Surveillance d’internet : sécurité 1- libertés 0. Et pour l’efficacité, quel score ?<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
Politique
Surveillance d’internet : sécurité 1- libertés 0. Et pour l’efficacité, quel score ?
©Reuters

Faut-il vraiment choisir entre les deux

Le gouvernement veut renforcer les capacités de surveillance d'internet par les services de renseignement pour mieux lutter contre le terrorisme. Le risque est que toute réelle possibilité de contrôle sur les procédures disparaisse.

Etienne  Drouard

Etienne Drouard

Etienne Drouard est avocat spécialisé en droit de l’informatique et des réseaux de communication électronique.

Ancien membre de la CNIL (Commission nationale de l'informatique et des libertés), ses activités portent sur l’ensemble des débats de régulation des réseaux et contenus numériques menés devant les institutions européennes, françaises et américaines.

Voir la bio »
Eric Denécé

Eric Denécé

Eric Denécé, docteur ès Science Politique, habilité à diriger des recherches, est directeur du Centre Français de Recherche sur le Renseignement (CF2R).

Voir la bio »

Le ministre de l'Intérieur Bernard Cazeneuve a commencé lundi 19 janvier à dérouler les premières mesures demandées par Manuel Valls, pour mieux contrer la menace terroriste. Ce plan consiste notamment à renforcer la surveillance sur internet, au moyen de statistiques de la cybercriminalité, de  nouvelles unités cyber pour renforcer la gendarmerie avec des "capacités d'investigations de haut niveau", et d'une meilleure collaboration avec les géants du web Google, Facebook ou encore Twitter.Le Conseil des ministres de ce mercredi 21 janvier était essentiellement consacré à la question de la lutte contre le terrorisme. En avril prochain, un projet de loi sur le renseignement sera présenté.

Atlantico : Bernard Cazeneuve a bien pris soin de préciser lundi lors du Forum International sur la Cybersécurité que "Nous devons tout faire pour que le cyberespace soit avant tout un lieu où l'exercice des libertés fondamentales et la protection de la vie privée sont garantis." N'est-ce pas lorsque les pouvoirs publics jugent utile de faire ce genre de précision qu'il y a justement tout lieu de se méfier ? Sommes-nous en train d'emprunter la voie vers un Patriot Act à la française ?

Eric Denécé : Je ne le pense pas, mais il convient toutefois de rester d’une extrême vigilance. J’observe que le gouvernement a passé le 24 décembre dernier, alors que le pays était occupé à autre chose, un décret sur la surveillance d’internet qui étend les possibilités de surveillance.

>> Lire à ce sujet Le gouvernement profite des fêtes pour étendre drastiquement la surveillance des internautes français

Je suis également très surpris des réactions inconséquentes de l’opposition appelant à un Patriot Act à la française. Cela traduit à mon sens à la fois une sur réaction disproportionnée aux attentats récents et surtout une méconnaissance totale de ce qu’est le Patriot act américain et de la manière dont il a été imposé aux Américains.

C’est pourquoi, vouloir ou parler d’un Patriot Act à la française est une aberration. Nous disposons d’un système juridique adapté pour lutter contre le terrorisme, nous ne voulons pas remettre en cause notre système démocratique et de toute façon, nous n’aurons jamais les moyens des Américains.

Etienne Drouard :Nous nous trouvons face à deux emplois de la méthode Coué :

Le premier consiste à dire qu'on ne va pas porter atteinte à la vie privée. Cette affirmation doit être complétée par le morceau de phrase que n'a pas prononcé le ministre, à savoir : "on ne va pas porter atteinte à la vie privée des personnes que nous n'avons aucune raison de soupçonner d'avoir des activités terroristes."

