La veille de Noël, le gouvernement a publié le décret d'application de l'article 20 de la loi de programmation militaire votée il y a un an. Ce texte étend, les interceptions de communication sur internet et notamment la collecte des « données de connexion ». Il est critiqué par la CNIL et la CNCIS, la commission chargée de contrôler les interceptions de sûreté.
Le gouvernement a publié, à la veille de la fête de Noël, le décret d’application du controversé article 20 de la loi de programmation militaire (LPM) adoptée il y a un an et visant à renforcer la surveillance d’internet, comme le rapportait dès vendredi 26 décembre le site NextInpact.
Définitivement adoptée le 10 décembre 2013, la LPM vise à encadrer, mais également, au passage, à renforcer les pratiques de surveillance d’internet des services de renseignements français. L’article 20 notamment pérennise un dispositif voté en 2006, de manière temporaire pour faire face à la menace terroriste, sous l’impulsion du ministre de l’intérieur de l’époque, Nicolas Sarkozy.
Ce texte ouvre la possibilité aux services antiterroristes de consulter les « données de trafic » sur simple avis d’une personnalité qualifiée « placée auprès du ministre de l’intérieur », le contrôle de la Commission nationale de contrôle des interceptions de sécurité (CNCIS) ne s’effectuant plus qu’a posteriori. Il comporte cependant une clause de renouvellement de trois ans, obligeant le gouvernement à régulièrement le reconduire.
Au prétexte de fusionner le dispositif de 2006 et le régime général des écoutes administratives afin de le pérenniser, l’article 20 de la LPM étend tout d’abord les cas permettant de demander la transmission des communications informatiques et de leurs métadonnées. Outre la prévention du terrorisme, sont désormais concernées les recherches liées à « la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France (…), de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous ». De plus, désormais, ce ne sont plus seulement les agences dépendant du ministère de la défense et de l’intérieur qui ont la possibilité de demander la collecte de données, mais également le ministère de l’économie et toutes ses administrations, comme Tracfin ou les douanes.
Encore plus inquiétant, la loi permet désormais d'obliger les hébergeurs et les fournisseurs d’accès à fournir les données « en temps réel » et sur « sollicitation du réseau ». Une formulation particulièrement vague, qui peut laisser craindre un dispositif de collecte des données branché directement sur les réseaux. Seule concession du législateur, le texte prévoit que la personnalité qualifiée chargée de valider les demandes d’interception dépendra, à compter du 1er janvier prochain, du premier ministre.
Le décret d’application signé le 24 décembre précise les modalités de nomination de cette « personnalité qualifiée ». Celle-ci, ainsi que les adjoints qui lui seront affectés, sera désignée par la CNCIS parmi une liste de noms établie par le premier ministre. Une fois en place, elle sera chargée d’examiner les demandes d’interception déposées par un service de l’État puis de les transmettre à l’hébergeur ou l'opérateur concerné. Les mises sur écoutes devront être autorisées, pour une durée maximale de 30 jours renouvelable, « par décision écrite du premier ministre ou des personnes spécialement désignées par lui ».
Concernant les données pouvant être collectées, le décret les limite aux « données d’identification » de l’utilisateur ainsi que les « métadonnées », c’est-à-dire les données d’un fichier permettant de connaître son auteur, sa date de création, de modification, éventuellement à qui il a été envoyé, par qui… Mais on apprend, dans une délibération de la Commission nationale de l’informatique et des libertés (CNIL) datée du 4 décembre et également récemment publiée au Journal officiel, que le gouvernement en espérait bien plus. En effet, une première version du décret prévoyait de permettre la collecte des « informations et documents, “y compris” les données limitativement prévues par le cadre juridique en vigueur ». Mais la CNIL a estimé que « cette formulation pourrait être interprétée comme permettant un élargissement des données pouvant être requises par rapport à celles pouvant actuellement être demandées aux opérateurs ».
Finalement, le texte limite « les informations et documents » pouvant être collectés, « à l’exclusion de tout autre », à une liste fixée par trois textes : les articles R10-13 et R10-14 du Code des postes et des communications électroniques, ainsi qu’à l’article 1erdu décret du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’une contenu mis en ligne. Cette liste comporte, notamment, les identités et adresses d’un abonné, l’identifiant de la connexion, les mots de passe, les dates et heures de connexion, les caractéristiques de la ligne de l’abonné, les adresses internet et comptes associés, les éventuels paiements…
La CNIL est par contre plus sévère concernant la possibilité de « sollicitation du réseau » « en temps réel » ouverte par la LPM, une notion encore une fois floue qui avait suscité de nombreuses inquiétudes. Or, souligne la commission, « les débats parlementaires incitaient à penser que cette disposition se limitait exclusivement à l'utilisation de la géolocalisation ». Mais, depuis, le Secrétariat général de la défense et de la sécurité nationale (SGDN) a « infirmé cette position en indiquant qu'il convenait que les dispositions réglementaires ne soient pas figées dans le temps au regard des évolutions technologiques ». « Au regard des risques potentiels en matière de protection de la vie privée et de protection des données personnelles », poursuit la CNIL, « la commission ne peut que regretter que le projet de décret ne permette pas de définir précisément et limitativement le périmètre de ce nouveau type de réquisition. »
Source : Mediapart.fr
Informations complémentaires :
