Le gouvernement a publié ce matin un avis au travers duquel les exportations de technologies de « surveillance de communications sur réseau IP » deviennent soumises à autorisation du ministère du Redressement productif. Explications.

C’était l'une des promesses issues du séminaire gouvernemental dédié au numérique : contrôler les exportations d'armes de surveillance numérique, notamment vis-à-vis des pays peu respectueux des droits de l’homme, et ce alors que plusieurs sociétés françaises ont été mises en cause ces dernières années pour avoir vendu de telles technologies au régime de Kadhafi par exemple.

Si l’exécutif était resté extrêmement silencieux à ce sujet depuis l'établissement de cette feuille de route, Fleur Pellerin a annoncé en milieu de semaine qu’un avis serait mis en œuvre « dès le 5 décembre » afin que l’exportation de ces technologies de surveillance à double usage soit soumise à autorisation. « La France, patrie des droits de l’homme, doit l’être aussi à l’ère numérique » clamait alors la ministre déléguée à l’Économie numérique, après avoir fait preuve de beaucoup de réserve sur ce sujet (voir ici et là).

Finalement, c'est ce matin qu’a été publié au Journal Officiel ce fameux « Avis aux exportateurs d'équipements d'interception de télécommunications mobiles et de surveillance de communications sur réseau IP ». Que prévoit ce texte, signé du ministère du Redressement productif ? Il remplace et annule un précédent avis (voir ici) qui ne s’appliquait jusqu’alors qu’aux seuls « équipements d'interception de télécommunications mobiles ». Désormais, le texte englobe également les équipements « de surveillance de communications sur réseau IP ». En clair, les technologies de surveillance relatives à Internet rentrent désormais dans le giron de cette procédure.

Autorisation pour les exportations en dehors de l'Union européenne

Ainsi, l’exportation de tels équipements à destination d'États n'appartenant pas à l'Union européenne devient « subordonnée à l'obtention d'une autorisation délivrée dans le cadre du régime fixé par l'article 1er du décret n° 2010 - 292 du 18 mars 2010 relatif aux procédures d'autorisation d'exportation, de transfert, de courtage et de transit de biens et technologies à double usage ». Les demandes d’autorisation continueront d’être adressées au ministre du Redressement productif, avant de devenir - une fois accordées - valables durant deux ans.

Pour connaître les technologies concernées concrètement par cet avis, il faut s’en remettre au texte, très dense :

« Par équipements d'interception de surveillance de communications sur réseau IP, il est entendu :

Systèmes et équipements de surveillance de communications sur réseau IP et leurs composants spécialement conçus, présentant toutes les caractéristiques suivantes et à l'exclusion de ceux destinés à une utilisation mercatique, ou une application de mesure de qualité de service ou d'expérience :

1. Assurant toutes les fonctions suivantes sur réseau IP de classe opérateur (par exemple les dorsales internet de niveau national) :

a) Analyse de couches d'application (telles que la couche 7 du modèle Open Systems Interconnection (OSI) (ISO/IEC 7498 - 1) ;

b) Extraction de métadonnées sélectionnées et de contenus d'application (par exemple la voix, la vidéo, les messages et les pièces jointes) ; et

c) Indexation des données extraites ; et

2. Spécialement conçus pour la réalisation de l'ensemble des fonctions suivantes :

a) Exécution de recherches sur la base d'identifiants forts ; et

b) Cartographie du réseau relationnel d'une personne ou d'un groupe de personnes. »

Des sanctions pouvant aller jusqu’à cinq ans de prison

Néanmoins, l’on remarque que cet avis ne fait directement référence à aucune sanction en cas d’éventuel manquement. « L’avis en soi n’est pas réellement contraignant, mais il donne des indications sur ce qui doit rentrer dans le champ d’application des textes qui sont eux réellement contraignants » décrypte l’avocat Thomas Beaugrand, joint par PC INpact. En l’occurrence, par ricochet entre les différents textes, il s’avère que « si les entreprises ne se conforment pas à cette obligation d’obtention d’autorisation, il s’agit d’un délit douanier qui est puni, au sens de l’article 414 du Code des douanes, par une peine de prison d’une durée maximale de cinq ans et d’une amende qui peut aller jusqu'à trois fois la valeur de l'objet de fraude ». Autrement dit, un industriel qui « oublierait » d’en passer par Bercy pour vendre du matériel de surveillance à double usage à un État tel que le Mexique ou le Cambodge pourrait écoper d’une amende maximale de 300 000 euros si la valeur de cet équipement est de 100 000 euros, en plus d’une peine d’emprisonnement.

Les discussions avancent du côté de Wassenaar

La publication de cet avis n’est néanmoins pas anodine. En effet, en février dernier, le gouvernement l’avait promis : il se donnait pour objectif de promouvoir un tel contrôle au niveau international, en convaincant les signataires de l’arrangement de Wassenaar (41 États à ce jour, dont le Canada, l’Allemagne ou les États-Unis) d’inclure les outils de surveillance de l’internet dans la liste des biens à double usage dont l’exportation est soumise à autorisation. Mercredi, les pays signataires de cet arrangement ont justement amorcé un pas en faveur de l’instauration de nouveaux contrôles à l’exportation, notamment dans le domaine de « la surveillance du réseau Internet (IP) ».

« La France proposait d’inclure ces technologies dans le cadre du protocole de Wassenaar. Une réunion a eu lieu hier, et la France l’a officiellement proposé, nous a-t-on indiqué du côté du cabinet de Fleur Pellerin. Et nous ce qu’on s’est dit c’est qu’on allait l’appliquer dès aujourd’hui, sans attendre que tous les membres le fassent ».

Prochaine étape : l'échelon européen

« Ça fait deux textes qui vont dans la bonne direction. C’est une très très bonne nouvelle ! » se félicite Grégoire Pouget, pour Reporters Sans Frontières (RSF). « La liste des technologies soumises à cette autorisation est plutôt large, puisque ça concerne du téléphone satellitaire, du GSM, etc. C’est très complet » explique l’intéressé. L’association garde cependant la tête froide et regarde dorénavant vers l’avenir : « Ce n’est qu’une première étape vers un processus plus contraignant au niveau européen ». Il s’agit d’ailleurs du dernier point de la feuille de route de l’exécutif, qui affirmait vouloir transposer ce contrôle dans le cadre d’un règlement européen.

Au travers d’une question écrite à paraître la semaine prochaine au Journal Officiel, la députée Isabelle Attard s’est de son côté « réjouie de voir enfin cette question cruciale prise en charge par le gouvernement ». L’élue a néanmoins réclamé davantage de précisions, notamment concernant les critères d'attribution de cette autorisation administrative. Aussi, la parlementaire va demander « comment le ministère compte-t-il vérifier que ces exportations ne seront pas utilisées par d'autres entreprises à destination [de pays n'appliquant pas la Déclaration universelle des droits de l'homme] ? »

L’on retiendra enfin que ces mesures interviennent alors que le gouvernement est en passe dans le même temps de faire voter une législation d'exception permettant un recueil en temps réel d'une masse d'information et de documents détenus par les opérateurs et hébergeurs.