« La loi relative à la programmation militaire pour les années 2014 à 2019 et portant sur diverses dispositions concernant la défense et la sécurité nationales », présenté par le ministre de la Défense Jean-Yves Le Drian, est une loi supposée fournir un cadre législatif et budgétaire pour les organismes responsables de la défense et du renseignement en France pour la période 2014-2019. Elle prévoit donc avant tout le budget consacré à ces activités et leur répartition sur cinq ans, soit une enveloppe de 190 milliards d’euros. Ce n’est cependant pas sa partie budgétaire qui provoque la polémique, mais un volet particulier des « diverses dispositions concernant la défense et la sécurité nationales » dont certains vont jusqu’à le renommer en « loi martiale numérique ». Pour le ministère de l’économie et des finances, « il s’agit de s’adapter à l’évolution des technologies tout en renforçant les garanties démocratiques avec un double contrôle par une autorité indépendante et par le Parlement ».
En matière de lutte contre les cybermenaces, le livre blanc sur la défense et la sécurité nationale de juillet 2013 avait annoncé que « s’agissant des activités d’importance vitale pour le fonctionnement normal de la nation, l’État fixera par un dispositif législatif et réglementaire approprié, les standards de sécurité à respecter à l’égard de la menace informatique et veillera à ce que les opérateurs prennent les mesures nécessaires pour détecter et traiter tout incident informatique touchant leurs systèmes sensibles ». En ajoutant que « la capacité informatique offensive, associée à une capacité de renseignement, concourt de façon significative à la posture de cybersécurité ». Ces mesures ont été transposé dans la loi de programmation militaire nouvellement promulgué par le président de la République le 18 décembre 2013.
Les apports de la loi de programmation militaire en matière de lutte contre la cybermenace
Le projet de loi de programmation militaire 2014-2019 contient un chapitre III intitulé « dispositions relatives à la protection des infrastructures vitales contre la cybermenace » contenant les articles 14 à 16 dont on retrouvera le contenu dans le chapitre IV de la version finale de la loi aux articles 21 à 25, introduit par l’article 20 de la loi, anciennement article 13 du projet de loi.
C’est ce volet concernant la surveillance numérique qui cristallise toutes les réactions en prévoyant un accès facilité aux données téléphoniques ou informatiques pour le ministre de l’économie et des finances, les services de renseignement intérieur, la police ou la gendarmerie sans recourir à un juge. Pied de nez à la jurisprudence qui venait récemment de renforcer le contrôle du juge dans la surveillance par géolocalisation.
Rédigé dans le but de lutter plus efficacement contre le terrorisme et la criminalité organisée, l’article 20 suscite de vives inquiétudes car il ne semble pas prendre en compte la protection des libertés et droits individuels. Son application s’étendrait jusqu’à la préservation du « potentiel scientifique et économique de la France ». Des inquiétudes attisées par la volonté du gouvernement de s’abstenir de l’avis de la CNIL en amont du projet.
L’article 20 de la loi abroge l’article L. 34-1-1 code des postes et communications électroniques relative à la collecte de données traitées par les réseaux ou les services de communication électronique en matière de lutte contre les actes terroristes.
Il modifie le code de la sécurité intérieure en y ajoutant notamment, à l’article L. 246-1 et prévoit que « pour les finalités énumérées à l’article L. 241-2, peut être autorisé le recueil, auprès des opérateurs de communications électroniques et des personnes […] des informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques, y compris les données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communications électroniques, au recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée, à la localisation des équipements terminaux utilisés ainsi qu’aux communications d’un abonné portant sur la liste des numéros appelés et appelant, la durée et la date des communications. »
L’article L. 241-2 du code de la sécurité intérieure, non modifié par la loi de programmation militaire, prévoit que « peuvent être autorisées, à titre exceptionnel, dans les conditions prévues par l’article L. 242-1, les interceptions de correspondances émises par la voie des communications électroniques ayant pour objet de rechercher des renseignements intéressant la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous en application de l’article L. 212-1. »
Les dispositions relatives à la collecte de données traitées par les réseaux ou les services de communication électronique sont donc transférées du code des postes et des communications électronique au code de la sécurité intérieure. Et il ne s’agit plus seulement de lutter contre le terrorisme, mais aussi de défendre les intérêts économiques de notre pays, ce qui est une notion vaste et flou. Pour cela l’administration ne se satisfait plus d’accéder a posteriori à des données de connexion pour les analyser, elle capture des données en temps réel. La loi autoriser l’examen de toute information ou document conservé par un hébergeur, sans que l’aval d’un juge soit nécessaire.
L’article L. 246-3 du même code dispose que les informations « peuvent être recueillis sur sollicitation du réseau et transmis en temps réel par les opérateurs aux agents mentionnés au I de l’article L. 246-2 ». À ce sujet, l’association des services Internet communautaires regroupant des acteurs comme Google, Yahoo, Microsoft a faut part de son inquiétude quant à la création d’un régime d’exception en matière d’accès aux données des internautes. L’association constate que la loi instaure de très nombreuses dispositions destinées à renforcer et à étendre le régime d’exception créé à l’occasion de la loi antiterrorisme de 2006 en matière d’accès aux données des utilisateurs. Et elle se demande si derrière la « sollicitation du réseau » ne se cache pas « un cadre juridique à une interconnexion directe sur les réseaux » par la mise en place de systèmes d’interception informatique dans les réseaux des FAI, les opérateurs ou les sites web.
