Nous venons de saisir le Conseil d’État contre la loi de programmation militaire (LPM) 2019 au côté d’un fournisseur d’accès associatif, Franciliens.net, et de la Fédération des fournisseurs d’accès associatifs (FFDN) . Pour la première fois, le droit français a autorisé le gouvernement à analyser de façon automatisée le contenu de nos communications. Voilà comment nous nous y opposons.

La LPM 2019 est entrée en vigueur en France en juillet 2018. C’est un texte épars sur des questions de sécurité et notamment, à son article 34, de cybersécurité.

L’agence de cybersécurité du gouvernement (l’ANSSI – l’autorité nationale de sécurité des systèmes d’information) gagne de nouveaux pouvoirs de surveillance du Net. Elle peut ordonner à un hébergeur Web ou un FAI (fournisseur d’accès à Internet) de poser sur le réseau des sondes lui permettant d’analyser le trafic pour détecter des attaques informatiques – en théorie du moins car, en pratique, on n’en sait trop rien, tout cela se déroulant sans le contrôle d’un juge.

Ces sondes sont la suite directe des « boîtes noires » instituées par la loi renseignement de 2015, qui permettent aux services du gouvernement de surveiller les réseaux de télécommunication de façon automatique et parfaitement opaque afin de détecter des « menaces terroristes », toujours sans l’autorisation d’un juge. La différence majeure entre les boites noires de 2015 et de 2019 est que ces premières n’analysent en théorie que des données techniques (qui parle à qui, quand…) alors que celles de 2019 peuvent aussi analyser le contenu des communications. La tentation pour le gouvernement de détourner ces nouveaux outils à des fins de surveillance politique en est d’autant plus grande.

Pour aller plus en détails, vous pouvez relire notre analyse complète de la loi, publiée cet été.

Nos arguments

En terme de stratégie, nous avons demandé au Conseil d’État de dire que cette loi viole le droit européen (techniquement, nous n’avons pas directement attaqué la loi mais son « décret d’application », car il n’existe pas de procédure en France pour attaquer une loi ; en pratique, ça ne fait ici aucune différence puisque le Conseil d’État a le pouvoir d’annuler un décret au motif que la loi qu’il applique viole le droit européen, ce qui revient au même pour nous : c’est cette violation que nous voulons voir reconnue par un juge).

Sur le fond, vous pouvez lire ici la demande que nous avons envoyée. Elle est très simple et courte, car il ne s’agit que d’un premier document destiné à ouvrir la procédure (nous devions envoyer notre demande dans les deux mois suivant la publication du décret). Le détail de notre argumentation viendra dans un « mémoire complémentaire », mais les grandes lignes sont déjà là.

Des objectifs confus

Le texte est extrêmement confus quant à son objectif. Il semble vouloir protéger les internautes des cyberattaques et, dans le même temps, détecter ceux qui sont à l’origine de ces attaques, sans faire aucune distinction entre ces deux objectifs. Or, en droit, poursuivre l’un ou l’autre de ces objectifs change tout. Si c’est pour vous protéger, le droit doit au minimum vous laisser la possibilité de vous opposer à l’analyse de vos communications qui en résulte. Ici, la LPM ne vous laisse aucun pouvoir de la sorte : vous êtes protégé contre votre volonté.

Si l’objectif est de détecter les attaquants, évidemment, le droit n’a plus aucune raison de laisser à ceux-ci la possibilité de s’y opposer. Mais la loi doit toutefois leur garantir un certain nombre de droits, ne serait-ce que pour éviter que ces mesures ne soient dévoyées à des fins de surveillance politique.

Une surveillance indéfinie

D’abord, la nature et les conséquences de la surveillance doivent être compréhensibles à la lecture de la loi : ici, aucune définition ne limite la nature des données qui pourront être analysées par les sondes (le directeur de l’ANSSI annonce ainsi qu’il pourra s’agir de données techniques comme des données relatives au contenu des communications, ce qui décuplera les risques posés par ces mesures) ni quelles seront les « menaces » qui pourront être recherchées.

On ne sait pas non plus ce que seront ces « marqueurs techniques » utilisés par ces sondes pour rechercher ces menaces : cette notion de « marqueurs », invoquée par la loi, n’a aucune signification juridique ou technique.

Aucun contrôle indépendant

Ensuite, le droit européen impose de soumettre n’importe quelle mesure de surveillance au contrôle d’une autorité indépendante : ici, l’autorité indépendante désignée par la loi est l’ARCEP (l’autorité de régulation des postes et des communications électroniques).

Sauf que la LPM ne donne aucun pouvoir de contrôle à l’ARCEP : elle ne peut pas contrôler les sondes « sur place » (contrairement au contrôle que la CNIL peut faire dans une entreprise, par exemple). Elle ne peut pas davantage sanctionner l’ANSSI si elle constate que les sondes ont été dévoyées à des fins de surveillance politique.

Aucun moyen de se défendre

Enfin, les personnes surveillées doivent pouvoir contester les mesures illicites qu’elles ont subit. Le droit européen exige ceci de deux façon : en s’assurant que les personnes surveillées soient prévenues de la mesure une fois que la menace invoquée a disparue ; en leur permettant de saisir la justice ou une autorité compétente (ici l’ARCEP) pour contester la validité de la surveillance. Encore une fois, la LPM 2019 ne prévoit aucune de ces garanties.

Nous ouvrons ce nouveau front contre la surveillance de masse alors même que notre action contre la loi renseignement de 2015 vient tout juste d’être transmise devant les juges européens (voir notre article) et que le Parlement européen est sur le point de voter une nouvelle loi de surveillance-censure généralisée du Web dans les mains de la police et des GAFAM, abusant une fois de plus du prétexte terroriste.

Si vous pensez que nous avons bien fait d’ouvrir ce nouveau front, participez à tenir les autres fronts avec nous : jusqu’au 21 mars, appelez les députés européens pour leur demander de rejeter le règlement de censure terroriste.