PPL Surveillance internationale/Analyse

De La Quadrature du Net
Autres langues :
English • ‎français

Introduction

En juillet 2015, le Conseil constitutionnel a validé l'ensemble de la loi sur le renseignement à l'exception de quelques dispositions dont celle, majeure, sur la surveillance internationale. Selon le Conseil constitutionnel, cette disposition, silencieuse sur les conditions d'exploitation, de conservation et de destruction des renseignements collectés ainsi que sur le contrôle par la commission nationale de contrôle des techniques de renseignement (CNCTR), ne comportait pas suffisamment de garanties aux citoyens.

Le 1er juillet, L'Obs publiait un article dévoilant l'existence d'un décret secret pris par Nicolas Sarkozy en 2008 et autorisant la DGSE à espionner les communications internationales transitant par les câbles sous-marins qui relient l'Europe au reste du monde. Ce décret ne reposait sur aucune base légale et La Quadrature du Net, la Fédération FDN et French Data Network (FDN) ont donc décidé de l'attaquer le 31 août devant le Conseil d’État via deux procédures, l'une en référé-suspension, et l'autre au fond. Le 9 septembre, Le Conseil d'État a signifié sa décision de rejet du référé, marquant ainsi sa volonté de ne pas faire du respect de la vie privée une urgence absolue.

Le 10 septembre, soit le lendemain du rejet du référé, une proposition de loi sur la surveillance internationale était déposée par deux députés. Cette proposition est en réalité issue du gouvernement, qui, pour éviter la publication d'une étude d'impact et d'une étude budgétaire, a préféré passer par le biais de la proposition de loi.

Cette proposition de loi semble très clairement avoir pour objectif de légaliser les pratiques existantes révélées par L'Obs. Le vocabulaire est intéressant car on ne parle plus d'une loi sur le renseignement, mais sur la surveillance internationale. Il s'agit bien d'une surveillance massive des communications internationales, indépendamment des menaces possibles. Et le contrôle de la CNCTR, trop faible dans le cadre du renseignement national, est quasi inexistant dans cette nouvelle proposition. Le texte omet même de mentionner la conclusion d'accords entre les différents services de renseignement de différents pays (portant sur l'échange de données de leurs citoyens respectifs par exemple), laissant un vide juridique béant sur des accords pouvant être extrêmement attentatoires au droits fondamentaux et aux libertés.

Le texte comprend deux articles uniquement, l'un afin d'ajouter un chapitre IV sur les mesures de surveillance des communications internationales au code de la sécurité intérieure, et l'autre afin de compléter le code de justice administrative.

Des finalités disproportionnées et inintelligibles

Le texte fait référence à l'article L. 811-3 du code de la sécurité intérieure, introduit par la loi sur le renseignement. La surveillance peut ainsi être autorisée « aux seules fins de la défense et de la promotion des intérêts fondamentaux de la Nation ». Or ces finalités sont extrêmement larges et incluent la liste suivante :

  • La sécurité nationale ;
  • Les intérêts essentiels de la politique étrangère et l'exécution des engagements européens et internationaux de la France ;
  • Les intérêts économiques et scientifiques essentiels de la France ;
  • La prévention du terrorisme ;
  • La prévention de la reconstitution ou du maintien de groupement dissous en application de l'article L. 212-1 ;
  • La prévention de la criminalité et de la délinquance organisées ;
  • La prévention des violences collectives de nature à porter gravement atteinte à la paix publique.

Dans leur amicus curiae soumis au Conseil constitutionnel pour appuyer la saisine parlementaire sur la loi sur le renseignement, FDN, FFDN et La Quadrature du Net avaient mis en lumière l'aspect disproportionné de certaines finalités ainsi que leur inintelligibilité. Ces finalités sont toutes reprises par la proposition de loi sur la surveillance internationale, permettant une surveillance massive des communications pour chacune des finalités, légalisant ainsi toute activité de contre-espionnage, espionnage économique, mais aussi l'espionnage des organisations citoyennes, largement visées par le texte.

Une surveillance massive

Le texte prévoit la possibilité pour les services de renseignement de collecter massivement toutes les données sur les systèmes de communication désignés par le Premier ministre (Art. L. 854-1 II). Il revient ainsi au Premier ministre de décider quels systèmes de communication seront visés. Rien ne sera fixé dans la loi. Ces autorisations évolueront donc en fonction de l'évolution des techniques de communication, sans que les citoyens puissent avoir une vision claire des techniques pouvant être mises en œuvre par les services de renseignement. Aucune limitation de durée n'est prévue.