Cela signifie que la vie privée n'est pas une barrière destinée à cacher une délinquance ou un crime, et que donc les éléments concordants qui permettent d'identifier les personnes à risque peuvent être réunis pour les surveiller, par exception à la vie privée à laquelle nous avons tous droit. Mais cette surveillance doit elle-même être surveillée. Pourquoi ? La prévention du terrorisme est une activité extrêmement délicate qui consiste à identifier un risque pour intervenir avant la commission de l'infraction. Elle repose donc sur des informations qui déclenchent des présomptions, qui ont vocation à justifier de mesures de surveillance préventive. L'équilibre sécurité-liberté individuelle impose donc des mécanismes de contrôle des organismes qui décident ce que constitue un risque. Dans la Loi de programmation militaire de décembre 2013, aucun contrôle effectif n'a été prévu. Ils ont même tous été écartés, volontairement. Le seul contrôle qui subsiste consiste en ce qu'une demande de surveillance formulée par les services spécialisés de l’Etat doit être transmise par un fonctionnaire habilité auprès du ministère de l'Intérieur, qui l'autorise pour une période renouvelable indéfiniment. Ces demandes sont placées sous le contrôle de la CNCIS (Commission nationale de contrôle des interceptions de sécurité), qui ne peut que vérifier le motif – la lutte contre le terrorisme –, l'origine de cette demande – l'un des services habilités à l'effectuer–, sans qu'un contrôle de fond s'exerce sur la pertinence.

Force est de reconnaître que l'on n'est pas moins efficace lorsqu'on est pertinent. Or, il n’y a pas de contrôle de pertinence. Instaurer de vrais contrôles ne reviendrait pas à réduire l'efficacité des services. Si la CNCIS constate qu'une demande est irrégulière, ce qui voudrait dire qu'elle ne vient pas du bon service, et que l'argument terroriste a été utilisé à tort et à travers, elle a le droit de le signaler au Premier ministre qui pourra éventuellement décider d'invalider la demande. Il va sans dire que cela n'arrivera jamais. Le processus décisionnel n'est pas indépendant, et cela se comprend. Mais le processus de contrôle, en revanche, a un périmètre voué à l'inefficacité, et qui n'aboutit à aucune mesure corrective ni de contrôle sur le fond.

Par exemple, on pourrait s'attendre à ce que, dans l'hypothèse miraculeuse où un Premier ministre désavoue des services en charge de la lutte contre le terrorisme, il faudrait effacer le contenu de ce qui a été recueilli. Mais ce n'est même pas prévu, le Premier ministre se contente de mettre fin à la mesure. Après 10 années d'exercice du Patriot Act, jusqu'à ce qu'Edward Snowden révèle les pratiques de  la NSA, une leçon doit être tirée : ce n'est pas le motif de la surveillance qu'il faut discuter, mais l'exécution de la mesure de surveillance qu'il faut contrôler. C'est tout simplement la notion de contre-pouvoir qui doit s'appliquer. Lorsque l'affaire Snowden a éclaté, les grandes démocraties européennes ont hurlé parce qu'on avait pu mettre sur écoute les chefs d'Etats alliés des Etat-Unis. Ces dérives qui ont été dénoncées sont précisément celles pour lesquelles Loi de programmation militaire de 2013 a été adoptée : celle-ci partait du principe que les Américains avaient une capacité de surveillance, et qu'il nous fallait la même. Mais en termes de procédure, nous faisons encore pire : alors que dans le cadre du Patriot Act, la décision de surveiller est prise, certes à huis clos, mais par un juge fédéral indépendant, auquel il est déjà reproché de n'être qu'une chambre d'enregistrement, nous avons une autorité administrative indépendante dont le pouvoir n'est même pas de refuser, d'interdire ou d'annuler une mesure de surveillance, mais seulement de la signaler secrètement au Premier ministre, alors même qu’on reste aveugle sur la proportionnalité de la mesure.

La 2e méthode Coué consiste à dire que nous devons collaborer avec les géants américains. La grande différence entre ce qu'a été le Patriot Act et ce que serait une loi française qui revendiquerait ou rejetterait sa gémellité avec la loi américaine, c'est que quand les Etats-Unis ont légiféré sur la coopération technique entre les géants du web et les agences gouvernementales, les géants concernés étaient leurs propres ressortissants. On peut reprocher les dérives de cette coopération prévue par la loi américaine, dérives qu'ont d'ailleurs dénoncées les géants du web eux-mêmes, qui ne peuvent pas communiquer sur leur coopération sauf à violer une obligation de secret fédéral, mais ils se trouvent aux Etats-Unis : nous pouvons leur demander de nous aider mais nous ne nous dotons actuellement d'aucun levier légal ou réglementaire pour que cette coopération soit impérative ou pérenne. Nous dépendons donc de l'administration américaine et de la coopération volontaire des géants américains pour avoir des informations suer les personnes à risque sur nos territoires. Ce n'est pas la loi qui règle ce sujet, et nous ne sommes manifestement pas en train de prendre le chemin d'une loi qui imposerait à ces acteurs, sous couvert de sanctions, de répondre aux autorités françaises. Bernard Cazeneuve s'apprête à se rendre aux Etats-Unis, comme David Cameron avant lui. Sauf que ce dernier n'a pas crié dans les médias ce qu'il allait expliquer à Barack Obama, lorsque il est allé chercher une coopération "soft", entre services, sans besoin de législation, sans sanctions inefficaces. Notre ministre de l'Intérieur, lui, déclare qu'il va se rendre aux Etats-Unis pour expliquer la vision française de la liberté d'expression. Mais il n'est pas le ministre de la communication ni de la liberté d'expression : s'il a une chose efficace à faire aux Etats-Unis, c'est la même que David Cameron, c’est-à-dire obtenir la confiance pour de la coopération pérenne et efficace, pas seulement sur l’information brute, mais également sur les capacités d’analyse.

