Alors que La Quadrature du Net dénonçait il y a quelques semaines l’instauration de nouvelles mesures de surveillance au nom de la lutte contre la cybersécurité dans la loi de programmation militaire en cours d’examen au Parlement, le gouvernement d’Emmanuel Macron persiste et signe.

Cette fois, il s’agit de toucher aux grands équilibres de la loi renseignement, notamment en ouvrant aux services de renseignement intérieurs (notamment la DGSI) les montagnes de données accumulées par la DGSE dans le cadre de son dispositif de surveillance massive des communications Internet dites « internationales ». Et parce qu’il est toujours préférable de contourner le débat public quand il s’agit d’étendre les capacités de surveillance secrète de l’État, c’est en catimini, par voie d’amendement au Sénat que le gouvernement a choisi de procéder, avec l’aide de quelques parlementaires complices.

Déni de réalité, déni démocratique
Le 22 mai dernier au Sénat, la ministre des Armées Florence Parly présente dans l’hémicycle un amendement à la loi de programmation militaire, déjà adoptée en première lecture à l’Assemblée. À première vue, c’est sensible, puisqu’il s’agit de toucher au livre VIII du code de la sécurité intérieure, celui qui encadre les activités des services de renseignement. Mais la ministre se veut rassurante :

« Le Gouvernement ne souhaite évidemment pas, par le biais d’un amendement au détour du projet de loi relatif à la programmation militaire, remettre sur le métier la loi relative au renseignement. C’est un chantier qui nous occupera plutôt en 2020 et auquel il paraît indispensable d’associer étroitement la délégation parlementaire au renseignement, la DPR.

Je vous propose donc, mesdames, messieurs les sénateurs, de permettre simplement une utilisation plus rationnelle des données légalement recueillies dans le cadre de la surveillance des communications internationale. Nous ne donnons pas aux services de nouveaux moyens de collecte ni ne modifions en profondeur les équilibres retenus en 2015 ».

Il s’agit donc d’être « rationnel » sans toucher aux « équilibres retenus en 2015 ». Un petit patch bureaucratique pour faire en sorte de fluidifier le travail des services et qui, comme nous l’apprend la ministre, a été validé par la Commission nationale de contrôle des techniques de renseignement (la CNCTR) et par le Conseil d’État dans leurs avis respectifs sur l’amendement proposé.

Sauf que ces propos tiennent plus du déni de réalité, voire d’une volonté manifeste de tromper son monde. Car loin d’être anecdotique, l’amendement transforme radicalement les fameux « équilibres » de la loi renseignement.

Surveillance intérieure / surveillance extérieure
Pour le comprendre, quelques rappels sont de rigueur.

Traditionnellement, les activités de surveillance d’un État envers les personnes résidant sur son territoire sont plus étroitement encadrées que les activités de surveillance dite « internationale », c’est-à-dire de personnes situées hors du territoire national. C’est donc dans le cadre des activités de surveillance internationale que les programmes de surveillance les plus « massifs » se sont d’abord développés (par exemple le programme UPSTREAM de la NSA, le programme TEMPORA du GCHQ britannique, ou le programme similaire lancé à partir de 2008 par la DGSE française pour collecter à grande échelle le trafic Internet au niveau des câbles sous-marins, et l’exploiter à l’envie par la suite1).

Dans les hautes sphères de l’État, ce principe continue d’être défendu. Ainsi, dans son rapport annuel de 2014 sur les libertés à l’ère numérique, le Conseil d’État notait :

« Le fait que les garanties entourant l’interception des communications soient moindres lorsqu’elles se situent à l’étranger plutôt que sur le territoire se justifie (…). (…) Dès lors que les personnes situées à l’étranger échappent à la juridiction de l’État, l’interception de leurs communications n’est pas susceptible de porter atteinte à leurs droits dans la même mesure que si elles se situaient sur le territoire ; elles ne peuvent en particulier faire l’objet de mesures juridiques contraignantes qui se fonderaient sur les éléments collectés »2.