Toutes les données transitant sur ces systèmes de communication seront ainsi collectées, et les autorisations données par le Premier ministre ne porteront que sur l'exploitation de ces données interceptées. Les autorisations seront données de façon extrêmement large :

  • pour une durée d'un an renouvelable pour l'exploitation non individualisée de données de connexions pour une ou des finalités données et les types de traitement mis en œuvre. Il s'agit donc d'une analyse massive des données de connexion recueillies, sans aucun ciblage a priori et la totalité des données de connexion (non rattachables à la France), y compris des citoyens européens, peuvent faire l'objet d'une collecte massive et d'une exploitation, sans aucun contrôle a priori.
  • pour une durée de quatre mois renouvelable pour les communications ou les seules données de connexion provenant de zones géographiques (toute l'Afrique, toute l'Amérique du Nord, toute l'Amérique du Sud), organisations (toute la société X, toute l'ONG X), personnes ou groupes de personnes définis. Cette mesure permet de mettre en place une surveillance massive des communications plus ou moins ciblée en fonction des besoins. L'argument de la lutte contre le terrorisme ne tient pas pour justifier une telle surveillance et l'espionnage économique, le contre-espionnage, l'espionnage des organisations citoyennes sont largement visés. Contrairement aux boites noires qui sont limitées à la lutte contre le terrorisme, toutes les finalités sont ici valables.

Amendements nécessaires :

  • Inclure dans la loi la liste des systèmes de communication qui peuvent être utilisés
  • Supprimer la possibilité de mettre en œuvre une exploitation non individualisée des données de connexion interceptées
  • N'autoriser qu'une collecte ciblée et une exploitation ciblée sur des groupes ou personnes spécifiques à surveiller


Modifications apportées au Sénat :
  • Seul le premier ministre pourra, par une décision motivée, désigner les réseaux de communications électroniques sur lesquels les interceptions seront autorisées. Il ne pourra pas s'agit des personnes désignées par lui. Cependant, cette modification n'apporte pas de garantie supplémentaire.
  • Les autorisations d'exploitation non individualisée des données de connexion devaient désigner dans le texte initial "la ou les finalités poursuivies" et "les types de traitement automatisés pouvant être mis en œuvre". Le Sénat a ajouté "le ou les motifs des mesures" ainsi que "le ou les services (...) en charge de cette exploitation". L'autorisation est toujours donnée pour un an renouvelable. Les modifications permettent d'obliger à plus de précision pour chaque autorisation donnée, mais n'apportent pas d'amélioration majeure.
  • Les mêmes précisions ont été apportées pour l'autorisation de l'exploitation de communications ou de données de connexion.
  • La proposition comportait la possibilité d'exclure certains numéros d'abonnement ou identifiants techniques de toute surveillance ou des conditions particulières d'accès aux communications. Cette disposition a été supprimée par le Sénat. Elle visait à traiter différemment certaines personnes identifiées (personnes politiques par exemple).

Une protection insuffisante des communications rattachables au territoire national

La proposition de loi prévoit une collecte de masse de toute les communications internationales, y compris celles émises ou reçues à l'étranger. Cela implique une collecte par défaut des communications entre personnes dont les identifiants sont rattachables au territoire national (numéro de téléphone français ou adresse IP française) mais dont les communications passeraient par l'étranger (utilisation de services dont les serveurs sont situés à l'étranger comme Google, hotmail, Skype, par exemple. Pour plus de détails, voir notamment le §9.1 de l'amicus curiae).

Il est précisé que la surveillance individuelle des communications de personnes utilisant des numéros d'abonnement ou des identifiants techniques rattachables au territoires national ne sont pas soumises à ce régime (numéro de téléphone français, adresse IP française). La collecte des communications de ces personnes serait donc possible, mais elles seraient « instantanément détruites ». Cela implique une intervention spécifique pour détruire les communications rattachables à la France, automatique ou manuelle, sans que le texte ne précise rien.

D'autre part, les citoyens français dont les communications ne sont pas rattachables au territoire national ne bénéficieront pas de la protection réservée aux personnes dont les communications seront rattachables au territoire national. Ce texte introduit une rupture dans l'universalité des droits entre citoyens français rattachables au territoire national et citoyens français non rattachables au territoire national, mais aussi avec les citoyens européens qui ne sont pas protégés par le texte. La destruction instantanée de ces communications (dès lors qu'on s'aperçoit qu'elles sont rattachées au territoire national, c'est à dire après collecte et stockage) ne constitue pas une assurance du respect du droit à la vie privée, et des libertés de communication et d'information.

