Je vais vous parler de ce fameux article 13, devenu article 20 de la LPM. Sous couvert de représenter un progrès en terme de libertés publiques, il vise à dissimuler les manquements passés de nos services et à éviter d’apporter à l’état du droit les améliorations nécessaires à la protection de nos libertés. Ce texte devrait même permettre à la France de « gagner » une nouvelle condamnation par la CEDH, puisqu’il constitue l’aveu d’une pratique illégale de la part de l’Etat français.
Le droit français des interceptions de sécurité résulte de la loi du 10 juillet 1991 relative au secret des correspondance émises par voie des communications électroniques (1)Loi votée à la suite d’une condamnation de la France par la CEDH Kruslin c/France 24 avril 1990, requête n°11801/85. , aujourd’hui codifiées aux articles L. 241-1 et s. du Code de la sécurité intérieure. Ces dispositions permettent déjà aux services de renseignement d’intercepter la correspondance par voie électronique dans le cadre de la procédure dite des interceptions de sécurité (cy-après IDS) (Loi de 1991, article 3).
La loi prévoit la possibilité pour certains agents nommément identifiés de solliciter du premier Ministre l’autorisation de procéder à l’interception des communications électroniques d’une personne précise. L’article 20 LPM fait entrer dans ce cadre l’accès administratif aux données de connexion. Il ne s’agit donc pas ici de « sniffer » tout le trafic d’internet, même s’il est évident que cela conduira indirectement les personnes en contact avec la cible à voir leur vie privée sacrifiée sur l’autel de la raison d’Etat. Ceci dit, on vit très bien sans vie privée, comme le démontre l’exemple de notre Président. La question de l’encadrement juridique des IDS n’a en réalité que peu à voir avec la protection de la vie privée, mais tout à voir avec la liberté d’expression, d’opinion et de pluralisme démocratique.
Ce recueil de données peut être effectué auprès de différents prestataires :
- opérateurs de communications électroniques, y compris téléphonique ;
- personnes qui fournissent au public des services de communications électroniques (art.34-1 CPCE),
- hébergeurs.
En d’autres termes, tous les intermédiaires qui permettent d’accéder et d’utiliser internet.
A lire la LPM, cet accès semble ne porter pas porter uniquement sur les données de connexion. En effet, l’article 20 autorise un accès à « des informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques, y compris les données techniques » de connexion (qui, quoi, où, quand, avec qui, combien de temps, avec quel appareil, etc.). Ces données ne sont donc pas uniquement celles visées à l’article 34-1 du CPCE et que les fournisseurs de prestation de communication électronique ont l’obligation de stocker, à savoir les données de connexion. Cette analyse est confortée par les dispositions mêmes de l’article 20 in fine : « Art. L. 246-3.-Pour les finalités énumérées à l’article L. 241-2, les informations ou documents mentionnés à l’article L. 246-1 peuvent être recueillis sur sollicitation du réseau et transmis en temps réel par les opérateurs aux agents mentionnés au I de l’article L. 246-2 ».
Il s’agit donc de collecter l’ensemble des échanges d’une personne par quelque moyen de communication que ce soit, y compris par internet, et en soumettant à la procédure des IDS la collecte des données de connexion comme l’était déjà l’interception du contenu de la correspondance électronique. Précisons que le texte ne prévoit pas un espionnage intégral de l’ensemble d’internet (au demeurant, le contingentement des interceptions de sécurité l’interdit puisqu’il ne permet « que » quelques milliers d’interceptions de sécurité par an, au moins pour les opérations qui ont été effectuées dans le respect du cadre légal) (CNIS, 20e rapport d’activité 2011-2012, p. 50 ) (2)Le rapport précise que le contingent portant avant 2009 sur des lignes, et qu’il sera désormais décompté par cible, quel que soit le nombre de lignes dont celle-ci dispose. p. 53, il est précisé que « 6396 interceptions de sécurité ont été sollicitées en 2011 (4156 interceptions initiales et 2240 renouvellements) ». .
