PJL relatif au renseignement/Analyse du PJL Renseignement

De La Quadrature du Net
< PJL relatif au renseignement
Révision datée du 27 mars 2015 à 18:16 par Neurone730 (discussion | contributions) (Abroger ou encadrer la procédure « d'urgence absolue » permettant de se passer d'autorisation préalable)
Aller à la navigationAller à la recherche
Cette page présente des pistes d'amendement au projet de loi relatif au renseignement. Elle est encore en construction et son contenu pourrait être profondément modifié au cours des prochains jours.

Sommaire

INTRODUCTION

Le projet de loi sur le renseignement présenté en Conseil des ministres le 19 mars dernier est défendu par ses promoteurs comme un texte protecteur des droits fondamentaux. Il s'agirait au travers de ce texte technique de légaliser des pratiques qui étaient jusqu'ici courantes mais non encadrées, et donc de renforcer les garde-fous. Circulez, il n'y a rien à voir !

L'argument peut d'autant mieux servir de stratégie de communication que, depuis le début des révélations d'Edward Snowden sur les pratiques de la NSA et du GCHQ, le gouvernement français a choisi la stratégie de l'autruche. Depuis près de deux ans, il est ainsi parvenu à éviter tout débat sur les pratiques des services français, et ce malgré les révélations relatives à la DGSE et les échanges de données pratiqués avec la NSA. Au lieu d'un débat démocratique transparent, les officiels français ont pour l'essentiel fait le gros dos, opposant des démentis à ces informations sans jamais rien dire du dispositif français en la matière.

Le projet de loi viendrait donc laver plus blanc que blanc. Pour Manuel Valls, le texte « interdirait » même la surveillance de masse ! En creux, on essaie de faire passer l'idée que le système français se définirait par opposition au modèle américain et britannique en matière de surveillance.

Sauf que l'argument ne tient pas lorsque l'on rentre dans le détail du texte. Plusieurs dispositions sont ainsi directement inspirées du droit et des pratiques de la NSA et du GCHQ, et installent bel et bien des mécanismes de surveillance de masse (notamment avec les dispositifs techniques d'analyse automatique du trafic Internet en vue de détecter des « comportements suspects » (art. L. 851-4) ou le régime de surveillance dite « internationale » (art. L. 854-1) qui permet la collecte en vrac des données et des correspondances). La volonté de systématiser le piratage informatique hors des frontières fait également écho aux révélations récentes sur les pratiques des agences anglo-saxonnes. Enfin, en dépit des dires de ses promoteurs, le texte est à plusieurs égards en recul par rapport au droit et aux pratiques existants, dans la mesure notamment où certaines modalités fondamentales du contrôle actuellement exercé par la CNCIS sont démantelées, tandis que le champ d'intervention des services est largement étendu.

Seule la mobilisation des citoyens peut changer les choses, alors que le gouvernement entend passer en force. En effet, le tandem Valls-Urvoas dans l'hémicycle de l'Assemblée nationale va permettre au gouvernement et à sa majorité de faire bloc au cours d'une procédure législative accélérée, tandis que l'émotion populaire « post-Charlie » et la fuite en avant sécuritaire à laquelle se livre l'UMP sont censées contribuer à l'étouffement du débat parlementaire et démocratique.

Les différents points soulevés ci-dessous mettent en exergue les dangers du projet de loi en pointant des pistes possible d'amendement. Pour être acceptable et permettre aux services de renseignement de faire leur travail dans le respect de l'État de droit, le texte doit en effet être profondément revu.

RESTRICTION DU PÉRIMÈTRE

Renoncer aux dispositifs de surveillance massive et prédictive

L'article L. 851-4 prévoit que le Premier ministre peut ordonner aux opérateurs de communications électroniques et aux fournisseurs de services de détecter, par un traitement automatique, une succession suspecte de données de connexion, dont l’anonymat ne sera levé qu’en cas de révélation d’une menace terroriste. Cette disposition semble inspirée du modèle britannique, un mécanisme similaire ayant été débattu dès 2000 lors de l'adoption du RIP Act et finalement inclus dans la section 12 de cette loi (le sujet refera surface outre-Manche en 2008, à l'occasion d'un plan de modernisation critiqué pour la gabegie de moyens à laquelle il donnait lieu).

