Sur le papier de la loi de juillet 2015, la promesse de la centralisation des données est attendue comme le messie par la CNCTR, du moins depuis l'avènement de cette commission début octobre 2015. Seul souci, ce mécanisme important n’est toujours pas concrétisé.
La loi Renseignement a revu tout l’arsenal permettant aux services de glaner des données en principe protégées par le sceau de la vie privée. Afin de surveiller les surveillants, le même texte a instauré une commission spéciale, la commission nationale de contrôle des techniques du renseignement (CNCTR). Sa mission ? Vérifier si les services n’ont pas avalé plus de données que prévu dans l’autorisation signée du Premier ministre.
À cette fin, « un relevé de chaque mise en œuvre d'une technique de recueil de renseignements est établi. Il mentionne les dates de début et de fin de cette mise en œuvre ainsi que la nature des renseignements collectés. Ce relevé est tenu à la disposition de la commission, qui peut y accéder de manière permanente, complète et directe, quel que soit son degré d'achèvement ». Voilà ce qu’impose l’article L.833-2 du Code de la sécurité intérieure (CSI). Et pour faciliter le travail de la CNCTR, le législateur a prévu que « le Premier ministre organise la traçabilité de l'exécution des techniques autorisées […] et définit les modalités de la centralisation des renseignements collectés » (article L.822-1 du CSI).
De la théorie à la pratique
Seulement entre la lettre et la pratique, il y a un fossé dénoncé par la CNCTR elle-même. Fin 2015, dans un avis sur le projet de décret définissant la liste des services du renseignement du second cercle, elle avait ainsi rappelé à Bernard Cazeneuve que « l’exercice effectif de [son] contrôle a posteriori impose une centralisation des données recueillies auxquelles la CNCTR doit avoir un accès libre et permanent ».
Le 10 février 2016, Francis Delon, président de la commission, décrivait cet impératif de centralisation comme « un point sur lequel en permanence, nous insistons auprès du gouvernement ». Et toujours devant les sénateurs, il jugeait « hors de question que nous passions notre temps à courir d’un endroit à un autre pour contrôler telle ou telle donnée ».
Contactée la semaine dernière, la CNCTR nous assure que le sujet « avance », sans donc être achevé. Tout particulièrement, il est dans les mains du groupement interministériel de contrôle, ce fameux GIC placé sous la dépendance du Premier ministre.
« Les choses progressent »
« Les choses progressent, il y a une volonté d’avancer » concède poliment notre interlocuteur avant de rappeler les investissements qu’un tel sujet implique. Cela concerne en particulier le transfert de renseignements très gourmand en bande passante, spécialement les interceptions vidéo où la sécurisation doit être adaptée à la sensibilité des contenus.
Cette problématique de la centralisation se pose surtout dans les très nombreux services du second cercle, c’est-à-dire ceux éparpillés en France, et autres que :
- la direction générale de la sécurité extérieure,
- la direction de la protection et de la sécurité de la défense,
- la direction du renseignement militaire,
- la direction générale de la sécurité intérieure,
- la direction nationale du renseignement et des enquêtes douanières,
- TRACFIN.
En attendant, la CNCTR publiera son premier rapport annuel d’activité durant la dernière semaine de novembre. Elle devrait, sauf surprise, dresser un nouvel état des lieux de cette question en souffrance depuis le vote de la loi du 24 juillet 2015.
Commentaires (13)
Les données collectées seraient stockées où ? (serveur , hébergeur etc…étrangers ou d’origine étrangères? ou solution maison).
Et l’impact sur le matériel, pour accéder et lires ces données?
Article intéressant mais à approfondir, je pense.
Les données sont obligatoirement stockées en France, chez un hébergeur agréé. Il y a des datacenters prévus pour cela où le gouvernement à la main dessus. Thales et Bull par exemple travaillent avec l’État.
La loi est pas trop mal enfin de compte mais je veux voir les points techniques perso…
Oui,j’ai vu Thales pour cela mais quid de la sous traitance et du matos utilisés.
Je pense qu’il n’y a pas de sous-traitants mais seulement du personnel interne vu le caractère critique des données à conserver. Pour le matériel c’est sûrement des routeurs/switchs/serveurs faits maison, conçus en France, en tout cas j’ose espérer qu’on utilise pas de matériel US à grande échelle pour ce type d’infrastructure… Sinon autant dire que les portes sont ouvertes…
" />
Pour les sous traitants ,il existe des contrats et des certifications (niveau sécu etc…).
Pour le matos, par ex chez edf, y a du matos US et autres pour les firewall ou autres pour les centrales nucléaires…malheureusement donc bon.
Mais ,je pense que les qualifications sont au point.
Cette problématique de la centralisation se pose surtout dans les très nombreux services du second cercle, c’est-à-dire ceux éparpillés en France
D’après Dante Alighieri le second cercle est celui de la luxure
du coup je me demande si on ne se fait pas un peu mettre avec tout ça …
Thales est un énorme pourvoyeur de prestataire et en prend lui-même beaucoup. je ne saurais dire exactement ce qu’ils vont faire mais ce serait curieux que seuls des internes bossent sur les serveurs sécurisés.
Le plus souvent il s’agit de prestataires qui ont une habilitation et qui ont subit une enquête avant de l’avoir ( j’aurais tendance à dire niveau secret défense ).
Il n’y a officiellement que ces textes s’agissant de la centralisation. Personne ne nous donnera l’adresse, les modalités de stockage etc. de ces éléments classés secret-défense. Il est cependant assuré que cela se passera plutôt en France et de préférence du côté de Paris. Pourquoi pas dans le périmètre du GIC… 
" />
tout à fait
" />
Merci
" />
Je me doutais que les détails resteront “secret” .
C’était au cas où ^^
Ils feront du partage en P2P sécurisé et chiffre via les ordinateurs des particuliers, pour économise de la bande passante, sans se faire flashe par HADOPI…
" />
" />