La CNIL a rendu public son avis consultatif sur l’avant-projet de loi sur le renseignement (voir notre actualité). Le projet étant maintenant finalisé, est-ce que ses recommandations ont été suivies d'effets ? Des pistes de réponses.

La CNIL n'a pas été écoutée

La CNIL n’a pas été écoutée lorsqu’elle regrettait que la « donnée personnelle » ne soit pas inscrite dans le premier article du texte, où sont rappelées l’importance du respect de la vie privée, du secret des correspondances et de l’inviolabilité du domicile (p.3 de l'avis).

La CNIL n’a pas été spécialement suivie dans ses réserves. Elle s’inquiétait en effet de l'allongement substantiel de la durée de conservation des données de connexion associées aux écoutes ou interceptions (p.6 de l'avis).

La CNIL n'a pas été écoutée justement sur le couplage entre autorisation d'une écoute et aspiration automatique des métadonnées correspondantes. Elle le jugeait inapproprié et aurait donc préféré une appréciation au cas par cas (p.5 de l'avis).

La CNIL n’a pas été écoutée lorsqu’elle déplorait le flou sur les données informatiques susceptibles d’être mouchardées par les espiogiciels administratifs. Le gouvernement a donc préféré laisser toute latitude à ses agents dans le projet final. Selon la CNIL, pourtant, ce manque de précision nuit à la lisibilité de la loi et « à l’encadrement légal et aux garanties à appliquer » (p.7 de l'avis).

La CNIL n’a pas été écoutée lorsqu’elle déplorait qu’aucune mesure particulière de protection ne bénéficie aux professions à risque (avocats, journalistes, médecins, parlementaires, etc.). Le projet définitif n’en fait pas davantage cas. Une quasi-certitude : un député de la majorité colmatera la brèche par amendement, histoire de montrer l’utilité des débats au Parlement et la volonté de protéger particulièrement ces citoyens… (p.7 de l'avis).

La CNIL n’a pas été écoutée sur les flous des fameuses boîtes noires imposées aux opérateurs et hébergeurs pour détecter cette fois les signaux faibles, ceux liés à la « préparation d’un acte de terrorisme ». Cette police-logicielle va sniffer par algorithme prédictif des tendances, des occurrences comportementales révélatrices. Quand l’algorithme matchera des traces révélatrices d'une menace caractérisée de terrorisme, l’anonymat des mis en cause pourra être levé par procédure encadrée. Seulement, la CNIL considère qu’avant même cette levée, à l’aide des seules métadonnées, une personne est  identifiable. Ce problème n’a pas été suivie d’effet dans le projet finalisé, puisqu'il est consubstantiel à la donnée de connexion. (p.9 de l'avis).

Des boîtes noires pour détecter la préparation d'un acte de terrorisme (avant-projet, en haut)
Des boîtes noires pour révéler une possible menace terroriste (projet finalisé, en bas)

Au contraire, il y a un risque important dans la nouvelle version du texte. Comme on peut le voir ci-dessus, si l’avant-projet conditionnait l'installation d'une boîte noire à la finalité de détecter automatiquement « la préparation d’un acte de terrorisme », est désormais visée la vague révélation de la « menace terroriste ». C'est beaucoup plus flou, mais cela a l'avantage, pour le renseignement, d'ouvrir d'autant le champ du possible.

La CNIL a pour partie été écoutée

La CNIL n’a pas bien été écoutée quant aux sondes installées chez les intermédiaires (opérateurs, FAI, hébergeurs, etc.) pour aspirer les métadonnées des personnes « présentant une menace » en termes de terrorisme. Actuellement, ces opérations sont possibles « sur sollicitation du réseau et transmises en temps réel par les opérateurs aux agents ». L’avant-projet, lui, a fait sauter l’intermédiation de l’opérateur. L’aspiration devient donc directe, à flux tendus, particulièrement intrusive selon la CNIL puisqu’utilisée « à l’insu des opérateurs, sur leurs propres systèmes ». Si celle-ci est surtout restée à l'expression de ces remarques, elle a aussi réclamé des garanties fortes quant aux périmètres des données (uniquement les métadonnées). Le gouvernement a apporté plus de formalisme et de précisions, mais a aussi corrigé le texte à la marge : d’un recueil « effectué en temps réel sur les réseaux », on est passé- maigre nuance -à un recueil qui « peut être opéré en temps réel sur les réseaux » (p.9 de l'avis).