De tels dispositifs scannant l'ensemble des communications électroniques au niveau d'un réseau ou d'un serveur s'apparentent à un traitement massif de données personnelles. En ce sens, ils semblent contraires à la jurisprudence tant de la CEDH que de la CJUE. L'argument du gouvernement consistant à dire qu'il s'agit de données brutes et anonymes est en décalage avec les réalités techniques. Cette disposition instaure une surveillance de masse, à l'aide de dispositifs techniques et d'algorithmes sur lesquels aucune transparence n'est possible. Elle est en outre contraire à la loi informatique et libertés, qui prévoit que « aucune autre décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données ». Elle doit dès lors être abrogée.

Restreindre la portée du motif « engagement internationaux »

Le gouvernement avance que la référence à l’exécution des engagements internationaux de la France a pour but d'utiliser les techniques de renseignement afin de prévenir la prolifération des armes de destruction massive. Si cet objectif est louable, les engagements internationaux de la France sont une catégorie juridique trop large et mal définie qui par le truchement des « engagements internationaux » permettrait l'extension presque indéfinie des motifs justifiant le recours aux techniques de renseignement. Pour respecter le droit international, la loi doit être amendée pour assurer que le droit français mentionne expressément les engagements internationaux spécifiques (traités, accords, conventions) pouvant justifier le recours aux techniques de collecte de renseignement.

Renoncer au motif « violence collective » dans la liste des « intérêts publics »

L'article L. 811-3. prévoit d'étendre les compétences des services de renseignement à la « prévention des violences collectives de nature à porter gravement atteinte à la paix publique ». La formulation extrêmement large de cet intérêt public autorisant des techniques exceptionnelles de surveillance fait peser de graves risques d'arbitraire, notamment en matière de surveillance des mouvements sociaux. Compte tenu des graves risques qu'il fait courir sur les droits politiques les plus élémentaires, ce motif doit être supprimer de l'article.

Abroger le motif « intérêts économiques et scientifiques essentiels »

Légaliser l’espionnage économique et scientifique sur le territoire national dans un cadre extrajudiciaire revient à porter une atteinte disproportionnée au droit à la vie privée et à la liberté d'entreprendre. Il ne saurait justifier le recours à des techniques de surveillance d'exception lorsque les renseignements recherchés n'ont pas de lien direct avec la lutte contre l'espionnage industriel, auquel cas la surveillance peut intervenir dans le cadre d'une enquête pénale.

Limiter dans la loi le nombre de services de renseignement

L'article L. 811-4 du projet de loi donne compétence au gouvernement pour élargir à l'avenir le nombre de services relevant des ministres de la défense et de l’intérieur ainsi que des ministres chargés de l’économie, du budget ou des douanes qui peuvent recourir aux techniques de renseignement. Dans l'étude d'impact, le gouvernement envisage ainsi ouvertement de conférer à « certains services de police » des moyens en la matière. Or, le périmètre des administrations compétentes pour la surveillance préventive et extra-judiciaire doit rester limité au strict nécessaire, et le gouvernement ne justifie d'aucun besoin quant à l'élargissement du nombre de services bénéficiaires déjà important (DGSE, DSPD et DRM, DGSI, Tracfin et DNRED). Ainsi, compte tenu du fait que la multiplication du nombre de services compétents en matière de renseignement entraîne des risques plus importants pour les libertés publiques, mais aussi dans le but d'assurer la prévisibilité de la loi, le nombre et la nature des services bénéficiaires doit rester limité et ne relever que de la loi. Cette disposition doit donc être abrogée.

Limiter la surveillance de l'entourage des personnes visées

L'article L 852-1 prévoit d’étendre les interceptions de communication aux « personnes appartenant à l’entourage de la personne visée par l’autorisation » lorsque celles-ci « sont susceptibles de jouer un rôle d’intermédiaire, volontaire ou non, pour le compte de celle-ci ou de fournir des informations au titre de la finalité faisant l’objet de l’autorisation ». Cette disposition risque d'élargir considérablement le nombre de personnes susceptibles d'être surveillées dans un cadre préventif et extra-judiciaire. Elle doit être précisée pour faire en sorte que seules les personnes dont on sait qu'elles jouent effectivement un rôle d’intermédiaire puissent être concernées par cette disposition.

Renoncer à l'extension de la durée d'exploitation des données de connexion

Le projet de loi étend de trois à cinq ans la durée de conservation des données de connexion détenues par les services. Cette durée exceptionnelle n'est pas nécessaire, le gouvernement n'apportant aucun élément justifiant l'allongement de cette durée, alors que la période de trois ans constitue déjà une dérogation par rapport aux autres données recueillies, qui sont détruites après une durée de 1 à 12 mois.

