Comme Le Monde, nous avons pu nous procurer l’avis de la Commission nationale de l'informatique et des libertés visant le projet de loi sur le renseignement, pour y revenir profondément. Objectif ? Opposer cet avis à l’une des versions du projet de loi désormais à l’air libre (le texte en PDF), en fait avant son analyse par le Conseil d’État.

Après la loi de programmation militaire, celle contre le terrorisme, ce projet de loi sur le renseignement a été présenté ce matin en Conseil des ministres, avant son dépôt à l’Assemblée nationale, accompagné de l’avis du Conseil d’État. Le vote suivra dans quelques semaines.

Son objectif ? Une profonde mise à jour des règles encadrant, parfois mal, les pratiques du renseignement. Cet « update » serait, aujourd’hui même, d’une impérieuse nécessité, selon l’exécutif : assurer la protection de l’État, celle des agents qui flirtent avec l’illicite, mais également les citoyens. Dans son avis, la CNIL ne dit pas autre chose : « les dispositions projetées doivent (…) permettre d’encadrer juridiquement les pratiques des services de renseignement pouvant porter atteinte à la vie privée et d’assurer ainsi la licéité de la collecte et de l’exploitation de l’ensemble des informations recueillies par l’intermédiaire de ces techniques ».

Plus d'hypothèses permettant la surveillance administrative

Préventives, ciblant le renseignement, les mesures de police administrative qui s'annoncent se passeront par définition de la moindre autorisation préalable du juge. Elles seront conditionnées à une série de sept finalités :

1. L’indépendance nationale, l’intégrité du territoire et la défense nationale
2. Les intérêts majeurs de la politique étrangère, l’exécution des engagements internationaux, la prévention de toute forme d’ingérence étrangère (donc du piratage informatique depuis la Corée du Nord ou d’un pays fan de hamburgers… )
3. Les intérêts économiques ou scientifiques majeurs
4. La prévention du terrorisme, des atteintes à la forme républicaine et à la stabilité des institutions, de la reconstitution ou du maintien de groupement dissous
5. La prévention de la criminalité et de la délinquance organisées
6. La prévention de la prolifération des armes de destruction massive
7. La prévention des violences collectives de nature à porter gravement atteinte à la paix publique

Ces finalités seront donc autant de portes d’entrée pour justifier l’armada sécuritaire du texte. Disons-le : elles sont bien plus amples que les cinq actuellement prévues dans le Code de la sécurité intérieure.

Nous avons donc pu nous procurer un document encore secret, l'avis de la CNIL. Et c’est peu de le dire, elle détecte bien une série de points très noirs dans l'ébauche qui lui a été soumise : les mesures possibles seront en effet « beaucoup plus larges et intrusives que ce qu’autorise le cadre juridique actuel en matière de renseignement ». En clair, le diamètre du pipeline aspirant des lampées de données personnelles va être décuplé, au motif de l’impérieuse sécurité. Mais que dit exactement dans le détail la commission ? Voilà la synthèse des critiques, accompagnée d’extraits de l’avant-projet de loi.

Respecter les données personnelles

La CNIL demande d’entrée que le respect des données personnelles soit inscrit en dur au sein du futur article L811-1, au côté donc du respect de la vie privée, celui des correspondances et de l’inviolabilité du domicile.

Des écoutes qui ne sont plus exceptionnelles

Selon l’article L241-2 du Code la sécurité intérieure, les interceptions de sécurité (les écoutes) peuvent être autorisées, mais seulement « à titre exceptionnel ». L'avant-projet de loi fait sauter cette limite, souligne la CNIL, qui n’ose exprimer des regrets bruyants…

Extensions des durées de conservation des données aspirées

Selon l’article L242-6 du CSI, les enregistrements aspirés durant ces écoutes sont détruits au bout de 10 jours. Dans l'avant-projet de loi, on change la donne. La conservation des enregistrements est déjà par principe portée à 30 jours. Pour les données chiffrées, une nuance, ce délai ne court qu’à compter du décryptage. Les renseignements collectés, les fruits de ces écoutes donc, sont seront détruits 12 mois après leur recueil. Et même cinq ans après pour les métadonnées qui leur sont associées.