C’est en vertu de ces arguments que, en 2015, la loi renseignement a prévu un régime juridique beaucoup plus lâche pour la surveillance internationale : le Premier ministre autorise l’interception non-ciblée de vastes quantités de données associées à une région du monde, à des organisations, groupes de personne, etc. ; ces données sont conservées pendant beaucoup plus longtemps que dans le cadre de la surveillance nationale ; elles peuvent faire l’objet d’analyse « en masse » des données via des traitements « Big Data » (ce que, soit dit en passant, la DGSI a également commencé à faire depuis quelques mois grâce aux algorithmes de Palantir sur les données saisies dans le cadre de l’état d’urgence, et ce en dehors de tout cadre juridique3).

Or, comme le rappelait dès 2013 la coalition internationale « Necessary and Proportionate » en réponse aux révélations d’Edward Snowden, cette distinction national/international n’a plus lieu d’être. À l’heure où les communications Internet sont par nature transfrontières (même lorsque j’échange un mail avec ma voisine, il est probable qu’il transite via l’étranger), et où les doctrines du renseignement font de moins en moins la différence entre menace extérieure et « ennemi intérieur », les arguments qui la fonde son caducs. En outre, comme le rappelaient La Quadrature du Net, FFDN et FDN dans leur mémoire envoyé en 2015 au Conseil constitutionnel alors que celui-ci se penchait sur la loi renseignement, cette distinction revient au plan juridique à bafouer l’universalité des droits4. De notre point de vue, il s’agirait donc d’abolir tout simplement le régime dérogatoire de surveillance internationale pour faire appliquer à toutes et tous le régime le plus protecteur : celui associé à la surveillance nationale.

L’extension du régime dérogatoire de la surveillance internationale
Mais, comme on pouvait le redouter, non seulement le régime de la surveillance internationale tient bon, mais il est en fait en train de devenir le dénominateur commun pour l’ensemble du champ du renseignement.

Certes, dès 2015, la loi renseignement ouvrait la voix à de telles évolutions. Les dispositions régulant les usages du puissant système de surveillance de la DGSE prévoyaient déjà la possibilité de surveiller des communications « rattachables au territoire national » (via leurs identifiants techniques comme l’adresse IP ou le numéro de téléphone) dès lors que les communications en question traversaient les frontières. Mais à ce jour ces formes de surveillance étaient uniquement possible pour les résidents français situés hors du territoire national.

Ici, il s’agit d’aller encore plus loin. En vertu de l’amendement adopté au Sénat, et comme l’explique la ministre :

« Nous voulons d’abord permettre l’exploitation des données d’un identifiant technique rattachable au territoire national interceptées dans le cadre de la surveillance des communications internationales, alors même que son utilisateur est en France5.»

Il s’agit notamment d’ouvrir aux services de renseignement intérieur les vannes du vaste système de surveillance déployé par la DGSE depuis 2008, et dans lequel l’État a depuis investi près de 1,5 milliards d’euros. Cela permet en effet d’accéder à quantité de données qui, dans le cadre strictement national, étaient plus difficilement exploitables6.

Remonter le passé pour confirmer des suspicions
Mais ce n’est pas tout. Le gouvernement a également souhaité autoriser des opérations de surveillance dites de « levée de doute ». Et la ministre d’expliquer :

« La levée de doute prendra la forme d’une vérification ponctuelle sur les données de connexion légalement interceptées dans le cadre de la surveillance des communications internationales.

Il s’agit d’opérations très rapides, non répétées et susceptibles de mettre en évidence un graphe relationnel ou la présence à l’étranger d’une personne, qui pourra alors être surveillée si elle présente une menace. Dès que la vérification fera apparaître la nécessité d’une surveillance, l’exploitation des communications ne pourra être poursuivie que via les techniques de renseignement inscrites dans la loi de 2015 ».

En gros, les services utilisent un ou plusieurs « sélecteurs » ou « identifiants » correspondant à des personnes ou groupes de personnes situés à l’étranger, avec lesquels on va sonder les bases de données pour établir le graphe social et tenter de faire émerger les données de suspects résidant en France7. On peut ensuite se livrer à une surveillance plus poussée de ces suspects dans le cadre du régime de surveillance nationale (en demandant par exemple une autorisation pour procéder à une interception de sécurité)8.

