Le 10 décembre, la loi de programmation militaire a été définitivement votée par le Sénat. A la veille des débats, certains acteurs ont choisi d’attaquer l’article 13 de ce texte, lequel article permet aux services de renseignement de recourir à la géolocalisation (notamment en temps réel). A la lecture des communiqués de presse qui se sont multipliés, j’ai été étonné de l’interprétation déformée qui était faite de cet article au point de m’interroger sur une éventuelle stratégie de désinformation orchestrée par les entreprises impliquées au premier chef dans le scandale PRISM. Peut-être celles-ci cherchaient-elles à se racheter une virginité à faible coût en portant des accusations infondées sur le Gouvernement français et les parlementaires qui votent la loi ?
Aussi, je souhaite livrer une analyse rigoureusement juridique de l’article incriminé :
Quel est l’objet de cet article ? L’article 13 ajoute un sixième chapitre au titre IV du livre II du code de la sécurité intérieure, lequel titre régit la pratique des écoutes téléphoniques dites « administratives » et, désormais, l’accès « administratif » aux données de connexion. L’intitulé de ce chapitre borne donc très strictement le champ concerné : les seules données de connexion et en aucun cas le contenu de celles-ci (dont d’ailleurs on s’étonne que les opérateurs déclarent les conserver, en totale contradiction avec les obligations légales fixées par les articles 226-1 et suivants du code pénal).
Quelle est la nature des données de connexion ? L’article dresse une liste précise en faisant référence aux informations et documents concernant les données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communication électronique, au recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée, aux données relatives à la localisation des équipements terminaux utilisés ainsi qu’aux données techniques relatives aux communications d’un abonné portant sur la liste des numéros appelés et appelant, la durée et la date des communications. En d’autres termes, il s’agit ni plus ni moins que de la recension de toutes les traces d’une connexion ou d’un appel. Jamais le contenu d’une connexion ou d’un appel n’est permis par l’article. La confusion provient sans doute de ce que les utilisateurs du web sont peu coutumiers des délices de la légistique tandis que d’autres préfèrent volontairement nourrir des ambiguïtés inexistantes.
Quels contrôles sont-ils prévus ? La loi encadre très strictement les conditions de mise en œuvre de cette géolocalisation : les demandes écrites et motivées des agents sont déposées auprès d’une « personnalité qualifiée »[1] qui, auprès de la Commission nationale de contrôle des interceptions de sécurité (CNCIS), s’assure de la légalité de la demande (celle-ci doit répondre aux cinq motifs légaux[2] de demande que sont la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous). Parallèlement, elle vérifie sa proportionnalité : porte-t-elle une atteinte démesurée aux libertés individuelles au regard du but poursuivi ? Il s’agit d’une mission consacrée de manière constante par la jurisprudence de la Cour européenne des droits de l’Homme. Enfin, la personnalité qualifiée informe la CNCIS de ses décisions afin que celle-ci puisse exercer ses pouvoirs de contrôles énumérés par les articles L.243-8 à L.243-12 du code de la sécurité intérieure (d’où l’intérêt que l’article 13 amende le titre IV du livre II de ce code, ce qu’oublient trop souvent les commentateurs).
En outre, pour qu’une opération de géolocalisation en temps réel soit réalisée, elle devra être sollicitée par les ministres compétents auprès du Premier ministre, lequel consultera la CNCIS selon la pratique établie depuis 1991. Celle-ci exercera alors le même type de contrôle, exigeant et minutieux, qu’en matière d’interceptions de sécurité (toujours en vertu des articles L.243-8 à L.243-12 du code de la sécurité intérieure).
Il est donc parfaitement mensonger d’évoquer une absence de contrôles et un espionnage massif alors même qu’il s’agit de lutter contre l’espionnage, le terrorisme, la criminalité organisée ou les groupes radicaux violents avec des moyens respectueux des libertés individuelles !