Enfin, lorsque les renseignements contiennent des éléments de cyberattaque, ou des bouts encore chiffrés, le reste des renseignements décryptés sera conservé des mois et des mois durant. Pour la CNIL, le délai de cinq ans n’est accompagné d’aucune justification. Elle exprime même « ses réserves sur ce nouvel allongement substantiel » qui « n’exclut d’ailleurs aucunement que les données puissent être conservées au-delà aux fins d’analyse technique ».

La surveillance susceptible d'une réaction en chaîne

Elle tique davantage encore sur un dispositif associé qui autorise les interceptions pouvant relever « directement ou indirectement » des renseignements. Or, selon elle, « cette rédaction est susceptible d’ouvrir droit, par réaction en chaine, à des interceptions de communications entre des personnes qui n’auraient pas été en relation avec la personne surveillée ». Pour elle, pas de doute, cela « constituerait une atteinte particulièrement grave au respect du secret des correspondances ». Elle exige donc du gouvernement « une clarification », témoignage en creux d’un sérieux flou.

Autre chose. Désormais, l’enregistrement du contenu emportera automatiquement celui des métadonnées. « Ce caractère automatique est inapproprié, considère la gardienne des données personnelles, au regard des enjeux différents soulevés par les données de contenu et les données de connexion. »

Préparez vos mouchards

Les services du renseignement, sans l’aval d’un juge, pourront aussi capter, fixer, transmettre et enregistrer des paroles prononcées à titre privé ou confidentiel, tout comme l’image d’une personne se trouvant dans un lieu privé. De même, le texte autorise la captation, la transmission et l’enregistrement des données informatiques qui « transitent » ou sont « contenues » dans tel un système. Ces mouchards pourront au besoin être installés à distance, via Internet.

Enfin, il orchestre la localisation en temps réel d’une personne, d’un véhicule ou d’un objet, ce qui supposera deux intrusions dans des lieux privés (mise en place, retrait).

La CNIL ne voit pas d’opposition manifeste à doter la police administrative des moyens dont bénéficient les services de police judiciaires. Si elle salue l’application de quelques garanties jusqu’alors en vigueur, elle « s’interroge néanmoins sur l’absence de certaines d’entre elles, pourtant nécessaire aux fins d’assurer un meilleur respect de la vie privée ». Par exemple, le gouvernement a oublié de préciser quelles données informatiques pouvaient être ainsi espionnées. La CNIL en devine, faute de mieux, plusieurs : « enregistrement des frappes clavier, copies d’écran, enregistrement des données émises ou reçues depuis un périphérique audiovisuel, etc. ». Ce bête oubli, en tout cas, « nuit à la clarté et à la prévisibilité du texte, notamment quant à l’encadrement légal et aux garanties à appliquer ».

Ajoutons que le gouvernement n’a prévu aucune mesure particulière de protection pour les professions à risque : « avocats, journalistes, médecins, parlementaires, etc. ». Embêtant. Enfin, la Commission rappelle que ces opérations vont permettre « de suivre de manière permanente et en temps réel des personnes aussi bien dans l’espace public que dans des lieux privés ». Elle demande de ce fait une surcouche protectrice.

Une surveillance des communications internationales, moins contrôlée

Il sera tout autant possible de mettre en œuvre des « mesures de surveillance internationale » qui permettront légalement les écoutes de communications électroniques en provenance ou à destination de l’étranger.  La CNIL regrette d’abord que le gouvernement ne lui ait offert « aucune indication sur les techniques précisément utilisées dans ce cadre ». Elle demande donc des détails, spécialement dans les décrets d’application. Mais, histoire de protéger les activités de ses services, Matignon nous a indiqué qu’au moins l’un d’eux serait secret, non publié. Autre joyeuseté, ces mesures seront mises en œuvre que sur la seule autorisation du Premier ministre, sans avis donc de la nouvelle autorité indépendante chargée de contrôler ces aspirations de données quand elles se déroulent en France.

Chez les opérateurs, FAI et hébergeurs, des sondes directes, sans intermédiaire

L’article 3 du décret est un autre gros morceau. Il prévoit trois nouvelles techniques de recueil du renseignement. La première permettra l’aspiration des « documents et informations » des opérateurs télécoms, des FAI et des hébergeurs. Ces grandes oreilles seront fléchées aux seules personnes « présentant une menace » en termes de terrorisme (l’une des sept finalités précitées). Le recueil se fera « en temps réel » chez tous les intermédiaires jugés utiles.

