De la collecte massive des données de navigation au piratage de n'importe quel ordinateur, le « Snooper's Charter » britannique est un modèle de loi sécuritaire. Si de nouveaux garde-fous sont bien mis en place, ils rappellent à certains égards ceux de la loi Renseignement française, qui ont leurs limites.

La mode des lois sécuritaires n'en finit pas de toucher l'Europe. Après la loi Renseignement française, c'est au tour du Royaume-Uni de se doter de nouvelles armes en matière de surveillance. Les deux chambres du parlement britannique ont adopté la loi sur les capacités d'enquête (Investigatory Powers Bill), aussi connue comme le « Snoopers' Charter ». Après promulgation par la Reine, elle deviendra effective.

Le but est de regrouper toutes les capacités d'enquête et de surveillance des forces de l'ordre et des services de renseignement dans un même texte, et d'adapter le tout au numérique. Selon le site du gouvernement, « cela restaure des capacités perdues suite au changement des modes de communication des citoyens ». Comme en France, il est aussi question de fixer des limites claires à des pratiques déjà existantes.

« Surveillance du web » et accès aux données chiffrées

Officiellement, il s'agit d'aider les autorités dans leur lutte contre le crime organisé et (bien entendu) le terrorisme. Poussé depuis 2012 par Theresa May, récemment devenue premier ministre, le texte a provoqué une large levée de boucliers de la part des associations de défense des libertés, comme Privacy International.

Le point le plus critiqué est la collecte des « données de communications Internet » par les opérateurs, qui sont tenus de les tenir à disposition des autorités pendant un an. Il s'agit de l'ensemble des données pouvant aider à identifier un service consulté ou la nature d'un message échangé. La nature exacte de ces données n'est pas précisée, ni la méthode de collecte. En juin 2015 (PDF), le gouvernement affirmait qu'il s'agissait de collecter les adresses IP et noms de domaine consultés. Rien de moins.

Les services de l'État britannique sont aussi autorisés à mener des actions offensives, comme le piratage d'ordinateurs, de smartphones et de réseaux. Cela même si quelques protections sont en place pour certains statuts, comme les parlementaires ou les journalistes, ainsi que leurs sources. Avec ce texte, il sera aussi possible de traquer des millions de terminaux sur demande du ministre de l'Intérieur.

Les autorités britanniques pourront aussi demander la levée du chiffrement sur des données qui les intéressent. Le chiffrement « fort » tel que défendu en France par l'ANSSI, la CNIL ou Mounir Idrassi, le concepteur de VeraCrypt, dans nos colonnes, n'a donc pas lieu d'être outre-Manche.

Collectes de données massives et garde-fous familiers

Les services de renseignement, en clair le GCHQ, pourront travailler sur des lots de données personnelles massifs, avec la possibilité de les recouper entre eux. Une activité déjà en place depuis une décennie, pour laquelle le GCHQ a récemment été épinglé par la justice britannique. Désormais, la loi l'autorise.

Bien sûr, le gouvernement met en avant la création de nouveaux garde-fous pour protéger la vie privée. Le principal est la mise en place d'une commission qui doit contrôler ces activités. Une entité qui ressemble beaucoup à la CNCTR française, mise en place par la loi Renseignement, qui mène une lutte quotidienne pour appliquer un contrôle effectif des activités de renseignement.

Aussi, les autorités devront obtenir des mandats pour certaines actions, comme la consultation et la conservation de lots de données personnelles. Délivré par le secrétaire d'État, il ne doit être utilisable qu'une fois validé par un juge. Les critères d'approbation semblent tout de même assez vagues, allant de la prévention des crimes graves jusqu'à la sécurité nationale, en passant par la protection de l'économie.

Surtout, une partie au moins de ces données sera accessible par d'autres pays sous certaines conditions. Connaissant les liens étroits de cette agence avec la NSA américaine (avec laquelle elle a par exemple piraté Gemalto), il n'est pas sûr que ces garde-fous soient effectifs. Le GCHQ a déjà admis avoir contourné le besoin de mandat pour accéder aux données d'Anglais en passant par la NSA. 

Selon Politico, une contestation européenne du texte peut être à attendre. Si la Grande-Bretagne quitte l'Union européenne, le pays devra ainsi négocier un accord avec les 27 restants pour rouvrir la possibilité de transférer des données, à l'image du Privacy Shield. Avec une telle loi, il n'est donc pas dit qu'une nouvelle négociation soit aisée.

• Consulter le texte du projet de loi (en anglais)