Pourquoi n’est-il pas prévu un contrôle par des magistrats ? Comme évoqué précédemment, l’article 13 concerne la police administrative qui, selon la définition consacrée dans un Commentaire de la décision n°2005-532 DC du 19 janvier 2006 publié dans Les cahiers du Conseil constitutionnel (n°20, juin 2006), a pour but de protéger l’ordre public, tandis que la police judiciaire vise à la constatation d’une infraction pénale particulière, la recherche de ses auteurs et le rassemblement de preuves. Si la seconde est confiée aux magistrats, la première, en vertu de la séparation des pouvoirs, relève du pouvoir exécutif qui doit alors prévoir des mécanismes de contrôle adéquats (en conformité avec les exigences de la Cour européenne des droits de l’Homme). De fait, depuis 1991, une autorité administrative indépendante (la CNCIS) veille aux respects des libertés individuelles. Et son bilan plaide sans conteste en faveur de son efficacité.
Le dispositif prévu est-il constitutionnel ? Par sa décision n° 2005-532 DC du 19 janvier 2006, le Conseil constitutionnel avait déjà déclaré conforme à la Constitution un dispositif de géolocalisation dédié à la lutte contre le terrorisme. Dans la mesure où l’article 13 de la LPM reprend les dispositions déjà jugées conformes et ajoute des contrôles supplémentaires, le texte du projet de loi est scrupuleusement respectueux de la jurisprudence du Conseil constitutionnel.
En fin de compte, cet article du projet de loi de programmation militaire comporte des avancées évidentes pour l’Etat de droit. S’il élargit les moyens des services de renseignement, c’est au prix de l’adoption de procédures vigilantes de contrôle, assises sur l’expérience que donne l’application de la loi du 10 juillet 1991 relative au secret des correspondances émises par la voie des communications électroniques.
Les craintes d’une atteinte aux libertés individuelles sont compréhensibles mais elles paraissent peu légitimes quand elles proviennent d’organismes, de personnalités ou de groupes d’influence qui ne servent que des intérêts privés.
Dans ce domaine, il est aisé de nourrir les peurs et de diffuser le soupçon. Il suffit de jouer sur les mots qui possèdent pourtant en droit une définition précise, souvent issue d’une jurisprudence constante et particulièrement protectrice des individus.
Il faut donc, pour combattre la rumeur et apporter toutes les garanties, se livrer à une étude dépassionnée. C’est ce que j’ai ici tenté de faire.
Je ne travaille pas pour des « groupes d’influence qui ne servent que des intérêts privés » : journaliste, j’écris & enquête sur la question depuis la Loi Sécurité Quotidienne, adoptée dans la foulée des attentats de 2001, qui avait instauré la rétention des données de connexion, qui n’avait pas à l’époque été validée par le Conseil Constitutionnel (il n’avait pas été saisi).
J’ai moi aussi été surpris des cris d’orfraie poussés deci-delà, il n’empêche : voter cette loi en plein scandale Snowden, et alors que l’on découvre que la DGSE a confié 70 millions de données téléphoniques à la NSA, en-dehors de tout cadre légal, n’est pas sans poser problème, ce me semble, et comme je m’en suis expliqué dans mon billet.
En 2010, le directeur technique de la DGSE avait expliqué qu’il stockait « tous les mots de passe« ; or, l’article 13 porte sur les « informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques » : un fichier stocké dans le cloud, un brouillon, un mot de passe, ne relèvent pas de la « correspondance privée« , mais ce sont bien des « documents« ; l’article 13 va donc bien au-delà des seules « méta-données« …
Hé bien ça ne t’étonnera certainement pas que je sois d’accord avec ce que dit Urvoas dans cet article, Jean-Marc.
Comme je l’ai déjà indiqué dans plusieurs billets de mon blog, je suis en profond désaccord avec votre interprétation de l’article et de son impact. Je suis également choqué des procédés rhétoriques que vous utilisez lorsque vous insinuez que les critiques procéderaient d’ »une éventuelle stratégie de désinformation orchestrée par les entreprises impliquées au premier chef dans le scandale PRISM ».