Le seul apport de la LPM serait d’encadrer et de soumettre à autorisation, outre l’interception de correspondance proprement dit, l’interception des données de connexion ou méta-datas, tirant la conséquence de l’affaire des « fadettes » et autres plaisanteries de nos services et de nos politiques qui n’ont pas encore eu les honneurs de la presse nationale. A priori, comme celui qui peut le plus (interception de l’intégralité de la correspondance) peut le moins (les données de connexion figurent dans la correspondance échangée et d’ores et déjà interceptée), ce texte n’apporte rien à l’état du droit. Cependant, la lecture du 20e rapport de la CNIS montre qu’elle considère que les données de connexion ne relèvent pas de la procédure des interceptions de sécurité (rapport précité p.26).
A contrario, (mais peut-être fais-je preuve de mauvais esprit), cela laisse penser que les services de renseignement ont considéré, suivis en cela par certains parlementaires férus de légistique, qu’ils avaient toute liberté d’intercepter les données de connexion jusqu’à présent, et qu’ils considèrent qu’ils le pourront encore jusqu’au 1er janvier 2015, date de l’entrée en vigueur de l’article 20 de la LPM. Et comme ils pouvaient intercepter ces données de connexion sans aucun contrôle, rien n’interdit non plus de penser qu’ils aient pu ainsi « traiter » l’ensemble du réseau, sans se limiter l’interception aux correspondances d’une personne déterminée (coucou, amis Libyens et Syriens, sachez que les logiciels d’interception massives de données vendus à vos dictateurs ont sans doute d’abord été testés sur du mouton français).
La seule limite à ce type de procédés serait économique : les fournisseurs de prestation électronique facturent la prestation, de sorte que les interceptions « légitimes », c’est-à-dire faites dans le cadre de vraies opérations de renseignement et non les barbouzeries mêlées de politique, ont fait l’objet d’une facturation à l’Etat. Ce chef de dépense devrait apparaître par la différence entre les sommes allouées au titre des interceptions de sécurité autorisées par le Premier Ministre, et le montant payé en définitive par l’Etat. Au passage, il est possible que les finances publiques se portent mieux après la mise sous contrôle effectif de ce type de collectes.
En réalité, soit le député Urvoas n’a rien compris ce qui interroge quand même sur les compétences à contrôler quoi que ce soit des membres de la CNIS, soit c’est un maître du sophisme. Il n’a pas tout-à-fait tort lorsqu’il affirme que l’article 20 constitue un progrès du droit, mais il oublie de préciser que ce « progrès » a été rendu nécessaire par une pratique dévoyée, et à mon sens, parfaitement illégale, des services français et des politiques alors aux commandes. L’ultime forfaiture se trouve à la lecture de la date d’entrée en vigueur de l’article 20, repoussée au 1er janvier 2015, laissant ainsi entendre qu’en attendant, c’est openbar et que c’est légal.
Il n’était pas nécessaire d’ajouter aux textes existants. Il suffisait de préciser que les données de connexion SONT évidemment un élément de la correspondance, devant, en tant que tel, bénéficier de la procédure des IDS (une circulaire du Premier Ministre eût fait l’affaire, d’autant qu’on circularise beaucoup ces derniers temps).
Ce n’est pas parce que la CNIS a une interprétation passéiste des textes en raison de l’âge vénérable des membres qui la compose et d’un manque de rigueur juridique imputable à sa composition essentiellement politique (si les politiques faisaient du bon droit, on aurait de meilleures lois et cela se saurait) que cela fait l’état du droit. Il est vrai que la CNIS semble pouvoir se prévaloir de la position de la jurisprudence judiciaire (Cass. Crim. 27 juin 2001, n° 01-82578, cité par le rapport de la CNIS, p. 26.) et administrative.
Mais les éléments cités dans son rapport montrent que les juridictions n’ont pas été saisies d’un dossier où l’intégralité des données de connexion d’une personne avaient été interceptées, analysées et utilisées. Au vu de ce que peuvent trahir les données de connexion (pour un exemple v. ici), il est vraisemblable que le juge judiciaire, défenseur de la liberté individuelle, reconsidère rapidement sa position pour tirer toutes les conséquences de l’évolution de la technologie.
