(OLN) Conférence commune "Loi Renseignement-Surveillance" du jeudi 26 mars

Submitted by Sy on Tue, 2015-04-07 17:42

Face à l'urgence d'un agenda parlementaire très resserré sur le projet de loi relatif au renseignement, l'Observatoire des Libertés et du Numérique a, avec le soutien organisationnel de La Quadrature du Net, organisé une Conférence de presse visant à dénoncer les dangers pour les libertés fondamentales du projet de loi. Les organisations membres de l'OLN ont été rejointes pour l'occasion par Amnesty International et Reporter Sans Frontières tout autant critiques du projet.

L'intégralité de la conférence est disponible en vidéo ici.

Le Cecil y est intervenu par l'intermédiaire de son chargé de mission, Sylvain Steer. Son intervention, qui peut être visionnée ici, était axée principalement sur deux points : la pratique du "blanchiment légal" et la mise en place de techniques de surveillance généralisée (ou "boîtes noires").

Pour ceux qui préféraient l'écrit, voici la trame écrite de cette intervention :

Cette intervention est réalisée au nom du CECIL (Centre d’Études sur la Citoyenneté, l’Informatisation et les Libertés) une association créée en 2007 qui vise à donner une assise solide et permanente à l’étude critique de l’informatisation de la société et aux interventions citoyennes dans ce domaine. Son approche tend à réintroduire le champ Informatique et Libertés, dans le débat public, afin de donner aux citoyens, dans une approche démocratique, les moyens d’orienter les choix technologiques liés à l’informatisation, au fichage et au contrôle social.

À ce titre, nous sommes extrêmement préoccupés par le projet de loi ici discuté.

Le blanchiment de pratiques illégales

Tout d’abord, il semblait important de revenir sur un des objectifs déclarés de cette loi : légaliser des pratiques « alégales » et ainsi protéger les agents du renseignement. Dans le rapport d'information du 14 mai 2013, « Pour un « Etat secret » au service de notre démocratie », de Jean Jacques Urvoas lui-même (député rapporteur du projet devant la commission des lois et plus généralement son porteur), il est bien rappelé [« * les agents qui agissent en dehors de tout cadre légal […] commettent, de fait, des actions constitutives d’infractions au regard du droit pénal* » (p.38). Ce qui n’est d’ailleurs jamais nié par les services de renseignement et sans que cela semble avoir de conséquences importantes pour ceux-ci.

Il s’agit donc d’opérer un « blanchiment légal », pour reprendre les mots de Philippe Aigrain. L’étude d’impact du projet et le gouvernement semblent nous dire « il faut légaliser, car c’est ce qui est fait ». L’article 34 de la Constitution impose que ça soit la loi qui fixe les règles concernant les garanties fondamentales des citoyens face aux impératifs de la défense nationale. Ainsi, si une loi était nécessaire, la France faisant office de mauvais élève sur la question, une loi dans l’urgence ne l’est pas.

Exception faite de la loi de 1991 relative au secret des correspondances prévoyant les interceptions de sécurités, plus à la marge, de la loi de programmation militaire de 2013, les différentes touches apportées au régime du renseignement en France n’ont fait l’objet d’aucun vrai débat public sur les pratiques des services et sur les atteintes aux libertés publiques qui peuvent en découler. En ce sens, les pratiques actuelles doivent être questionnées, débattues par tous.
Le sacrifice de certaines libertés sur l’autel de la sécurité n’est pas anodin et requiert une discussion sérieuse sur l’équilibre complexe entre sécurité et libertés. Il est important de ne pas garder nos services de renseignement dans un placard fermé, loin de nos esprits.

Le choix du gouvernement d’une procédure accélérée, d’une absence de concertation avec la société civile en amont et d’un planning extrêmement resserré sur cette loi parait donc très peu démocratique et inopportun. Le choix du contexte n’aide pas non plus à la sérénité des débats.

Cette légalisation a posteriori questionne aussi sur ce qui, dans ce projet de loi, relève du neuf ou de l’existant.
Les nouveaux motifs de surveillance ajoutés à la loi de 1991 étaient-ils par exemple déjà effectifs ? Dans l’hypothèse où les débats parlementaires supprimeraient certaines des dispositions pourtant utilisées illégalement, en pratique, les services de renseignement cesseraient-ils de les appliquer ? Ils étaient dans l’illégalité avant pourquoi arrêteraient-ils ?

