GuiGui's Show - Liens 09/04/2015 « Après avoir examiné le projet de loi sur le renseignement, déposé à l’Assemblée nationale par le gouvernement, passons au texte issu de la commission des lois.
[...]
Inutile ? Mais pourquoi préciser alors la vie privée et le secret des correspondances ? Simple anticipe Urvoas : « les autres notions auxquelles le texte se réfère ici relèvent de la jurisprudence du Conseil constitutionnel, ce qui n’est pas le cas de la protection des données personnelles ». (article L811-1)
[...]
Derrière ces affirmations, l’auteur de cette rustine, le socialiste Pascal Popelin estime que « seul l’État peut mener des activités de renseignement en raison des objectifs poursuivis et des techniques mises en œuvre. De fait, cette politique publique ne saurait faire l’objet ni d’une sous-traitance à des sociétés privées ni d’une privatisation. Car la protection des libertés de nos concitoyens passe par la capacité de contrôle de l’action de l’État qui ne peut par conséquent pas être déléguée à une instance tierce du secteur privé ».
Il n’est toutefois pas certain que cet amendement interdise l’intervention de sociétés privées, compte tenu de l’ampleur technique du projet de loi, et surtout parce que le texte prévient simplement que la politique publique est de la compétence de l’État, non ses modalités pratiques...
[...]
Sept finalités rendues très extensives en commission des lois
La définition posée, embrayons sur les finalités qui peuvent en pratique justifier le déploiement de l’ensemble des mesures de renseignements. Au cinq existant actuellement, le projet de loi de Bernard Cazeneuve en a prévu sept, lesquelles ont toutefois été considérablement étendues en commission parlementaire (article L811-3).
[...]
En commission des lois, une série d’amendements signés principalement Jean-Jacques Urvoas a revu la plupart de ces définitions, pour étendre le plus souvent leur portée. Ces finalités sont désormais :
L’indépendance nationale, l’intégrité du territoire et la défense nationale
Les intérêts majeurs de la politique étrangère et la prévention de toute forme d’ingérence étrangère
Les intérêts économiques industriels et scientifiques majeurs de la France
La prévention du terrorisme
La prévention des atteintes à la forme républicaine des institutions, des violences collectives de nature à porter atteinte à la sécurité nationale, de la reconstitution ou d’actions tendant au maintien de groupements dissous en application de l’article L. 212 1
La prévention de la criminalité et de la délinquance organisées
La prévention de la prolifération des armes de destruction massive
À plusieurs reprises, on le voit, les intérêts « essentiels » du projet initial deviennent de simples intérêts « majeurs », ce qui abaisse le niveau de justification du déploiement des outils de surveillances (voir notre actualité).
Surtout, alors que le projet de loi visait « le recueil des renseignements relatifs aux intérêts publics », phrase suivie de la liste des finalités, la commission cible désormais : « le recueil des renseignements relatifs à la défense et à la promotion des intérêts publics ». Plus clairement, cet objectif autorise un renseignement non seulement défensif (« la défense »), mais également plus offensif (« la promotion ») ce qui ouvre un plus vaste champ d’actions, notamment s’agissant de la défense des « intérêts économiques, industriels et scientifiques majeurs de la France. »
[...]
Par défaut, le projet attribue cette compétence aux services spécialisés de renseignement « relevant des ministres de la Défense et de l’Intérieur ainsi que des ministres chargés de l’Economie, du Budget ou des Douanes ». Mais le projet de loi prévoit aussi qu’un décret en Conseil d’État pourra l’étendre. Mieux, le ministère de la Justice a d’ailleurs déjà été ajouté dans la liste, en Commission des lois, afin notamment de propager ces technologies dans le système pénitentiaire.
[...]
Ce même décret devra préciser aussi la liste des finalités relevant de tel ou tel service. Par exemple, Bercy s’occupera davantage des intérêts économiques industriels et scientifiques majeurs de la France que de la prolifération des armes de destruction massive… (article L811-4).
[...]
En pratique, comment cela se passe ? C’est la partie purement administrative, donc rebutante pour le lecteur. Résumons : la demande initiale est sécrétée par le service du renseignement spécialisé, portée par le ministre de la Défense, de l’Intérieur, de la Justice ou de Bercy. Ce document écrit précise la ou les techniques à mettre en œuvre (quel outil ?), la ou les finalités poursuivies (terrorisme, promotion économique des intérêts français, etc.), le ou les motifs des mesures (pourquoi ?), la durée de validité (combien de temps ?).
Est aussi renseignée la cible du renseignement : personne, lieu ou véhicule. Sur ce point, la loi est souple : tous peuvent être « désignés par leurs identifiants, leurs caractéristiques ou leur qualité, lorsqu’ils ne sont pas connus mais aisément identifiables ». Ainsi, plutôt qu’un nom (Mme Michu), le service pourra se contenter de mettre en avant le chef présumé d’un groupe plus ou moins menaçant, l’immatriculation d’une voiture, un pseudonyme utilisé sur un réseau social, telle donnée technique, ou la référence client chez un opérateur… (L. 821-2).