De plus, l’interprétation de la CNIS est juridiquement contestable au regard du cadre légal pré-existant. Lorsque le législateur a voulu soustraire certaines interceptions à la procédure des IDS, il a adopté un texte dérogatoire (par ex. l’actuel article L. 241-3 du CSI). A contrario, une interception de données ne faisant pas l’objet d’un texte dérogatoire devrait respecter les formes prévues par la loi (et les services qui auraient passé outre ces dernières années ont commis une faute, reste à voir si elle leur est imputable ou s’ils ont été instrumentalisé par le politique et surtout, si la preuve peut en être apportée. Il y a en tout cas clairement matière à enquête et à sanction). De la même façon, lorsque le législateur a voulu permettre l’accès aux données de connexion, que ce soit dans le cadre de la lutte contre le terrorisme (article L. 34-1-1 CPCE avant son abrogation) ou pour la mise en place des IDS, il l’a indiqué par un texte spécifique. Ainsi, l’article L. 244-2 du CSI, anciennement article 22 de la loi de 1991, dispose en effet, que « Les juridictions compétentes pour ordonner des interceptions en application du code de procédure pénale ainsi que le Premier ministre ou, en ce qui concerne l’exécution des mesures prévues à l’article L. 241-3 [NDA, aka les interceptions de sécurité], le ministre de la défense ou le ministre de l’intérieur peuvent recueillir, auprès des personnes physiques ou morales exploitant des réseaux de communications électroniques ou fournisseurs de services de communications électroniques, les informations ou documents qui leur sont nécessaires, chacun en ce qui le concerne, pour la réalisation et l’exploitation des interceptions autorisées par la loi ». On voit donc que le législateur n’a pas expressément soumis les données de connexion à la procédure des IDS, mais il ne l’a pas expressément exclu. Or les restrictions aux libertés individuelles que constituent les interceptions de quelque sorte qu’elles soient doivent être autorisées par la loi (CEDH, article 8), la collecte de données de connexion par un service ou une entreprise en dehors de ce cadre est parfaitement illégale.
S’agissant des garanties données par la procédure des IDS, le CSI, et avant lui, la loi de 1991, précise qu’un relevé de chacune des opérations d’interception mentionnant date et heure de début et de fin est dressé (article L242-4), et que seuls les renseignements en relation avec l’un des objectifs comme le terrorisme ou la sûreté de l’Etat prévus par l’article L. 241-2 peuvent faire l’objet d’une transcription par les personnels habilités. L’article L. 242-6 exige que l’enregistrement soit détruit à l’expiration d’un délai de dix jours au plus tard à compter de la date à laquelle il a été effectué, destruction dont il est dressé procès-verbal. De la même façon, les retranscriptions doivent être détruites dès qu’elles ne sont plus utiles (art. L. 242-7). Sauf l’obligation résultant de l’article 40 du Code de procédure pénale qui impose aux fonctionnaires de dénoncer les délits et les crimes dont ils auraient connaissance dans l’exercice de leur fonction, les renseignements recueillis par le moyen de ces interceptions de sécurité ne peuvent être utilisés à d’autres fins que celles limitativement énumérées par l’article L.241-2 du CSI (article L. 242-8).
Le petit souci de ces dispositions est qu’elles ne prévoient aucun contrôle sérieux de leur mise en œuvre effective si ce n’est pas l’intermédiaire de la CNIS, dont on a pu constater la rigueur juridique comme le souci de protéger nos libertés publiques. De plus, sauf à se moquer du monde, qui peut sérieusement soutenir que trois personnes vont contrôler quelques milliers de mesures d’IDS (dixit la CNIS elle-même : 6341 interceptions de sécurité qui ont effectivement été pratiquées au cours de l’année 2011, voir aussi l’article de Numerama sur le rapport 2013), sans compter les collectes de métadata sauvages qui n’ont bien évidemment pas été soumises à la CNIS.
Avant comme après la LPM, la décision d’autorisation de procéder à une interception de communication électronique est prise par le Premier Ministre, statuant sur une demande écrite et motivée, comme sous l’empire de la loi de 1991. Elle est prise pour une durée de trente jours et peut être renouvelée dans les mêmes conditions, sans limite. De ce point de vue, la LPM réduit la durée de validité de l’autorisation de 4 mois à 30 jours, mais ne remet pas en cause la possibilité de renouvellement ad libitum.