La CNIL a été mieux écoutée sur un autre outil d’aspiration, l’IMSI Catcher. Une fausse antenne relais aspirant les données entre le téléphone et la véritable antenne. Elle sollicitait des garanties plus serrées. Et pour cause. Cet appareil peut, de manière systématique et automatique, avaler un grand nombre d’informations relatives à des personnes « pouvant n’avoir aucun lien ou un lien purement géographique avec l’individu effectivement surveillé ». Le projet de loi finalisé y répond notamment par un encadrement calendaire et géographique : le Premier ministre pourra autoriser cette installation sur des lieux déterminés pour une période maximale de six mois. Autre chose, pour la seule prévention d’un acte de terrorisme, l’IMSI Catcher servira aussi à intercepter des correspondances émises ou reçues par le terminal, et non plus seulement des éléments d'identification et de géolocalisation de l'appareil. L’autorisation sera alors limitée à 72 heures, mais renouvelable... autant de fois que nécessaire (p.10 de l'avis).

La CNIL a été écoutée

La CNIL a été pleinement écoutée quand elle dénonçait le risque d’une réaction en chaîne des écoutes. Dans l’avant-projet, il était en effet possible d’étendre cette intrusion à toutes les communications susceptibles de révéler, même « indirectement », des renseignements (j’écoute A, suspect, mais aussi son contact B puis C, D et F, contacts de B, et j’étends à G, H, I, etc.). Dans le texte définitif, il n’est prévu que l’extension des interceptions aux personnes « appartenant à l’entourage » de celle visée principalement, avec un régime d'autorisation spécifique. Il faudra que celles-ci soient susceptibles « de jouer un rôle d’intermédiaire, volontaire ou non » ou « de fournir des informations » utiles à l’enquête administrative pour exciter les grandes oreilles (p.5 de l'avis).

La CNIL n'a pas encore été écoutée

La CNIL n’a pas encore été écoutée sur les zones d’ombres des nouveaux pouvoirs des agents de TRACFIN, cellule de renseignement financier national. D’après l’avant-projet de loi comme dans le projet final, le service peut demander à toute entreprise de transport (terre, fer, mer, air) ou à un opérateur de voyage ou de séjour, tous les éléments d’identification des personnes qui ont payé ou bénéficié d’une prestation. Dans le filet, se trouvent encore les éléments d’information relatifs à la nature de cette prestation et, s’il y a lieu, aux bagages et marchandises transportés. La CNIL aurait aimé un encadrement plus précis, fléchant par exemple les date, heure et lieu de départ et arrivée des voyageurs, etc. Le texte définitif n’y a pas fait pas cas. La suite donc au Parlement, ou plus sûrement dans les décrets d’application puisqu'on est dans le détail (p.13 de l'avis).

La CNIL n’a pas encore été écoutée sur les « mesures de surveillance internationale », mises en œuvre via une simple autorisation du Premier ministre, et où la Commission nationale de contrôle des techniques de renseignement interviendra seulement en aval. La CNIL attend toutefois des précisions sur la nature des techniques utilisées, précisions qui pourraient être apportées dans les décrets, une fois encore (p. 8 de l'avis).

Dans un communiqué, publié hier, la CNIL promet d'être désormais attentive aux « suites de ce texte, notamment sur les modalités de contrôle des fichiers de renseignement ». Dans son avis du 5 mars, elle avait réclamé en effet que ces fichiers sous secret défense puissent être mieux contrôlés, idéalement par ses soins. « Le contrôle de ces fichiers constitue une exigence fondamentale afin d'asseoir la légitimité de ces fichiers dans le respect des droits et libertés des citoyens » justifie-t-elle. Seulement, elle l'admet sans détour : la proposition « n'a pour l'heure pas été suivie d'effet ».