[...]
Émanant des services, la demande est ensuite adressée au président de la CNCTR (ou l’un de ses membres magistrats). Celui-ci rend, seul, un avis dans les 24 heures.
Ce cheminement peut toutefois être contrarié si d'une part, le président n’est pas certain de la validité de la demande, et d'autre part, il décide de réunir l’ensemble de la Commission. Celle-ci dispose alors de trois jours pour rendre son avis.
Mais que se passe-t-il si la commission n’est pas réunie ? Les autres membres sont alors informés dans les 24 heures de l’avis rendu par le président. Deux d’entre eux peuvent dès lors activer cette réunion et là encore, un avis est rendu dans les trois jours.
Quid si le président ne rend pas d’avis ? L’avis est tout simplement réputé rendu (positivement), ce qui montre combien la disponibilité du président de la CNCTR (ou son représentant) devra être forte.
L’avis obtenu expressément ou par défaut permet de finaliser l’autorisation du premier ministre. Elle vaut pour une durée maximale de quatre mois. Cependant, elle est renouvelable autant de fois que nécessaire. À chaque fois, cependant, il faudra suivre le même formalisme et respecter la même durée que l’autorisation initiale. (L. 821-3)
Après 24 h (ou trois jours) donc le premier ministre peut accorder son autorisation suprême pour quatre mois (L. 821-4). S’il autorise, malgré l’avis défavorable de la CNCTR, il doit impérativement expliquer pourquoi il a estimé nécessaire d’y passer outre. Dans tous les cas, la demande initiale et l’autorisation du premier ministre sont enregistrées dans un registre mis à la disposition (non communiqué volontairement) de la Commission.
[...]
Voilà pour la procédure normale. Seulement, en présence d’ « une menace imminente » ou d’un risque « très élevé de ne pouvoir effectuer l’opération [de renseignement) ultérieurement », l’urgence prime sur l’encadrement : on passe à l’action ! La décision de déployer directement le renseignement revient en effet au seul chef du service, sans passer par la case premier ministre comme c'était prévu dans le projet de loi initial.
Seules contraintes : sans délai, il doit informer le ministre compétent, le premier ministre et la CNCTR. (L. 821-5). Dans une telle hypothèse, le Premier ministre peut alors ordonner l’interruption de la collecte et la destruction des renseignements glanés. Cette procédure d’urgence n’est toujours pas activable. Elle est interdite pour la mise en place d’écoute dans des lieux privés d’habitation ou quand la technique de renseignement cible une entreprise de presse, un parlementaire ou un avocat, seul véritable filet qui protège ces professions à caractère sensible (L. 821-5).
Urgence ou non, si la commission considère qu’il y a un bug dans l’autorisation, elle devra se contenter d’adresser une simple « recommandation » au premier ministre. Elle lui expliquera pourquoi la technique de renseignement est illicite. Le premier ministre décidera des suites à donner « sans délai ». S’il rejette ses remarques, la CNCTR saisira, si elle le souhaite, le Conseil d’État, dans une formation de jugement spécialisée. (L. 821-6). Un détail important : cette procédure ne gèle pas le renseignement en cours.
[...]
Mais imagions que tout se passe bien. Une fois les autorisations accordées, l’ensemble des données collectées sera tracé et centralisé (L. 822-1). Chaque technique fait en effet l’objet d’un relevé, accompagné de la date de début et de fin, et précisant la nature des renseignements collectés. Un relevé là encore simplement mis à la disposition de la CNCTR, non communiqué mécaniquement.
Toutes ces informations, qui vont révéler à des yeux extérieurs jusqu’à l’intime de la vie d’une personne, seront conservées pendant 12 mois et même, pour les données de connexion, durant 5 ans à compter du recueil. En clair, si vous êtes un possible terroriste théoriquement menaçant, toutes vos métadonnées qui décrivent votre environnement social pourront être gardées en mémoire jusqu’en avril 2020. Il s’agit cependant de plafonds maximums figés par la loi qu’un décret en Conseil d’État pourra raboter, suivant les techniques de renseignement autorisées.
Ce n'est pas tout. Ces plafonds pourront être dépassés dans trois cas. Cela vise :
Les renseignements liés à une cyberattaque
Les renseignements chiffrés
Les renseignements déchiffrés associés à ces derniers
Là, c’est une conservation sans limites de temps, qui ne peut être justifiée que par le besoin d’une analyse technique. La loi assure aussi ces informations ne pourront pas être utilisées pour la surveillance des personnes concernées. (L.822-2).
[...]
Toujours sur la question des délais, si « les renseignements ne peuvent être collectés, transcrits ou extraits à d’autres fins » que les sept finalités, (L.822-3) et ce, pour une durée limitée, « les transcriptions ou les extractions [devront] être détruites dès que leur conservation n’est plus indispensable à la réalisation de ces finalités ». En clair, le fruit des recueils sera conservé sans limite de temps. À toutes fins utiles, un registre sera mis là encore à disposition de la CNCTR.
[...]
