dimanche 19 janvier 2014

Surveillance d'Internet:

démontons cinq arguments en faveur de l'ex-article 13
Le texte (devenu article 20) issu de la loi de programmation militaire, est dangereux, quoi qu'en disent ses défenseurs.


Après le vote de la loi de programmation militaire par l'Assemblée nationale et le Sénat, et en espérant que l'opposition se réveille et soumette, comme le demande Xavier Bertrand, son article 13 (devenu entretemps article 20) au Conseil constitutionnel, voici les cinq arguments les plus utilisés par la majorité pour défendre son texte, et pourquoi ils sont tous plus fallacieux les uns que les autres.

1. Il s'agit d'une loi purement technique; le remue-ménage n'est dû qu'à l'inculture juridique des internautes
S'il se décèle aisément dans le ton très pédagogue et un peu agacé de chaque intervention d'un des défenseurs du texte, c'est à Jean-Jacques Urvoas que l'on doit la formulation la plus claire, sur son blog, du premier argument pro-article 13:

«La confusion provient sans doute de ce que les utilisateurs du web sont peu coutumiers des délices de la légistique tandis que d'autres préfèrent volontairement nourrir des ambiguïtés inexistantes.»

En désignant en 2013 «les utilisateurs du web», le député traite environ 80% de ses compatriotes d'illettrés. Il a doublement tort, d'abord parce que le législateur ne saurait se prévaloir de l'obscurité de sa propre rédaction, surtout en matière de libertés fondamentales; ensuite et surtout parce que c'est faux: des «utilisateurs du web» les plus chevronnés aux députés rompus aux «délices de la légistique» comme les UMP Lionel Tardy ou Laure de La Raudière, chacun souligne le caractère vague des notions utilisées et le champ exceptionnellement large des interceptions autorisées par la loi nouvelle.

Et au fait, est-ce le Wall Street Journal que Jean-Jacques Urvoas accuse de «volontairement nourrir des ambiguïtés inexistantes»?

2. Ce ne sont pas les données personnelles elles-mêmes qui sont visées, mais simplement les «contenants»
N'ayez crainte, vous rassure le président de la Commission des lois du Sénat, Jean-Pierre Sueur:

«La loi ne concerne que les contenants, c'est-à-dire les données techniques. Par exemple, qui a téléphoné à qui à quelle heure.»

C'est faux, sans même entrer dans le débat sur le caractère personnel de ces méta-données: le texte voté vise non seulement ces dernières, «données techniques» et données de connexion en tout genre et de toute espèce, mais également sur les «informations ou documents traités ou conserves» par les opérateurs et hébergeurs de services en ligne (nouvel article L. 246-1 du Code de la sécurité intérieure), qui pourront même être «recueillis sur sollicitation du réseau et transmis en temps réel par les opérateurs» (nouvel article L. 246-3).

Soit Jean-Pierre Sueur est, comme dirait Jean-Jacques Urvoas, «peu coutumier des délices de la légistique», soit il vous prend pour un fromage.

3. Il ne s'agit pas de surveiller les Français mais de lutter contre le terrorisme
C'est le Monsieur sécurité du gouvernement, Manuel Valls, qui s'est chargé d'administrer l'argument-massue au micro de Jean-Pierre Elkabbach:

«Nous avons parlé de terrorisme, de trafic de drogue: nous avons besoin de moyens pour lutter contre ces phénomènes. Sur le fond, la loi de programmation militaire ne fait que reprendre un dispositif validé en 2006 par le Conseil Constitutionnel pour la lutte antiterroriste.»

Faux et archi-faux. La prévention du terrorisme ne constitue que l'un des cas listés à l'article L. 241-2 du Code de la sécurité intérieure. En l'état, les interceptions autorisées par le texte voté pourront être réalisées pour les besoins suivants:

«La sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous.»

Même en acceptant l'argument selon lequel l'Etat ne peut lutter contre le terrorisme ou le trafic de drogue sans s'affranchir du contrôle de l'autorité judiciaire, que vient faire le potentiel scientifique et économique du pays là-dedans? Et surtout, en quoi la collecte de données personnelles par l'Etat peut-elle aider à sauvegarder ce potentiel, si ce n'est en autorisant l'administration fiscale à fouiller dans les ordinateurs des contribuables?

