Loi renseignement : "Accéder aux données de connexion nécessite de reconstituer le contenu du message"
Le très controversé projet de loi sur le renseignement a été adopté malgré les critiques, mardi, par 438 voix contre 86. Il a notamment déclenché, il y a plusieurs semaines, la fronde des hébergeurs, décriant une loi "liberticide, anti-économique et inefficace" (Lire : "Combien le projet de loi renseignement va-t-il coûter aux hébergeurs ?" , du 13/04/15). Le texte impose en effet la mise en place d'un dispositif de surveillance qui filtrera l'ensemble des communications des intermédiaires techniques sur Internet : FAI, hébergeurs, mais aussi peut-être les éditeurs (Lire : "Doctissimo, AuFéminin, Commentçamarche... Les éditeurs auront aussi droit à leur boîte noire", du 30/04/15).
Après discussion avec le gouvernement, le texte a finalement été amendé. Il rappelle désormais le principe de proportionnalité, limite la surveillance "aux éléments strictement nécessaires à la détection d'une menace terroriste" et supprime la procédure d'urgence qui permet au Premier ministre de passer outre l'avis de la Commission de contrôle. Il instaure aussi la possibilité, pour l'opérateur, de s'assurer lui-même de l'installation du dispositif et de vérifier que les données de contenus sont bien exclues de la surveillance. Par ailleurs, il souligne la nécessité d'un avis de la Commission de contrôle (la CNCTR) en cas de renouvellement ou de modification de l'algorithme des équipements d'interception.
La proportionnalité évaluée par la CNCTR et le Premier ministre
Victoire ? Pas vraiment, assure Marc-Antoine Ledieu, avocat spécialiste du multimédia et de l'informatique, qui épluche depuis plus d'un mois le texte de loi dans ses moindres détails. "Cet amendement ne change rien ! Pour identifier la menace terroriste et cibler la surveillance, il faut de toute façon d'abord filtrer toutes les communications."
Pas de juge pour contrôler la proportionnalité
L'ajout du principe de proportionnalité, censé limiter la surveillance de masse, ne convainc pas non plus l'avocat : "Ce n'est pas parce que l'on rajoute le principe de proportionnalité que l'on limite vraiment la surveillance. Qui apprécie le principe de proportionnalité ? La CNCTR, quand elle donne son avis, et le Premier ministre, qui doit apprécier à son niveau que le principe est respecté. Mais nous ne savons absolument pas quelle sera leur appréciation de la proportionnalité entre surveillance et atteinte à la vie privée. Ils peuvent très bien se dire que récolter des millions de données, tant qu'elles restent des données de connexion, ne porte pas trop atteinte à la vie privée au regard du bénéfice pour la sécurité." La CNCTR sera composée de trois députés, trois sénateurs, trois membres détachés du Conseil d'Etat, trois membres détachés de la Cour de cassation ainsi qu'un haut fonctionnaire de l'Arcep. "La CNCTR est donc composée de hauts fonctionnaires. Pas de juge pour contrôler le tout", déplore Marc-Antoine Ledieu.
Les intermédiaires techniques acteurs de la surveillance ?
L'avocat soulève d'autres points problématiques. Selon le texte de loi, les "informations ou documents" issus des dispositifs de surveillance "peuvent être recueillis sur sollicitation du réseau et transmis en temps réel par les opérateurs". Une formulation plutôt vague qui laisse place à interprétation. "Cela voudrait donc dire qu'il y a délégation de surveillance aux opérateurs techniques, qui peuvent décider eux-mêmes de recueillir des informations ?", s'étonne Marc-Antoine Ledieu. En filigrane, cela signifierait donc aussi que l'opérateur aurait accès à "un tableau de bord de la boîte noire, à des mots-clés de comportements suspects, afin de les signaler aux services de renseignement ".
Durée de conservation des données
Les données chiffrées peuvent-être conservées des années
Les dispositifs de surveillance seront non seulement étendus par leur périmètre, mais aussi dans la durée. Les informations issues de correspondances interceptées sont détruits à l'issue de 30 jours à compter de la première exploitation (voir 90 jours pour certains) et six mois à compter de leur recueil. Mais pour ce qui est des données de connexion, elles peuvent être conservées cinq ans à compter de leur recueil. Le texte précise alors : "Pour ceux des renseignements qui sont chiffrés, le délai court à compter de leur déchiffrement." En d'autres termes, les données peuvent être conservées pendant des années si elles sont chiffrées. Peut-être le gouvernement n'aura-t-il pas les moyens techniques de conserver des masses énormes de données dans la durée, mais en tout cas en aura-t-il la possibilité.
Non, le contenu des communications ne sera pas épargné
L'argument clé avancé par le gouvernement pour défendre les boîtes noires est d'assurer que seules les données de connexion (les métadonnées) seront examinées, et non pas le contenu des communications. Mais en est-on vraiment sûrs ? "Pour avoir accès aux données de connexion, on ne peut pas se contenter d'analyser les paquets "techniques" de transport (les paquets IP), on est obligé de rentrer dans les paquets TCP, qui contiennent le contenu du message", assure Marc-Antoine Ledieu, qui s'est rapproché de techniciens pour comprendre comment fonctionneront les dispositifs de surveillance.
Avoir accès aux données de connexions, c'est être en mesure de lire le contenu intégral
L'un d'entre eux co-signe un long post de blog avec l'avocat : "Pour accéder à une donnée technique, un "numéro d'abonnement", il sera nécessaire pour les services spécialisés de renseignement de rentrer dans les paquets TCP (les enveloppes internes) (...) et surtout, de reconstituer l'ensemble du message. Dans son intégralité. Rentrer dans les données des paquets TCP, c'est ouvrir le courrier pour en lire tout (ou partie) du contenu. C'est donc porter atteinte au secret des correspondances. Avoir accès au contenu des paquets TCP, c'est être en mesure d'en lire le contenu intégral."