Limiter la durée de conservation pour les données et correspondances chiffrées

L'article L. 822-2 prévoit que le délai limitant la période de conservation des renseignements collectés (un à douze mois selon les cas) court à compter de leur déchiffrement. Cette disposition permettrait aux services de conserver des données ou des correspondances (par exemple des courriers électroniques) pendant des années avant de s'atteler à leur exploitation en les déchiffrant. Pour cette raison, il est nécessaire de limiter ce délai à une période 30 jours pendant laquelle les données pourront être conservées à l'état chiffré, le temps que les services procèdent à leur analyse technique. De plus, l'article prévoit que les métadonnées attachées aux contenus chiffrés sont soumises aux mêmes durées de conservation. Ces métadonnées étant « en clair » (lisibles par tout le monde), restreignant le droit à la vie privée sans même que les contenus chiffrés soient déchiffrés. Le délai de conservation prévu pour les métadonnées (3 ans) doit s'appliquer.

SURVEILLANCE « INTERNATIONALE » ET UNIVERSALITÉ DES DROITS

Limiter le régime associé à la « surveillance internationale » aux communications émises et reçues à l'étranger

Le projet de loi qualifie à l'article 854-1 de « mesures de surveillance internationale » les communications « émises ou reçues à l’étranger ». Or, s'agissant d'Internet, l'essentiel des communications des citoyens français est évidemment « émis ou reçu à l'étranger », notamment aux États-Unis où sont domiciliés les serveurs des plus gros fournisseurs de service. Il ne s'agit donc nullement d'une surveillance internationale, dans la mesure où ces dispositions impacteront directement et massivement les citoyens et résidents français.

L'ensemble de ces dispositions doit donc s'interpréter comme une tentative grossière de contourner les maigres protections prévues par le projet de loi. Ce dernier organise en effet le secret autour des « modalités de mise en œuvre de la surveillance », en prévoyant qu'elles seront précisées dans décret « non publié ». En outre, le texte n'apporte aucune protection s'agissant des procédures d'autorisation, de collecte, de conservation, de destruction ou encore de contrôle liés à ces opérations, se bornant là encore à renvoyer à un décret ultérieur. Enfin, des règles dérogatoires seront applicables aux données ainsi collectées : à rebours d'une protection universelle des droits, le texte prévoit des garanties spéciales lorsque les données sont « rattachables » au territoire national, et donc à des citoyens français (à l'image de la loi britannique RIP Act de 2000). Ces garanties sont toutefois largement en deçà de celles prévues pour la surveillance « nationale », puisque la durée de conservation des correspondances interceptées court « à compter de la date de leur première exploitation », et non de la date de leur collecte.

Le dispositif ainsi créé permettra l'aspiration massive de communications en provenance ou à destination de l'étranger, qui pourront être conservées indéfiniment jusqu'à ce qu'elles soient traitées et analysées puis finalement exploitées par les services. De fait, la disposition semble calquée sur la section 702 de la loi américaine FISA, qui est au cœur des controverses autour des révélations Snowden. Le champ de cette disposition doit donc impérativement être restreint, en précisant que la surveillance internationale ne concerne que les communications « émises et reçues » à l'étranger.

Affirmer l'universalité des droits

Les révélations Snowden ont montré les pratiques scandaleuses de la NSA ou du GCHQ, qui ont invoqué l'extranéité de la collecte des données pour violer les lois nationales (notamment au travers des mécanismes de coopération et les accords d'échange de données) et attenter massivement au droit à la vie privée de ressortissants étrangers. À rebours de ces tendances, la France doit marquer son attachement à l'universalité des droits, conformément à l'article 1 de la Déclaration universelle des droits de l'Homme, notamment s'agissant du droit à la vie privée et à la confidentialité des communications. Pour ce faire, le texte de loi doit soumettre toute mesure de surveillance, même lorsque les communications sont émises et reçues à l'étranger, au contrôle d'une autorité indépendante. Cette position juridique et éthique est renforcée par certaines considérations techniques : dans son avis (pdf) sur le projet de loi, l'Arcep note par exemple que, « au regard de la rédaction du projet de loi, il pourrait être délicat pour les opérateurs de déterminer de manière suffisamment certaine le régime dont relèvent les communications internationales émises ou reçues sur le territoire national ».

Abroger l'immunité pour le piratage informatique hors des frontières

La France doit rejeter la course effrénée en matière de piratage informatique d'État. Or, l'article 10 modifie le code pénal pour immuniser les agents des services de renseignement de toutes poursuites pénales en lien avec la criminalité informatique dès lors qu'il s'agit d'assurer leurs missions « hors du territoire national » (intrusion, captation, destruction de systèmes informatiques, notamment). À l'heure d'Internet et de la transnationalisation des communications, la notion de « territoire national » est bien trop restrictive pour assurer une protection efficace des droits. En effet, de nombreux résidents français utilisent des systèmes informatiques localisés hors des frontières pour communiquer sur Internet et stocker leurs données. Le piratage informatique, même lorsqu'il est conduit hors des frontières, ne doit donner lieu à aucune immunité pénale et faire lui aussi l'objet d'un véritable contrôle de la CNCTR.