Les communications électroniques entre une personne ou un équipement rattachable au territoire nationale et une autre personne non rattachable au territoire national sont soumises au droit commun, mais avec un allongement de la durée de conservation des communications, allongement qui n'est en aucun cas justifié.

Deux exceptions sont prévues par la loi et permettent aux services de renseignement de mettre en place leurs techniques de surveillance internationale pour des communications rattachables au territoire français. Les personnes qui communiquent depuis l'étranger et qui :

  • soit faisaient l’objet d’une autorisation d’interception de sécurité en application de l’article L. 852-1 à la date à laquelle elles ont quitté le territoire national,
  • soit sont identifiées comme présentant une menace au regard des intérêts fondamentaux de la Nation mentionnés à l’article L. 811-3.

D'une part, cela donne aux différents services de renseignement un droit de communication, voire la possibilité pour la DGSI d'utiliser les techniques de la DGSE, sans même un avis préalable de la CNCTR. D'autre part, le Premier ministre peut décider seul et sans aucun contrôle qu'une personne présente une menace au regard des intérêts fondamentaux de la nation (notion qui apparaît dans l'art. 851-2 de la loi sur le renseignement).

Amendements nécessaires :

  • Supprimer la seconde exception pour les personnes identifiées comme présentant une menace, en l'absence de définition précise de cette notion
  • Interdire la collecte de masse des communications
  • Au cas où l'amendement précédent ne serait pas adopté, prévoir a minima de ramener la durée de conservation des communications dont au moins l'une des personnes est rattachable au territoire national au même niveau que celles prévues dans le droit commun

Insuffisance des garanties apportées au professions dont le secret est protégé

Pour respecter la jurisprudence Digital Rights de la CJUE, le droit français doit prévoir des protections spéciales pour les communications des personnes soumises au secret professionnel, à l'image des journalistes (dont la confidentialité des sources est protégée) ou des avocats. La loi sur le renseignement apporte une protection lacunaire des avocats, journalistes, parlementaires et magistrats, uniquement dans le cadre de leurs correspondances professionnelles. Or il est impossible de faire a priori le tri entre les communications qui relèvent de la sphère privée d'une part et celles qui relèvent de la sphère professionnelle d'autre part. Cela implique une collecte des données, un traitement des renseignements collectés et un « oubli » de la part des services de renseignement si les communications sont privées.

La proposition de loi sur la surveillance internationale prévoit que seules les personnes qui exercent en France un mandat ou profession mentionné à l'article L. 821-7 (avocat, journaliste, parlementaire, magistrat) ne peuvent faire l'objet d'une surveillance individuelle de leurs communications à raison de l'exercice du mandat ou de la profession concernée.

Ainsi :

  • d'une part, il faut que les personnes exercent en France. Ainsi, les parlementaires, journalistes ou avocats européens (et a fortiori ceux qui exercent en dehors de l'Union européenne) peuvent faire l'objet d'une surveillance individualisée, dans le cadre de cette loi. La protection des sources des journalistes est totalement bafouée par cette disposition. En outre, cet article introduit une rupture d'égalité pour les avocats qui exercent en Europe ou ailleurs puisqu'ils ne peuvent plus assurer le secret professionnel.
  • d'autre part, les personnes exerçant en France ne sont toujours protégées que dans le cadre de l'exercice du mandat ou de la profession. Or il est impossible de définir à l'avance les communications qui relèvent du mandat ou de la profession et une telle disposition, déjà critiquée dans la loi sur le renseignement, implique l'écoute des communications pour permettre une distinction entre celles qui relèvent de la sphère privée et celles qui relèvent de la sphère professionnelle.
  • enfin il est bien spécifié que seule la surveillance individuelle est exclue pour les personnes exerçant en France. Ainsi, la collecte de masse des données et communication est possible.

Amendements nécessaires :

  • « Les personnes qui exercent un mandat ou une profession mentionné à l’article L. 821-7 ne peuvent faire l’objet d’une surveillance individuelle de leurs communications. » Cet amendement prévoit la mise en conformité avec le principe d'universalité des droits.
  • Les mots « à raison de l’exercice du mandat ou de la profession concernée » sont supprimés


Modifications apportées au Sénat : Aucune modification apportée au Sénat

Un allongement non justifiable de la durée de conservation des données collectées

Dans leur exposé des motifs, les députés Patricia Adam et Philippe Nauche justifient un allongement de la durée de conservation des renseignements collectés, par rapport au droit commun, par « la différence de situation dans laquelle se trouvent les personnes sous surveillance résidant à l'étranger, sur lesquelles les capacités d'intervention de l'État français sont plus limitées qu'à l'égard des personnes résidant en France. » Cette explication ne saurait justifier un tel allongement du délai de conservation, déjà extrêmement généreux dans le droit commun. Il faudrait ainsi en rester aux délais déjà importants accordés pour les collectes nationales, afin de respecter le principe d'universalité des droits.