La CNIL insiste pour que ce périmètre ne soit cantonné qu’aux seules métadonnées (données de connexion, heures, IP, endroit, identifiant de l’équipement, origine et destinataire de la communication, bref tout sauf le contenu). Surtout, elle constate « une évolution majeure au regard du dispositif prévu à l’actuel article L. 246 - 3 du CSI ».

Explication : ces opérations sont aujourd’hui en partie possibles, « sur sollicitation du réseau et transmis en temps réel par les opérateurs aux agents ». Avec son nouveau texte, le gouvernement monte d’un cran : le recueil se fera toujours sur sollicitation du réseau, mais désormais « sans l’intermédiaire des opérateurs de communications électroniques ». En somme, c’est une autoroute qui va permettre « l’aspiration massive et directe des données par les agents des services concernés sur les réseaux des opérateurs, par l’intermédiaire de la pose de sondes », explique la CNIL. Un mécanisme jugé « particulièrement intrusif » en raison d’une utilisation « à l’insu des opérateurs, sur leurs propres systèmes ». Pire encore, « les garanties prévues pour préserver les droits et libertés fondamentaux ne sont pas suffisantes pour justifier une telle ingérence dans la vie privée des personnes ». Ambiance.

Des boîtes noires chez ces mêmes acteurs

L’autre moyen consiste à installer de fameuses « boîtes noires », en fait un dispositif installé chez les opérateurs, FAI et hébergeurs. L’idée ? Scruter les « informations et documents traités » afin de détecter du pré-terrorisme comme le dit joliment Télérama, ou, dans le texte, « la préparation d’un acte de terrorisme ». Ces opérations se feront comme par magie : des « éléments anonymes » aspirés sur les tuyaux ou les serveurs, glissés dans un traitement automatisé (des algorithmes). Si la boîte noire craint une menace avérée, l’anonymat pourra être levé sur autorisation du Premier ministre.

Quelle est la grille de lecture de la CNIL ? Selon elle, le renseignement veut « détecter des signaux dits faibles de préparation d’un acte de terrorisme, à partir de critères pré-établis, portant sur les données ». Ces signaux faibles « s’entendent des tendances, de modus operandi ou encore de traces qui risquent d’être illisibles ou non détectables prises isolément, mais qui, appliquées à un ensemble de personnes, mettent en évidence des occurrences révélatrices de certains comportements ». La CNIL tire du coup la sonnette d’alarme sur ce pattern matching. Ces « indices » portent en effet « sur des données indirectement ou directement identifiantes et non sur des éléments anonymes », comme le voudrait l'avant-projet de loi. Il sera ainsi facilement possible « de remonter à l’identité de la personne » sans passer par la case Manuel Valls. Ennuyeux…

Des fausses antennes relais pour épier les téléphones portables

Dernier outil d’aspiration, l’IMSI Catcher, cet appareil technique de proximité consistant en une fausse antenne relais placée à proximité de la personne dont on souhaite intercepter les échanges électroniques. L’idée ? « Capter les données transmises entre le périphérique électronique et la véritable antenne relais » résume la CNIL. Si la loi sur le renseignement ne focalise son attention que sur les seules données de connexion et la géolocalisation, celle-ci considère qu’il sera aussi possible d’aspirer par ce biais, « dans certaines conditions, le contenu des correspondances » (donc des échanges voix, des mails reçus ou envoyés sur son smartphone, etc.). La gardienne des données personnelles sollicite là encore des garanties, d’autant plus qu’ « un tel dispositif permettra de collecter de manière systématique et automatique des données relatives à des personnes pouvant n’avoir aucun lien ou un lien purement géographique avec l’individu effectivement surveillé », et ce, pour un grand nombre de motifs (pas seulement le terrorisme). 

Un profond changement dans les mesures de surveillance en France

Face à tel déluge, la CNIL anticipe « un profond changement de nature dans les mesures de surveillance légalement autorisées. Il ne s’agit plus seulement d’accéder aux données utiles concernant une personne identifiée comme devant faire l’objet d’une surveillance particulière, mais de permettre de collecter, de manière indifférenciée, un volume important de données, qui peuvent être relatives à des personnes tout à fait étrangères à la mission de renseignement ». Dans ce chalutage d’informations indifférenciées, les services « devront identifier les données utiles à l’accomplissement de leur mission ». On aspire tout, on trie ensuite.