L’article 21 du projet de loi confie au Premier ministre le soin de conduire l’action du Gouvernement en matière de sécurité de l’information, en s’appuyant sur les services de l’autorité nationale de sécurité des systèmes d’information (ANSSI), et crée un pouvoir de contre-attaque aussi étendu que flou, qui autorise l’État à pirater des serveurs ennemis lorsque « le potentiel de guerre ou économique, la sécurité, ou la capacité de survie de la Nation » sont attaqués.
L’article 22 crée une obligation de mettre en place à leurs frais des outils de « détection des événements susceptibles d’affecter la sécurité de leurs systèmes d’information » pour les FAI, hébergeurs et autres opérateurs dont les infrastructures sont considérées d’importance vitale pour le pays, ces outils étant exploités par des tiers certifiés ou par les services de l’État lui-même. Ce qui signifie que l’État obligerait à l’installation de sondes dont-il contrôlerait, directement ou indirectement, la mise en place et l’efficacité.
L’article 22 ajoute que le Premier ministre peut ordonner toute mesure aux FAI et autres hébergeurs « pour répondre aux crises majeures menaçant ou affectant la sécurité des systèmes d’information », sous peine d’une amende de 150.000 euros. Le Premier ministre peut ainsi exiger la coupure d’un serveur, le routage de données vers des routes spécifiques, ou même la participation à des contre-attaques. Cependant, seules les mesures liées spécifiquement à la sécurité des systèmes d’information peuvent être ordonnées sans contrôle judiciaire.
L’article 23 de la loi de programmation militaire renforce l’insécurité juridique de l’article 226-3 du code pénal qui jusqu’à présent interdisait les appareils ou dispositifs « conçus pour » intercepter des correspondances privées ou des données informatiques et qui désormais interdit les dispositifs « de nature à » réaliser de telles infractions. L’intention n’est plus à rechercher, seul le résultat compte. De quoi inquiéter quelques auteurs de logiciels ou vendeurs de matériels, qui risque alors cinq ans d’emprisonnement et de 300.000 euros d’amende.
Plus polémique enfin, l’article 24 de la loi dispose que « les agents de l’autorité nationale de sécurité des systèmes d’information, habilités par le Premier ministre et assermentés dans des conditions fixées par décret en Conseil d’État, peuvent obtenir des opérateurs de communications électroniques, en application du III de l’article L. 34-1 du code des postes et des communications électroniques, l’identité, l’adresse postale et l’adresse électronique d’utilisateurs ou de détenteurs de systèmes d’information vulnérables, menacés ou attaqués ».
L’ANSSI peut ainsi obtenir les coordonnées de tout abonné, hébergeur ou éditeur de site internet, si l’agence estime que son système informatique est ou peut être sujet à des attaques. La disposition ne réserve pas cette faculté qu’aux seules fins d’information des personnes concernées. En théorie, l’ANSSI pourrait donc se faire communiquer les identités de tous les internautes dont les ordinateurs sont vulnérables et identifier des cibles pour exploiter ces failles pour les propres besoins de la défense nationale.
Cet article modifie également l’article L. 34-1 du code des postes et des télécommunications pour donner à l’ANSSI la possibilité de se faire communiquer des données d’abonnés « pour les besoins de la prévention des atteintes aux systèmes de traitement automatisé ».
Le contrôle des captures de données en temps réel
En pleine affaire Snowden, qui a démontré le développement très complexe et élaboré du système d’espionnage de la NSA, la discussion sur la cybersécurité dans la loi de programmation militaire interpelle sur la frontière entre ce qui est autorisé et ce qui ne l’ait pas. L’affaire Prism a démontré l’absence de contrôle sur les outils de collectes de données personnelles. Cette loi reflète une certaine hypocrisie du gouvernement qu’il y a quelques mois s’insurgeait du comportement de l’agence de renseignement américaine et qui aujourd’hui et reprend le même schéma.
Outre le périmètre d’accès aux données de connexion qui s’est considérablement étendu, on constate que la mise en place d’autorisations ministérielles, le renforcement de la délégation parlementaire au renseignement et le contrôle a posteriori de la Commission nationale de contrôle des interceptions de sécurité (CNCIS) pour encadrer l’accès par les services de renseignements aux données de connexion ne permettent par l’action du juge. L’autorité judiciaire reste absente, tant au niveau du contrôle du dispositif, qu’au niveau du recours contre la conservation des données capturées. Les procédures sont uniquement intra-administratives. Ce qui la source d’inquiétude quant à des dérives potentielles du système.