Comme pour la loi sur le renseignement, il est laissé à la libre appréciation des services la nécessité de conserver ou non les données collectées, dans la limite des délais susmentionnés. Sans aucun contrôle réel, cette libre appréciation laisse trop de marge de manœuvre aux services au regard des atteintes aux droits et libertés que constituent ces collectes de masse.

Amendements nécessaires :

  • Correspondances : Revenir à 30 jours à compter du recueil (le texte prévoit 1 an à compter de l'exploitation et max 4 ans à compter du recueil)
  • Données de connexion : Revenir à 4 ans à compter du recueil (le texte prévoit 6 ans à compter du recueil)
  • Chiffrement : Revenir à 6 ans à compter du recueil (le texte prévoit 8 ans après le recueil)


Modifications apportées à l'Assemblée nationale : Les renseignements collectés peuvent être conservés au delà des durées mentionnées dans la loi s'ils contiennent des éléments de cyberattaque ou s'ils sont chiffrés, ou si ce sont des renseignements déchiffrés associés aux éléments chiffrés. Aucun délai n'est mentionné. Ces renseignements ne doivent être conservés que pour les besoins de l'analyse technique et notamment le décryptage. Cet ajout reprend la formulation de l'article L.822-2 §I du code de la sécurité intérieure, créé par la loi du 24 juillet 2015 relative au renseignement.

Un contrôle limité et a posteriori

La commission nationale de contrôle des techniques de renseignement (CNCTR) crée par la loi sur le renseignement est l'organe de contrôle des mesures de surveillance internationale. Cependant, si elle a le droit d’être informée de toute les autorisations données, son avis n'est pas nécessaire à la mise en place des techniques de surveillance internationale. Il n'y a donc aucun contrôle a priori. La CNCTR a accès aux dispositifs de traçabilité et aux renseignements collectés. Elle peut contrôler a posteriori et faire part au premier ministre des manquements. En cas d'abus, elle pourra saisir le Conseil d'État.

Il a été révélé à plusieurs reprises la conclusion d'accords entre différents services de renseignement portant par exemple sur l'échange de données de leurs citoyens respectifs. La possibilité pour les services français de signer de tels accords n'est même pas mentionnée dans le texte. Il est absolument nécessaire de prévoir un contrôle a priori de tels accords, ainsi que dans leur mise en œuvre par la CNCTR.

Cette proposition de loi semble très clairement avoir pour objectif de légaliser les pratiques existantes révélées par L'Obs. Le vocabulaire est intéressant car on ne parle plus d'une loi sur le renseignement, mais sur la surveillance internationale. Il s'agit bien d'une surveillance massive des communications internationales, indépendamment des menaces possibles. Et le contrôle de la CNCTR, trop faible dans le cadre du renseignement national, est quasi inexistant dans cette nouvelle proposition. Le texte omet même de mentionner la conclusion d'accords entre les différents services de renseignement de différents pays (portant sur par exemple), laissant un vide juridique béant sur des accords pouvant être extrêmement attentatoires au droits fondamentaux et aux libertés.

Amendements nécessaires ː

  • « La Commission nationale de contrôle des techniques de renseignement reçoit <insert>immédiatement</insert> communication de toutes les autorisations mentionnées au II ». Cet amendement a pour objectif de permettre une réaction immédiate de la CNCTR, à défaut d'être consultée dans le cadre de l'autorisation. Elle pourrait ainsi au moins s'opposer rapidement à la mise en œuvre d'autorisations.
  • Lors de la conclusion d'accords de coopération entre les services de renseignement français et ceux d'autres pays, la proposition est soumise à la CNCTR qui doit rendre son avis dans un délai maximal de deux semaines. Si malgré un avis négatif de la CNCTR l'accord est conclu, la CNCTR peut saisir le Conseil d'État. La CNCTR a un accès direct et permanent aux informations et aux échanges opérés dans le cadre de ces accords.
  • Prévoir des moyens humains et financiers suffisants pour la CNCTR pour un contrôle effectif.