Ce sombre avenir « a des conséquences particulièrement graves sur la protection de la vie privée et des données personnelles ». La CNIL le dit et le redit : il faut des conditions de mises en œuvre « plus précises et de nature à limiter les atteintes à ces droits fondamentaux, d’une part, et de modalités de contrôle effectives et adaptées à la nature de ces atteintes, d’autre part. »

Elle réclame logiquement de meilleures protections dans le traitement des données collectées, « afin d’assurer un meilleur équilibre entre protection de la vie privée et exigence de l’ordre public », d’autant que « les traitements de données mis en œuvre par les services spécialisés de renseignement sont susceptibles de contenir des données personnelles recueillies par d’autres canaux que ceux visés dans le projet de loi ». En clair ? Elle fait ici référence aux croisements de données à partir d’actuels fichiers très sensibles, qui, de par cette nature, « ne font l’objet d’aucun contrôle permettant de garantir qu’ils sont mis en œuvre dans le respect de la protection des données personnelles ». Face à ce « renforcement considérable des pouvoirs dévolus aux services de renseignement », elle implore donc une mise à jour de ses pouvoirs de contrôle sur tous ces flux.

Une juridiction d'exception, un recul des droits

En l’état, l'avant-projet de loi prévoit la mise en place d’une juridiction d’exception, saisie par la nouvelle autorité administrative indépendante de contrôle (remplaçant la CNCIS) ou par des citoyens dans le cadre d’un procès parallèle, par exemple. La CNIL veut des clarifications sur les pouvoirs de cette juridiction et regrette surtout que le texte « marque un recul important par rapport aux garanties apportées par le dispositif actuel s’agissant du droit d’accès aux données ».

Pourquoi ? À ce jour, un citoyen n’a pas d’accès direct aux fichiers sensibles. Il peut faire contrôler son contenu par l’intermédiaire de la CNIL. C’est le droit d’accès indirect. En cas de litige, un juge peut statuer sur l’appréciation du refus de communication opposé par le responsable du traitement au regard de la sûreté de l’État, de la défense ou de la sécurité publique. Dans le projet, adieu un tel contrôle ! Il « affecte la protection du droit de personnes » en conclut donc la Commission.

Des pouvoirs très larges pour TRACFIN

Le gouvernement entend tout autant accroître le pouvoir de communication de TRACFIN, en fait, les agents de la cellule de renseignement financier national. Selon la Commission, ils pourront obtenir auprès de toute entreprise de transport (terre, fer, mer, air) ou d’un opérateur de voyage ou de séjour « des éléments permettant d’identifier des personnes ayant payé ou bénéficié d’une prestation ainsi que des éléments relatifs à la nature de cette prestation, et s’il y a lieu, aux bagages et marchandises transportées ».

Date, heure et lieu de départ et arrivée seront siphonnés par ce service, explique l’étude d’impact annexée à l'avant-projet de loi. Seul détail, celui-ci a oublié de reprendre ce périmètre précis, au grand regret de la CNIL qui dénonce aussi les flous sur les modalités d’exercice du droit de communication.

Détection, surveillance, mouchard, etc. dans les prisons

Enfin, pour prévenir les évasions, assurer la sécurité et « le bon ordre dans les prisons », le texte du gouvernement devrait permettre l’installation de dispositif de détection, de brouillage et d’interruption de toutes les correspondances émises électroniquement ou par voie radioélectrique (téléphone portable, etc.).

De même, l’administration pénitentiaire pourra géolocaliser ces équipements ainsi qu’aspirer les données de connexion (source et destination du coup de fil, par exemple). Enfin, il sera possible d’accéder aux données informatiques, voire détecter toute connexion à un réseau non autorisé. La CNIL n’est pas critique cette fois, mais elle prévient tout de même qu’il sera possible « d’installer des logiciels permettant de détecter les connexions frauduleuses ».

Nous reviendrons sur le projet de loi définitif dès lors que celui-ci sera publiquement dévoilé.