L’article L. 822-6 prévoit un joli cas de figure : lors de ces collectes, un agent du renseignement découvre par hasard un crime ou un délit, même sans lien avec l’une de ces sept finalités. Là, pas de choix : il devra en aviser sans délai le procureur de la République, en lui transmettant les procès-verbaux utiles.
C’est une application bête et méchante de l’article 40 du code de procédure pénale. Par ce biais, tout le mécanisme basculera donc dans une procédure judiciaire classique, à partir d’outils exceptionnels de surveillance administrative, si bien sûr le service ne tarde pas trop à faire jouer cette disposition, laps de temps durant lequel le judiciaire restera écarté... Précision importante : cette transmission au Parquet pourrait visiblement se faire même si les mesures de surveillance étaient à l'origine, illicites.
[...]
La Commission nationale de contrôle n’a pas vu sa composition modifiée en commission des lois. Reprenons donc ce que nous disions dans notre première actualité. Cette autorité administrative indépendante est composée de neuf membres (L. 831-1) :
Deux députés
Deux sénateurs
Deux membres du Conseil d’État (actuels ou retraités)
Deux magistrats (actuels ou retraités) de la Cour de cassation
Une personnalité qualifiée pour sa connaissance en matière de communications électroniques (nommée sur proposition du président de l’ARCEP)
[...]
Elles pourront démissionner, non être « virées » sauf si la Commission venait à constater un « empêchement » ou « un manquement » dont les modalités sont renvoyées au règlement intérieur. Ces personnalités sont indépendantes, également dans l’exercice de leurs attributions (L.832-1). Elles « ne reçoivent d’instruction d’aucune autorité. »
La fonction de membre de la CNCTR est incompatible avec toute activité professionnelle, tout autre emploi public et tout mandat électif, exception faite des députés et sénateurs qui y siègent. (L.832-2). Autre garantie, les membres de la Commission ne pourront être en liaison d’intérêts directs ou indirects avec les services du renseignement, les FAI, les opérateurs ou les hébergeurs techniques. Cependant, la loi ne prévoit aucune obligation de publier les déclarations publiques d’intérêts de ces personnalités.
En commission des lois, plusieurs voix se sont faites entendre pour dénoncer l’agenda très chargé des députés et sénateurs qui y siégeront. Ils ne peuvent en effet libérer que très difficilement une seule journée par semaine. L’idée a été suggére de proposer d’anciens députés et sénateurs, mais elle a été repoussée. Autant dire, en conséquence, que la charge de travail de cette autorité administrative indépendante reposera essentiellement sur les épaules des magistrats. Selon le texte, la CNCTR ne pourra délibérer que si au moins quatre membres sont présents. Rappelons à ce titre que le silence gardé par le président sur une demande d’autorisation vaut avis…
Quels seront ses moyens ? Comme analysé précédemment, l’étude d’impact est diablement silencieuse sur les versants économiques du projet de loi. L’article L.832-4, modifié en commission, prévient simplement qu’elle « dispose des moyens humains et techniques nécessaires à l’accomplissement de sa mission ainsi que des crédits correspondants ». Il reviendra finalement à la prochaine loi de finances de lui allouer les fonds nécessaires, sauf à vouloir noyer cette autorité sous un déluge de procédures.
Il n’est plus précisé dans le projet de loi amendé que les agents de la CNCTR seront choisis « en raison de leurs compétences juridiques, économiques et techniques en matière de communications électroniques et de protection des données personnelles ». Ce qui laisse une plus large manœuvre d’actions, même si ce genre de profils sera évidemment précieux.
Cette autorité administrative indépendante verra aussi ses comptes vérifiés par la Cour des comptes (L. 832-4). Cependant, sauf erreur, la loi ne prévoit pas de publication du rapport qui en ressortira.
[...]
La mission première de la CNCTR (L. 833-1) sera avant tout de « veiller à ce que les techniques de recueil du renseignement soient mises en œuvre sur le territoire national conformément [aux textes] ». À cette fin (art. L. 833-2.), tous, des agents aux ministres, devront faciliter son action (une obligation de moyen, sans sanction particulière). La CNCTR se verra destinataire de toutes les demandes des services mais également de toutes les autorisations accordées par le premier ministre. Elle disposera aussi d’un droit d’accès permanent à toutes les données relevées, collectées, transcrites, centralisées, etc. Un droit d’accès cependant non absolu cependant puisqu’il ne concernera pas la surveillance des communications internationales.
La même CNCTR sera «informée à tout moment (…) des modalités d’exécution des autorisations en cours ». Seul détail, cette information ne se fera qu’ « à sa demande » et non au fil de l’eau…
Au-delà, elle pourra toujours essayer de solliciter du Premier ministre « tous les éléments nécessaires à l’accomplissement de sa mission », mais là encore, cette possibilité ne pourra viser des éléments communiqués par des services étrangers, des organismes internationaux « ou qui pourraient donner connaissance à la commission, directement ou indirectement, de l’identité des sources des services spécialisés de renseignement. »
Pour être mieux éclairée, elle pourra solliciter du premier ministre les éventuels rapports menés en interne sur les services du renseignement (par l’inspection des services du renseignement). Dans le texte initial, c’est le premier ministre qui décidait, ou non, de communiquer d’instinct ces éléments. Cette fois, c’est la CNCTR qui peut solliciter ces documents, nuance importante.
