France : la loi antiterroriste et surveillance d'Internet "est une violation de la charte européenne des droits fondamentaux"

Le nouveau projet de loi antiterroriste du gouvernement français accentue la surveillance d'Internet. Les "boîtes noires" des services de renseignement pourraient ainsi collecter et analyser en masse les adresses URL complètes visitées par les internautes et les conserver plus de 5 ans. Ces dispositions constituent pourtant une infraction au droit européen. Entretien avec Bastien Le Querrec, chercheur en droit public et membre de la commission infraction de La quadrature du Net.
Image
Projet de loi antiterroriste : renforcer la surveillance d'Internet
Le nouveau projet de loi antiterroriste permet aux "boites noires" des services de renseignement de perdurer dans le temps et de renforcer leurs capacités de surveillance de masse sur Internet.
(Photo : iStock / metamorworks)
Partager11 minutes de lecture
La "traque algorithmique" sur Internet est officiellement en place à titre expérimental depuis 2017 en France. Ce procédé de surveillance a été baptisé "boîtes noires" — afin de refléter l'opacité technique qui entoure ces dispositifs de surveillance du réseau — . Il est installé chez les fournisseurs d'accès Internet par les services de renseignement.
 

La nouvelle loi antiterroriste présentée en Conseil des ministres ce mercredi 28 avril 2021 comporte donc plusieurs articles qui visent à pérenniser les "boîtes noires" de surveillance mais aussi à accentuer leurs capacités. Le ministre de l'Intérieur Gérald Darmanin a ainsi précisé lors d'un entretien avec nos confrères de France Inter que les URL (adresses universelles sur le réseau, ndlr)  des sites Internet seraient désormais collectées et traitées par les algorithmes des boîtes noires des services de renseignement.

Qu'est ce qu'une URL ?

L'Uniform Resource Locator (URL) est un standard qui définit des adresses uniques sur Internet. Cette adresse dite aussi "universelle" est composée du protocole utilisé par l'internaute, d'un nom de domaine et de son extension (ex : https://tv5monde.com) ainsi que (possiblement) l'élément auquel il accède, le plus fréquemment une page web (ex : https://www.tv5monde.com/programmes/fr/programmes-tv5monde-france-belgiq...). Collecter des url ne permet pas de collecter le contenu des pages  mais indique en revanche ce que l'URL peut contenir, de par le nom de la page ou le nom des répertoires permettant d'y accéder.

Cette nouvelle disposition légale visant à renforcer la surveillance de l'Internet français —  à des fins de lutte contre le terrorisme — n'est pourtant pas conforme au droit européen. Pour mieux comprendre les enjeux juridiques, démocratiques et techniques de cette partie du projet de loi, nous avons interrogé Bastien Le Querrec, chercheur en droit public et membre de la commission infraction de La quadrature du Net.

TV5MONDE : Avec cette nouvelle loi, les logiciels de traitement automatisés des services de renseignement pourront analyser des adresses Internet complètes consultées par les internautes. Que cela va-t-il changer ?

Bastien Le Guerrec
Bastien Le Querrec est chercheur en droit public et membre de la commission infraction de l'association La Quadrature du Net.

Bastien Le Querrec, chercheur en droit public et membre de la commission infraction de La quadrature du Net : Les boîtes noires donnent déjà des informations assez précises sur certains contenus mais le projet de loi qui vise à intégrer les URL complètes dans ces algorithmes va encore plus loin. Le principe de l'algorithme des boîtes noires, c'est le principe de la surveillance de masse. L'article L-851-3 du code de la sécurité intérieure qui autorise le mise en place de ces boîtes noires, avec leur surveillance algorithmique, vise à détecter des menaces qui n'auraient pas été détectées par une analyse humaine ciblée. Cela repose sur la croyance que l'algorithme, parce qu'il peut brasser beaucoup plus de données qu'un humain, serait beaucoup plus efficace pour détecter des choses qui sinon seraient passées sous les radars. C'est ce qui est appelé la détection des signaux faibles.
Mais tout cela repose vraiment sur de la croyance, puisque que très peu d'informations ont été divulguées sur ces boîtes noires. Gérald Darmanin  affirme que certains attentats ont été déjoués grâce aux traces numériques, mais en réalité ce ne sont pas des algorithmes qui l'ont permis, il y a d'autres dispositions qui permettent de récupérer des données de connexion et c'est ce que le minsitre de l'Intérieur voulait probablement dire. On ne sait pas si ces boîtes noires fonctionnent correctement et elles ne fonctionnent probablement pas correctement. Le quotidien Le Monde expliquait il y a un an et demi, que sur la cinquantaine de projets d'attentats, aucun n'avait été déjoué grâce aux algorithmes (Article Le Monde : "58 des 59 attentats déjoués depuis six ans l’ont été grâce au renseignement humain", ndlr) et aucun dossier opérationnel n'avait été ouvert à l'époque. L'article soulignait que le renseignement humain est fondamental dans la lutte antiterroriste.