Quel est le contrôle exercé sur cette décision tant dans son principe que dans son exécution ? Et bien il n’y en a pas. Je veux dire, la décision du Premier Ministre est transmise au président de la CNIS, qui peut la transmettre à la CNIS s’il l’estime nécessaire, laquelle peut, si nécessaire, adresser au Premier Ministre une recommandation. Cette recommandation n’est pas publique, elle est seulement adressée pour information au Ministre dont les services ont demandé la mise en place de la mesure d’interception et au Ministre des télécommunications. Si le président de la CNIS ne la saisit pas, elle dispose néanmoins d’un accès permanent au dispositif de recueil des informations ou documents mis en œuvre et peut adresser une recommandation au Premier Ministre, qui doit lui répondre dans les 15 jours.
En très résumé, le Premier Ministre a carte blanche et aucun contre-pouvoir puisque par définition, la majorité parlementaire a choisi ledit Ministre, dont fait également le plus souvent partie le Président de la République chargé de désigner le président de la CNIS parmi quatre noms proposés conjointement par le Premier président de la Cour de cassation et par le vice-président du Conseil d’Etat. La CNIS comprend, en outre, un député désigné pour la durée de la législature par le président de l’Assemblée nationale (depuis 2012, Monsieur le député Urvoas) et un sénateur désigné après chaque renouvellement partiel du Sénat par le président du Sénat (depuis 2012, Monsieur Jean-Jacques Hyest). Quelle que soit la majorité au pouvoir, cela pose un sérieux problème de contre-pouvoir. A noter, le président de la CNIS relève dans le rapport 2012 à propos de la désignation des parlementaires que « La sagesse des présidents [du Sénat et de l’Assemblée Nationale] successifs a fait en sorte que les deux parlementaires soient issus, l’un de la majorité, l’autre de l’opposition ». On peut supposer donc que les parlementaires sont très contents d’eux-mêmes et sauront faire respecter leurs libertés à défaut des nôtres.
Cette composition laisse présager une combativité sans faille pour la défense de nos libertés… ce, d’autant plus qu’il n’existe aucun recours, ni aucun contrôle juridictionnel de l’action de la CNIS ou de son effectivité. Tout au plus celle-ci publie-t-elle un rapport annuel, où elle explique que tout va bien dans le meilleur des mondes, et qui comporte les recommandations adressées au Premier Ministre, rapport qui est rendu public. Par différence, les décisions judiciaires relatives à des interceptions de correspondance peuvent faire l’objet d’un débat contradictoire par les personnes concernées et faire l’objet d’un recours juridictionnel.
Ceci étant posé, que peut faire le citoyen pour d’une part savoir si ses données de connexion ont fait l’objet d’une collecte illégale, d’autre part faire sanctionner les responsables de ces pratiques?
A suivre…
EDIT, 31 janvier 2014: à lire ici, Frédéric Forster, Edouard Lemoalle, Actes terroristes, cybersurveillance et interceptions de sécurité.
Cette entrée a été publiée dans Droit de l’informatique, Droit pénal, Ils sont formidables, Politique, et marquée avec Article 13, Article 20, Article L. 34-1-1 CPCE, CEDH article 8, CNIS, Code des Postes et télécommunications, Interception de sécurité, Liberté d’expression, Liberté d’opinion, Liberté de pensée, LPM, Métadonnées, Terrorisme, le 22 janvier 2014 par matringe.
References
| ↑1 | Loi votée à la suite d’une condamnation de la France par la CEDH Kruslin c/France 24 avril 1990, requête n°11801/85. |
|---|---|
| ↑2 | Le rapport précise que le contingent portant avant 2009 sur des lignes, et qu’il sera désormais décompté par cible, quel que soit le nombre de lignes dont celle-ci dispose. p. 53, il est précisé que « 6396 interceptions de sécurité ont été sollicitées en 2011 (4156 interceptions initiales et 2240 renouvellements) ». |