Loi renseignement : le retour en pire
Source : La quadrature du net – 27 mai 2021 https://www.laquadrature.net/2021/05/27/loi-renseignement-le-retour-en-pire/
Le 28 avril 2021, le gouvernement a proposé un nouveau projet de loi renseignement, complété le 12 mai par de nouveaux articles tirant les conséquences de notre défaite devant le Conseil d’État (relire notre réaction).
L’objectif premier du texte sera de faire définitivement entrer dans le droit commun les mesures de l’état d’urgence débuté en 2015 (assignation à résidence, perquisitions administratives…) ainsi que les mesures expérimentales de la loi renseignement de 2015 (surveillance automatisée du réseau par des « algorithmes »). L’objectif secondaire sera d’inscrire dans la loi française les violations du droit européen actées par le Conseil d’État le mois dernier afin de défendre à tout prix la surveillance de masse française. Toutefois, la menace la plus grave pourrait se situer entre les lignes : une multitude d’ajustements d’apparence sommaire qui semblent cacher un bouleversement dramatique du rapport de force entre le gouvernement et la population.
Dans cette première analyse, nous prenons le temps d’examiner l’ensemble des modifications apportées par ce projet de loi en matière de renseignement. Le texte qui vient d’être validé par la commission des lois de l’Assemblée nationale sera étudié en hémicycle à partir du 1er juin prochain.
Perquisitions administratives de matériel informatique (article 4)
Les perquisitions administratives appelées « visites domiciliaires » en novlangue sécuritaire, se voient dotées d’une nouvelle possibilité. Toujours sans contrôle d’un juge, l’article 4 offre à la police la possibilité d’exiger l’accès sur place à du matériel informatique. Si la personne perquisitionnée refuse, son matériel pourra être saisi et analysé par un laboratoire de la police.
Services sociaux comme auxiliaires de renseignement (article 7)
Aujourd’hui, les services de renseignement peuvent exiger des services sociaux (comme la CAF) la transmission de données confidentielles, mais ces derniers peuvent y opposer le secret professionnel. Tout cela disparaît dans la réforme en cours de discussion. Le secret professionnel ne pourra plus être invoqué. Les services sociaux devront, de leur propre initiative ou sur requête, transmettre aux services de renseignement toute information qui pourrait permettre l’accomplissement d’une mission de renseignement. Les finalités sont larges, puisqu’elles concernent n’importe quelle finalité de renseignement (dont l’espionnage économique ou la surveillance des mouvements sociaux).
Cela continue donc de renforcer le rôle des services sociaux en tant qu’auxiliaire de contrôle et de surveillance de la population. Cette modification continuerait de rendre légitime une réelle défiance à leur égard alors qu’ils sont censés concourir au service (du) public.
Larges partages de renseignements entre services (article 7)
Depuis 2015, les services de renseignement peuvent échanger entre eux les renseignements obtenus. Cet échange, prévu par l’article L863-2 du code de la sécurité intérieure, échoue à prévoir le moindre cadre procédural sérieux pour éviter un total dévoiement du dispositif. La Quadrature du Net avait donc attaqué ce dispositif devant le Conseil d’État, qui vient tout juste de saisir le Conseil Constitutionnel – et celui-ci ne devrait pas trop hésiter à censurer l’article.
La réforme du renseignement tente de contrer cette probable future censure constitutionnelle en posant des gardes-fous de pacotille à ce système absurde. Le partage de renseignements reste ainsi ouvert à tous les services de renseignement de premier comme du second cercle. Un service pourra obtenir de la part de ses partenaires des informations obtenues grâce à des techniques qui lui sont interdites, ou pour des finalités différentes de celles qui avaient motivé l’autorisation de la mesure de surveillance (l’avis de la CNCTR sera dans ces deux cas demandé). Le texte ne prévoit aucune limite dans le nombre de partages et n’impose pas non plus que certains agents seulement puissent accéder aux informations partagées. Le partage de renseignement vers ou depuis des services de renseignement étrangers est, quant à lui, totalement passé sous silence par la loi alors que différentes voix (telles que celle de la CNCTR et celle de la CEDH) questionnent depuis des années cette absence totale de contrôle.