[...]
Si quelqu’un s’estime espionné par les services, il pourra saisir la CNCTR via une réclamation. Il devra d’abord démontrer un « intérêt direct et personnel », histoire d’éviter que tous les paranoïaques en puissance ne se pressent à sa porte. Mais comment démontrer un tel intérêt à agir, face à des opérations couvertes par le secret ?
En commission des lois, il a été cependant confirmé que la CNCTR pourrait également s’autosaisir. Une garantie judicieuse. Dans ce cadre, elle déploie son contrôle pour vérifier que l’éventuel recueil a été correctement mis en œuvre. Une fois son enquête conclue, elle en alerte l’auteur de la réclamation, mais « sans confirmer ni infirmer » de la mise en œuvre de la surveillance (L. 833-3). En interne, si une irrégularité est constatée, on rebascule sur la recommandation au premier ministre, et l’éventuelle saisine du Conseil d’État (L.821-6).
[...]
Enfin, histoire de nourrir un peu plus les échanges, à tout moment la commission « peut répondre aux demandes d’avis du Premier ministre, des présidents des assemblées parlementaires et de la délégation parlementaire au renseignement ».
Nouveauté adoptée en commission, elle pourra enfin consulter pour avis l’ARCEP, évidemment dans le respect du secret de la défense nationale. (L. 833-6).
[...]
Passons maintenant aux différentes techniques de renseignement présentes dans la trousse à outils des services. Le projet de loi réorganise le code de la sécurité intérieure opposant d’un côté l’accès administratif aux données de connexion, de l’autre sur les interceptions (les écoutes).
Commençons par les premières qui concernent non le contenu des correspondances (voix, texte, vidéo), mais tout le contexte d’un échange : le contrat d’abonnement, l’adresse IP, l’adresse postale, le lieu, la date, les numéros de téléphone, etc.,. Pour installer un tel pipeline, il faudra évidemment l’autorisation du Premier ministre, l’inévitable avis de la CNCTR et heureusement le respect de deux grandes conditions (L.851.3). D’une part, le recueil doit viser des personnes « préalablement identifiées comme présentant une menace ». C’est-à-dire identifiées nommément, par qualité, caractéristiques ou identifiant dixit l’article L821-2. D’autre part, ce recueil est fléché à la seule prévention du terrorisme.
Ces conditions réunies, les agents du renseignement peuvent pomper en temps réel toutes les informations autres que le contenu des échanges « relatifs » à ces personnes. Selon nous, le terme « relatif » ne signifie pas seulement émis ou reçus par ces individus, mais tout ce qui est en relation avec elles, nuance d'ampleur.
Ce recueil est alors très énergique : les services profiteront alors d’un accès « en temps réel sur les réseaux des opérateurs » pour récupérer des wagons de données de connexion. Il n’y a pas que les opérateurs télécoms qui sont ici visés, s’y ajoutent les sites, les FAI, les hébergeurs, bref, toute la jungle des acteurs du net qui devront tous ouvrir un accès privilégié. Contrairement à la loi de programmation militaire, qui organisait une transmission sur demande, cette fois on change de niveau : l’accès pourra être direct. Les agents entrent, se servent, repartent, sans rien demander à quiconque. Un service tout confort, open bar.
Dernier détail, les acteurs du numérique se verront interdire de révéler la mise en œuvre d’une technique de recueil du renseignement. Le cas échéant, ils risqueront une amende de 375 000 euros. Ce même montant sera dû s’ils refusent « de communiquer les informations ou documents ou de communiquer des renseignements erronés ». Bref, toute résistance sera futile… car coûteuse.
[...]
L’article L. 851-4 est celui sans doute qui suscite le plus de trouble (relire la réaction de l’ASIC ou de Gandi, par exemple). C’est la fameuse boite noire qui concerne cette fois l’hypothèse de personnes non identifiées. Cet article tente de trouver une solution pour anticiper une possible menace terroriste, qu’elle soit fantôme ou finalement bien réelle.
Concrètement, le Premier ministre pourra imposer à tous les acteurs des nouvelles technologies une « boite noire » sur leurs infrastructures (tuyaux, DSLAM, serveurs, etc.), en fait « un dispositif destiné à détecter une menace terroriste sur la base de traitements automatisés ». L’expression de menace terroriste est elle-même très floue, variant selon les sensibilités sécuritaires et anxiogènes.
Mais quelle est exactement cette boite noire, ce dispositif lesté d’algorithmes prédictifs ? Rien n’est décrit précisément dans le projet de loi ou son étude d’impact, laquelle évoque simplement « l’anticipation de la menace attachée aux activités terroristes ». C’est sans doute un chalutage profond de toutes les données de connexion pour tenter de trouver, au tamis, des signaux faibles. À la barre, un algorithme, et en guise de marins, pourquoi pas du deep packet inspection ? Questionné, Matignon nous a simplement répondu que ces détails seraient discutés avec les opérateurs, sans infirmer notre hypothèse. Une obligation : ce chalutage ne portera que sur les données de connexion, non les contenus, cependant la CNIL a déjà expliqué combien il était simple de retracer toute l'identité d'une personne via ces simples éléments...