Un projet de loi sur le renseignement est en cours de préparation à l'Assemblée, que le député Jean-Jacques Urvoas a déjà commencé à exposer sur Europe 1 le 14 janvier, expliquant que  "tous ceux sur qui nous avons des suspicions pourront être écoutés". A quelles dérives cela peut-il donner lieu ? La constitutionnalité du projet loi pourrait-elle ne pas être remise en cause ?

Eric Denécé : Je crois qu’il faut distinguer deux choses. D’abord, l’existence d’une loi cadre sur le renseignement, qui existe dans toutes les autres démocraties, est indispensable en France, afin de donner au services la place et la reconnaissance qu’ils méritent. En revanche, les propos de JJ Urvoas sont inquiétants car ils ouvrent la boîte de Pandore vers toutes les dérives : comment se définira la suspicion ? Quelle en sera la définition juridique et judiciaire ? Quid de cette loi si un jour un parti peu démocratique arrive au pouvoir ? Il aura alors entre les mains un outil pour lutter contre toute forme d’opposition.

Derrière cela, je crois par ailleurs qu’il y a une sorte de refus de la fatalité. Or nous n’arriverons jamais à empêcher tous les attentats terroristes, quels que soient les moyens consentis. Alors autant préserver nos libertés civiles, sinon, les terroristes auront gagné. Rappelons pour mémoire que si les attentats se multipliaient en France, débouchant éventuellement sur une situation insurrectionnelle des banlieues, nous dirigeants peuvent décréter "l’état d’urgence" pour une période donnée. Dans ce cadre, les dispositions changent et il ne me semble donc pas utile d’aller trop loin en situation "normale".

Etienne Drouard : La constitutionnalité de la Loi de programmation militaire ne peut être étudiée désormais que dans le cadre d'une question prioritaire de constitutionnalités (QPC). Une telle question ne peut être soulevée qu'à l'occasion de la mise en œuvre de cette loi. Or, celle-ci n'est entrée en vigueur que depuis le 24 décembre 2014, lorsqu'ont été publiés les décrets d'application de cette loi, qui devait entrer en vigueur le 1er janvier 2015. Puisque cela n'a pas été fait au stade parlementaire, la constitutionnalité de cette loi peut désormais être questionnée, à condition que son exécution soit visible et qu'un justiciable puisse soulever un tel problème de constitutionnalité. Le propre de la surveillance administrative prévue est qu'elle est invisible jusqu'à ce qu'elle se transforme en une affaire judiciaire. Il va donc falloir attendre encore un peu, mais il n'est pas trop tard pour la saisine du Conseil constitutionnel.

Quel niveau d'efficacité peut-on attendre de ce renforcement des moyens de surveillance d'internet, déjà fortement favorisés par le précédent Projet de loi militaire de 2013 ?

Eric Denécé : Une amélioration de la surveillance des réseaux et individus impliqués dans le djihad se produira, mais rapidement elle atteindra un seuil, car la surveillance d’internet nécessite des moyens techniques et humains importants. N’oublions pas par ailleurs que les terroristes, s’ils sont mentalement dérangés, ne sont pas totalement idiot sur le plan opérationnel, à l’exemple des frères Kouachi qui n’ont pas été détectés. Il apprendront rapidement à se méfier de leurs communications électroniques et téléphoniques. C’est pourquoi il faut impérativement, en parallèle, remettre à l’honneur le renseignement de terrain dans nos banlieues, pratiquer l’infiltration, etc.

