De quoi la loi de programmation militaire est-elle le nom ?

Juste un petit mot qui se veut didactique pour tenter de résumer ce que dit cette loi et les arguments des pour et contre. Défi personnel : que ma propre opinion ne s'y dévoile pas !

La loi de Programmation militaire - également nommée loi sur le renseignement - est la fille de règlementation déjà en place pour la surveillance du trafic téléphonique. Gageons que les débats n'auraient pas été aussi passionnés sans … Edward Snowden et ses révélations !

Ces dispositions étendent notamment les mécanismes déjà en place d'écoutes sous l'autorité d'une administration afin de renforcer sensiblement les capacités d'investigation dans le cadre d'enquêtes terroristes.

Quel est l'existant ?

Les "écoutes" étaient du ressort de l'autorité judiciaire et pour certains cas des ressources administratives. La loi du 10 juillet 1991 définit la procédure de sécurité encadrant l'interception administrative de la correspondance par voie électronique

  • pour obtenir des renseignements intéressant la Défense nationale ou le terrorisme
  • visant une personne précise
  • sous l'autorité du Premier Ministre 
  • autorisant certains agents nommément identifiés à mettre en œuvre l'interception de données
  • sous la surveillance a posteriori de la "Commission nationale de contrôle des interceptions de sécurité" (CNCIS)

Cette dernière vérifie la légalité des écoutes non judiciaires. Cette commission est indépendante et son avis n'est que consultatif. Le président est nommé par le président de la République pour une durée de six ans. Un député et un sénateur nommés respectivement pour la durée de leur mandat par le président de chaque chambre complètent la commission.

Quoi de neuf ?

La loi de Programmation Militaire modifie,  précise et aborde certains points :

  • extension de la couverture : au delà de la Défense nationale et du terrorisme, la "sécurité nationale", la "sauvegarde des éléments essentiels du potentiel scientifique et économique de la France", la "prévention du terrorisme, de la criminalité et de la délinquance organisées", et "la reconstitution ou le maintien de groupements dissous" sont maintenant concernés.  La gamme des  administrations maintenant habilitées pour les interceptions s'étoffe d'autant.
  • extension des personnes visées : jusqu'alors ciblé sur une personne précise, les interceptions concernent maintenant toute personne connectée à une personne sous surveillance. Cette opération est sous le regard (a posteriori ?) de la future Commission nationale de contrôle des techniques de renseignement (CNCTR). Le but est de "deviner" les futurs terroristes.
  • la détection automatique de comportements spécifiques. Les fournisseurs d'accès doivent détecter toutes "succession suspecte de données de connexion". Cette mesure s'applique aux métadonnées, l'anonymat étant conservé. Cette détection sera également surveillée par la CNCTR.
  • la durée de conservation des données de connexion que les opérateurs doivent mettre à disposition passe à cinq ans (un an dans la loi de 2006)  
  • les outils techniques autorisés sont mis à jour : pose de micro, la surveillance informatique, "keylogging", géolocalisation, utilisation de fausses antennes de téléphonie, mots clefs,   … “ (…) des agents spécialement habilités” pourront “s’introduire dans un système automatisé de traitement de données [...] aux seules fins de poser, mettre en œuvre ou retirer les dispositifs de captation”. Notons que ce dernier point instaure un encadrement administratif et juridictionnel à des activités jusque là hors de tout contrôle.

Qu'argumentent zélateurs et détracteurs ?

J'ai ici butiné de blog en forum, avec toutes les lacunes que l'on peut attendre d'une telle démarche. Mais voici quelques éléments pour aider la réflexion.

Quels arguments "contre" ?

  • cette loi est potentiellement dangereuse car le champ d'application des outils est suffisamment large ("sauvegarde des éléments essentiels du potentiel économique" et extension à tout contact) pour pouvoir être détourné ou utilisé sans le moindre amendement par des instances gouvernementales dont la fibre démocratique ne serait pas avérée et dresser un système de surveillance généralisé hors de toute autorité judiciaire. Dit autrement : un gouvernement totalitaire peut utiliser la loi en l'état pour mettre en place un "fliquage" généralisé.
  • c'est un pouvoir administratif. Autrement dit l'investigation est réalisée par une administration qui le juge nécessaire et non pas sous le contrôle d'un juge. Ce n'est pas nouveau mais de limité cette possibilité s'étend maintenant à beaucoup d'administration car les motifs ne sont plus cantonnés à la Défense national et au terrorisme.
  • efficacité : par bien des aspects, cette disposition est à rapprocher du "Patriot Act" (Providing Appropriate Tools Required to Intercept and Obstruct Terrorism) des États Unis : obligation pour les opérateurs de livrer les données de connexion, possibilité de surveillance intrusive. Or l'enquête menée par l'"Electronic Frontier Fondation" (EFF) sur la base des données fournies par le "ADMINISTRATIVE OFFICE OF THE UNITED STATES COURTS" montre que … moins de 1% des requêtes concernaient le terrorisme : "only 51 sneak-and-peek requests during 2013 were for terrorism out of 11,129 total requests that year". Peut-on encore parler d'outil anti terroriste, le dernier "T" de l'acronyme Patriot ? Peut-on nier les possibilités de détournements ?
  • efficacité. Toujours en parallèle avec le "Patriot Act", il semblerait qu'il n'est nul besoin de recourir à cet arsenal car les lois standards suffiraient. C'est en tout cas ce que précise le "Department of Government and Justice Studies" dans l'étude menée par "Appalachian State University" sur le Patriot Act : "leaving the impression that standard law enforcement techniques might also have been responsible for the successes".
  • efficacité : les méthodes consistant à bloquer un site montrent rapidement leurs limites. Même si le but de propagande ne plaide pas pour des sites cachés par des réseaux d'anonymisation type TOR, il est toujours possible de travailler avec des sites miroirs. 
  • efficacité : ces méthodes sont-elles adaptées aux "loups solitaires" ?

Quels arguments "pour" ?

  • cette loi est n'est qu'un aménagement de règlementation déjà en place. Le fait de ne pas passer par une autorité judiciaire mais une autorité administrative date de 1991.
  • nous sommes en situation de guerre contre le terrorisme et l'heure n'est pas à s'émouvoir sur les écoutes. La lutte contre le terrorisme justifie la surveillance générale.
  • les technologies nouvelles nous donnent de nouveaux outils - dont l'analyse de données massives - et il serait dommage de s'en passer.
  • les données personnelles ne sont pas concernées, seules les métadonnées le sont.
  • des commissions de surveillance (CNCIS et CNCTR) sont là pour éviter les débordements.
  • le conseil constitutionnel n'a rien trouvé à redire en 2006.
Voilà, un extrait de la loi, un peu de pour un peu de contre : le dessein de ce papier se limite à l'apport de quelques éléments susceptibles d'éclairer le débat. 
 
Auteur: 
Jacques Baudron, secrétaire adjoint Forum ATENA jacques.baudron@ixtel.fr