En décembre 2013, la loi de Programmation militaire renforçait les possibilités de surveillance numérique de l'Etat français. Ce 20 janvier 2014, le Sénat approuvait le projet de loi sur la géolocalisation en temps réel, qui sera examiné par l'Assemblée nationale le 11 février : pourquoi cet empressement à durcir la législation sur la surveillance des réseaux, des objets connectés et des déplacements des citoyens ? Quels bénéfices/risques ces nouvelles dispositions de la loi française peuvent-elles engendrer, alors que les abus de la NSA révélés par Edward Snowden continuent d'indigner une grande partie de la population mondiale ?
Les hauts cris d'indignation de François Hollande et de Laurent Fabius lors de la découverte, voici quelques mois, des "écoutes" de la NSA, semblent aujourd'hui presque incongrus. De fait, l'"inacceptable" surveillance d'Internet ou des téléphones mobiles dénoncée par les plus hauts représentants de l'Etat français semble plus les avoir inspirés qu'autre chose...
Cette dichotomie entre paroles et actes se matérialise sous forme de la "
loi de Programmation militaire, article 20" (LPM), votée le 18 décembre 2013, et du "
projet de loi relatif à la géolocalisation", adopté le 20 janvier 2014 au Sénat.
Ce nouvel arsenal législatif est censé offrir plus de latitude à l'administration policière, ainsi qu'aux services de renseignement, pour combattre le terrorisme et la grande criminalité, ce que la plupart des citoyens peuvent comprendre. Oui mais voilà, n'est-ce pas là, justement, l'argument massue des responsables de la NSA et de la Maison-Blanche pour justifier la mise sous surveillance massive d'une bonne partie des habitants de la planète ? Comment la vie privée, censée être protégée, peut-elle s'accommoder des possibilités techniques offertes aux représentants de l'ordre, si évoluées qu'elles la réduisent quasiment à néant ? Autrement dit : partant du principe que tout le monde peut être soupçonné de quelque chose, l'Etat peut-il s'autoriser le droit de "fouiller dans les tiroirs", écouter les communications et suivre les déplacements de chacun ?
Un article de loi pour tous les surveiller ?
L'article 20 de la LPM permet "le recueil, auprès des opérateurs de communications électroniques et des personnes mentionnées à l'article L. 34-1 du code des postes et des communications électroniques, ainsi que des personnes mentionnées aux 1 et 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, des informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques, y compris les données techniques relatives à l'identification des numéros d'abonnement ou de connexion à des services de communications électroniques, au recensement de l'ensemble des numéros d'abonnement ou de connexion d'une personne désignée, à la localisation des équipements terminaux utilisés ainsi qu'aux communications d'un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications."
Olivier Iteanu, avocat spécialisé dans le secteur des nouvelles technologies de l'information et de la communication, exprime sans détours la signification concrète de cet article : "l'article 20 de la LPM signifie que l'on passe d'un régime d'écoutes, d'interceptions, c'est-à-dire se brancher sur une ligne (…) à la captation des milliards de données détenues par les opérateurs, chez Google, Facebook et consorts. Les services d'espionnage, pour parler vite, ont compris qu'il y avait mieux à faire que de se brancher sur une ligne et écouter, puisqu'ils peuvent aller se servir dans les correspondances et les copier…"
C'est donc là une nouvelle règle de la vie en société qui vient d'être mise en place. L'Etat français s'arroge désormais le droit de demander à tout moment les données personnelles des citoyens et, comme le souligne Maître Iteanu, "de façon très large, puisque l'on est dans des préventions de lutte contre le terrorisme, mais aussi la fraude fiscale, la contrefaçon, le délit de bande organisée. Il suffit donc que l'on soit soupçonné d'un de ces délits, d'une manière ou d'une autre, pour que l'Etat se permette, de manière administrative, hors du système judiciaire, de s'adresser à un très grand nombre d'acteurs, les bloggeurs, les hébergeurs, opérateurs, pour les contraindre à donner toutes les informations nous concernant."
