Passer des textes de loi en procédure accélérée devient une habitude. L’actuel projet de loi relatif à la prévention d’actes de terrorisme et au renseignement ne déroge pas à la règle. Adopté le 2 juin par l’Assemblée nationale en seulement deux jours, il ne lui manque plus que le vote du Sénat, à l’issue d’un examen prévu les 29 et 30 juin. Dans un contexte d’inflation législative et politique sur la surveillance et le renseignement, « le but est d’empêcher tout débat public » fustige Pierre*, membre du Centre d’études sur la citoyenneté, l’informatisation et les libertés (CECIL). Cette organisation fait partie de l’Observatoire des libertés et du numérique, un groupement d’associations et de syndicats qui vient de publier un communiqué alertant sur cette « nouvelle étape dangereuse dans les atteintes régulières et toujours plus importantes portées par ce gouvernement à nos libertés ».
Le premier objectif de ce texte est de pérenniser des dispositifs issus de la loi renseignement de 2015 et de la loi SILT (renforçant la sécurité intérieure et la lutte contre le terrorisme) de 2017. Pour cette raison, il avait été rédigé de longue date, et aurait pu être déposé plus tôt sur la table des parlementaires. Mais il n’a été présenté en Conseil des ministres que dans la foulée du meurtre d’une agente de police à Rambouillet, le 23 avril – laissant peu de temps aux élus pour s’en saisir. Au-delà de la pérennisation contestée de plusieurs dispositifs de lutte antiterroriste, les défenseurs des libertés numériques ont passé au peigne fin le volet renseignement de ce texte de loi – parfois obscur et technique –, et s’inquiètent de nouvelles portes sécuritaires qu’il ouvre.
La surveillance algorithmique de masse entérinée
Là encore, tout est une question de timing. Le projet de loi a été présenté une semaine après que le Conseil d’État, dans une décision du 21 avril, ait laissé le champ libre au gouvernement sur la conservation généralisées des donnés de connexion. De quoi balayer d’un revers la jurisprudence de la Cour de justice de l’Union européenne. En octobre 2020, celle-ci jugeait contraires aux droits fondamentaux les « boîtes noires », ces algorithmes de surveillance des données de connexion, mis en place par la loi renseignement de 2015. Leur but : surveiller toute la population pour « découvrir des profils suspects, et en faire automatiquement des cibles des renseignements » résume Pierre, du CECIL.
Sans que l’on connaisse les marqueurs exacts à partir desquels seront repérés ces « profils suspects ». « En 2015, la seule concession du gouvernement Hollande avait été de rendre ces boîtes noires expérimentales jusqu’en 2018 », retrace Pierre. La loi SILT est venu les prolonger pour deux ans. « En 2020, elles ont été de nouveau prolongées. Cette fois, elles deviennent permanentes » : le projet de loi les entérine définitivement.
Surtout, ces algorithmes intègreront l’analyse des adresses URL – l’adresse d’un site ou d’une page Web – que consultent les Français. Selon la CNIL, les trois premières boîtes noires expérimentées jusqu’ici se restreignaient aux données téléphoniques. Mais difficile de savoir quelle était la pratique réelle : « Dans le cadre de nos contentieux, les services de renseignement nous disaient qu’ils utilisaient déjà les adresses URL », assure Arthur Messaud, juriste de la Quadrature du Net.
Dans tous les cas, il est désormais officiel que les algorithmes de surveillance seront étendus aux URL. Dans son avis sur le projet de loi, la CNIL estime pourtant « que le ministère ne lui a pas transmis d’éléments suffisamment précis lui permettant d’apprécier l’efficacité opérationnelle et l’efficience de cette technique ». Aucun bilan d’évaluation ni rapport public sur ces boîtes noires n’est paru à ce jour.
Le stockage des données : « Un monstre qui grandit dans l’ombre »
L’article 15 du projet de loi oblige les opérateurs d’internet et de téléphonie à conserver pendant un an les données de connexion de toute la population au nom de finalités très larges comme « la sauvegarde de la sécurité nationale » (à l’origine, cette disposition se restreignait en théorie à la lutte anti-terroriste).
L’article 13, lui, permet aux services de renseignement de détourner l’ensemble du trafic – donc ces données de connexion – vers leurs propres centre de stockage de données. « Le ministère a retenu une architecture selon laquelle les flux de données ne sont pas analysés au moyen d’algorithmes installés sur les réseaux des opérateurs, mais dupliqués puis acheminés au sein d’une infrastructure dépendant de l’État pour être soumis à des dispositifs de détection centralisés », explicite la CNIL dans son avis. Cette centralisation ouvre une multitude de questions sur le cadre et la durée de conservation de ces copies de données.
Un autre article inquiétant, et qui constitue une nouveauté, est l’article 8, qui autorise la conservation jusqu’à cinq ans de toutes les informations obtenues dans le cadre d’opérations de renseignement. Jusqu’ici, à chaque technique de renseignement correspondait une durée maximale de conservation de la donnée recueillie. Quatre mois, par exemple, pour les écoutes téléphoniques. Désormais, « dès qu’il y a une technique de renseignement mise en œuvre, les données vont être envoyées dans un entrepôt, pour en faire de la recherche et développement » résume Pierre. Dans ce cadre, elles seront gardées pendant cinq ans.
« Il y a deux ans, ça aurait fait la Une de la presse pendant des semaines »
Résumons : les services de renseignement mettent en place diverses techniques d’interception de données – écoutes téléphoniques, puces GPS aposées sur les véhicules, captation des données de smartphones… Désormais, ces données brutes seront transmises à une équipe centralisée pour en faire de la recherche et développement, ou « R&D ».