CONTRÔLE & TRANSPARENCE

Doter la CNCTR de moyens suffisants

La CNCTR doit pourvoir mener ses missions de contrôle en s'appuyant sur des ressources humaines, matérielles et techniques suffisantes. En ne prévoyant qu'un accès aux registres tenus par les services ainsi que la faculté pour le Premier ministre de transmettre tout ou partie de rapports issus de l'inspection des services de renseignement, le projet de loi marque un véritable recul par rapport aux modalités de contrôle a posteriori actuellement en vigueur. Doivent ainsi prévues dans loi la faculté pour la CNCTR d'auditionner des directeurs ou responsables techniques des services, l'accès direct au données collectées, la possibilité d'effectuer des vérifications dans les différents locaux des services (visites inopinées ou programmées). Par ailleurs, la CNCTR doit être dotée de suffisamment de ressources humaines pour conduire ses missions de contrôle a posteriori, par exemple en prévoyant que la commission soit appuyée d'une équipe de chargés de mission disposant des compétences techniques et juridiques adaptées. Outre la collégialité, pour assurer a minima le principe contradictoire, la fonction d'avocat en charge de la défense du droit à la vie privée des personnes surveillée devrait être créé, sur le modèle des propositions de réforme de la loi FISA actuellement discutées par le Congrès américain. Enfin, la CNCTR doit avoir la possibilité de saisir directement l'inspection des services de renseignement créée en 2014, afin qu'elle lui porte porte assistance dans la conduite des ses missions.

Assurer la collégialité de la CNCTR

Dans le projet de loi tel que présenté, l'article L. 821-3 donne au président de la CNCTR la capacité de donner seul un avis favorable à une demande du premier ministre. S'il a un doute, il peut décider de réunir la Commission. En revanche il faut la majorité simple des membres de la Commission pour demander la fin d'une autorisation. Au sein de la CNCTR, l'ensemble des membres de la commission doit être destinataire des demandes d'autorisation, et l'avis de la commission doit relever d'un vote à la majorité simple des suffrages exprimés, en respectant les délais prévus dans le projet de loi. L'adoption d'une recommandation tendant à mettre fin à la mise en œuvre d'une technique de renseignement doit se faire selon les mêmes modalités. Pour saisir le Conseil d'État lorsqu'une telle recommandation n'est pas suivie d'effet (article L. 821-6), une majorité qualifiée d'un tiers de ses membres doit suffire. Dans le rapport annuel de la Commission, l'ensemble des commissaires doit être en mesure de publier un avis personnel sur les activités de la commission, dans le respect du secret lié à la protection des intérêts fondamentaux de la Nation.

Abroger ou encadrer la procédure « d'urgence absolue » permettant de se passer d'avis préalable

Cette procédure d'urgence absolue fait peser un grave risque de contournement du contrôle préalable effectué par la CNCTR, d'autant que les services auront tous les moyens d'organiser cette « urgence absolue ». Cette disposition doit être abrogée ou à tout le moins considérablement encadrée, par exemple en limitant la possibilité de recourir à cette procédure à un nombre de, par exemple, cinq par an.

Renoncer à la captation en temps réel des métadonnées sans contrôle préalable et sans limite de temps

L’article L. 851-3 autorise dans le cadre de la prévention du terrorisme le recueil en temps réel et directement sur les réseaux des opérateurs des données de connexion de personnes « préalablement identifiées comme présentant une menace », et ce sans limite de temps. Cette disposition organise donc la captation en temps réel des métadonnées sans aucun contrôle préalable de la CNCTR. Ce dernier doit être rétabli, le cas échéant en prévoyant une dérogation à la durée de trente jours prévue normalement pour les autorisations de recueil d'informations ou documents. Par ailleurs, la disposition doit préciser que les agents ne peuvent accéder directement aux réseaux des opérateurs mais que ces données leurs sont transmises, le cas échéant en temps réel, par les opérateurs (comme cela est actuellement prévu par le Code de la sécurité intérieur, modifié par la loi de programmation militaire : l'article R. 246-7 précise ainsi que « la sollicitation du réseau prévue à l'article L. 246-3 est effectuée par l'opérateur qui exploite le réseau »).

