2. Technos & Medias

  3. Internet

Loi sur le renseignement : les points qui fâchent du projet du gouvernement

Par Delphine Cuny  |   |  1876  mots
Manuel Valls à l'Elysée ce jeudi présentant le projet de loi controversé aux côtés de ses ministres, Christiane Taubira (Justice), Bernard Cazeneuve (Intérieur) et Axelle Lemaire (Numérique).
Présenté ce jeudi en conseil des ministres, ce texte sera examiné dès vendredi en procédure accélérée au Parlement. L’élargissement du champ de la surveillance et l’autorisation d’outils intrusifs font craindre des abus chez les acteurs du numérique en particulier. Manuel Valls affirme que le texte encadre davantage les pratiques et qu’il n’y aura ni surveillance massive ni Patriot Act à la française.

Opération déminage jeudi à l'Elysée. Sous les lambris dorés du Jardin d'hiver, encadré de photos à la forte symbolique de la foule rassemblée au pied de place de la République le 11 janvier dernier, Manuel Valls a défendu son projet de loi sur le renseignement très controversé. Aux côtés de ses ministres, Bernard Cazeneuve (Intérieur), Christiane Taubira (Justice), Axelle Lemaire (Numérique) et Jean-Yves Le Drian (Défense), le Premier ministre a voulu apaiser les craintes exprimées ces derniers jours, lors d'une conférence de presse. Il a jugé « les inquiétudes des acteurs du numérique légitimes » et promis la mise en œuvre rapide d'une « concertation extrêmement poussée sur ces enjeux », car il faut « faire œuvre de pédagogie, expliquer conditions, limites et garanties. »

Déjà mardi matin, les principaux opérateurs télécoms avaient été conviés à Matignon pour discuter des dispositions qui les concernent très directement (seuls Orange et Bouygues Telecom sont venus, Free et Numericable-SFR n'ont pas répondu présents). Jeudi après-midi, ce sont les représentants des acteurs du Web, des hébergeurs, des éditeurs de services en ligne et de logiciels (ASIC, Afdel, Syntec numérique, Renaissance numérique) qui ont été reçus à leur tour à Matignon, par le cabinet de Manuel Valls et celui d'Axelle Lemaire, les ministres étant au Sénat pour la séance de questions au gouvernement. Le projet de loi sera transmis dès ce vendredi à l'Assemblée nationale pour un examen en procédure accélérée, « en vue d'une adoption cet été» a indiqué le Premier ministre.

« La République, ce sont des moyens d'action légaux, mais pas des moyens d'exception, ni de surveillance généralisée des citoyens. Il n'y aura pas de Patriot Act à la française » a assuré Manuel Valls.

Loi d'exception façon Patriot Act ?

Le projet de loi est en effet surnommé comme tel, en référence à la loi votée aux Etats-Unis en 2001 au lendemain des attentats du 11 septembre sous George Bush, loi d'exception prolongée à plusieurs reprises, en 2011 sous Barack Obama, et qui a permis des abus tels que le programme de surveillance de masse Prism de la NSA, révélé par Edward Snowden.
La veille, le Syntec numérique (les entreprises de services informatiques essentiellement), s'alarmait de la création d'un « Frenchiot Act. »

Le Conseil national du numérique (CNNum), instance consultative indépendante rattachée à Bercy, n'a pas caché ses inquiétudes ce jeudi :

« Il ne suffit pas de répéter qu'il ne s'agit pas d'un Patriot Act à la française. Pour s'en assurer, il faut inclure de manière contraignante le principe selon lequel la surveillance de masse, généralisée et indifférenciée, est étrangère à l'Etat de droit », a réagi Godefroy Beauvallet, le vice-président du CNNum, par ailleurs responsable du fonds Axa pour la Recherche.

