.