4. Le texte voté n'instaure pas mais offre au contraire des garanties contre la surveillance généralisée
Cela ne surprendra personne, l'argument le plus tordu est à attribuer à la logique toute personnelle d'Arnaud Montebourg. Invité le 12 décembre dernier à la conférence Le Web '13, le Ministre du redressement productif a en effet déclaré:

«Le juge n'est pas compétent lorsqu'aucune infraction n'a été commise. (…) En 2006 a été créée une autorité baptisée Commission nationale de contrôle des interceptions de sécurité, chargée de vérifier a posteriori la légalité des autorisations d'écoutes téléphoniques. Son rôle va désormais être étendu à ce qui se passe sur Internet. Il y avait un vide juridique, qui est comblé, on peut considérer que c'est un progrès.»

Attention, argument à double-détente: non seulement le ministre admet que les services de l'Etat n'ont pas attendu la loi pour surveiller le Net en dehors de tout cadre juridique, mais en plus il fait mine de déplorer qu'il soit impossible de confier le contrôle des interceptions à un juge, alors que c'est précisément le choix du législateur que de préférer confier ce contrôle à une commission!

A moins d'être coutumier des délices de la sophistique, il n'est pas impossible que vous deviez relire ce paragraphe pour saisir la beauté du tour de passe-passe. On touche au sublime.

5. Le Conseil constitutionnel a déjà tranché en 2006: le mécanisme est conforme à la Constitution
Ce dernier argument a été employé tour à tour par tous les défenseurs du texte. La jurisprudence de 2006 s'applique, nous assurent-ils, et il n'est nul besoin de poser deux fois la même question au Conseil constitutionnel. (On a d'ailleurs envie de leur demander, si leur loi ressemble tellement à celle de 2006, pourquoi ils se sont décarcassés à en faire voter une nouvelle.)

Mais ce que le Conseil constitutionnel a autorisé dans sa décision du 19 janvier 2006, c'est uniquement le contrôle par une simple autorité administrative plutôt qu'un juge, «afin de prévenir les actes de terrorisme», de la «réquisition administrative de données techniques de connexion».

Pas le recueil d'informations et de documents, et en aucun cas pour simplifier la tâche de Tracfin de ou de l'administration fiscale. Rien, en somme, de ce qui fait de cet article 13 devenu article 20 une abomination démocratique...







La loi de programmation militaire a été adoptée en seconde lecture ce mardi 10 décembre par le Sénat. Et avec elle, son article 13, qui n'a eu de cesse, ces derniers jours, de provoquer les inquiétudes de l'ensemble du secteur du numérique. La disposition est accusée d'étendre considérablement la surveillance du Net en France. Est jugée susceptible d'instaurer, pêle-mêle, «un Grand Frère à rendre jaloux Big Brother», «une dictature numérique» où «l'Etat pourra bientôt tout espionner».

Ces critiques proviennent de tout bord touchant de près ou de loin à Internet. Rarement on avait vu attelage aussi fleuri. Côté business: l'Asic (Association des services Internet communautaires, qui compte dans ses rangs Facebook, Google ou Dailymotion), le Syntec («syndicat patronal» du numérique), la FFT (Fédération française des télécoms) et même le Medef, qui est venu grossir les rangs déjà fournis. Côté société civile: la FIDH (fédération internationale des droits de l'homme), la Quadrature du Net (en pointe sur les questions relatives aux libertés numériques) se sont aussi élévés contre le sujet. Côté institutionnel, la Cnil et le CNNum (Conseil national du numérique, chargé d'orienter le gouvernement sur ces sujets) ont également réagi.

Face à cette unanimité, certains émettent pourtant des réserves. Le Canard Enchaîné, dans son édition du 4 décembre, écrivait que «ministres, juges et médias perdent le nord» sur le sujet. «En lisant l'article, je ne vois pas trop où est le problème», affirme également un ancien collaborateur de l'Assemblée nationale, rompu aux questions numériques. Jean-Marc Manach, journaliste également spécialisé dans ces questions de surveillance, avoue sur Le Monde que «c'est compliqué».

Compliqué. C'est le moins que l'on puisse dire. Impossible d'y voir clair dans les différents argumentaires. On y cause «interceptions de sécurité», «accès aux données techniques», «Code des postes et des communications éléctroniques». On y cite des articles de loi plein de chiffres et de tirets...

Bref! Le jargon est roi et porte, histoire de s'arracher un peu plus de cheveux, sur un domaine à la fois complexe, méconnu et brûlant: ce que peuvent ou non demander les services de renseignement aux acteurs du Net.