L’amendement inaugure également deux régimes dérogatoires à ce dispositif de « levée de doute », qui permettent non pas de constituer ces graphes à partir d’identifiants « étrangers », mais à partir d’identifiants directement rattachables au territoire national : l’un en cas de « menace terroriste urgente », l’autre s’agissant « d’éléments de cyberattaques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation »9.

Au plan opérationnel, ces opérations de levée de doutes poursuivent la même logique « exploratoire » que les boîtes noires de l’article L. 851-3 ou la surveillance en temps réel des données de connexion du L. 851-2 (elle aussi sont des manières de repérer des signaux faibles, en préalable d’une surveillance plus poussée). Sauf qu’il s’agit cette fois de sonder les données conservées massivement dans les data-centers de la DGSE, et non de faire de la surveillance de flux en « temps réel ». Pour rappel, les métadonnées des résidents français sont conservées quatre ans…

La fuite en avant de la surveillance
Quand un outil technique existe, il n’y a aucune raison de ne pas l’utiliser à fond… C’est en tous cas la position des caciques du renseignement et des responsables politiques qui président à ces activités secrètes, et qui estiment nécessaire de mettre au service du renseignement intérieur les vastes dispositifs de surveillance de la DGSE. La fin justifie les moyens, et tant pis pour l’État de droit.

Ni le gouvernement, ni la CNCTR, ni le Conseil d’État n’ont donc de problème à s’asseoir sur les arguments qu’ils invoquaient il y a tout juste trois ans pour justifier l’instauration d’un régime dérogatoire pour la surveillance internationale,10 à savoir que celle ci ne concernait que des personnes situées hors du territoire, et donc échappant a priori au pouvoir coercitif de l’État. Aujourd’hui, ils rendent ce régime dérogatoire toujours plus poreux à la surveillance des résidents français, en permettant au renseignement intérieur de piocher allégrement dans les bases de données de la DGSE. Avec cet amendement, il devient par exemple possible de retracer d’un seul coup l’historique des communications d’un résident français en remontant quatre ans en arrière, là où le régime de surveillance nationale permettait de récolter des métadonnées vieilles d’un an maximum auprès des opérateurs et de quantité d’hébergeurs. On change clairement de dimension.

Le plus choquant, c’est peut être que le gouvernement refuse de reconnaître l’importance de ces évolutions, en prétendant qu’il ne s’agit que de quelques aménagements techniques. Cette manière de procéder du gouvernement Macron — qui semble chercher à étouffer à tout prix le débat — devrait justifier à elle seule que les parlementaires s’opposent à cet amendement scélérat (la Commission mixte paritaire composée de députés et de sénateurs se réunit bientôt pour finaliser le texte).

Malgré quelques maigres avancées en termes de transparence dont témoigne notamment le dernier rapport de la CNCTR, cette affaire illustre bien l’immaturité démocratique persistante du renseignement français. Alors que la ministre promet une révision plus en profondeur de la loi renseignement pour 2020, on peut craindre le pire…