Fait important : l’algorithme ne pourra pas procéder à l’identification des personnes concernées. Si les algorithmes « matchent » une possible menace terroriste, cependant, alors le Premier ministre pourra autoriser l’identification des données glanées, après l’avis de la CNCTR. Les services passeront alors à plus musclé, comme c’est déjà prévu par le texte, spécialement à de l’interception judiciaire. On n’ose à peine imaginer les conséquences d’un plantage de l’algorithme, d’un faux positif ou si le logiciel remonte trop tôt dans le précrime.
Nouveauté en commission des lois : pour apporter un peu de lumière dans cette boîte noire, la Commission nationale de contrôle des techniques de renseignement émettra un avis sur le dispositif et les critères des traitements automatisés (pourra-t-elle ausculter techniquement l’algorithme, ou seulement les critères qui le nourriront ?). Elle aura en tout cas un accès permanent à ces traitements et sera informée de toutes les modifications. En cas de doute, jouera l’éternelle recommandation au premier ministre, suivi d’une possible saisine du Conseil d’État.
[...]
Toujours lors de l’examen en commission, Jean-Yves Le Drian, ministre de la Défense a donné un cas pratique que pourrait permettre ce fameux article L.851-4 : « lorsqu’un terroriste décapite un homme dans un pays étranger, des connexions se mettent en place sur notre territoire, pour identifier les réseaux sociaux qui montrent la scène. Un algorithme vérifie immédiatement les connexions qui assurent la diffusion de l’acte terroriste commis en Jordanie, en Iran, en Irak ou en Syrie. Il s’agit non pas de pêche au chalut, mais de ciblage de réseau. Une telle intervention, qui n’existe que dans le cadre de la lutte antiterroriste, ne lèse pas les libertés ». Seul souci, les URL sont considérées comme des données de contenus, non des données de connexion… Erreur ou aveu gênant ?
Bernard Cazeneuve a ajouté son lot de (petites) précisions : « En ce qui concerne la détection sur données anonymes, on ne peut à la fois refuser de recueillir toutes sortes d’informations et rejeter les dispositifs qui permettent de sélectionner les personnes qui doivent être suivies. Les algorithmes permettent justement de cibler les informations dont nous avons besoin. »
De même, il a détaillé (un peu) le mode opératoire : « Les services de renseignement définiront, après avis de la CNCTR, un algorithme permettant de sélectionner des données en fonction de critères préétablis. Ces critères sont précisément destinés à éviter la « pêche au chalut » : ils permettront de sélectionner les caractéristiques spécifiques des modes de communication de personnes engagées dans des activités terroristes (…) Les opérateurs mettront en œuvre le dispositif sur les flux de données de connexion empruntant leurs réseaux. Lorsque l’algorithme détectera un profil correspondant aux critères d’une menace terroriste, ce profil sera communiqué au service de renseignement concerné de manière anonyme. C’est seulement si le service estime que le profil correspond bel et bien à une personne susceptible de représenter une menace terroriste que le Premier ministre pourra, après avis de la CNCTR, autoriser l’identification de la personne. »
La commission des lois a fait sauter au fil des discussions le délai plutôt bref de mise en place de cette boîte noire. Initialement fixé à 30 jours, renouvelables autant de fois, ce délai est maintenant figé dès l’autorisation initiale, soit jusqu’à 4 mois, toujours renouvelables tant que la menace existe ce qui risque d'être du 365j/an puis la prévention du terrorisme est dans l'ADN du renseignement.
[...]
À l’article L. 851-6, sont décrites d’autres techniques, non plus seulement limitées au terrorisme, mais motivées par la prévention des sept plaies de la loi. Il y a d’abord la mise en place d’un mouchard permettant de localiser en temps réel une personne, un véhicule ou un objet. Là encore, tout passe par une autorisation du Premier ministre, en principe, évitée cependant en cas d’urgence, de menace imminente ou « de risque très élevé de ne pouvoir effectuer l’opération ultérieurement ».
[...]
En commission des lois, gros changement passé un peu inaperçu dans le dédale technico-juridique du texte : plutôt que d'autoriser un dispositif « de proximité », le texte adopté fait maintenant référence à un « appareil » ou « un dispositif technique » dans le sens de l’actuel article 226-3 du code pénal.
On étend très clairement les capacités de surveillances sous cette discrète référence. L’article en question ne concerne en effet pas seulement les fausses antennes relai, mais vise également tous les « appareils ou dispositifs techniques » qui permettent d’ « ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination » ou « d'en prendre connaissance » ou « d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie électronique ». (L’article 226-3 du Code pénal renvoi à l’article 226-15 du même code). Il voit donc nettement plus large !
