Loi renseignement : ce qui inquiète les professionnels du numérique

Le 13 avril, plusieurs dizaines de personnes se sont réunies devant l’Assemblée nationale, au moment où les députés commençaient à examiner le projet de loi relatif au renseignement. Une mobilisation encore timide sur le terrain, mais, sur les réseaux sociaux, le texte est de plus en plus critiqué. Après Amnesty International, la Ligue des Droits de l’homme, la Quadrature du Net et le Syndicat de la magistrature, entre autres, ce sont des acteurs du numérique qui montent aux créneaux. Sept hébergeurs français ont envoyé une lettre ouverte à Manuel Valls et menacent de délocaliser leurs data centers hors de France si le projet est adopté. Pourtant, les principaux partis politiques soutiennent le texte et les opérateurs télécoms ne pipent mot. Tour d’horizon des points du texte qui provoquent le malaise des acteurs économiques et des aménagements possibles.

À QUELS BESOINS RÉPOND LE PROJET DE LOI ?

La loi vise à fournir aux services de renseignement un nouveau cadre juridique pour leur permettre d’opérer plus rapidement, plus efficacement et – théoriquement – dans une plus grande transparence, sur fond de nouvelles menaces terroristes (y compris cybernétiques). Le texte de loi n’introduit pas véritablement de nouveau dispositif, mais tend plutôt à légaliser des pratiques existantes.

L’interception des correspondances et l’accès administratif aux données de connexion étaient déjà prévus par la loi. Le texte introduit d’autres possibilités, comme des techniques de mise sur écoute, de captation de données ou de localisation en temps réel d’objets (comme des véhicules) ou de personnes, qui existaient dans les faits mais pas dans les textes. Le "dispositif technique de proximité", qui permet d’utiliser une fausse antenne relais pour capturer des données de connexion et conversations (la technique de l’IMSI Catcher), dans un rayon donné, est aussi prévu.

À chaque technique employée sont associés un cadre spécifique, un régime de conservation des données, un mode opératoire.

SOUS QUEL MOTIF PEUT-ON ÊTRE LÉGALEMENT "ESPIONNÉ" ?

La loi prévoit sept "motifs d’intérêt public" pour lesquels des renseignements peuvent être recueillis via des "techniques spéciales" : la sécurité nationale (notion qui inclut, selon le texte, "l’indépendance nationale, l’intégrité du territoire et la défense nationale, ainsi que la prévention de toute forme d’ingérence étrangère et des atteintes à la forme républicaine et à la stabilité des institutions"), les intérêts essentiels de la politique étrangère, les intérêts économiques ou scientifiques essentiels, la prévention du terrorisme, la prévention de la reconstitution ou du maintien de groupement dissous, la prévention de la criminalité organisée et la prévention des violences collectives pouvant porter gravement atteinte à la paix publique". Les opposants au texte jugent les contours de ces catégories trop flous.

Chaque demande d’autorisation de mise en œuvre de "technique spéciale" doit être écrite et motivée. Elle peut émaner du ministre de la Défense, du ministre de l’Intérieur ou des ministres chargés de l’Économie, du Budget ou des Douanes. Mais aussi, dans des conditions qui seront définies par le Conseil d’État, "à d’autres services relevant des mêmes ministres, par exemple de police ou de gendarmerie".

QUI VA CONTRÔLER LE CONTRÔLE ?

C’est à cette étape qu’une nouvelle autorité administrative indépendante, la Commission nationale de contrôle des techniques de renseignement (CNCTR), entre en scène. Elle succédera à la Commission nationale de contrôle des interceptions de sécurité. C’est cette nouvelle instance qui examinera les demandes, puis transmettra un avis au Premier ministre, mais dans tous les cas, ce dernier aura le dernier mot.

Si celui-ci délivre l’autorisation, et que la CNCTR désapprouve cette décision, elle pourra alors "recommander l’interruption de la mise en œuvre d’une technique qu’elle estime irrégulière". Mais si ses recommandations ne sont toujours pas suivies d’effet, la commission pourra décider, à la majorité absolue de ses membres, de saisir le Conseil d’État.

En cas d' "urgence absolue" et d' "urgence spéciale" (dont les modalités restent à préciser), l’avis du Premier ministre ne sera pas nécessaire.

La CNCTR sera composée de membres du Conseil d’État, de la Cour de cassation et une personnalité qualifiée pour ses connaissances en matière de communications électroniques, nommés pour six ans non renouvelables, ainsi que de parlementaires. L’institution pourra vérifier la régularité de la mise en œuvre d’une technique a posteriori et être saisie par des citoyens.

LES HÉBERGEURS ET OPÉRATEURS PEUVENT-ILS REFUSER DE COOPÉRER ?

Absolument pas. Ils ont même une obligation de silence, puisque certaines opérations peuvent être couvertes par le secret défense. Plusieurs dispositions "répriment notamment le fait de révéler qu’une technique de renseignement est mise en œuvre ou le refus de transmettre des données de connexion dont le recueil a été autorisé".

Les FAI, hébergeurs de données et opérateurs de services en ligne (comme Facebook et Skype, par exemple) doivent déjà coopérer "en matière de déchiffrement de données ou de transmission d’informations et de documents pour préparer des interceptions de sécurité".

Les services de renseignement pourront aussi disposer d’un nouveau canal d’accès en temps réel aux données des opérateurs. C’est la fameuse "boîte noire" qui fait trembler les opérateurs et hébergeurs. Le Premier ministre pourra ordonner aux opérateurs de communications électroniques et aux fournisseurs de services de "détecter, par un traitement automatique, une succession suspecte de données de connexion, dont l’anonymat ne sera levé qu’en cas de révélation d’une menace terroriste". Autrement dit, grâce à des algorithmes, les services de renseignement tenteront de débusquer de potentiels terroristes "à l’aveugle", sans cible prédéfinie, en analysant une masse gigantesque de données.

Relire l’article "Faut-il des algorithmistes pour protéger nos données personnelles ?"

QUELS POINTS SERONT AU CŒUR DU DÉBAT PARLEMENTAIRE ?

Les députés disposent de nombreux leviers pour tenter d’améliorer le texte. Ils peuvent agir sur l’indépendance de la CNCTR, sa composition (en incluant davantage de membres de la société civile, à l’image de la CNIL). Ils pourront discuter de la durée de conservation (et donc le délai de destruction) des données et sur les outils de traçabilité de l’exécution des techniques de renseignement permettant de mieux contrôler les opérations, notamment a posteriori.

Le concept de boîte noire et d’accès direct aux données, grâce à des algorithmes installés directement chez les opérateurs, pourrait être également contesté. Car au-delà du problème de légitimité, cette solution pourrait poser des problèmes techniques et causer des surcoûts pour les acteurs du secteur.

Sylvain Arnulf

Le texte du projet de loi

Projet de loi renseignement by L'Usine Nouvelle

Sélectionné pour vous

CyberVadis lève 7 millions d'euros pour sa plateforme d’évaluation des risques cyber

Assurance cyber : les PME s'assurent plus qu'avant, et elles vont bientôt le regretter

Sekoia lève 35 millions d'euros pour sa "tour de contrôle" cyber