J’ai coordonné un projet financé par l’Agence Nationale de la rechercher qui réunissait juristes et informaticiens sur des questions de données personnelles et je sais par exemple que les titres des codes n’ont pas de valeur normative, Je sais également lire, même un texte juridique ou législatif, et je maintiens que le texte ouvre la porte à la capture y compris par sollicitation en temps réel du réseau d’informations et de documents traités et conservés dans les réseaux bien au-delà des données de connexion et même de celles de géolocalisation (ce qui mériterait déjà un débat). Je maintiens également que les contrôles prévus sont très nettement inférieurs à ceux qui existaient dans le FISA Amendment Act de 2008 pour les citoyens américains (qui eux impliquaient judiciaire, même si c’est dans des conditions spéciales), contrôles malgré lesquels des abus extrêmes ont eu lieu (sans parler bien sûr de ceux à l’égard des citoyens non américains. L’argumentaire que la séparation des pouvoirs serait respectée par l’existence d’un contrôle à l’intérieur du pouvoir exécutif ne me convainc pas plus, compte-tenu des conditions dans lesquels ces contrôles internes auront lieu.
Enfin, comme souligné par Jean-Marc Manach, le contexte importe autant que le texte. Et le contexte est celui dans lequel les citoyens européens ont découvert que leurs gouvernements avaient failli à les protéger contre une surveillance généralisée de leurs communications et de leur vie privée. Je fais partie de ceux qui attendaient de ces gouvernements une approche ferme par l’offre de l’asile à Edward Snowden, par l’encouragement au développement de technologies protégeant contre la surveillance et par la mise en place d’une charte mondiale des libertés numériques. J’ai eu l’honneur de signer une déclaration en ce sens a
Suite…
avec Louis Joinet et les autres initiateurs de la loi de 1978. Et j’ai pu constater combien la politique actuelle de la France était éloignée de ces orientations.
On reproche souvent aux ingénieurs d’ignorer le contexte dans lequel les technologies exerceront leurs effets. Permettez-moi d’élargir cette critique au législateur que vous êtes dans ce cas.
Ping : Tout ce que vous avez toujours voulu savoir sur la #LPM et que vous avez été nombreux à me demander | BUG BROTHER
Je suis très dubitative sur l’argument de la police administrative. Dès lors qu’on n’est pas dans le cadre d’une enquête/information pénale, le juge n’aurait pas à s’en mêler? Mais il s’agit de libertés fondamentales! Le juge contrôle légitimement des procédures extra-pénales, dès lors que les libertés sont en jeu (par ex. hospitalisation sans consentement).
A Hélène.
On peut peut-être le regretter dans certains cas et la frontière souvent mince, mais il est vrai que la prévention de l’ordre public est une prérogative de police administrative et non de police judiciaire.
Je pense que vous minimisez la portée de la collecte des données de connexion. Supposons qu’il s’agisse bien uniquement des méta-données comme vous le prétendez (ce qui est mis en doute), c’est-à-dire les connexions de l’utilisateur, sa localisation GPS, qui a parlé à qui, quand et combien de temps…
Ces seules informations sont déjà extrêmement sensibles !
Prenons l’exemple des empreintes digitales : il faut 12 points de référence pour être sûr et certain d’identifier un individu.
Combien de traces personnelles laissent nos ordiphones chaque heure, auxquelles vous souhaitez accéder sans l’aval d’un juge ?
À quel point l’accès à ces données, autorisé par le seul exécutif, permettrait-il d’intimider des lanceurs d’alerte, voire de les empêcher de diffuser des informations compromettantes pour le pouvoir en place, quel qu’il soit ? À quel point permettrait-il de remonter aux sources de journalistes, avec une efficacité encore plus redoutable que les FADET ?
Et quel contre-pouvoir à l’exécutif proposez-vous pour nous rassurer ? L’exécutif. C’est presque aussi drôle que la NSA qui se fait auditer par elle-même.
Dans quelle mesure des manifestants contre certaines pratiques commerciales (vente d’outils de surveillance à des dictatures, exploitation du gaz de schiste…), ne pourront-ils pas être assimilés à un danger contre « la sauvegarde des éléments essentiels du potentiel […] économique de la France » ?
