Interception des communications électroniques : quelles sont les pratiques des grands Etats ?
Ce document fait suite aux révélations portant sur divers programmes de surveillance étatique tels que PRISM (1) , TEMPORA (2), XKeyscore (3), ou sur l’existence d’accords entre États permettant de contourner les lois encadrant les interceptions des communications (cf. accord entre le Canada et les Etats-Unis).
Il vise à comparer quelques textes législatifs utilisés pour justifier la surveillance des individus selon les pays (cfr tableau comparatif des législations) et à vérifier les points suivants :
En France, l’accès des autorités aux données traitées et stockées par les opérateurs de télécommunication est encadré par le Code de la sécurité intérieure (CSI, Article L244-3).L’article 20 de la Loi sur la Programmation Militaire portant diverses modifications a créé un nouveau chapitre IV dans le CSI et du coup a introduit des nouveaux articles dont l’entrée en vigueur est prévue le 1er janvier 2015 : Art L 246-1 à l’Art L 246-5
Quid des garanties de la protection de la vie privées des usagers de ces services? Aucun juge n’intervient dans la procédure aboutissant à l’autorisation des interceptions. Le premier ministre est seul à décider Bien que les décisions du Premier ministre soient communiquées dans les 48 heures à la Commission Nationale de Contrôle des Interceptions Sécurisés, la CNCIS n’intervient qu’a posteriori et n’a qu’un pouvoir de recommandation Article L243-8 .
Dans son dernier rapport, avant qu’il dépose sa démission, Hervé Pelletier avait condamné le manque de moyens de la CNCIS pour contrôler la légalité des interceptions de communicationLa personne “qualifiée” est nommée par la CNCIS parmi trois personnes proposées par le Premier ministre. Quant à la CNCIS, le président est nommé par le Président de la République et les membres qui l’assistent sont désignées l’un par le Président de l’Assemblée Nationale, l’autre par le Président du Sénat.
- la limitation des cas d’intervention de l’exécutif, en termes de nécessité et de proportionnalité,
- l’intervention d’un garant indépendant au cours de la procédure d’autorisation d’interception,
- le respect des droits, des libertés et de la vie privée des citoyens européens.
En France, l’accès des autorités aux données traitées et stockées par les opérateurs de télécommunication est encadré par le Code de la sécurité intérieure (CSI, Article L244-3).L’article 20 de la Loi sur la Programmation Militaire portant diverses modifications a créé un nouveau chapitre IV dans le CSI et du coup a introduit des nouveaux articles dont l’entrée en vigueur est prévue le 1er janvier 2015 : Art L 246-1 à l’Art L 246-5
Quid des garanties de la protection de la vie privées des usagers de ces services? Aucun juge n’intervient dans la procédure aboutissant à l’autorisation des interceptions. Le premier ministre est seul à décider Bien que les décisions du Premier ministre soient communiquées dans les 48 heures à la Commission Nationale de Contrôle des Interceptions Sécurisés, la CNCIS n’intervient qu’a posteriori et n’a qu’un pouvoir de recommandation Article L243-8 .
Dans son dernier rapport, avant qu’il dépose sa démission, Hervé Pelletier avait condamné le manque de moyens de la CNCIS pour contrôler la légalité des interceptions de communicationLa personne “qualifiée” est nommée par la CNCIS parmi trois personnes proposées par le Premier ministre. Quant à la CNCIS, le président est nommé par le Président de la République et les membres qui l’assistent sont désignées l’un par le Président de l’Assemblée Nationale, l’autre par le Président du Sénat.
En Angleterre, le plus grand service de renseignement occidental, The Government Communications Headquarters (GCHQ), est placé sous l’autorité du Secrétaire d'état britannique. La base légale de ses activités se trouve dans le Regulation of Investigatory Powers Act 2000 (RIPA).Le GCHQ doit pouvoir fournir des informations au gouvernement (i.e. aux personnes individuellement désignées dans la section 6 de la RIPA) en exigeant des opérateurs télécom leur assistance dans la surveillance de l’ensemble des communications électroniques. Il n’y a pas d’intervention du juge.
Toutefois, la RIPA fait une distinction entre les communications externes et les communications internes au Royaume Uni . Dans la procédure d'autorisation des mandats d’interceptions des communications externes, le Secrétaire d’Etat détient un pouvoir discrétionnaire de délivrer un mandat Pour l’interception des communications internes, il faut un mandat spécifique basé sur un “soupçon d’activité illégale”. Bien que cette distinction vise à protéger la vie privée des citoyens anglais, les déclarations du responsable de la sécurité à GCHQ pour justifier le programme TEMPORA mettent en lumière les limites de cette distinction vis à vis des services de renseignements anglais.
Toutefois, la RIPA fait une distinction entre les communications externes et les communications internes au Royaume Uni . Dans la procédure d'autorisation des mandats d’interceptions des communications externes, le Secrétaire d’Etat détient un pouvoir discrétionnaire de délivrer un mandat Pour l’interception des communications internes, il faut un mandat spécifique basé sur un “soupçon d’activité illégale”. Bien que cette distinction vise à protéger la vie privée des citoyens anglais, les déclarations du responsable de la sécurité à GCHQ pour justifier le programme TEMPORA mettent en lumière les limites de cette distinction vis à vis des services de renseignements anglais.