TV5MONDE : Pourquoi le gouvernement a-t-il voulu inclure les URL complètes dans cette nouvelle loi ?

Bastien Le Querrec : Ce que nous affirme le gouvernement, c'est que ces URL complètes — parce qu'elles relèvent en partie du contenu des communications — sont aujourd'hui ignorées par les boîtes noires. En réalité les boîtes noires qui sont des sondes réseaux, traitent les URL complètes mais ces URL sont ignorées ensuite par l'algorithme. Du moment que l'on place ces sondes sur le réseau de télécommunications français, tout ce qui circule sur le réseau va être analysé. Mais il faut déterminer quelles informations on va prendre en compte et celles que l'on ne va pas prendre en compte. Pour l'instant, le gouvernement explique que les algorithmes s'arrêtent au nom de domaine, comme par exemple le site assemblee-nationale.fr, sans aller voir ce qu'il y a après. Donc, quel article a été consulté , quelle page est en train d'être consultée ou quelle recherche est en train d'être faite, ces informations ne sont pas traitées aujourd'hui.

Avec ou sans intelligence artificielle, le principe reste le même : brasser le plus de données possibles. Ce qui est une atteinte très flagrante au droit à la vie privée et également au droit à la sûreté (…)

Avec cette nouvelle législation tout cela sera possible si ces informations ne sont pas protégées par un moyen cryptographique comme le SSL, qui correspond au "S" de HTTPS dans votre navigateur. Les informations d'URL, avec ce protocole très utilisé aujourd'hui, ne sont lisibles normalement que par le serveur et le client qui s'y connecte et ne le sont donc pas par une sonde d'analyse de type boîte noire. Mais on peut se questionner, puisque il y a un an le rapport Larrivé demandait déjà de traiter les URL complètes, ce qui correspondait à une demande des services de renseignement.

Ce texte comporte une autre nouveauté qui est la possibilité de conserver jusqu'à 5 ans des données pour améliorer des outils [de surveillance]. Les données qui sont chiffrées peuvent de plus être conservées pendant 6 ans, le temps qu'elles soient déchiffrées, y compris pour des données qui auront été analysées par des boîtes noires.

TV5MONDE : Le traitement algorithmique par les boîtes noires, avec les URL complètes, pourrait-il permettre une "traque comportementale de la population" ?

Bastien Le Querrec : Il est difficile de savoir ce que vont faire les boîtes noires puisqu'on ne sait pas comment fonctionnent ces algorithmes ni la technologie qui les soutient, quels paramètres, pondérations ils possèdent ou même si c'est de l'intelligence artificielle ou non, etc. Tout ça est mis en place dans l'opacité la plus totale. Mais avec ou sans intelligence artificielle, le principe reste le même : brasser le plus de données possibles. Ce qui est une atteinte très flagrante au droit à la vie privée et également au droit à la sûreté, parce qu'on ne sait pas du tout ce qui est fait ensuite et quelles peuvent être les conséquences.

La Cour de justice de l'Union européenne a quand même expliqué qu'il y avait — avec ce dispositif français des boîtes noires — une violation de la charte européenne des droit fondamentaux, qui proclame le droit à la vie privée, le droit du respect des données personnelles, le droit à la liberté d'expression.

C'est aussi une atteinte au droit à la liberté d'expression, puisque quand on se sait surveillé, on rentre dans la norme et on limite son comportement. Tout ça a été rappelé par la Cour de justice de l'Union européenne qui a sanctionné les boîtes noires en octobre dernier, en disant que par principe elles devraient être interdites parce qu'elles sont une atteinte bien trop grave et inacceptable dans une démocratie et qu'elles devraient être limitées à des situations extrêmes, dans le cas d'une menace grave pour la sécurité nationale. Il ne faut pas oublier que ce projet de loi présenté hier en Conseil des ministres par le gouvernement, l'a été exactement une semaine après que le Conseil d'État a validé le principe des boites noires, en tordant totalement la décision de la Cour de justice de l'Union européenne, et dans les faits, en allant à l'encontre du droit européen.

Le principe même que l'Etat puisse regarder toutes les informations qui passent sur le réseau, peu importe qu'on soit suspect ou pas, est une atteinte aux droits fondamentaux totalement disproportionnée. La Cour de justice de l'Union européenne a quand même expliqué qu'il y avait — avec ce dispositif français des boîtes noires — une violation de la charte européenne des droit fondamentaux, qui proclame le droit à la vie privée, le droit du respect des données personnelles, le droit à la liberté d'expression. On retrouve d'ailleurs ces droits fondamentaux dans d'autres textes, y compris dans la déclaration des droits de l'homme de 1789. Mais le Conseil d'Etat n'a rien trouvé à redire, puisqu'il a expliqué qu'il y avait une menace grave depuis 2015 et qu'il renversait le principe d'interdiction pour en faire l'exception. Le Conseil d'Etat a validé la raison d'Etat au détriment des libertés fondamentales, ce que nous avons indiqué dans le communiqué de presse que nous avons publié la semaine dernière avec La quadrature du Net.