1. JAUVERT, Vincent, 2015. Comment la France écoute (aussi) le monde. In : L’Obs [en ligne]. 1 juillet 2015. Disponible à l’adresse : http://tempsreel.nouvelobs.com/societe/20150625.OBS1569/exclusif-comment-la-france-ecoute-aussi-le-monde.html.
2. RICHARD, Jacky et CYTERMANN, Laurent, 2014. Le numérique et les droits fondamentaux [en ligne]. Les rapports du Conseil d’État. S.l. Conseil d’État. [Consulté le 29 mai 2013]. Études du Conseil d’État. Disponible à l’adresse : http://www.ladocumentationfrancaise.fr/rapports-publics/144000541/index.shtml.
3. C’est apparemment cette collaboration DGSI-Palantir qui a poussé les rédacteurs du rapport Villani sur l’intelligence artificielle (IA) à envisager des « dérogations » pour promouvoir des « expérimentations » sur l’usage de l’IA dans le champ du renseignement. Il n’est pas question de les encadrer dans la loi mais de les faire sous le contrôle d’autorités comme la CNCTR, ce qui est tout simplement illégal.
4. Voir la section 9.4.2, p.age 74, du mémoire Amicus Curiae. Disponible à l’adresse : https://exegetes.eu.org/recours/amicusrenseignement/2015-06-25-Amicus-Curiae-Version-Greffe-CC.pdf
5. Nous soulignons. L’amendement est rédigé comme suit :
V. – Par dérogation au troisième alinéa de l’article L. 854-1 et pour la défense ou la promotion des finalités mentionnées aux 1° , 2° , 4° , 6° et 7° de l’article L. 811-3, le Premier ministre ou l’un de ses délégués peut, dans les conditions prévues au III, délivrer une autorisation d’exploitation de communications, ou de seules données de connexion interceptées, de numéros d’abonnement ou d’identifiants techniques rattachables au territoire national dont l’utilisateur communique depuis ce territoire.
« Le nombre maximal des autorisations d’exploitation, en vigueur simultanément et portant sur des correspondances, est arrêté par le Premier ministre, après avis de la Commission nationale de contrôle des techniques de renseignement. La décision fixant ce contingent et sa répartition entre les ministres mentionnés au premier alinéa de l’article L. 821-2 sont portées à la connaissance de la commission ».
(…)
« Les autorisations prévues à l’article L. 851-1, à l’article L. 851-2 et au I de l’article L. 852-1 peuvent valoir, lorsque la décision d’autorisation le prévoit, autorisation d’exploitation des communications, ou des seules données de connexion, interceptées dans le cadre de la mise en œuvre de mesures de surveillance des communications internationales, dans la limite de la portée de ces autorisations et dans le respect des garanties qui les entourent. »
6. L’exposé des motifs évoque notamment le fait que, si « les données interceptées [par la DGSE] sont partielles », elles présentent un intérêt d’autant plus important qu’y figurent des données que l’on ne peut obtenir par réquisition auprès des opérateurs, notamment celles des messageries cryptées ». On peut ainsi supposer que le relevé des seules données de connexion dans le système de la DGSE permet de retracer l’ensemble d’un historique de navigation Internet (protocoles utilisés, services consultés, etc.) alors que du côté d’un opérateur fixe dans le cadre de la surveillance nationale, permettra seulement d’identifier l’internaute concerné et les adresses IP utilisées ainsi que ses « fadettes » téléphoniques.
7. « IV. – L’autorisation prévue au III vaut autorisation d’effectuer au sein des données de connexion interceptées des vérifications ponctuelles aux seules fins de détecter une menace pour les intérêts fondamentaux de la Nation liée aux relations entre des numéros d’abonnement ou des identifiants techniques rattachables au territoire français et des zones géographiques, organisations ou personnes mentionnés au 3° du III.
8. (…) « Lorsque les vérifications ponctuelles mentionnées aux alinéas précédents font apparaître la nécessité d’une surveillance, l’exploitation des communications, ou des seules données de connexion interceptées, ne peut être poursuivie que sur le fondement d’une autorisation obtenue en application des chapitres I ou II du présent titre ou du V du présent article, dans le respect des règles qui leur sont propres.
9. « A la seule fin de détecter, de manière urgente, une menace terroriste, cette vérification ponctuelle peut porter sur les communications de numéros d’abonnement ou d’identifiants techniques rattachables au territoire national. Ces numéros et identifiants sont immédiatement communiqués au Premier ministre et à la Commission nationale de contrôle des techniques de renseignement, pour les besoins du contrôle prévu à l’article L. 854-9.
« Des vérifications ponctuelles peuvent également être mises en œuvre pour détecter sur les communications d’identifiants techniques rattachables au territoire national, à des fins d’analyse technique, des éléments de cyberattaques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation mentionnés au 1° de l’article L. 811-3.

10. Comble de l’hypocrisie, cet argument est d’ailleurs rappelé par le gouvernement dans l’exposé des motifs de l’amendement ! D’après le texte en effet, « les exigences liées à l’exercice des libertés constitutionnellement garanties ne peuvent être les mêmes pour une personne résidant sur le territoire de la République et pour une personne résidant à l’étranger. Celle-ci échappant à la juridiction de l’Etat, elle ne peut en particulier faire l’objet de mesures juridiques contraignantes qui se fonderaient sur les éléments collectés ».