De quoi s’agit-il ? De « machine-learning » : ce stock de données sera exploité pour approfondir les outils techniques du renseignement comme améliorer la transcription de voix, faire de la recherche prédictive (par exemple, parvenir à prévoir le parcours d’une personne), etc.
« Un monstre qui grandit dans l’ombre » : voilà ce que constitue, pour Arthur Messaud, cette nouveauté. « Un État qui conserve pendant cinq ans les données captées de la population… Il y a deux ans, ça aurait fait la Une de la presse pendant des semaines » se désespère le juriste. Pour lui, il s’agit d’un copié-collé du modèle de recherche exploratoire de la NSA, révélé par Edward Snowden. Ou de la logique de sociétés privées spécialisées sur la R&D, comme Palantir. Cette entreprise – qui porte le nom d’un objet légendaire du Seigneur des Anneaux permettant d’observer des scènes éloignées dans le temps et l’espace – fournit, depuis 2015, des technologies de traitement de la donnée aux renseignements français.
« Et si le gouvernement suivant produit des lois permettant d’aller piocher dans ces stocks de données pour d’autres finalités que la R&D ? », interroge Pierre, du CECIL. Ces informations pourraient alors servir d’autres objectifs : surveillance économique, répression des opposants politiques… « Les lois sécuritaires reposent presque systématiquement sur ces tours de passe-passe à deux étapes » s’inquiète à ce sujet la Quadrature du Net.
Obliger les opérateurs à coopérer sur du « hacking » ?
Le 28 avril, Gérald Darmanin, ministre de l’Intérieur, avait fait une déclaration fracassante sur France Inter, affirmant : « Nous discutons avec les grands majors d’Internet, on leur demande de nous laisser entrer via des failles de sécurité » pour contourner le chiffrement des communications. Le « piratage » d’un téléphone ou d’une box internet par des services de renseignement n’est pas nouveau. Mais cette fois, avec l’article 10 du projet de loi, « la nouveauté, c’est que les opérateurs vont devoir coopérer avec les services » explique Arthur Messaud.
Ces opérateurs sont les entreprises qui fournissent votre service internet, gèrent le réseau, ou proposent des outils de communication interpersonnelle : Gmail, Zoom, WhatsApp, Signal, Telegram… Les services de renseignement pourront désormais leur demander de compromettre leurs dispositifs techniques – pour « hacker » votre box par exemple. Jusqu’ici, rien ne les y obligeait légalement.
« Ce sont des portes ouvertes qui font très peur, mais on a du mal à voir comment cela se concrétiserait », nuance cependant Arthur Messaud. La question est d’abord politique : on voit mal Signal ou Telegram, des entreprises étrangères, accepter ainsi de perdre leur légitimité. Reste les obstacles techniques : les applications de messageries chiffrées, par exemple, sont dotées de procédures de contrôle solides : « Lancer une application vérolée, ou corrompre la messagerie d’une seule personne – et le faire bien –, ce n’est pas simple. »
« Snowden nous avait mis en garde : ce sont des pratiques qui échappent complètement à la loi »
Depuis 2015, les services de renseignement peuvent échanger entre eux leurs informations obtenues. Le Code de la sécurité intérieure prévoit l’encadrement de ces échanges par un décret en Conseil d’État. Or, depuis, aucun décret de ce type n’a été publié. La Quadrature du Net avait saisi le Conseil d’État au sujet de cette absence de cadre procédural. Dans une décision du 19 mai 2021, celui-ci vient d’accepter de transmettre au Conseil constitutionnel une question prioritaire de constitutionnalité. Mais comme pour couper l’herbe sous le pied des requérants, le projet de loi vient légaliser cette situation « alégale », comme la décrit Pierre du CECIL. Son article 7 propose « un cadre de facilitation des échanges ».
Voici ce qui est en jeu : si un service de renseignement surveille un individu dans le cadre de la lutte contre le trafic de drogues par exemple, et qu’au détour d’une conversation, il capte une information concernant une manifestation non-déclarée en soutien à telle ou telle cause, celle-ci peut être transmise à un autre service. « Une fois qu’une fiche est constituée sur une personne, peu importe dans quelle base elle se trouve : la loi n’encadre pas l’exploitation qui en est faite, seulement la collecte » résume Arthur Messaud. Il n’est pas prévu de limitation en matière de finalité de ces échanges. Cet article 7 « ne constitue pas une révolution, mais il met beaucoup d’huile sur la machine » conclut le juriste.
La coopération entre services, si utile qu’elle puisse paraître pour une meilleure efficacité du renseignement, pose question. D’abord, parce qu’elle concerne aussi les échanges avec des services étrangers. À l’heure où la majorité du trafic qui passe en France est le fait de communications internationales, s’appuyer sur ces services de renseignement étrangers permet de contourner les garde-fous de la loi française. « C’est le schéma contre lequel Edward Snowden nous avait mis en garde : ce sont des pratiques qui échappent complètement à la loi » déplore Arthur Messaud. Et la Commission nationale de contrôle des techniques de renseignement (CNCTR) « n’est jamais informée de ce qui est transmis par les services étrangers ».
Dernier point de cet article 7 : les services de renseignement sont en droit de demander aux services administratifs et sociaux, comme la CAF, de leur transmettre des données confidentielles. Mais jusqu’ici, ces derniers pouvaient y opposer le secret professionnel. Avec cet article, le secret professionnel ne pourra plus être invoqué comme motif de refus.