A lire aussi 
» Prism: comment les Français sont écoutés par la NSA, et par des services bien de chez nous

Rajoutez à cet embrouillamini les révélations d'Edward Snowden sur la surveillance opérée par les Etats-Unis sur Internet, qui maintiennent depuis des mois et comme jamais auparavant ces affaires d'espionnage en haut de l'actualité internationale, et vous obtenez le cocktail idéal pour un débat parasité de toute part. Auquel on ne comprend rien, absolument rien.

Afin d'y voir plus clair, nous avons réalisé un tableau, expliquant point par point les paramètres du texte qui vient d'être adopté mais aussi des dispositifs qui ont eu cours jusqu'à présent.

Et vu qu'un tableau ne suffit pas, on vous fournit les outils pour le comprendre. Et vous poser les bonnes questions qui permettront (peut-être) de savoir si oui ou non, il faut avoir peur de cet article 13.

1. Les textes en présence
2. Des interceptions sans juge
3. De quelles données parle-t-on?
4. Quels acteurs du Net sont-ils concernés?
5. Le problème du recueil en «temps réel»
6. Alors, ça change quelque chose?
7. Faut-il s'inquiéter?
1. Au commencement, il y a deux textes
A l'heure actuelle en France, deux textes encadrent ce que peuvent demander les services de renseignement aux acteurs du Net:

La loi de 1991, versée en 2012 au Code de sécurité intérieure (articles L 241 à L 245)

La loi du 23 janvier 2006, dont les dispositifs ont été versés au Code des postes et des communications électroniques (article L 34-1-1 du CPCE)
A cela, s'ajoutent «des dispositions propres à d'autres organismes spécifiques», telle que l'Autorité des marchés financiers (AMF), également susceptibles d'accéder à certaines données recueillies par les acteurs du secteur, précise la Commission nationale de contrôle des interceptions de sécurité (CNCIS). Cette autorité indépendante a précisément en charge l'encadrement des écoutes et autres consultations de données liées aux communications sur Internet par les services de renseignements.

2. Il n'y a jamais eu de juge dans ces questions-là
Précision indispensable: il n'est jamais question du juge judiciaire dans ce genre de procédure. Quel que soit le texte évoqué, lois déjà en cours ou projet adopté mardi par les parlementaires, il s'agit dans tous les cas de procédures administratives, c'est-à-dire sans juge.

3.Quelles données espionnées?
C'est le premier point chaud du débat: quelle est la nature des données que les agents peuvent consulter?

Si les enquêteurs veulent avoir accès, par exemple dans le cas d'un mail, à la date, l'émetteur, le récepteur... mais en aucun cas du contenu même de ce mail, il s'agit de recueillir des données techniques. Pour la CNCIS, cela est déjà prévu par la loi de 2006, mais aussi, en partie, dans celle de 1991.
Si les enquêteurs demandent à ouvrir le mail pour en lire le contenu, on est alors dans un autre régime: celui des interceptions de sécurité. Pour la CNCIS, ce dispositif «beaucoup plus intrusif et attentatoire aux libertés» mérite carrément d'être encore plus étroitement encadré. Ce qui est le cas depuis la loi de 1991.
Que propose le nouveau texte? Sur ce point, les avis divergent. Les pourfendeurs de la loi de programmation militaire estiment que ce texte permet d'étudier à la fois le contenu des communications, ainsi que leurs données périphériques. La faute à une formulation de l'article 13, qui indique que seront visés:

«Des informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques, y compris les données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communications électroniques, au recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée, à la localisation des équipements terminaux utilisés ainsi qu’aux communications d’un abonné portant sur la liste des numéros appelés et appelant, la durée et la date des communications.»

L'accroche évoquant des «informations et documents», jugée large et vague, est particulièrement mise en cause. Face à cela, la CNCIS l'assure avec fermeté:

«L'article 13 [de la loi de programmation militaire] ne porte que sur les données de communication. Sur le contenant, pas le contenu.»

A l'en croire, le nouveau dispositif est «complètement déconnecté» des interceptions de sécurité. Elle précise ainsi qu'en cas d'adoption de la loi, ce régime serait décorrelé de celui encadrant le recueil des données techniques: l'article 6 de la loi de 2006 disparaîtrait au bénéfice du nouveau texte, tandis que les dispositions encadrant la consultation des contenus seraient maintenues en l'état.

4. Quels acteurs du Net concernés?
C'est le second point chaud du débat: à la porte de quels acteurs du Net les services de renseignement ont-ils le droit de frapper?