Conservation portée à 5 ans pour la R&D (article 8)
Prenant l’exemple de la NSA et des sociétés privées comme Palantir, l’article 8 autorise la conservation jusqu’à 5 ans de toutes les informations obtenues dans le cadre d’opération de renseignement. En théorie, les informations ainsi conservées ne pourront plus être exploitées que pour faire de la recherche et du développement d’outils de renseignement divers (notamment les algorithmes d’analyses en masse des données collectées). Mais cette évolution permettra surtout de faire sauter toutes les limitations de durée pour des dizaines de milliers de fadettes (factures téléphoniques détaillées), d’écoutes téléphoniques, d’images de surveillance, d’analyses réseau, etc. Une fois stockées au prétexte de la R&D, il faut redouter que, par l’autorisation d’une loi future, ces informations puissent bientôt être exploitées pour les nombreux et larges objectifs du renseignement (surveillance économique, répression des opposants politiques…). Les lois sécuritaires reposent presque systématiquement sur ces tours de passe-passe à deux étapes.
Et même sans loi explicite, le détournent illégal des données recueillies, par des pratiques que le gouvernement ne se gênerait pas de qualifier de « alégales », ne seraient en rien une nouveauté (qu’il s’agisse par exemple du partage de données entre services, décrit plus haut, ou des nombreuses pratiques illégales antérieures à 2015 que le gouvernement avait rétrospectivement assumées en 2015).
Conservation doublée pour le piratage (article 9)
Une des techniques les plus invasives autorisées par la loi renseignement de 2015 a sans doute été le piratage informatique, tel que permis par l’article L. 853-2 du code de la sécurité intérieure. Les attaques informatiques déployées par les services de renseignement donnent potentiellement accès à l’intégralité des éléments de la vie d’une personne, largement au-delà des informations concernées par l’autorisation initiale. Les données visées sont si nombreuses et totales que la durée de leur conservation avait été limitée à un mois en 2015. Le projet de loi de 2021 propose de doubler cette durée, sans prendre la peine de donner la moindre justification opérationnelle, si ce n’est celle d’aligner cette durée sur d’autres pratiques proches dont la conservation avait été fixée à deux mois en 2015. Le gouvernement ne prend pas la peine d’expliquer pourquoi le nivellement de nos libertés se fait par le bas plutôt que par le haut…
Surveillance des communications satellitaires (article 11)
Pour le gouvernement, le champ d’action des services de renseignement doit être total : rien ni personne ne doit échapper à leur contrôle. Si Elon Musk et Starlink envisagent de multiplier les communications par satellites, l’article 11 du présent projet de loi ouvre déjà les vannes à leur surveillance. Cette surveillance sera tout aussi illicite et illégitime que celle déjà réalisée sur les réseaux câblés et hertziens.
On peut également se questionner sur le spectre des interceptions si elles sont réalisées du côté des téléports ou peuvent transiter de très nombreuses communications qui ne seraient pas spécifiquement visées, mais néanmoins accessibles en interception satellitaire. Selon les techniques envisageables, on peut redouter des conséquences similaires à celles des IMSI catcher où, afin d’écouter une seule personne, on se met en situation de pouvoir écouter toutes les personnes alentours.
Des drones contre la population (article 18)
L’article 18 donne à la police le pouvoir de brouiller les drones non-policiers, tout en renforçant l’interdiction imposée à la population de se défendre elle-même contre les drones policiers (qui ont toujours été illégaux) ou non-policiers (ce qui rend la population entièrement dépendante de la police pour protéger sa liberté). La position du gouvernement est claire : il souhaite violer la loi pour nous surveiller puis punir celles et ceux qui tenteraient d’échapper à cette surveillance illégale.