Ce ne serait d’ailleurs pas incohérent avec ce que propose le traité transatlantique (mirroir)…
Et que dire alors d’un lanceur d’alerte ? Combien de fois a-t-on entendu que Snowden avait porté atteinte aux entreprises américaines ?
Ah, ces espions…
« Art. L. 246-1. – Pour les finalités énumérées à l’article L. 241-2, peut être autorisé le recueil, auprès des opérateurs de communications électroniques et personnes mentionnées à l’article L. 34-1 du code des postes et des communications électroniques ainsi que des prestataires mentionnés aux 1 et 2 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, des informations ou documents traités ou conservés par leurs réseaux ou services de communication électronique, y compris les données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communication électronique, au recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée, aux données relatives à la localisation des équipements terminaux utilisés ainsi qu’aux données techniques relatives aux communications d’un abonné portant sur la liste des numéros appelés et appelant, la durée et la date des communications.
L’expression « y compris » montre ici que les services demandeurs pourront accéder à ce que vous appelez des « traces d’une connexion ou d’un appel » mais aussi à « des informations ou documents traités ou conservés par » les opérateurs. Ce sont bien deux choses différentes. L’imprécision concernant la nature de cet autre type de données ne peut que nourrir la suspicion.
Lorsque le législateur précise : « Les informations ou documents mentionnés à l’article L. 246-1 sont sollicités par les agents », il enfonce le clou. Il parle bien d’informations ET de documents.
Notez que si suspicion il y a, c’est peut être parce que le législateur, mais aussi les gouvernements de gauche comme de droite ont laissé se mettre en place (pour ne pas dire favorisé la mise en place) des outils de surveillance massive des réseaux comme ceux d’Amesys ou de Qosmos.
Le même type d’outils (deep Packet Inspection) que ceux utilisés par la NSA.
C’est aussi peut-être parce que le législateur ou les ministres interrogés sur ce point ont toujours répondu en éludant les questions, allant même jusqu’à parler de « matériel grand public ».
Vous présumez que nous ne savons pas lire un texte législatif. Je vous retourne le compliment. Soit vous ne comprenez rien aux aspects techniques, soit vous faites semblant de ne rien y comprendre, ce qui serait plus ennuyeux.
Lorsque vous racontez n’importe quoi au Point et que je le dis, vous m’enjoignez de le prouver. Lorsque je le prouve (http://reflets.info/quand-jean-jacques-urvoas-raconte-nimporte-quoi-au-point-sur-le-prism-francais/), vous éludez la discussion proposée. Vous comprendrez que cela mène à une petite forme de suspicion.
Pour les finalités énumérées à l’article L. 241-2, les données prévues à l’article L. 246-1 peuvent être recueillies sur sollicitation du réseau et transmises en temps réel par les opérateurs aux agents mentionnés au I de l’article L. 246-2.
Disposant de quelques compétences techniques, même si ce n’est pas mon métier, je lis ici que la porte est ouverte à l’interrogation en temps réel pour les données mentionnées ci-dessus. Pas simplement pour la géolocalisation.
L’autorisation est accordée, sur demande écrite et motivée des ministres de la sécurité intérieure, de la défense, de l’économie et du budget ou des personnes que chacun d’eux aura spécialement désignées, par décision écrite du Premier ministre ou des personnes spécialement désignées par lui, pour une durée maximale de dix jours. Elle peut être renouvelée dans les mêmes conditions de forme et de durée. Elle est communiquée dans un délai de quarante-huit heures au président de la Commission nationale de contrôle des interceptions de sécurité.
« Si celui-ci estime que la légalité de cette décision au regard des dispositions du présent titre n’est pas certaine, il réunit la commission, qui statue dans les sept jours suivant la réception par son président de la communication mentionnée au premier alinéa.
« Au cas où la commission estime que le recueil d’une donnée de connexion a été autorisé en méconnaissance des dispositions du présent titre, elle adresse au Premier ministre une recommandation tendant à ce qu’il y soit mis fin.