Là encore, le débat fait rage. «A priori, les hébergeurs, comme Dailymotion, ne sont actuellement pas concernés par les interceptions», nous confie-t-on chez l'Asic. En clair: on ne leur demande pas de fournir le contenu des communications, juste les données périphériques (nom, heure, durée et lieu de connexion). A les en croire, seuls les fournisseurs d'accès à Internet, comme Free et Orange, sont visés par cette procédure. La nouvelle loi les obligerait à s'y soumettre et fournir les contenus.

Ils le font déjà, rétorque de son côté la CNCIS qui estime qu'il s'agit là d'une «interprétation des hébergeurs, qui n'est pas celle de la Commission et de la justice.» Et d'ajouter que de 2009 à 2012, «entre 10% et 14% des demandes» s'adressent précisément à ces acteurs. Des chiffres, souligne encore la Commission, disponibles sur le rapport public de l'institution.

Capture d'écran du rapport d'activité 2011-2012 de la CNCIS, p.67

Nous avons bien trouvé les chiffres dont parle le CNCIS (voir capture d'écran ci-dessus et sur le PDF, page 67). Mas ces chiffres concernent uniquement le recueil des données techniques et non le contenu des communications. Une procédure à laquelle les acteurs du Net hors fournisseurs d'accès à Internet sont explicitement soumis. Ces chiffres ne permettent donc en rien de prouver que les FAI sont bel et bien déjà visés par l'autre procédure, plus inquiétante, de consultation des contenus.

Par ailleurs, toujours dans ce même rapport, la Commission exprime explicitement ses doutes sur le sujet:

«Les possibilités de communiquer par l’Internet sont pléthores. Si le courrier électronique ne suscite plus guère, désormais, de difficultés, les listes de diffusion, de discussion, chat, forums et, bien entendu, autres réseaux sociaux relèvent-ils de la qualification de correspondance? Ce n’est en effet qu’à cette condition qu’ils relèvent du régime des interceptions. La difficulté se révèle bien souvent délicate à résoudre car, en réalité, la diffusion de l’information peut s’effectuer de multiples façons, même au sein d’une forme de communication électronique unique (par exemple, sur un forum ou sur Facebook) de sorte que, souvent, rien n’est véritablement clair ou tranché.»

Bien loin donc, de l'assurance de notre interlocuteur au téléphone. Erreur, maladresse, confusion? Nous avons demandé des précisions à la Commission par mail. Ce qui est certain, c'est que l'Asic mobilise les mêmes arguments pour expliquer que, jusqu'à présent, ses membres n'ont pas d'obligation de fournir des informations sur le contenu qu'ils stockent.

Ce point de dispute dont l'issue est essentielle pour saisir le débat (voir 6.) ne tient qu'à une simple question de formulation. Et au sens à mettre derrière les termes employés. Une problématique récurrente dans le numérique, où chaque qualification d'un acteur (hébergeur, opérateur, éditeur...) a une répercussion directe sur sa responsabilité et ses obligations légales.

Mise à jour (17 décembre 2013): la Commission de contrôle des interceptions de sécurité nous a confirmé que les chiffres évoqués plus haut concernent bien le recueil des données techniques, et non la consultation directe des contenus. Sur ce point, impossible de savoir en revanche si les acteurs du Net (hors fournisseurs d'accès tels Orange, Free ou SFR) sont soumis à la procédure des interceptions de sécurité encadrée par la loi de 1991: après un long échange de mails, la CNCIS n'a toujours pas répondu à cette question décisive pour comprendre la polémique entourant l'adoption de cette nouvelle loi.

De son côté, l'Asic nous confirme en revanche sur Twitter qu'«aucun membre [...] n'a pour l'heure reçu de demande fondée sur l'article L.244-2 CSI».

5. Le problème du recueil «en temps réel»
Une phrase du dispositif qui vient d’être adopté introduit une vraie nouveauté:

«Les informations ou documents mentionnés [...] peuvent être recueillis sur sollicitation du réseau et transmis en temps réel.»

Or aucune précision de cette nature n'a été apportée aux lois jusque-là en vigueur.

Pour les opposants au texte législatif, cette formulation introduirait la possibilité de se brancher et de capter toutes les données possibles en temps réel. Sans les garde-fous nécessaires. Les collectes d'information pourraient alors «passer par l'installation directe de dispositifs de capture de signaux ou de données chez les opérateurs et les hébergeurs», fait par exemple valoir la Quadrature du Net. En clair, c'est open bar: les services peuvent piocher directement dans les serveurs des acteurs du Net, sans avoir à passer par leur intermédiaire.

De son côté, la Commission de contrôle des interceptions nous précise «avoir toujours défendu l'idée qu'en aucun cas le renseignement puisse avoir un accès direct aux opérateurs».