Conservation généralisée des données de connexion (article 15)
L’article 15 du projet de loi reprend docilement le schéma proposé par le Conseil d’État dans sa récente décision sur le renseignement. Comme nous le dénoncions amèrement, ce schéma repose sur l’idée que la notion de « sécurité nationale » doit être comprise le plus largement possible, tel que recouvrant par exemple les objectifs de surveillance économiques ou la lutte contre les manifestations non-déclarées. Cette notion est si large qu’elle permet de considérer que la sécurité nationale est exposée à une menace grave et constante depuis 2015 (et sûrement pour toujours).
Ce constat permet d’écarter les garanties qui devraient habituellement protéger les libertés fondamentales. Ainsi, la surveillance de masse est-elle autorisée à titre « exceptionnel » mais systématique : l’ensemble des opérateurs Internet et téléphoniques ont l’obligation de conserver pendant un an les données de connexion de toute la population.
Ce schéma est une violation frontale du droit européen. Un des buts de ce projet de loi est de rendre le Parlement français complice de la violation commise par le gouvernement et le Conseil d’État, afin de la verrouiller durablement et d’acter encore plus officiellement la fin de l’État de droit européen en France.
Toujours aucun contre-pouvoir (article 16)
Une autre exigence du droit de l’Union était que la CNCTR, l’autorité qui contrôle de façon indépendante les services de renseignement, soit dotée de pouvoirs contraignants. Ici encore, le Conseil d’État avait refusé cette logique et le projet de loi adopte sa position. Les décisions de la CNCTR n’ont toujours aucun effet contraignant : le gouvernement est libre de ne pas les respecter. Le seul pouvoir de la CNCTR est de demander au Conseil d´État de vérifier qu’une mesure de surveillance n’est pas illicite. L’unique nouveauté concédée par le projet de loi est que, dans ce cas, le Conseil d’État doit se prononcer en 24 heures durant lesquelles la mesure contestée ne pourra pas être déployée – sauf urgence justifiée.
Cet ajustement ne change presque rien à l’équilibre général des pouvoirs : le Conseil d’État, si proche du gouvernement, reste seul à décider qui le gouvernement peut surveiller et comment. La CNCTR, seule instance officielle osant encore vaguement contester l’orientation des renseignements, reste considérée avec défiance et maintenue loin du pouvoir.
Si la CNCTR considère une demande comme problématique et qu’elle conteste son usage, le Conseil d’État – s’il est saisi – pourra la sauver, mais toutes les techniques jugées positivement par la CNCTR ne pourront de fait être questionnées – le Conseil d’état ne peut qu’être moins disant.
Surveillance algorithmique de masse (articles 12 et 13)
La mesure phare mise en avant par Gérald Darmanin est l’autorisation définitive de la surveillance algorithmique permise à titre expérimental en 2015. Ici encore, ce changement acte la violation du droit de l’Union européenne souhaitée par le Conseil d’État. Alors que la Cour de justice de l’Union européenne avait exigé en 2020 que ces algorithmes ne puissent être déployés qu’en période exceptionnelle de menace grave et imminente pour la sécurité nationale, le Conseil d’État considère, comme dit plus haut, que cet état d’exception est constant : le déploiement des algorithmes est donc permis de façon constante.
Le projet de loi ne se limite pas à acter cette violation : il propose aussi de l’étendre. Alors que les deux ou trois algorithmes déployés depuis 2017 auraient, d’après la CNIL, été restreints à l’analyse du réseau téléphonique, il s’agira pour l’avenir d’analyser aussi le réseau Internet, notamment en observant désormais les URL (les noms des pages Web consultées par potentiellement l’ensemble de la population).
En vérité, ce changement de paradigme était déjà envisagé dès 2015 et il ne doit pas en cacher un autre, bien plus dramatique. Jusqu’à présent, les algorithmes ne pouvaient être déployés que sur l’infrastructure propre des opérateurs de communications : concrètement, on imagine que la DGSI avait installé des serveurs dans une armoire fournie par Orange à côtés de câbles exploités par l’opérateur, analysant plus ou moins à la volée les informations qui y étaient acheminées.