TV5MONDE : Des dérives sont-elles à craindre avec la pérennisation dans le temps de ce type de système de surveillance ?

Bastien Le Querrec : Les dérives sont les mêmes qu'en 2015. C'est avant tout le fait qu'aujourd'hui les services de renseignement fonctionnent en vase clos, ne veulent rendre de compte à personne avec une opacité totale. Donc les dérives peuvent être multiples. Qui contrôle, avec quelle efficacité pour ce contrôle ? On n'en sait rien. A partir du moment où l'on donne des possibilités législatives et techniques aux services de renseignement avec des contrôles qui sont au mieux opaques ou au pire défaillants, sans pouvoir contrôler le contrôleur, on peut craindre tous les abus sur l'utilisation de ces algorithmes. Aujourd'hui les boîtes noires sont limitées à la lutte contre le terrorisme, mais les services de renseignement — pour les autres techniques de renseignement — peuvent aller au-delà de la lutte contre le terrorisme.

On pourrait très bien avoir des boîtes noires utilisées pour faire de la surveillance de mouvements sociaux.

Il y a notamment les possibilités d'espionnage économique, d'espionnage des mouvements sociaux, avec la notion de violence collective inscrite dans la loi de sécurité intérieure. Donc même si les boîtes noires sont limitées à la lutte antiterroriste, s'il n'y a pas de contrôle efficace — et on ne peut pas le savoir parce que ce contrôle est totalement opaque —, on pourrait très bien avoir des boîtes noires utilisées pour faire de la surveillance de mouvements sociaux. Ce n'est pas autorisé par la loi, mais comme on est dans une voie où l'on veut donner beaucoup de pouvoirs aux services de renseignement, nous avons des risques inévitables que ces techniques de renseignement très intrusives soient mésutilisées.

TV5MONDE : Ces technologies de surveillance numérique massive peuvent-elles mener à terme à un contrôle social ?

Bastien Le Querrec : Les boîtes noires du renseignement en tant que telles avec ce projet de loi, n'ont pas comme finalité directe ou indirecte un contrôle social, mais par contre nous avons d'autres formes de surveillance numérique, notamment dans les villes, qui peuvent mener à des formes de contrôle social. Il y a d'ailleurs déjà des formes de crédit social en France, par le traitement des données numériques, avec les notations des clients par les banques, les assurances, au moment d'accorder des crédits, etc. La plupart du temps ces pratiques sont malheureusement validées par la CNIL (Commission informatique et liberté, ndlr). Il est très difficile de savoir quelles sont les bases de données utilisées par les services de renseignement, parce que c'est du secret défense. En revanche, on connaît des fichiers qui sont très massifs et utilisés par la police. Le fichier de traitement des antécédents judiciaires (TAJ, ndlr) permet aujourd'hui de faire de la reconnaissance faciale, avec plusieures dizaines de millions de fiches comportant des photos la plupart du temps. Ces informations peuvent être recoupées.

On voit donc que l'on est dans une période où tout va de plus en plus dans le sécuritaire, alimenté par la technologie. Pour l'instant on a des barrières législatives, mais combien de temps vont-elles tenir ?

On a de plus en plus l'impression que sur le terrain, la police commence à faire des contrôles d'identité à partir d'images de ce fichier TAJ. Ce sont des éléments qui nous arrivent de façon éparse et qu'il faudra confirmer, mais nous avons une très grande crainte que la pratique policière aille dans ce sens. Sachant que les outils de surveillance dans les villes, par la reconnaissance faciale, sont prêts, avec une pression énorme de la police pour pouvoir les utiliser. Avec ces technologies on nous explique soit que personne n'a rien à cacher, soit que la police n'abusera pas de ses pouvoirs. Historiquement ça n'a jamais été vérifié. A chaque fois que l'on donne des pouvoirs à la police, elle en abuse.

On voit donc que l'on est dans une période où tout va de plus en plus dans le sécuritaire, alimenté par la technologie. Pour l'instant on a des barrières législatives, mais combien de temps vont-elles tenir ? Nous avons en France des juridictions totalement défaillantes, comme le Conseil d'État qui n'est pas conçu pour protéger les libertés fondamentales, ou bien la CNIL qui est totalement défaillante, avec des décisions soit molles soit en refusant de prendre position sur ces sujets. Le gouvernement français voulait au départ refuser d'appliquer la décision de la Cour de justice européenne, avant que le Conseil d'Etat ne vienne tordre le droit en expliquant que ce serait l'exception qui s'appliquerait. Ce gouvernement qui se dit pro démocratie, pro union européenne, très libéral, a en réalité, dans les faits, un comportement totalement illibéral qui est très similaire à ce qu'il se passe en Pologne ou en Hongrie.