C’est un cadeau de Noël dont les internautes et les opérateurs français se seraient bien passés. Le gouvernement a publié mercredi 24 décembre, à la faveur des fêtes de Noël, le décret d’application du très contesté article 20 de la loi de programmation militaire (LPM). Ce texte prévoit un accès très vaste des services de l’État aux télécommunications (téléphone, SMS, Internet, etc.) des Français, et à toutes les informations qui transitent par les réseaux nationaux.
La mesure de surveillance, pudiquement nommée « accès administratif aux données de connexion », avait été votée fin 2013 et entrera en vigueur le 1er janvier 2015. Dénichées par notre excellent confrère Next INpact, qui évoque « un décret qui sent le sapin », ce sont les modalités de sa mise en oeuvre, tout aussi importantes, qui ont été dévoilées pour Noël.
Comme dans de nombreuses démocraties, le spectre terroriste permet au gouvernement de faire passer des mesures très floues et de tirer pleinement parti des systèmes d’information de plus en plus performants afin de surveiller la population.
Qui chapeaute le système ?
Le décret du 24 décembre présente « le groupement interministériel de contrôle […], un service du Premier ministre chargé des interceptions de sécurité et de l’accès administratif aux données de connexion ». Ce groupement est chargé de centraliser les demandes des agents et de les transmettre aux opérateurs concernés, en les épurant de toute information sensible.
En effet, si les services de l’État doivent justifier leurs requêtes auprès du Premier ministre (qui nomme une « personnalité qualifiée »), il est hors de question de transmettre ces explications aux opérateurs. Les fournisseurs d’accès ne sauront même pas de quel service ou ministère émane une demande, ni à quelle date elle a été formulée.
Quelles données sont concernées ?
Sans surprise, le décret se réfère à l’article 20 de la LPM. Peuvent donc être interceptées « à l’exclusion de toute autre » les informations permettant d’identifier l’utilisateur, les données relatives aux équipements terminaux de communication utilisés, les caractéristiques techniques ainsi que la date, l’horaire, la durée et la localisation de chaque communication, les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs et les données permettant d’identifier le ou les destinataires de la communication, ainsi que « les données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne ». Cela reste très large.
Un contrôle démocratique insignifiant
Face aux critiques sur l’intrusion dans la vie privée, le gouvernement invoque la Commission nationale de contrôle des interceptions de sécurité (CNCIS), un organe très joli sur le papier mais qui n’a jusqu’à présent pas été doté d’un réel pouvoir. Cette commission « dispose d’un accès permanent aux traitements automatisés », et « l’autorité ayant approuvé une demande de recueil d’informations ou de documents fournit à la commission tous les éclaircissements que celle-ci sollicite », promet le décret, plein de bons sentiments.
Néanmoins, la CNCIS n’a toujours pas le pouvoir de sanction et ne peut même pas alerter la justice en cas de manquement sur un dossier couvert par le secret de la défense nationale. Habile…
Par ailleurs, le gouvernement se protège en supprimant ses archives en un temps record. Si l’on peut saluer la suppression des informations et des fichiers recueillis au bout de trois ans, on ne peut être que surpris par le fait que les registres mentionnant qui a autorisé telle ou telle surveillance soient eux aussi « automatiquement effacés » après trois ans. Le seul contrôle démocratique possible lorsqu’on jongle avec le secret défense, celui qui s’effectue a posteriori, est donc rendu impossible, pour la CNCIS comme pour la justice.
À quel prix ?
« Les coûts supportés par les opérateurs pour la transmission des informations ou des documents font l’objet d’un remboursement par l’État », précise le décret. Pas un mot sur la grille tarifaire qui sera appliquée, car ils seront définis par les ministères concernés.
Qui peut demander les informations ?
Trois ministères sont habilités à émettre des demandes. Le décret détaille le nombre impressionnant de services pour lesquels les vannes du Web français sont ouvertes :
– Au ministère de l’Intérieur : la Direction générale de la sécurité intérieure (DGSI), la Direction générale de la police nationale (unité de coordination de la lutte antiterroriste, Direction centrale de la police judiciaire, Direction centrale de la sécurité publique, Direction centrale de la police aux frontières), la Direction générale de la gendarmerie nationale (sous-direction de la police judiciaire ; sous-direction de l’anticipation opérationnelle ; service technique de recherches judiciaires et de documentation ; sections de recherches), la préfecture de police (Direction du renseignement ; direction régionale de la police judiciaire ; service transversal d’agglomération des événements ; cellule de suivi du plan de lutte contre les bandes ; sûreté régionale des transports ; sûretés territoriales).
– Au ministère de la Défense : la Direction générale de la sécurité extérieure (DGSE), la Direction de la protection et de la sécurité de la défense, la Direction du renseignement militaire.
– Au ministère des Finances et des Comptes publics : la Direction nationale du renseignement et des enquêtes douanières, le service de traitement du renseignement et d’action contre les circuits financiers clandestins.
Dans tous ces services, seuls les agents et officiers « dûment habilités » par leur directeur pourront réclamer des informations, assure le décret.
Des perspectives inquiétantes
La loi de programmation militaire a mis en place un outil de surveillance de la population française qui aurait fait pâlir d’envie les pires dictateurs de l’histoire. Si nous sommes très loin d’un régime totalitaire en France, il n’est pas exclu que des leaders extrémistes disent demain merci au gouvernement Valls pour leur avoir fourni un tel outil clé en main.
PAR GUERRIC PONCET