Le gouvernement affirme qu'il s'agit avant tout de moderniser les outils dont disposent les services de renseignement, la loi de 1991 ayant été « conçue alors que le téléphone mobile et Internet n'existaient pas », a souligné Manuel Valls. Matignon assure avoir apporté des modifications à son projet en prenant en compte les recommandations du Conseil d'Etat, notamment en introduisant les notions d'urgence absolue, de proportionnalité et en limitant la durée des autorisations, ainsi que l'avis préliminaire de la Commission nationale Informatique et Libertés (CNIL), qui a fait grand bruit ces derniers jours et vient d'être rendu public.

« La CNIL est en quelque sorte dans son rôle », a relevé le Premier ministre. Cependant, plusieurs points de friction ou « points durs » demeurent dans ce texte aux yeux de nombreux acteurs du numérique et au-delà.

Un champ très (trop ?) large d'application

Si le Premier ministre a déclaré que « les limites de ce qu'il est possible de faire dans un Etat de droit seront gravées dans le marbre. Il n'y aura plus de zone grise », de nombreuses voix s'élèvent au contraire contre « une extension significative du périmètre de la surveillance », comme le souligne le Conseil national du numérique.

Ainsi le projet de loi autorise les services à recourir aux techniques de surveillance pour de nouveaux motifs, pas seulement la prévention du terrorisme, la sécurité nationale, et les intérêts de l'intelligence économique, qui figurent dans les textes en vigueur, mais désormais la «prévention des violences collectives de nature à porter gravement atteinte à la paix publique » ainsi que « la défense des intérêts de la politique étrangère », deux champs « dont les contours flous ne permettent pas de définir avec rigueur le champ d'intervention légal du renseignement », déplore le CNNum.

Un avis partagé par le juge antiterroriste Marc Trevidic, qui a confié ses réserves à L'Express : « je comprendrais que la situation actuelle sur ce front nécessite un accroissement du pouvoir des services de renseignement mais le projet de loi s'applique à des domaines beaucoup plus vastes. Des domaines qui répondent à des notions particulièrement vagues. »

Le Premier ministre a fait valoir qu'il y a la menace terroriste mais « nous devons aussi nous protéger contre l'espionnage, le pillage industriel, la criminalité organisée, la prolifération des armes de destruction massive. »

La surveillance prédictive à la Big Brother et les « boîtes noires »

L'article 2 du projet de loi prévoit « pour les seuls besoins de la prévention du terrorisme », la possibilité d'« imposer aux opérateurs » la mise en place d'un « dispositif destiné à révéler sur la seule base de traitements automatisés d'éléments anonymes, une menace terroriste. » Concrètement, le gouvernement a expliqué vouloir installer des sortes de « boîtes noires » ou « coffre-fort scellés », des boîtiers qui seraient approuvés par la nouvelle Commission de contrôle des techniques de renseignement (CNCTR) et permettraient de détecter les « comportements typiques des djihadistes les plus dangereux », explique Matignon (visite de certains sites, appels vers certains pays, etc), d'après un algorithme développé en interne par l'Etat également soumis à la CNCTR. « S'il en ressort 80.000 noms, la commission nous dira non, s'il en ressort une quinzaine, ce sera proportionné, nous pourrons lever l'anonymat », décrypte un haut fonctionnaire, qui ajoute :

« C'est du big data encadré, verrouillé, beaucoup plus que tout ce que font Google, Facebook Twitter qui scannent votre répertoire, vos emails, etc. »

Dans l'étude d'impact du projet de loi, le gouvernement justifie la démarche : « l'anticipation de la menace attachée aux activités terroristes, qui constitue un impératif majeur pour la sécurité nationale, rend également nécessaire la détection de personnes qui ne l'avaient pas été précédemment et qui se trouvent engagés dans des entreprises radicales aux fins d'anticiper leur éventuel passage à l'acte sur le sol français ou européen et tout projet terroriste que ceux-ci nourriraient contre les ressortissants et intérêts français. »

Certains redoutent une dérive à la « Minority Report », où l'on arrêterait les individus avant même qu'ils commettent des actes répréhensibles.

