Loi Renseignement : les acteurs du numérique transmettent leurs critiques au Conseil constitutionnel

Les acteurs des nouvelles technologies représentés par Syntec Numérique, l'Afdel, l'Asic et Renaissance numérique ont déposé à leur tour un mémoire au Conseil constitutionnel visant le projet de loi sur le renseignement. Après la Quadrature du Net, FDN et FFDN puis le thinktank GenerationLibre, c’est donc la troisième « porte étroite » qui est exploitée en appui des saisines du Président de la République , du Président du Sénat et d’une centaine de députés.

Le projet de loi sur le renseignement a été adopté voilà plus d’une semaine par le Parlement. La procédure se poursuit actuellement entre les murs du Conseil constitutionnel qui vérifie la conformité du texte au bloc de constitutionnalité, dont la Déclaration des droits de l’homme et du citoyen de 1789. Comme l'a révélé le site Les Echos, les acteurs du numérique et du Net, dont Google, Microsoft, Dailymotion et des centaines d’éditeurs de logiciels, ont eux aussi profité de l’occasion pour adresser un mémoire (PDF) aux neuf sages. L’objet ? Lui faire connaître les points qu’ils considèrent comme litigieux dans le texte.

Des finalités trop floues

L’essentielle de leurs remarques vise l’article 2 du projet de loi, le cœur du dispositif. Ce sont d’abord les finalités qui justifient la possibilité pour les services de faire de l’interception des contenus, données et métadonnées, qui prêtent le flanc à leur critique.

L’analyse rejoint celle déjà exprimée dans les précédents mémoires : rédigées en des termes trop flous, ces portes d’entrée sont autant d’atteintes à la séparation des pouvoirs. Et pour cause, ce manque de précision profite à l’exécutif, au détriment du législateur, seul pourtant en compétence de porter atteinte aux droits et libertés fondamentaux : « le risque pour les droits de chaque personne sont d’autant plus importants que le motif justifiant la surveillance laisse la place à un trop grand pouvoir d’interprétation de l’autorité de police administrative pour déclencher les techniques de surveillance. »

Par exemple, la prévention de la criminalité en bande organisée, l’une des finalités, embrasse un très grand nombre d’infractions qui, parfois sont très graves (torture, terrorisme, etc.) mais d’autres fois non : « On y trouve aussi des crimes et délits, dont nonobstant la violation de l’ordre social, qui ne sauraient être classés au rang de menaces pour l’intérêt national et certainement pas justifier le recours à des procédés de surveillance massive. Un vol de tableau en bande organisée, le délit d’aide à l’entrée et au séjour des étrangers en situation irrégulière justifient-ils, par exemple, un tel régime de police administrative ? Non, à l’évidence non ! »

Le rôle consultatif de la CNCTR

Selon les auteurs de la mémoire, le rôle purement consultatif de la Commission nationale de contrôle des techniques du renseignement (CNCTR) pose aussi question. On se souviendra que lorsqu’un service spécialisé fait une demande d’espionnage, le Premier ministre doit d’abord la soumettre à l’avis préalable de la CNCTR. Seulement cet avis n’est que simple. Mieux : le silence conservé pendant 24 heures équivaudra à un feu vert.

Selon l’analyse du ministre de l’Intérieur, opter pour un avis conforme serait inconstitutionnel : « le Conseil d'État a indiqué en 2001 qu'il n'était pas possible pour une autorité administrative indépendante d'émettre un avis conforme dans un domaine relevant des prérogatives régaliennes de l'État.»

Mais l’Afdel, Renaissance Numérique, Syntec Numérique et l’Asic opposent une décision du Conseil constitutionnel du 19 janvier 2006 qui avait validé le conditionnement des réquisitions administratives des données de connexion à un accord préalable d’une personnalité désignée par la Commission nationale de contrôle des interceptions de sécurité (la CNCIS, future ancêtre de la CNCTR). Du coup, la logique du projet de loi renseignement - un avis purement simple - entraînerait un recul des pouvoirs de contrôle et devrait encourir la censure.

Des durées de surveillance trop longues, parfois infinies

Les durées des opérations de renseignement seraient également problématique selon les auteurs du mémoire. Elles sont systématiquement renouvelables sans plafond fixé par la loi. Donc de l’infini jusqu’à l’au-delà.

Or, la jurisprudence du Conseil constitutionnel avait déjà validé des mesures de surveillances judiciaires, mais justement parce qu’elles étaient limitées dans le temps. « On éprouverait (…) quelque difficulté à comprendre pourquoi le contrôle du juge judiciaire devrait être plus strictement encadré quand il s’inscrit dans [cette] logique (…) alors que l’exercice du pouvoir de police administrative échapperait à cette garantie constitutionnelle » embrayent les quatre organisations.