Organiser la transmission des dossiers au juge judiciaire

Dans le projet de loi, aucune limite n’est fixée pour déterminer à quel moment et selon quels critères le régime du renseignement relevant d’une logique préventive d’exception doit laisser place à une enquête judiciaire de droit commun, avec les garanties qu’elle comporte pour ceux qui en font l’objet. Le juge judiciaire risque donc de rester à l’écart d’investigations portant sur des infractions révélées par les renseignements collectés, et dont l’élucidation relève normalement de sa mission. La loi doit donc prévoir que dès que des éléments constitutifs d'une infraction sont relevés dans le cadre de la collecte de renseignement, la justice doit être saisie. La CNCTR devra également exercer un contrôle pour s'assurer que les services transmettent aussitôt que possible à l'autorité judiciaire les dossiers justifiant l'ouverture d'une instruction.

Élargir la possibilité de recours aux associations de défense des droits

Dans l'article L. 841-1 prévu par le projet de loi, sont en capacité de saisir le Conseil d'État aux fins d'un recours uniquement la CNCTR, les autorités judiciaires ou « toute personne ayant un intérêt direct et personnel » à agir. Ceci exclut notamment les associations de défense des droits, souvent les plus à même de défendre devant l'État les libertés publiques, notamment en matière de surveillance illégale. Il convient donc d'élargir les capacités de recours.

Assurer la transparence sur les situations d'illégalité

En cas de constatation d'illégalité par le Conseil d'État dans la mise en œuvre de recueil de renseignement, ce dernier peut se contenter de faire stopper le recueil et éventuellement condamner l'État à indemniser le requérant pour le préjudice, sans que celui-ci ne puisse avoir connaissance de la nature des illégalités. De même, s'il y a eu infraction, la levée du secret de la défense nationale est soumise à la Commission consultative du secret de la défense nationale. La loi doit assurer la transparence sur les situations d'illégalités constatées, selon des modalités adaptées.

Renoncer à la criminalisation des révélations sur les programmes de surveillance

L’article 7 aménage les dispositions qui répriment notamment le fait de révéler qu’une technique de renseignement est mise en œuvre. Cette criminalisation empêche toute divulgation d'intérêt public en la matière, notamment par le biais d'investigations journalistiques. Ces dispositions doivent être abrogées.

Protéger les lanceurs d'alerte au sein des services

Une procédure doit être créée pour permettre aux lanceurs d'alerte de porter à la connaissance de la CNCTR ou de la section spéciale du Conseil d'État toutes pratiques manifestement contraires au cadre légal (rejoint l'une des propositions du Conseil d'État dans son rapport 2014). La constations d'une illégalité ou d'une infraction doit conduire à mettre fin à cette dernière, à en rendre compte publiquement selon des modalités adaptées aux activités des services de renseignement.

Protéger les personnes soumises au secret professionnel

Pour respecter la jurisprudence Digital Rights de la CJUE, le droit français doit prévoir des protections spéciales pour les communications des personnes soumises au secret professionnel, à l'image des journalistes (dont la confidentialité des sources est protégée) ou des avocats. Le projet de loi doit donc être amendé en ce sens.

Assurer la transparence sur les moyens d'analyse et de traitement du renseignement

Pour assurer la prévisibilité des dispositions légales en matière de surveillance administrative, l'État doit divulguer certains aspects du fonctionnement des dispositifs techniques employés (cf. § 68 arrêt CEDH, Liberty v. Royaume-Uni, 1er juillet 2000). Cette exigence est d'autant plus nécessaire que les pratiques et les outils en la matière ont eu cours dans la plus totale illégalité, et ce depuis des années. En respectant des modalités adaptées aux missions des services de renseignement, la CNCTR doit pouvoir porter à la connaissance du public des informations générales sur les équipements informatiques, les types d'algorithmes et autres outils d'analyse technique des données traitées et collectées par les services.

Assurer un contrôle des fichiers des services de renseignement par la CNIL

La CNIL s'est vue opposer une fin de non recevoir lorsqu'elle a demandé au gouvernement d'abroger les dispositions législatives existantes qui excluent le contrôle de leur régularité du point de vue de la loi « Informatique et Libertés ». La CNIL estime dans son avis sur le projet de loi qu'un tel contrôle « constitue une exigence fondamentale afin d'asseoir la légitimité de ces fichiers dans le respect des droits et libertés des citoyens ». Le projet de loi doit être amendé pour permettre à la CNIL d'exercer un tel contrôle, selon des modalités adaptées aux activités des services de renseignement, et en coopération avec la CNCTR.