Patriot Act français
Aux Etats-Unis,
le Patriot Act permet, par exemple, aux services de renseignements, d'obtenir toutes les informations d'une personne ayant acheté un exemplaire du Coran. Maître Iteanu exprime cette similitude entre la LPM française et le Patriot Act de façon très claire : "La loi de Programmation militaire est en réalité une copie conforme du Patriot Act américain !"
La crainte de nombreux observateurs des libertés numériques est donc que ce texte de loi très vaste dans son champ d'application, n'ouvre la porte à des dérives policières, d'espionnage, et n'officialise en quelque sorte des pratiques intrusives aujourd'hui exceptionnelles. Il est aisé d'imaginer que, pour le bien d'une enquête, les agents de l'Etat prennent l'habitude d'exiger systématiquement des acteurs du réseau l'intégralité des données de personnes reliées à leur affaire. Ce type de pratiques, comme le dit Olivier Iteanu, "va bien au-delà de la simple lutte contre le terrorisme international. Il façonne aussi la société de demain en instaurant une surveillance généralisée et incontrôlée dans toutes les strates de la société de l’information, vers laquelle toute la société du monde physique bascule. L'enfer est pavé de bons sentiments, mais pour permettre aux services administratifs d'espionnage de se servir, et de mener leurs enquêtes administratives, on est en train de dresser tout le monde à surveiller tout le monde."
Alors que l'affaire Snowden, depuis juin dernier, n'a pas fini de marquer les esprits, la question du "pourquoi instaurer ces lois en France aujourd'hui" reste sans réponse définitive. "C'est inexplicable, mais d'un autre côté cela peut éclairer la mollesse française et européenne face à l'affaire PRISM, qui est quand même gravissime. Cette loi était peut-être prévue de longue date, mais tout a été fait au pas de charge, fin décembre, quand pratiquement tout le monde avait la tête ailleurs. Elle a été d'ailleurs rédigée dans la précipitation, avec beaucoup d'erreurs", estime Maître Iteanu.
Géolocalisation en temps réel
La géolocalisation en temps réel a pourtant été limitée par la Cour de Cassation en octobre 2013 : "Le recours à la géolocalisation en temps réel lors d'une procédure judiciaire constitue une ingérence dans la vie privée, qui doit être exécutée sous le contrôle d'un juge". Et cet arrêt de stipuler : "…mais [elle] la censure, au visa de l'article 8 de la Convention européenne des Droits de l'Homme (CEDH), qui garantit le droit au respect de la vie privée, dans le cadre d'une enquête dirigée par le procureur de la République".
En clair : une enquête nécessitant de la géolocalisation en temps réel ne pouvait être conduite par un seul procureur de la République, sans un juge des libertés. L'Etat n'a pas semblé apprécier cette disposition imposée par la Convention européenne des Droits de l'Homme. Pourquoi, alors, ne pas proposer une nouvelle loi sur la géolocalisation en temps réel ? Une loi qui permettrait à un procureur de la République de faire suivre à la trace une personne soupçonnée de délit, ou étant mêlée à une enquête, pendant quinze jours, et ce sans qu'aucun juge ne soit tenu au courant de la "traque" durant cette période. C'est ce que le gouvernement a fait en soumettant ce projet de loi adopté par le Sénat en première instance le 20 janvier 2014, en première lecture. Le problème est que tout un chacun, "si les nécessités de l'enquête l'exigent", pourrait alors se retrouver pisté à son insu, sans qu'un juge des libertés ne soit consulté, et ce pendant au moins 15 jours.
Pour l'avocat Olivier Iteanu, ce projet de recours à la géolocalisation, sans garantie pour les citoyens, "participe de la même idée que la LPM, l'idée qu'il faut pousser la surveillance à l'extrême avec les outils qui sont à disposition". Sur une interrogation plus large au sujet de ces dispositions qui s'accumulent, l'avocat ne mâche pas ses mot : "On est submergé pratiquement tous les trimestres de dispositions nouvelles, qui peuvent s'expliquer, mais qui peuvent aussi représenter un danger pour nos libertés. La loi sur la géolocalisation participe de ces verrous qui ont sauté. Il y a des choses que l'on n'aurait pas osé faire ou dire avant, et là, ce n'est plus le cas. On va vous dire que c'est sous le contrôle du parquet, mais pendant 15 jours, les services de l'Etat pourront pister, tracer qui ils veulent, sans contrôle de la part de la justice."