Le Conseil national du numérique parle de « l'introduction de nouvelles techniques de renseignement dont certaines peuvent confiner à une forme de surveillance de masse », notamment « le dispositif de traitement automatisé » qui permettra « la remontée en temps réel de comportements suspects sur les réseaux. »

« Le gouvernement français va surveiller tout le monde avec un algorithme. Big Brother devient une réalité » écrit, abasourdi, sur son blog Tristan Nitot, l'ex-évangéliste en chef de la fondation Mozilla, qui écrit actuellement un livre sur « le contrôle des données personnelles dans un contexte de surveillance de masse » et travaille désormais pour la société de cloud personnel Cozy Cloud.

Le Premier ministre s'en est défendu jeudi, assurant que

« Il n'y aura aucune surveillance de masse : le projet de loi l'interdit

Tout en ajoutant :

« Il ne peut y avoir de zone de non-droit dans l'espace numérique. »

Localisation en temps réel, clavier espion et contournement du cryptage

Si le projet de loi réaffirme dans son article I le secret des correspondances, il prévoit la possibilité d'autoriser des « interceptions de correspondances émises par la voie de communications électroniques » ce qui est très vaste et peut inclure un appel depuis un téléphone fixe ou portable, un courriel ou une conversation par messagerie instantanée (Skype, Facebook Messenger, Snapchat, etc), y compris de l'entourage de la personne visée. Le gouvernement compte bien sur la collaboration des acteurs du Web.

Se pose alors le problème des entreprises qui encryptent de plus en plus le trafic sur leur site (Google, Yahoo, Facebook, etc). Le gouvernement fait valoir que la loi française s'applique aussi à ces acteurs : il souhait leur imposer une obligation de « déchiffrement » des données, soulignant que « n'importe quel ado de 15 ans peut accéder à la cryptologie avec le logiciel Tor ! Il nous faut des moyens adaptés. »

Autre point polémique, le recours à des « capteurs de proximité », sorte de fausses antennes-relais de téléphonie mobile (IMSI catchers) permettant « l'identification d'un équipement terminal ou du numéro d'abonnement de son utilisateur » sera possible dans des conditions « plus réduites que dans le cas de la police judiciaire » a insisté le Premier ministre. « Il n'y aura en aucun cas aspiration massive de données personnelles. »

Il s'agit notamment de « sécuriser les filatures, dans les opérations de terrain » souligne l'entourage du chef du gouvernement, qui assure que « les décisions les plus intrusives doivent être validées par l'un des magistrats de la CNCTR. » Ce qui vaut aussi pour l'utilisation du « key logger », un logiciel espion qui enregistre tout ce qui est tapé depuis un clavier.

Mauvais coup à la confiance dans le numérique et au cloud

Comme le révèle l'avis du Conseil d'Etat, le texte a été modifié pour toutes les techniques « portant le plus atteinte à la vie privée (captation, transmission et enregistrement de sons et d'images, captation des données informatiques, introduction dans les lieux privés ou des véhicules pour y placer des dispositifs techniques » : des garanties renforcées ont été ajoutées, ainsi que le principe de « subsidiarité » (renseignements impossibles à obtenir par d'autres moyens) et la durée d'autorisation diminuée de 4 à 2 mois (voire 30 jours pour l'introduction dans des lieux privés).

Vendredi, au lendemain de la réunion de concertation à Matignon, l'Afdel a exprimé « son vif regret de ne pas avoir été associée en amont » et sa crainte que cette loi rappelé la nécessité de préserver « ne vienne porter atteinte à la confiance dans les technologies et solutions numériques. » Les éditeurs de logiciels et solutions Internet demeurent «perplexes face au caractère pérenne, systématique, massif et intrusif » de certaines dispositions. L'association soulève « les risques de création d'un "marché gris" des solutions de communications en ligne échappant au contrôle des autorités de renseignement. » Elle appelle les politiques à prendre en compte « les enjeux économiques » et l'éventuel impact sur le marché du cloud computing.

Article mis à jour vendredi à 16h.