« Elle porte également cette recommandation à la connaissance du ministre ayant proposé le recueil de ces données et du ministre chargé des communications électroniques.
En cas d’abus, la CNCIS « adresse au Premier ministre une recommandation tendant à ce qu’il y soit mis fin » ? Voilà qui va faire trembler les hommes politiques. Aucun doute, François Mitterrand aurait immédiatement fait cesser les écoutes de son cabinet noir si la CNCIS avait existé. De même, Nicolas Sarkozy aurait immédiatement demandé à ce que l’on cesse de demander les fadettes de journalistes enquêtant sur l’affaire Bettencourt.
Maintenant, un peu de philosophie politique si vous le permettez.
J’aime à croire que les élus ne sont pas « au pouvoir ». Ils bénéficient d’un pouvoir qui leur a été délégué par leurs électeurs. Ce pouvoir consiste à rechercher l’intérêt général et à mettre en place les infrastructures qui le sous-tendent. En outre, si les électeurs font confiance à ceux à qui ils délèguent leur pouvoir, ils attendent la même confiance en retour. Considérer a priori les citoyens comme des délinquants en puissance est une insulte. Les outils dont il est ici question participent de cette tendance à présupposer que tous les citoyens sont des délinquants en puissance. Qu’il est nécessaire, comme le disait il y a quelques jours un ancien de la DST à propos de l’article 13, de construire un « système de préconstitution de preuves ».
Venant d’un policier, cela devrait a minima vous alerter.
Vos activités vous amènent à côtoyer régulièrement des « espions » et des policiers (parfois ils sont les deux, je sais). Cela m’est arrivé aussi. Vous devez donc savoir comme moi que, parfois, certains services « s’arrangent » pour « fluidifier » les choses. Cela aussi devrait vous alerter. Je ne prendrai qu’un exemple pour le lecteur qui ne côtoierait pas la police ou les services de renseignement régulièrement. Lorsque vous voulez faire « sauter » une contravention, vous demandez à un ami policier de prendre contact avec la personne qui l’a dressée. Il lui demandera une forme d’ « indulgence ». Parfois, sur le carnet à souches, il y a soudain marqué « plaque illisible ».
Bien dit Kitetoa!
Vous affirmez : » Les craintes d’une atteinte aux libertés individuelles sont compréhensibles mais elles paraissent peu légitimes quand elles proviennent d’organismes, de personnalités ou de groupes d’influence qui ne servent que des intérêts privés. »
Non, M. Urvoas, il ne s’agit pas de la défense d’intérêts privés, mais de celle de la démocratie ; quand l’exécutif surveille l’exécutif, la démocratie n’existe plus. Jean-Claude Vitran – militant des droits de l’Homme
« De fait, depuis 1991, une autorité administrative indépendante (la CNCIS) veille aux respects des libertés individuelles. Et son bilan plaide sans conteste en faveur de son efficacité. »
AHAHAHAHAHAHAHAHAHAHA
Euh non pardon faut que je respecte parce-que des fois que quelqu’un récupèrerais ça, j’pourrais avoir des ennuis. Se moquer de ce que dit un parlementaire. Où va le monde!
Il serait malvenu pour M. le député Urvoas d’admettre l’efficacité relative de la CNCIS dont il fait partie.
Quand il s’agit de ficher toujours plus les citoyens, on trouve toujours les excuses nécessaires.
Qui a mandaté le gouvernement pour autoriser l’Etat à espionner en dehors de tout cadre judiciaire des citoyens ?
Tout ceci est parfaitement odieux, il faut que les citoyens se mobilisent pour mettre un terme à cette dérive des pouvoirs en place.
« Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux. » (Benjamin Franklin)
Article 35
Quand le gouvernement viole les droits du peuple, l’insurrection est, pour le peuple et pour chaque portion du peuple, le plus sacré des droits et le plus indispensable des devoirs.
Tout cela est fort intéressant mais ne concerne pas les interceptions réalisées en dehors du territoire national, n’est ce pas….
A bon entendeur…