Et si, demain, un parti politique un peu trop autoritaire arrivait au pouvoir ? L'avocat spécialiste du numérique le dit clairement : "Il y a toujours la finalité de la prévention qui existe, mais tout est en place pour qu'un pouvoir politique voulant faire taire les oppositions puisse le faire, parce que le dispositif est vaste, très vaste. Donc, oui, tout est en place."
La position de la CNIL sur la LPM
Promulgation de la loi de Programmation militaire : la CNIL fait part de sa position,
20 décembre 2013
Réunie le 19 décembre 2013 en séance plénière, la Commission a souhaité faire part de sa position à la suite de la promulgation de la loi de Programmation militaire, notamment son article 20. Elle regrette de ne pas avoir été saisie de ces dispositions par le gouvernement lors de l’examen du projet de loi qui lui a été soumis ; à ce titre, elle souhaite à l’avenir être systématiquement consultée pour tous les textes législatifs ou réglementaires concernant les données personnelles. Elle déplore que la rédaction définitive du texte semble autoriser un accès aux données de contenu, et non seulement aux données de connexion. Elle sera très vigilante sur la rédaction des décrets d’application de la loi, qui devront lui être soumis.
Elle a, d'abord, réitéré ses regrets de ne pas avoir été saisie sur cet article lors de l'examen du projet de loi. Elle a rappelé que la saisine de la CNIL est nécessaire et systématique sur tous les projets de loi et de décrets concernant les données à caractère personnel. Elle a par ailleurs formulé le souhait d'élargir à l'avenir cette consultation aux propositions de loi portant sur le même objet.
Elle a ensuite souligné que le recours à la notion très vague "d'informations et documents" traités ou conservés par les réseaux ou services de communications électroniques semble permettre aux services de renseignement d'avoir accès aux données de contenu, et non pas seulement aux données de connexion (contrairement à ce qu'indique le titre du chapitre du Code de la sécurité intérieure créé par ces dispositions). Elle considère qu'une telle extension, réalisée dans le cadre du régime administratif du recueil des données de connexion, risque d'entraîner une atteinte disproportionnée au respect de la vie privée.
Elle relève ensuite que la rédaction du nouvel article L. 246-3 du Code de la sécurité intérieure, qui prévoit que ces "informations et documents" peuvent être recueillis "sur sollicitation du réseau" et transmis en temps réel par les opérateurs de communication électronique aux services de renseignement, limite, heureusement, toute possibilité d'aspiration massive et directe des données par les services de renseignement, dans la mesure où l'intervention sur les réseaux concernés est réalisée par les opérateurs de communication eux-mêmes. Dans le même esprit, elle prend acte des déclarations du président de la Commission des Lois du Sénat, selon lesquelles ces mêmes dispositions ne peuvent être utilisées qu'à des fins de géolocalisation en temps réel. Elle observe également que ces opérations de géolocalisation bénéficient des mêmes garanties que celles accordées par le régime des interceptions de sécurité.
Au regard de l'émoi suscité par ces dispositions, dans le contexte particulier de l'affaire Prism, des préoccupations croissantes exprimées par les consommateurs des services offerts par les grandes sociétés de l'internet, la CNIL pense qu'il est d'intérêt général de susciter un débat public sur la mise en place d'une "société de surveillance". Celui-ci permettra d'éclairer l'opinion, les autorités publiques et les acteurs privés sur les enjeux en cause et les garanties à apporter en termes de transparence, de maitrise par le citoyen et de contrôle, afin de concilier les impératifs de sécurité et la dynamique de l'innovation avec la nécessaire protection des libertés individuelles et de la vie privée.