Même amendé, le texte prévoit toujours que les informations ou documents recueillis par ce biais seront détruits dans les 30 jours s’ils ne sont pas en rapport avec l’autorisation de mise en œuvre. Sinon, s’appliquera le délai programmé en amont.
[...]
Les interceptions de sécurité
Après l’aspiration des données, on passe en effet aux écoutes (voix, écrits, vidéo, texte). D'entrée, prévenons d'une nuance qu’on retrouve déjà dans l’actuelle législation : si les autres outils de surveillance doivent répondre à l’une des sept finalités, cette fois, les interceptions pouvant être autorisées seront celles « susceptibles de révéler des renseignements » relatifs à l’une des finalités. Ce n’est pas vraiment la même chose et permet de taper un peu plus à l'aveugle.
La CNIL l’a regretté, mais le gouvernement et la commission des lois s’en sont peu souciés : les données de connexion afférentes seront aspirées en même temps que les contenus des échanges. Ces écoutes pourront donc se répandre chez les proches de celui qui est écouté, plus exactement chez ceux « susceptibles de jouer un rôle d’intermédiaire, volontaire ou non, pour le compte de cette dernière ou de fournir des informations au titre de la finalité faisant l’objet de l’autorisation ». Un exemple ? Un chauffeur de taxi qui a échangé sans le savoir avec une personne à risque... C’est finalement tout l’environnement social, numérique, sonore, textuel, visuel, professionnel, familial d’un individu qui sera aspiré dès lors que ce tissu est « susceptible » d’être utile pour l’une des sept finalités.
Ces outils pourront être installés et exploités sans autorisation, si urgence, menace imminente ou « risque très élevé de ne pouvoir effectuer l’opération ultérieurement », en suivant la procédure vu plus haut.
En commission des lois, plusieurs mesures ont été adoptées pour assurer une certaine centralisation des interceptions, histoire d’éviter un éparpillement rendant délicat le contrôle de la CNCTR. Le nombre d’interceptions sera comme aujourd’hui contingenté par le Premier ministre (après avis de la CNCTR), sans limites particulières.
[...]
Sonorisation des lieux et véhicules et mouchards informatiques
Ces intrusions très profondes dans la vie privée d’une personne ne seront possibles que subsidiairement, si au regard des sept finalités, les renseignements espérés ne peuvent être recueillis par un autre moyen légalement autorisé (L. 853-1.).
Elles seront conditionnées à un avis exprès de la CNCTR (le silence ne vaudra donc pas acceptation). Et si son avis n’est pas suivi par le Premier ministre, deux de ses membres pourront saisir le Conseil d’État afin de trancher le conflit (L.853-1 et L.853-2).
Le projet de loi est généreux, prévoyant l’installation de caméras et micros, même dans un lieu privé. Évidemment, l’inviolabilité du domicile, affichée fièrement au premier article du texte, ne jouera pas. Symbolisme, on vous dit. Autre chose, des mouchards informatiques pourront aussi être placés sur n’importe quel « système automatisé de données ». Selon Matignon, l'expression vise un ordinateur. Mais juridiquement, cela concerne aussi les tablettes, smartphones, les sites internet, les serveurs... bref, n’importe quel bidule qui manipule des flux d’octets.
Cette foire à l’indiscrétion peut durer deux mois, bien entendu renouvelable si nécessaire. Puisqu’on touche aux correspondances, les données collectées devront cependant être détruites au plus tard à l’expiration d’un délai d’un mois à compter de leur enregistrement.
Ces opérations seront mises en œuvre sous le contrôle de la CNCTR qui pourra solliciter leur interruption et la destruction des renseignements collectés.
[...]
La loi prévoit un régime à part pour le renseignement sur les communications internationales (L. 854-1). Cette hypothèse vise par exemple un émetteur en France et un récepteur à l’étranger. Concrètement, s’il y a un tel élément d’extranéité, l’autorisation initiale du Premier ministre n’est plus soumise à l’avis de la CNCTR.
Comme mis en lumière par l’ARCEP, ce dispositif pose d’autres soucis. Il sera parfois « délicat pour les opérateurs de déterminer de manière suffisamment certaine le régime dont relèvent les communications internationales émises ou reçues sur le territoire national ». Imaginons en effet des émetteurs et des récepteurs en France, mais qui empruntent des voies internationales (exemple : un VPN à l’étranger). Est-on dans un cas français ou étranger ?
Le projet de loi apporte un peu d’eau au moulin : lorsqu’une communication renvoie à des numéros d’abonnement ou à des identifiants techniques rattachables au territoire national ou à des personnes surveillées en France, les données seront conservées et détruites conformément aux règles en vigueur dans notre pays, sous le contrôle de la CNCTR. Avec une nuance : « le délai de conservation des correspondances court à compter de la date de leur première exploitation » et non du recueil comme c’est le cas dans les hypothèses franco-françaises.
Contrairement à ce que nous avions (mal) précisé dans notre première actualité, la CNCTR pourra intervenir a posteriori, de sa propre initiative ou sur réclamation de toute personne y ayant un intérêt direct et personnel. L’objet ? S’assurer que les mesures mises en œuvre respectent les conditions des deux décrets. Seulement, la Commission n’a semble-t-il pas possibilité de saisir une quelconque juridiction, laissant une liberté encore plus vaste à l’exécutif. La CNCTR n’aura en tout cas aucun accès permanent « aux relevés, registres, renseignements collectés, transcriptions et extractions » conformément à l’article L.833-2.
[...]
Un amendement porté par Jean-Jacques Urvoas, et adopté en Commission des lois, va aussi obliger les prestataires de cryptologie à remettre désormais « sans délai » les clefs de déchiffrement aux services du renseignement.
À ce jour, l’article L244-1 du Code de la sécurité intérieure (CSI) oblige ceux qui fournissent des prestations de cryptologie à « remettre aux agents (…) sur leur demande, les conventions permettant le déchiffrement des données transformées au moyen des prestations qu'ils ont fournies ». Dans son amendement, Urvoas accentue la pression sur ces acteurs en exigeant une fourniture des clefs le plus rapidement possible (« sans délai », article L 871-1) : « cet amendement prévoit de contraindre les personnes physiques ou morales qui fournissent des prestations de cryptologie à remettre sans délai aux agents des services de renseignement les clés de déchiffrement des données transformées au moyen des prestations qu'elles ont fournies » a éclairé le député PS.
Selon l'article L245-2 du CSI, le fait de ne pas déférer aux demandes des autorités habilitées est puni de deux ans d'emprisonnement et de 30 000 euros d'amende…
[...]
Sur le terrain international, nos services du renseignement profiteront d’un beau visa. Comme déjà expliqué, selon l’article 10 du projet de loi, le droit pénal de l’informatique leur sera inapplicable dans cette sphère extraterritoriale. Dans le jargon, c’est là une exceptionnelle « excuse pénale. »
Les services pourront donc pirater, modifier, effacer, copier, enregistrer tout ce bon leur semble, dès lors qu’on reste vissé à l’une des sept finalités. Jamais ils ne risqueront de se voir condamner à une quelconque amende ou peine de prison (sauf cas exceptionnel : pays mis à feu et à sang, etc.). Le périmètre géographique pose aussi des questions ici : quelle est la nationalité d'une donnée, d'un serveur ? Qui sera juge pour l'apprécier ? Quid des Français se retrouvant sur un serveur basé à Cuba ?
Cette disposition a été simplement corrigée à la marge en commission des lois, malgré les inquiétudes de Sergio Coronado (EELV).
[...]
Le Conseil d’État sera la juridiction de premier choix pour ces dossiers sensibles (L. 841-1). Il sera susceptible d’être saisi par trois voies :
Par toute personne « ayant un intérêt direct et personnel » et qui aura préalablement pris soin de saisir la Commission, afin de faire vérifier les activités de renseignement.
Par la CNCTR en cas d’autorisation accordée illégalement, de techniques de renseignement qui dépassent les bornes.
Par une autre juridiction lorsqu’une affaire met en cause le secret de la défense nationale. Il doit alors statuer dans le délai d’un mois à compter de la décision de saisine de la juridiction de renvoi.
Sa compétence est en premier et dernier ressort (Art. L. 311-4-1). Toutefois, c’est une formation spécialisée de la juridiction qui intervient ici (Art. L. 773-2), le secret de la défense nationale interdisant la moindre publicité des débats (huis clos total). Cette formation sera composée de trois membres du Conseil d’État. Ils pourront heureusement soulever d’office tout moyen qui n’aurait pas été signalé par la CNCTR par exemple. En cas de contentieux, les membres de cette juridiction ont accès aux pièces du dossier et la CNCTR peut être entendue.
Si le Conseil d’État constate l’absence d’illégalité (pas de surveillance ou surveillance régulière) sa décision indique au requérant simplement « qu’aucune illégalité n’a été commise » : Il lui sera interdit de confirmer ou infirmer « la mise en œuvre d’une technique ». Au contraire, s’il constate une illégalité, il pourra (ce n’est pas obligatoire) d’un, annuler l’autorisation du recueil, de deux, ordonner la destruction des renseignements irrégulièrement collectés. Dans un tel cas, le requérant est informé de l’illégalité et l’État peut être condamné à indemniser son éventuel préjudice.
Lorsque la même juridiction estime que l’illégalité constatée est susceptible de constituer une infraction, elle doit en aviser le procureur de la République et transmettre l’ensemble des éléments du dossier à la CNCTR. Celle-ci donnera son avis au Premier ministre, qui pourra, s'il le veut, alors déclassifier tout ou partie des pièces en vue de leur transmission au procureur de la République. Autant dire, de l'hypothétique.
[...]
Big data et contrôle du fichage
Toutes les informations glanées lors de ces différentes opérations feront l’objet d’un fichage dont les éléments pourront être croisés à d’autres fichiers de police déjà en place. Soit un joli big data.
Le projet de loi vient du coup modifier le droit d’accès indirect reconnu aux citoyens (article 11 du projet de loi). En principe, quand est en cause la sûreté, la défense ou la sécurité publique, il faut passer par l’intermédiaire de la CNIL pour contrôler ces mécanismes. En cas de contentieux, le projet de loi adapte toutefois le principe du contradictoire normalement respecté en raison de « la nature particulière des traitements concernés ».
Dans un tel cas, en effet, la juridiction chargée de trancher un contentieux ne pourra ni révéler ni préciser si le requérant figure ou non dans le traitement en cause. Celui-ci ne disposera d’informations que si des données personnelles le concernant sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite. Et encore… C’est une simple option ouverte à la juridiction, qui pourra donc décider de ne rien dire. Sur ce terrain, l'ASIC a de son côté demandé à ce que la CNIL soit davantage mise dans la boucle. On verra en séance, à partir du 13 avril prochain, si ces voeux seront entendus. »
Bref : pas de gros changements :
* Les finalités et les services pouvant avoir recours aux techniques de renseignement sont déjà étendus ;
* Toujours un manque de temps/moyens pour la CNCTR et le fait que rien ne lui parvient automatiquement sauf les demandes d'autorisation mais cela démeure à sa disposition (au cas où ils auraient le temps et l'envie spontanée de venir mettre leur nez... sérieusement :/) ;
* Toujours aucune vraie garantie (en tant que citoyen, je ne peux pas me contenter de croire que les dispositions sont tellement dingues qu'elles ne seront pas appliquées contre un innocent, j'ai besoin de preuve/garantie -> voir la sûreté définie dans la déclaration des droits de l’homme et du citoyen de 1789 aka "la protection de l’individu face à la puissance de l’État, que ce soit un roi ou tout autre dirigeant. Le chef de l’État ne peut se saisir de votre personne ou de vos biens car tel est son bon plaisir."). Quelques exceptions pour les professions sensibles (parlementaire, avocat, entreprise de presse) pour les techniques "violentes" comme IMSI Catcher) ;
* Aucun vrai recours (tout est couvert par le secret défense, il faut un motif pour saisir la CNCTR (intérêt direct et personnel), la CNCTR et le Conseil d'État répondent avec une sorte de lettre type "aucune illégalité n’a été commise"), le droit d'accès indirect (via la CNIL) est raboté pour répondre au besoin du secret,... ;
* Les durées de conservation des données de connexion des personnes suspectées (5 ans) est totalement demesurée... Déjà que la Cour de justice de l'Union européenne a sabré la directive de 2006 sur le stockage des données de connexion par les FAI/FSI pendant un an... ;
* Toujours un grand flou autour des fameuses boîtes noires dont les algorithmes (dont il n'est toujours pas dit s'ils seront vérifiés et par qui) devront identifier les mézants terroristes à partir de comportements (utiliser TLS avec des algos forts, GPG, TOR, OTR, ... seront-ils des éléments à charge pour nous suspecter, prolonger la durée de conservation de nos données personnelles, nous coller une surveillance rapprochée ?).
* J'aime aussi les mots flous comme « majeurs » et « exceptionnels » qui laissent une vaste marge d'interprétation et d'action à l'exécutif. À mettre en lien avec nos représentants du gouvernements totalement affolés suite au piratage de TV5 qui parlent déjà d'acte de terrorisme (Pellerin), vendent le projet de loi relatif au renseignement comme un remède miracle (Cazeneuve), se déplacent (3 ministres en moins d'une matinée, ils n'ont rien d'autre à faire que de jouer l'affiche !), parlent de réunions à venir et de mesures d'exception. Enjoy !
J'aime également quelques conceptions à l'américaine :
* Laisser aux FAI/FSI le soin de faire le sale boulot, en proxy (comme le FISA/Patriot Act aux USA) ;
* Les libertés prises sur les communications internationnales : « La loi prévoit un régime à part pour le renseignement sur les communications internationales (L. 854-1). Cette hypothèse vise par exemple un émetteur en France et un récepteur à l’étranger. Concrètement, s’il y a un tel élément d’extranéité, l’autorisation initiale du Premier ministre n’est plus soumise à l’avis de la CNCTR. ». Internet est un réseau mondiale, une bonne partie de nos communications avec des serveurs partent à l'étranger. ;)
(
Permalink)
@jeekajoo shaarlinks 09/04/2015 beau travail d'information de nextinpact sur notre patriot act français.
lire aussi "La loi renseignement expliquée à mes parents" par jbfavre
http://blog.jbfavre.org/2015/04/07/loi-renseignement-expliquee-simplement/(
Permalink)
CAFAI Liens en Vrac 10/04/2015 Après avoir examiné le projet de loi sur le renseignement, déposé à l’Assemblée nationale par le gouvernement, passons au texte issu de la commission des lois. Plusieurs passages, d’intérêt parfois très important, ont été modifiés à cette occasion. Voilà donc un long exposé enrichi et réactualisé à l'aide des principales modifications.
(
Permalink)
le hollandais volant 10/04/2015 Un résumé sur l'évolution de ce projet de dictature numérique.
— (
permalink)