La durée de conservation des données aspirées par sondes, boites noires et autres dispositifs de proximités n'est pas non plus exempte de critiques, tout comme l’absence de contrôle des renseignements collectés (voir les remarques de la CNIL). D’une part, les métadonnées permettent de dresser tout l’écosystème d’une personne, avec des détails parfois très intimes (relations sociales, santé, sexualité, etc.). D’autre part, « la CNCTR ne dispose d’aucun pouvoir impératif de décision en la matière » et « les données et métadonnées qui auraient été analysées par les services de renseignement comme étant non nécessaires au regard des finalités fixées par la loi, ne font l’objet d’aucune obligation de destruction à bref délai, ni même d’aucun pouvoir pour la CNCTR ni pour le Conseil d’État d’en ordonner la purge. »

Des bugs dans les voies de recours

Sur la question des contrôles, il est également reproché qu’un constat d’illégalité d’une technique de recueil puisse n’entrainer qu’une possible annulation de l’autorisation et la destruction des renseignements afférents. Que dit le projet de loi ?

« Art. L. 773-7. – Lorsque la formation de jugement constate qu’une technique de recueil de renseignement est ou a été mise en œuvre illégalement ou qu’un renseignement a été conservé illégalement, elle peut annuler l’autorisation et ordonner la destruction des renseignements irrégulièrement collectés ».

« Autrement dit, résume le mémoire, l’illégalité d’une autorisation n’entraîne pas nécessairement son annulation ».Selon eux, le juge ne devrait pas avoir d’autre choix que de sanctionner.

Autre chose, la loi ne prévoit aucun droit de recours pour les entreprises exploitant un réseau à qui les autorités demanderaient d’agir dans des conditions jugées non régulières. « Cette hypothèse peut paraitre d’école. Il reste qu’elle peut parfaitement devenir une réalité si, dans le futur, les autorités compétentes avaient une gestion inappropriée des textes. »

Les boites noires et la surveillance algorithmique

Ces boites noires installées sur « les réseaux » tenteront de deviner une possible menace terroriste en aspirant quantité de données de connexion. Premier hic, la loi ne précise pas ce qu’est un « réseau ». Comme nous l’avions vu, le code des postes comprend certes plusieurs sous-définitions, mais aucune n’embrasse ce terme générique.

Ce point pose souci, car de lui dépendra la question de savoir où s’installeront ces systèmes informatiques d’espionnage. D’ailleurs en séance, le 16 avril, la députée Isabelle Attard s’en était émue : « quelles sont les données que vous cherchez à collecter ? Où allez-vous placer vos sondes sur les réseaux télécoms ? En extrémité de réseaux (des dizaines de milliers d'équipements) soit sur les routeurs d'interconnexions, dans le cœur ? Soit vous récoltez les données de connexion, et alors c'est redondant avec ce qui existe sur les interceptions, soit vous voulez aspirer des métadonnées avec des adresses de navigations. Et cet équipement se nomme Deep Packet Inspection. Lors de la loi de lutte contre le terrorisme, vous l'aviez dénoncé, comme étant une technique trop intrusive » rappelait l’élue apparentée écologiste à la majorité socialiste. 

Selon le mémoire, ce flou viole « le principe de clarté et d’intelligibilité de la loi et l’article 34 de la Constitution » lequel définit la zone de compétence du législateur. De même, il permet de confirmer qu’une surveillance de masse reste bien possible : « il est certain que le placement de sondes algorithmiques sur une multitude de points d’accès aux réseaux constitue, par nature, une collecte indifférenciée de données et de métadonnées, dont on a vu qu’elles révèlent beaucoup de la vie privée et sociale des individus ». Pire encore, cette aspiration d’ampleur n’assurerait aucune certitude d’efficacité, rendant plus ample la disproportion des moyens déployés.

La surveillance internationale

C’est l’un des autres angles morts du texte, dont une enquête du Nouvel Observateur, publiée hier, est très révélatrice des enjeux. Nos confrères montrent ainsi les services du renseignement ont déployé en douce des outils de surveillance sur les câbles sous-marins reliant l’Europe au reste du monde.

Dans le projet de loi, lorsqu’une communication est « émise ou reçue de l’étranger », les services du renseignement pourront mener à bien des opérations de surveillance sans pénible formalisme préalable : une autorisation du Premier ministre, et plus d’avis de la CNCTR. Et c’est tout ! Mieux, c’est un décret non publié qui prévoira les modalités de mises en œuvre que les acteurs des télécoms devront suivre sans broncher. Ces mesures pourront évidemment frapper un français installé dans nos frontières qui appelle l’étranger. Or, « ces citoyens de la République française pourraient-ils être moins bien protégés par la loi, au motif qu’ils communiquent depuis l’étranger ou qu’ils reçoivent des communications depuis notre territoire national ? En prévoyant ici une dégradation supplémentaire des garanties, du fait des imprécisions de ce dispositif, le législateur est manifestement resté en deçà de sa propre compétence » tacle le mémoire.

La décision du Conseil constitutionnel est désormais attendue dans trois semaines.