Le projet de loi permet désormais aux services de renseignement de détourner l’ensemble du trafic vers sa propre infrastructure, dans ses propres locaux, afin de l’analyser tranquillement dans son coin. Concrètement, on peut imaginer que Orange copiera l’ensemble des données échangées sur tout ou partie de son réseau pour les envoyer via une canal dédié vers des locaux de la DGSI (voir l’inquiétude d’une rare vigueur de la CNIL à ce sujet, à partir du point 14 de son premier avis). En théorie, en fonction de ses moyens techniques, il peut être envisagé que la DGSI conserve en mémoire dans ses propres locaux l’ensemble du trafic d’une ville ou du pays sur plusieurs jours (pour l’instant, le gouvernement a expliqué à la CNIL se contenter d’un délai de 24h, mais cette limite n’est même pas dans le texte de la loi).
Une fois stockées et bien organisées entre ses mains, nous ne pouvons que redouter ce que la DGSI fera de ces informations. Nos craintes sont d’autant plus fortes que le projet de loi organise déjà, dans son article 7, une logique de partage de données de plus en plus structurante et généralisée.
Coopération des opérateurs pour pirater (article 10)
Le changement le plus grave est sans doute le plus discret. Ni l’exposé des motifs et l’étude d’impact réalisées par le gouvernement, ni l’avis du Conseil d’État ou de la CNIL n’en parle. Étrangement, seul Gérald Darmanin a pris la peine de l’évoquer, rapidement. Il expliquait ainsi le 28 avril 2021 sur France Inter que, pour contourner le chiffrement des communications, « nous discutons avec les grands majors d’Internet, on leur demande de nous laisser entrer via des failles de sécurité, certains l’acceptent, d’autres pas. Il faut sans doute une loi pour contraindre des services étrangers, elle arrive ».
C’est au sein du II de l’article 10 du projet de loi que nous pensons avoir trouvé une traduction de cette affirmation grandiloquente. Cet article semble permettre aux services de renseignement de contraindre les opérateurs et fournisseurs de communications électroniques (tel que Orange, SFR, mais aussi Whatsapp ou Signal au sens du droit de l’UE) de collaborer avec eux afin de déployer des failles de sécurité sur le terminal des personnes ciblées. C’est du moins l’interprétation que nous a confirmée M. Kervrain, co-rapporteur sur ce projet de loi, qui nous a auditionné le 17 mai dernier.
Un peu plus tard dans la journée, le député Ugo Bernalicis (La France Insoumise) a bien voulu demander au ministre de l’intérieur de confirmer ce point à son tour. Ce dernier s’est montré encore plus précis :
« Pour ce qui est des messageries cryptées, comme Telegram, WhatsApp ou Signal, elles ont précisément bâti leur modèle économique sur la garantie de ne pas pouvoir être écouté. Que les choses soient claires : il ne s’agit pas d’écouter les conversations téléphoniques qui se font sur ces applications mais de profiter du fait qu’elles passent par des connexions internet. Pour les cibles les plus dangereuses, et sous le contrôle de la CNCTR, le recueil des données informatiques permettra d’accéder au terminal informatique de la personne qui utilise ces messageries pour recueillir les données qui sont stockées dans ces messageries. »
Pour étayer sa réponse, le ministre a explicitement visé l’opération conduite l’an dernier contre le système de communication chiffrée Encrochat et qui avait conduit la gendarmerie à déployer une attaque informatique particulièrement complexe lui offrant l’accès au terminal de milliers de téléphones en même temps.
Nous pensons ainsi que l’objet de l’article 10 de ce projet de loi est de légaliser et généraliser des opérations similaires à celles conduite contre Encrochat en les élargissant de plus à la surveillance administrative, pour les sécuriser juridiquement afin de les reproduire de plus en plus régulièrement pour contourner massivement les mesures de chiffrement.
Les implications de cette nouvelle menace sont aussi complexes que graves (la protection offerte par les messageries chiffrées telles que Signal est largement remise en cause) et méritent une analyse ultérieure plus poussée. Nous y reviendrons en détail prochainement.