Dans son rapport d’activité de 2012, la CNCIS annonce que 197.057 demandes d’interceptions de connexions ont été traités. Le premier ministre a demandé 6.145 interception de sécurité, c’est-à-dire des écoutes téléphoniques et informatiques. Sur ces demandes, seulement 50 ont été refusées par le CNCIS et seulement 23% de ces demandes concernent la prévention contre le terrorisme. C’est dans ce cadre que s’inscriront les collectes de connexion en temps réel prévu par la loi de programmation militaire. Outre le volume impressionnant de demande, c’est l’opacité du système qui inquiète le plus. D’autant plus que le pouvoir du CNCIS en la matière se limitera, non pas à interrompre une géolocalisation qu’elle estime illégitime, mais simplement à émettre une recommandation dans ce sens auprès du Premier ministre. Un contrôle a mettre en perspective avec le nombre des demandes qui lui seront transmises et la composition du CNCIS, constitué de trois membres.
Le Conseil national du numérique estime quant à lui, dans son avis du 6 décembre 2013 sur les libertés numériques, que « des réflexions transversales, à la fois au niveau parlementaire et auprès du public » sont nécessaires.
L’évincement de la CNIL du volet sur la cybermenace
La CNIL a elle-même « déploré » fin novembre de ne pas avoir été saisie des dispositions « relatives à l’accès en temps réel aux données de connexion par des agents des ministères de l’Intérieur, de la Défense et du Budget ».
Le gouvernement doit saisir la CNIL de tout projet de loi relatif à la protection des personnes à l’égard des traitements automatisés conformément à la loi relative à l’informatique, aux fichiers et aux libertés. A ce titre, en juillet 2013, la CNIL a été saisie en urgence des dispositions des articles 8 à 12 du projet de loi de programmation militaire. Elle a rendu son avis dans une délibération en date du 18 juillet 2013 non publié. En revanche, elle n’a pas été saisie des dispositions de l’article 13 du projet, transposé par l’article 20 de la loi de programmation militaire, relatives à l’accès en temps réel, aux données de connexion par des agents des ministères de l’intérieur, de la défense et du budget.
L’évincement de la CNIL du contrôle de l’article 13 du projet de loi et du volet sur la lutte contre la cybermenace n’a fait qu’augmenter l’inquiétude des acteurs de l’Internet. Il a été vu par plusieurs d’entre eux comme un signe de culpabilité du gouvernement.
La CNIL dispose de la compétence de contrôle a priori et a posteriori en matière de traitements. Elle devra donc se prononcer sur les actes réglementaires créant les traitements projetés, notamment le décret d’application de la loi. Elle pourra également réaliser des contrôles sur place inopinés afin de s’assurer du respect des libertés individuelles.
L’absence de saisine du Conseil constitutionnel
Les associations de défense des Droits de l’Homme ont attendu la saisine du Conseil constitutionnel, persuadé de son inconstitutionnalité à l’image de la loi Loppsi II qui permettait d’accéder aux données de connexion et aux contenus dans des conditions déclarées inconstitutionnelles en 2011.
L’article 61 de la Constitution prévoit que le Conseil constitutionnel peut être saisi par le Président de la République, le Premier ministre, le Président de l’Assemblée nationale, le Président du Sénat et 60 députés ou 60 sénateurs, pour contrôler la constitutionnalité d’une loi entre le moment de son adoption et celui de sa promulgation.
L’UMP et l’UDI ont réussi à réunir 48 députés pour la saisine du Conseil constitutionnel. Cependant, ils n’ont pas souhaité s’unir avec EELV, qui selon son porte parole aurait pu apporter 17 signatures supplémentaires, et le Front de Gauche. Et « en politique, 48 + 17 ne vaut pas 65… » résume la député UMP Laure de la Raudière dans l’un de ses tweet. La député précise qu’elle savait que si les signataires UMP s’unissait avec les écologistes il y aurait des désistements dans ses rangs et leur nombre final serait en dessous des 60 signataires requis pour saisir le Conseil consitutionnel. Étant donné qu’il s’agit d’une loi de programmation militaire et que la « position traditionnelle des écologistes est restée relativement anti-militariste ».
Si le Conseil constitutionnel a encore une occasion d’intervenir avec les questions prioritaires de constitutionnalité qui pourront éventuellement être soulevées par les justiciables sur ce texte, ce ne sera pas avant son entré en vigueur avec son décret d’application prévu le 1er janvier 2015 pour l’article 20.
Sources :
- Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant sur diverses dispositions concernant la défense et la sécurité nationale, lien.
- CHAMPEAU (G.), « La loi de programmation militaire crée une loi martiale numérique », Numérama, consulté le 25 novembre 2012, lien.
- CHEMINAT (J.), « La loi de programmation militaire : un espionnage numérique élargi et institutionnalisé », Le Monde informatique, consulté le 26 novembre 2013, lien.
- DUPONT-CALBO (J.), « Loi de programmation militaire : les acteurs du numérique inquiets », Le Monde, consulté le 9 décembre 2013, lien.
- CNIL, « Loi de programmation militaire : la CNIL déplore de ne pas avoir été saisie des dispositions relatives à l’accès des données de connexion », consulté le 26 novembre 2013, lien.
- BERNE (X.), « Pourquoi la saisine du Conseil constitutionnel sur la LPM a capoté », PCINpact, consulté le 21 décembre 2013, lien.