Etienne Drouard : Aujourd'hui les sources d'information sont déjà très riches et nombreuses. Ce qui manque, c'est une coopération pérenne et des outils d’analyse qui puissent brasser le « Big Data » de la surveillance pour en ressortir des éléments significatifs d'un risque ou d'une relation entre des personnes à risque. On l'a vu avec les échanges entre les téléphones des épouses des frères Kouachi : il est reproché à l'autorité judiciaire d'avoir interdit leur surveillance, ce qui est totalement faux : depuis la Loi de programmation militaire, on n'a pas besoin d’un juge lorsque la surveillance est administrative. Mais surtout, lorsqu'on de se dit qu'une personne à risque est en train d'entrer ou de sortir du territoire, et que les moyens humains d'intervention ne suffisent pas à la suivre et l’arrêter, il faut au moins que l'alerte soit déclenchée par des moyens informatiques d'analyse qui procèdent à du recoupement de comportements et de localisation. Aujourd'hui, ces dispositifs d'analyse existent. Ils sont utilisés à des milliards de reprises chaque jour par des professionnels de la publicité comportementale. Si on sait prédire qu'un consommateur va acheter des couches culottes ou une machine à café, on devrait pouvoir faire des recoupements efficaces entre les lieux où se trouvent des personnes à risque et le fait qu'elles aient des liens. Les méthodes prédictives existent, elles envahissent l’économie numérique et il ne fait aucun doute aujourd'hui que nous péchons par notre capacité d'analyse dans le domaine de la sécurité. Cette analyse nécessite d'écrire dans des algorithmes des événements, des recoupements, des liens, qui constituent isolément des signaux faibles et qui peuvent être rassemblés par des modèles de comportements et de présomptions : les outils d'analyse doivent donc être mis sous contrôle, car le jour où je serai considéré comme dangereux parce que j'aurai acheté mes légumes à proximité d'une mosquée fondamentaliste, on se sera trompé de comportement et, donc, de personne. La Loi de programmation militaire, pour effectuer des contrôles, a désigné la CNCIS, c’est-à-dire 3 personnes aidées par trois salariés, chauffeurs compris. Cette autorité est chargée de contrôler des volumes d'écoutes, mais pas la surveillance ni l’analyse informatique. Pourtant, il existe une autorité en charge de la vie privée et de l'informatique, qui existe depuis 1978, et qui s'appelle la CNIL. Dans la loi, on a donc décidé de nommer une institution qui ne sert pas à grand-chose, qui n'a pas les moyens, et qui, dès le départ, n'était pas la bonne.

Dans le texte qui va intervenir, que ce soit sur les outils d'analyse ou les mesures de surveillance, si on veut plutôt nommer une autorité administrative pour ne pas mélanger les genres entre judiciaire et administratif, il faudrait que ce soit la CNIL, qui dispose d'un corps d'ingénieurs d'inspection et de contrôle, qui opère déjà sur les fichiers des renseignements généraux depuis les années 1980 et pour les fichiers de police judiciaire depuis les années 1990. Ils connaissent bien les techniques d’analyse comportementales, savent ce que fait un algorithme de tri d’informations. Volontairement, le législateur n'a pour l'instant pas désigné les institutions compétentes, et en plus, il n’a donné aucun pouvoir à celle qu’il a désignée.

A la suite des attentats du 11 septembre, les Américains avaient adopté comme un seul homme le Patriot Act, dont on a pu constater les applications concrètes avec  les révélations d'Edward Snowden. Cette surveillance généralisée a-t-elle amélioré la sécurité des citoyens américains et de ceux des pays alliés des Etats-Unis ?

Eric Denécé :  L’équipe du président GW Bush a joué a fond sur l’impact des attentats du 11 septembre 2001 et sur la psychose de nouvelles attaques. Grâce à cette « émotion », le gouvernement a pu faire votre par le Congrès des lois d’exceptions, souvent liberticides. Les citoyens ne se sont pas aperçus qu’ils donnaient le bâton pour se faire battre. Heureusement que quelques individus lucides comme Edward Snowden ont pu révéler l’ampleur de la dérive policière du système américain, quitte à être accusés de trahison. Malheureusement, afin de garantir leur confort personnel, beaucoup d’Américains ne demandent pas la remise en cause de ce Patriot Act et autorisent ainsi les nombreuses dérives observées. C’est pourquoi les critiques d’Obama sur le régime autoritaire de Poutine font sourire.