En ce sens, il est adéquat que soient renforcées les garanties du respect d’une stricte application du Droit. Il est nécessaire que, dans l’hypothèse de la découverte de pratiques illégales par la future Commission nationale de contrôle des techniques de renseignement (CNCTR), une procédure soit explicitement prévue pour non seulement arrêter la pratique, comme c’est envisagé, mais aussi sanctionner ses auteurs. Une application stricte du second alinéa de l’article 40 du Code de procédure pénale, doit être envisagée et systématisée.

Des techniques de surveillance généralisée

L’ajout de nouvelles mesures techniques dans l’arsenal étatique est une question très importante, et ce d’autant plus que cette loi valide l’écoute et l’interception de nos pratiques numériques (tchat, courriels, consultations de sites, navigations…) qui prennent une place considérable dans nos vies. Il suffit désormais d’une intrusion informatique et l’installation consécutive d’un mouchard (permettant par exemple l’enregistrement et la transmission aux services des frappes du clavier et/ou d’impressions d’écran) sur l’ordinateur principal d’une cible pour obtenir bien plus d’information même que des sonorisations et une surveillance par de multiples agents ne pouvaient en donner.

Pour revenir sur le mécanisme envisagé par la loi des « boites noires », dispositifs de surveillance installés chez les fournisseurs d’accès Internet ou d’autres opérateurs de service sur Internet (notamment les hébergeurs). C’est celui qui a déjà fait couler le plus d’encre. Le terme « boite noire » est évocateur. Il a le mérite d’évoquer l’aspect secret et insondable du dispositif. On sait ce qui y entre et ce qui en sort, mais rien de ce qui s’est passé à l’intérieur. C’est aussi dans un second sens (aéronautique) l’enregistrement de toutes les informations pertinentes. Cette double signification est reprise dans le récent ouvrage de Franck Pasquale « the black box society », qui évoque les dangers d’une régulation active de nos pratiques par les algorithmes secrets de grands acteurs du numérique. Un pouvoir passif, qui modèle nos comportements sans réel contrôle indépendant ou discussion démocratique.

Précisément, ce mécanisme est contenu dans l’article 2 de la loi qui introduit dans le Code de la sécurité intérieure un nouvel article L. 851-4 :

« Art. L. 851-4. – Pour les seuls besoins de la prévention du terrorisme, sur demande des agents individuellement désignés et dûment habilités des services spécialisés de renseignement, mentionnés à l’article 6 nonies de l’ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires, le Premier ministre, ou l’une des personnes déléguée par lui, peut, après avis de la Commission nationale de contrôle des techniques de renseignement, imposer aux opérateurs et personnes mentionnés à l’article L. 851-1 la mise en œuvre sur les informations et documents traités par leurs réseaux d’un dispositif destiné à révéler, sur la seule base de traitements automatisés d’éléments anonymes, une menace terroriste.

« Si une telle menace est ainsi révélée, le Premier ministre ou l’une des personnes déléguées par lui peut décider de la levée de l’anonymat sur les données, informations et documents afférents dans les conditions prévues au chapitre 1er du titre II du présent livre. » ;

Ce dispositif n’a pas pour vocation de se renseigner sur des cibles déjà détectées : il s’agit bien de trouver de nouvelles cibles. En ce sens, la limitation à la prévention du terrorisme parait bien illusoire quand il sera nécessaire de scanner l’intégralité des communications.

L’approche n’est clairement pas celle du « harpon » malgré les déclarations de J.-J. Urvoas, mais d’un filet, ou plutôt un tamis qui serait passé sur l’intégralité des océans. On a déjà pu entendre que, ne serait-ce que par manque de moyens (mais ceux-ci sont susceptibles d’augmenter, ou le coût des mesures susceptible facilement de baisser) les mailles du filet seraient calibrées pour ne récupérer que les plus gros poissons. Cela ne doit pas pour autant nous rassurer, le risque d’erreur existe nécessairement et quoiqu’il arrive cela implique, il faut le répéter, une surveillance généralisée et systématique.

L’objectif est de permettre « la détection précoce » aux travers notamment de « nouveaux modes d'exploitation des données de connexion et de réseau ». Apparaissent ainsi des velléités marquées d’un mécanisme fondé sur l’analyse des données massives (Big Data) pour détecter les crimes avant qu’ils aient même été envisagés par les individus (rappelant évidemment la nouvelle de Philip K. Dick Minority Report et les films éponymes). En clair, un individu qui s’intéresserait, et même à de seules fins de compréhension, à des thématiques liées, dans le contexte actuel, à la guerre en Syrie, à l’État islamique, etc. pourrait être surveillé, sans avoir même aucun début d’intention de commettre un acte terroriste, mais parce qu’il ferait des individus susceptibles de, un jour, peut être…

Une surveillance automatique, algorithmique décidée par les services de renseignements sous le seul contrôle, relatif, du Premier ministre, sans même que l’examen du détail du dispositif par la CNCTR ne soit clairement prévu par la loi. Les déclarations relatives à une facilité de changement des curseurs et des règles visant à repérer des « signaux faibles » semblent d’ailleurs sous-entendre qu’une fois autorisé le dispositif pourra évoluer à loisir selon les besoins, sans nécessairement que l’avis de la CNCTR soit redemandé.

Les caractéristiques techniques de ces dispositifs seront tenues secrètes, mais il fait peu de doutes que cela ouvre la voie à des méthodes d’inspection profonde des paquets (*Deep Packet Inspection) sur le réseau des fournisseurs d’accès pour analyser les contenus qui transitent par ceux-ci. Le texte ne se limite pas aux seuls FAI et la surveillance aura également lieu chez les autres intermédiaires techniques, moteur de recherche et hébergeurs de contenus notamment.

Le fait que le la levée de l’anonymat (et le rattachement à un individu donné) des données recueillies dans ce type surveillance soit faite uniquement sur demande du Premier ministre ou de son délégué n’est pas non plus une véritable garantie. Les seules données de connexion, sans être expressément rattachées à un individu précis, l’identifient déjà. De plus, cette opération sera effectuée sans aucun contrôle a priori de la CNCTR (et pas plus de la CNIL). Cet anonymat reste donc factice.

Une telle surveillance généralisée a un effet pervers extrêmement préoccupant, qui est également relevé par l’ouvrage de Franck Pasquale précédemment mentionné. Connaissant le risque d’une surveillance pour certains motifs, le citoyen va s’autocensurer pour ne pas risquer de devenir « l’erreur du filet » ; intéressé par un sujet susceptible d’éveiller des soupçons, il va, consciemment ou non, se limiter pour ne pas entrer dans les radars des services. Cette autolimitation est d’autant plus forte que les signaux faibles seront nécessairement secrets. La seule « possibilité de surveillance » est, en soi, un pouvoir considérable comme le révèlent les analyses de Foucault relatives notamment au panoptique de Bentham. Il s’agit d’un danger considérable pour la libre réflexion, mère de la liberté d’expression ou la lutte contre le terrorisme fait œuvre de prétexte.

Conclusion

Il faut rappeler que Jean Jacques Urvoas a pu qualifier E. Snowden « d’idiot utile » au service des groupes terroristes. Alors que les pratiques de la NSA révélés par Snowden ont inquiété la majorité des citoyens, J.-J. Urvoas quant à lui, semble s’en s’inspirer pour son projet de loi.
Il est d’ailleurs notable qu’il emploie la même ligne de défense que la NSA pour expliquer que l’analyse automatique des communications de tous n’est pas une surveillance de masse, ne s’agissant que de métadonnées et d’analyse de flux…

Enfin, si le gouvernement nous rappelle à loisir que « le renseignement doit être considéré comme un service public » il est important de rappeler que ce n’est pas le cas. Les services de renseignement sont au service du gouvernement en place et de ses intérêts, pas vraiment des populations. Le principe de séparation des pouvoirs doit être réaffirmé et le juge contrôler les désirs gouvernement. Nous espérons que nos parlementaires, représentant des intérêts des citoyens, se rappelleront de cela et défendront nos libertés face à l’exécutif.