Cette question est d'autant plus brûlante que dans les premiers temps de l'affaire Snowden, les géants du Net ont été accusés d'avoir largement facilité la consultation des données qu'ils stockent par les renseignements américains via l'installation d'un système d'accès direct ou «back doors».

6. Alors ça change vraiment?
Bien malin celui qui pourra trancher avec certitude. Tout dépend en fait de la validité des arguments des forces en présence:

Si les géants du Net portés par l'Asic (et d'autres) ont raison sur tous les points, à savoir qu'ils ne devaient pas ouvrir le contenu qu'ils stockent aux services de renseignement et que les informations qu'il est possible de consulter grâce à ce nouveau texte de loi portent aussi bien sur le contenant que le contenu, alors oui, le changement est décisif. Comme le plaident les anti-article 13, il y aurait alors une extension massive du périmètre de la surveillance sur Internet, qui permettrait l'intrusion la plus attentatoire aux libertés (lire les contenus) chez des services web très populaires jusque-là hors des radars.
Si la Commission qui contrôle les écoutes, ainsi que les défenseurs de la loi, ont raison sur tous les points, à savoir que les hébergeurs étaient déjà visés par des demandes de consultation de contenu, et que le nouveau dispositif légal n'encadre que le recueil de données techniques, alors rien ne change. Les acteurs du web seraient en effet soumis à ces deux régimes depuis des années.
7.Faut-il donc s'inquiéter?
Dans la première configuration, il y a tout lieu de s'inquiéter puisque cette nouvelle loi étendrait effectivement le domaine de la surveillance sur Internet. De l'avis de tous, partisans comme opposants, l'ouverture des contenus est en effet la forme de consultation d'informations la plus attentatoire aux libertés et elle viendrait en plus s'imposer à des acteurs aujorud'hui profondément ancrés dans notre quotidien. Sans oublier que cette consultation est susceptible de se faire en «temps réel». (voir 4.)

Dans la seconde, en dehors de la formulation ouvrant une consultation «en temps réel» (voir 5.), il n'y aurait pas de raisons NOUVELLES de s'offusquer. Ce qui ne veut pas dire qu'il y en a aucune: le dispositif d'écoutes administratives qui évacue le juge judiciaire, la présence parfois limitée de la Commission de contrôle des interceptions censée encadrer tout ça sont d'ailleurs des débats qui reviennent régulièrement dans les milieux initiés depuis 1991.

Le fait que ces critiques soient aujourd'hui ravivées est une incidence logique du contexte actuel, souligne par ailleurs un spécialiste du droit sur Internet qui a souhaité garder l'anonymat:

«Par rapport à 1991, il y a eu un changement de l'impact que peut avoir ces textes. Les mêmes mots s'appliquent à des choses à la réalité très différentes.»

L'ampleur et la répercussion des révélations Snowden, la prise de conscience du monitoring de nos vies par un acte le plus souvent consenti peuvent avoir changé la donne dans notre perception de dispositions qui passaient jusque-là inaperçues. Notre interlocuteur ajoute:

«La vigueur avec laquelle les gens réagissent est liée à l'extrême présence d'Internet dans nos vies, jusqu'au sentimental, au sexuel!»

Difficile dans ces conditions de blâmer ce sursaut d'indignation qui peut, c'est vrai, apparaître bien tardif aux experts des écoutes et espionnage en tout sens. Cette réaction épidermique quasi-unanime peut être déjà positive en tant que telle, quand on se souvient du désintérêt et du cynisme que les révélations d'Edward Snowden ont pu susciter il y a quelques mois auprès de la majorité des internautes, ou même des Etats.

A lire aussi
» Prism, écoutes: résignez-vous!

Ceci dit, il est vrai que la réaction perd en partie de sa force quand les arguments mobilisés sont invalides, ou quand elle est porté majoritairement par des acteurs du Net tels que Google ou Facebook, qui ont une virginité à se racheter après avoir été explicitement accusés de travailler main dans la main avec la NSA.

Finalement, c'est surtout la grande confusion qui entoure ce texte, ainsi que la fébrilité qu'il a suscitée dans tous les milieux, qui interpellent. Et qui constituent peut-être déjà un problème. Elles nous font en tout cas dire qu'il serait peut-être grand temps de redemander à François Hollande une précision sur l'état de la surveillance en France.

En octobre, le Président affirmait «rester dans le cadre légal». Cette réponse ne suffit manifestement pas.







Aucun commentaire:

Enregistrer un commentaire