Aux Etats Unis, les interceptions de communications trouvent leur base légale dans le US Patriot Act 2001 et dans le Foreign Intelligent Surveillance Amendement Act (FISAA). Le FISAA permet aux agences de renseignements américains d’obtenir la fourniture immédiate des données traitées ou conservées (FISAA Sect 1881 a) et l'installation des dispositifs techniques permettant les duplications secrètes de toutes sortes de communications (FISAA Sect 1881 a .h). Ces pouvoirs s’appliquent à tous les opérateurs américains quelle que soit leur localisation dans le monde ainsi qu’aux opérateurs non américains exerçant une activité aux USA. L’article 1881 a. vise expressément les prestataires de Cloud computing. La loi américaine garantit l’immunité aux opérateurs, en contrepartie de leur coopération. Pour procéder aux interceptions, le Directeur de renseignement ou le Procureur général doivent obtenir un FISA Order émanant d’une juridiction spéciale, le Foreign Intelligent Surveillance Court. Le quatrième amendement de la constitution des USA protège les citoyens américains contre les enquêtes et les saisies arbitraires. En revanche il n’existe aucune protection des citoyens non américains. Le juge de la FISC a donc seulement pour mission de vérifier que la procédure de ciblage (FISAA 1881 d (1) A) décrite dans le tableau a bien été respectée. Sur le fondement du 4ème amendement, la cour suprême des Etats-Unis a jugé le 25/06/2014 que la police devait avoir un mandat judiciaire pour avoir accès aux informations d’une personne figurant dans son téléphone.
Au Canada, les interceptions des communications électroniques trouvent leur fondement dans le Criminal Code et la Loi sur le service canadien du renseignement de sécurité. Ces interceptions sont opérées par le Centre de Sécurité des Télécommunications canadien avec la complicité des opérateurs des services de télécoms : tous les services de télécommunications ont l’obligation d’améliorer leurs équipements pour faciliter les interceptions; l’objectif est que tous les services de télécommunications au Canada soient dotés des dispositifs permettant au CSTC l’interception dans un délai précis.
Le CSTC a pour mission officielle d’acquérir des informations électroniques en provenance de toutes les infrastructures dans le monde afin de renseigner le gouvernement canadien sur les activités, les intentions et les capacités de gouvernements étrangers, de particuliers et de sociétés dans le domaine de la diplomatie, des forces militaires, de l'économie, de la sécurité et du commerce. De nombreux ministères et organismes du gouvernement demandent au CSTC de leur fournir des renseignements.
Le CSTC a pour mission officielle d’acquérir des informations électroniques en provenance de toutes les infrastructures dans le monde afin de renseigner le gouvernement canadien sur les activités, les intentions et les capacités de gouvernements étrangers, de particuliers et de sociétés dans le domaine de la diplomatie, des forces militaires, de l'économie, de la sécurité et du commerce. De nombreux ministères et organismes du gouvernement demandent au CSTC de leur fournir des renseignements.
En Allemagne, les interceptions trouvent leur base légale dans les deux textes suivants: la German Telecommunication Act (GTA) et la Telecommunication Interception Ordinance (TIC).
Il est demandé aux opérateurs et aux fournisseurs d’accès de tout mettre en œuvre pour permettre aux services de renseignement de surveiller ou d’intercepter les communications électroniques, nationales et internationales.
En matière de contrôle, la législation allemande se distingue des autres textes servant de base légale.
L’Allemagne est le seul état à avoir une législation qui, d’une part oblige les auteurs des interceptions d’en informer à posteriori les personnes concernées et d’autre part prévoit une commission (G10) avec un pouvoir de décision et de contrôle à priori des interceptions.
La G10 est indépendante et aucun organe exécutif ne peut passer outre sa décision.Aucune interception ni surveillance de communication ne peut se faire si la G10 n’a pas donné son accord. Malgré cela, en 2012 l’Allemagne a demandé aux autorités américaines d’accéder au programme Xkeyscore, en dehors du cadre légal.
L’Italie détient le record des interceptions des communications électroniques, ce qui s’explique notamment par la lutte des autorités contre la Mafia. Entre la criminalité et la peur des civils de témoigner au tribunal, les interceptions sont l’unique moyen de collecter des preuves. Les interceptions de sécurité trouvent leur base légale dans le Code de Procédure Pénale (CPP). La loi prévoit que les opérateurs télécoms conservent les données de connexion de leurs clients pendant soixante mois, soit 5ans.
En Inde, les interceptions ont pour base légale The Information Technology Act 2000 (I Act), et the Interception Rules 2009.
Les interceptions sont autorisées par une ordonnance émise par un fonctionnaire de l’Etat. Il n’y a aucun contrôle judiciaire. Il suffit que le fonctionnaire estime l’interception nécessaire pour des besoins d'intérêt national.
Le gouvernement indien a créé en 2013 une Unified Licence qui permettra à un opérateur télécom d’offrir toute sorte de service de communication sous une seule licence. En contrepartie, cet opérateur devra mettre en œuvre des moyens techniques pour permettre au gouvernement d’intercepter des communications.
--------------------
(1) Programme américain de surveillance électronique via la collecte de renseignements sur Internet et auprès de prestataires de services électroniques.
(2) Programme de surveillance de sécurité créé en 2011 et géré par les services secrets britanniques, le GCHQ.
(3) Programme de surveillance de masse basé sur la collecte systématique des activités de tout utilisateur sur internet, créé par la NSA et opéré conjointement avec les services de renseignements britanniques, canadiens, australiens et néo-zélandais