La Russie d’aujourd’hui a considérablement progressé par rapport à l’URSS totalitaire, même si tout n’y est pas parfait. En revanche, les Etats-Unis d’aujourd’hui n’ont plus rien de commun avec la démocratie de la Guerre froide.

Etienne Drouard : Pendant les 5 premières années les investissements de la NSA ont été consacrés à la construction d'une infrastructure de surveillance, à coup de milliards de dollars chaque année. Ces outils sont précisément des outils d'analyse et de recoupement. Leur efficacité en termes d'évitement du risque terroriste n'est pas connue, en revanche, on a bien vu les résultats de l'absence de contrôle de ces outils, qui a fait que l'on s'est largement éloigné du sujet du terrorisme, en pratiquant une stratégie de « filet dérivant » : « je prends tout, on triera ensuite » -ou pas. Les dernières révélations d'Edward Snowden sont venues le rappeler: les surveillances de la NSA ont servi davantage à la souveraineté numérique des Etats-Unis pour le renseignement d'Etat qu'à la lutte internationale contre le terrorisme salafiste.

A quels reculs sur le plan des libertés publiques le Patriot Act a-t-il donné lieu ?

Eric Denécé : Il est bon de rappeler que le Patriot Act américain, passé dans la foulée des attentats du 11 septembre a transformé les Etats-Unis en une véritable république policière, autorisant les arrestations et détentions arbitraires (y compris à l’étranger), légitimant et institutionnalisant la torture via la CIA, mettant toute sa population sous surveillance téléphonique et internet… C’est totalement attentatoire aux libertés civiles et depuis cet ACT, les Etats-Unis ne méritent plus le nom de « Première démocratie du monde », tant ils en sont loin. Rappelons que la CIA est allé jusqu’à espionner les parlementaires chargés de la contrôler pour qu’ils ne révèlent pas certaines de ses turpitudes…. le KGB n’aurait pas fait mieux !

De plus, la débauche de moyens du renseignement américain (100 000 personnes et des dizaines de milliards de dollars) n’a guère contribué a empêcher des attentats, bien qu’il ait considérablement développé les capacités des services : mais celles-ci ont été largement utilisées à d’autres fins : espionnage politique des alliés, espionnage économique, espionnage militaire des adversaires, etc.

Par ailleurs, le patriot Act a permis aux Américains de prendre des années d’avance sur tout le monde en matière de moyens de surveillance et ont développé un secteur économique spécialisé extrêmement performant.

Etienne Drouard : Les reculs sont multiples : absence d'outils de contrôle indépendants sur les mesures de surveillance, absence d'informations sur la source d'un fait qui peut vous être reproché, absence de contrôle de la finalité des mesures de surveillance. Il y a donc une porosité des informations recueillies pour des objectifs exceptionnels de la lutte contre le terrorisme et les affaires judiciaires de droit commun. Cela pose question sur les droits de la défense et la procédure d’enquête : si un voleur de voiture est surveillé parce qu'il se trouve dans le périmètre d'une surveillance électronique de lutte contre le terrorisme, et que ces faits sont versés dans une procédure judiciaire, il n'y a plus de contradictoire sur la recevabilité des preuves par les services, plus de juge compétent à l’initiative de l’action publique. C'est un recul de l’Etat de droit, et cela soulève un immense danger d'inefficacité des procédures, car plus on utilisera à des fins judiciaires des mesures de surveillance clandestines et administratives, plus elles seront inconstitutionnelles, et on sera donc peut-être obligé de relâcher des gens potentiellement dangereux.

Les propos de Jean-Jacques Urvoas peuvent être jugés inquiétants, mais lui-même ne fait pas peur. C'est un démocrate. Mais il faut penser à l'absence de contrôle de ces dispositifs si en 2017 ou plus tard un parti non démocrate arrive au pouvoir : qui sera qualifié de terroriste ? Qui contrôlera les mesures de surveillance préventive ? A quelles fins les outils d'analyse seront-ils utilisés ? Pour surveiller des terroristes, ou des mouvements de populations ? Prédire des attentats ou des votes ? La démocratie ne consiste pas à avoir confiance en les hommes et les objectifs qu'ils poursuivent, mais à mettre en place des processus pour que, confiance ou pas, les hommes qui agissent pour la sécurité publique soient contrôlés.

Propos recueillis par Gilles Boutin

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !