Skip to main content
logo
Lancer la vidéo

France. Une loi martiale numérique

Numéro 2 février 2014 par Paye

février 2014

La loi de pro­gram­ma­tion mili­taire sert habi­tuel­le­ment à enca­drer les bud­gets des forces mili­taires de l’Hexagone. Cette année, elle sort du cadre de la défense pour englo­ber la « lutte contre le crime ». Por­tant diverses dis­po­si­tions, concer­nant à la fois la défense et la sécu­ri­té natio­nale, elle com­prend un article 20 qui étend les pou­voirs de sur­veillance des autorités […]

La loi de pro­gram­ma­tion mili­taire sert habi­tuel­le­ment à enca­drer les bud­gets des forces mili­taires de l’Hexagone. Cette année, elle sort du cadre de la défense pour englo­ber la « lutte contre le crime ». Por­tant diverses dis­po­si­tions, concer­nant à la fois la défense et la sécu­ri­té natio­nale, elle com­prend un article 20 qui étend les pou­voirs de sur­veillance des auto­ri­tés admi­nis­tra­tives fran­çaises à « la pré­ven­tion de la cri­mi­na­li­té », fusion­nant ain­si droit de la guerre et droit pénal en géné­ra­li­sant la ten­dance déjà impri­mée par la lutte « anti­ter­ro­riste » à l’ensemble du champ pénal. En visant géné­ri­que­ment la « pré­ven­tion de la cri­mi­na­li­té », ce régime s’appliquera à toutes les infrac­tions. En sou­met­tant les citoyens fran­çais à un régime de sur­veillance, autre­fois réser­vé à des agents d’une puis­sance étran­gère, la loi ne sépare plus inté­rieur et exté­rieur de la nation, et ne dis­tingue plus infrac­tion pénale et ges­tion de l’hostilité. Ce pro­ces­sus omni­pré­sent n’est pas seule­ment iden­ti­fiable à l’intérieur du pays, mais aus­si dans les conflits inter­na­tio­naux. Les enga­ge­ments de la France en Libye pro­cèdent à une indif­fé­ren­cia­tion entre action de guerre et fonc­tion de police. La guerre n’est plus enga­gée, afin de se défendre ou de pro­cé­der à une conquête, mais pour « pro­té­ger les popu­la­tions d’un tyran ». De même, en ce qui concerne la Syrie, à la suite du mas­sacre chi­mique de Damas attri­bué aux troupes loya­listes, l’entourage du pré­sident Hol­lande, envi­sa­geant une inter­ven­tion limi­tée, avait fait état de la « grande déter­mi­na­tion de la France à réagir et à ne pas lais­ser ces crimes impunis ».

Afin de pro­cé­der à cette fusion du pénal et du mili­taire, la loi de pro­gram­ma­tion évince le pou­voir judi­ciaire et concentre les pou­voirs dans les mains de l’exécutif. Non seule­ment le troi­sième pou­voir est tota­le­ment contour­né, mais le seul dis­po­si­tif de contrôle à pos­té­rio­ri (Com­mis­sion de contrôle des écoutes et inter­cep­tions) rele­vant de l’exécutif ne pour­ra émettre qu’une « recom­man­da­tion » au Pre­mier ministre.

La col­lecte de don­nées porte sur les numé­ros de télé­phone, les adresses IP, ou les listes de contact de cor­res­pon­dants télé­pho­niques, ain­si que sur les don­nées de géo­lo­ca­li­sa­tion en temps réel. Seule­ment dans ce der­nier cas, l’autorisation préa­lable du juge des liber­tés ou de la Com­mis­sion natio­nale de contrôle des inter­cep­tions de sécu­ri­té (CNCIS), l’autorité de contrôle rele­vant du pou­voir exé­cu­tif, reste nécessaire.

Ain­si, l’article 20 de cette loi donne à l’administration le droit de col­lec­ter, en temps réel, sans recours à un juge et même sans auto­ri­sa­tion préa­lable de l’organe admi­nis­tra­tif de contrôle, des infor­ma­tions sur les uti­li­sa­teurs de réseaux de com­mu­ni­ca­tion. Des agents indi­vi­duel­le­ment dési­gnés, rele­vant des minis­tères de la Défense, de l’Intérieur, de l’Économie et du Bud­get, ain­si que des « char­gés de mis­sion », peuvent désor­mais accé­der direc­te­ment aux don­nées. La loi étend éga­le­ment le droit de regard à toutes infor­ma­tions et aux docu­ments sto­ckés par l’hébergeur et plus seule­ment aux don­nées techniques.

De plus, les admi­nis­tra­tions vont pou­voir exi­ger des don­nées pour motifs très larges, notam­ment ceux pré­vus à l’article 241 – 2 du code de la sécu­ri­té inté­rieure, c’est-à-dire concer­nant « la sécu­ri­té natio­nale, la sau­ve­garde des élé­ments essen­tiels du poten­tiel scien­ti­fique et éco­no­mique de la France, ou la pré­ven­tion du ter­ro­risme, de la cri­mi­na­li­té et de la délin­quance organisées ».

Ain­si, l’article 20, qui entre­ra en vigueur en jan­vier 2015, per­met la cap­ture en temps réel sur simple demande admi­nis­tra­tive, sur « sol­li­ci­ta­tion du réseau », des infor­ma­tions et docu­ments trai­tés dans ceux-ci et non plus seule­ment les don­nées de connexion des uti­li­sa­teurs. La col­lecte directe d’informations se fera, non seule­ment auprès des four­nis­seurs d’accès (FAI et opé­ra­teurs de télé­com­mu­ni­ca­tion), mais aus­si auprès de tous les héber­geurs et four­nis­seurs de ser­vices en ligne. Aucune dis­po­si­tion ne limite le volume des col­lectes. Celles-ci pour­raient pas­ser par l’installation directe de dis­po­si­tifs de cap­ture de signaux ou de don­nées chez les opé­ra­teurs et les héber­geurs. L’inscription des termes « sol­li­ci­ta­tion du réseau » signi­fie que les auto­ri­tés sou­haitent don­ner un cadre juri­dique à une inter­con­nexion directe. Cette loi rend éga­le­ment per­ma­nents des dis­po­si­tifs qui n’étaient que tem­po­raires. Si cette loi fran­çaise peut être com­pa­rée aux dis­po­si­tions du Patriot Act amé­ri­cain, on doit alors faire réfé­rence au Patriot Act Impro­ve­ment and Reau­to­ri­sa­tion Act, de 2006 qui rend per­ma­nentes les mesures tem­po­raires prises immé­dia­te­ment après les atten­tats du 11 sep­tembre 2001.

Le pou­voir exé­cu­tif a tou­jours sou­te­nu que la nou­velle loi ne por­tait aucu­ne­ment sur le conte­nu des mes­sages inter­cep­tés, mais uni­que­ment sur les don­nées de connexion. Cette lec­ture a été démen­tie par la Com­mis­sion natio­nale de l’informatique et des liber­tés (CNIL) qui, à la suite de la pro­mul­ga­tion de la loi de pro­gram­ma­tion mili­taire1, a déplo­ré l’adoption de cer­taines mesures d’accès aux don­nées per­son­nelles pré­vues par son article 20. Elle a tout d’abord à nou­veau regret­té de ne pas avoir été sai­sie sur cet article lors de l’examen du pro­jet de loi. Elle déplore sur­tout que « la rédac­tion défi­ni­tive du texte et que le recours à la notion très vague d’informations et docu­ments trai­tés ou conser­vés par les réseaux ou ser­vices de com­mu­ni­ca­tions élec­tro­niques semblent per­mettre aux ser­vices de ren­sei­gne­ment d’avoir accès aux don­nées de conte­nu, et non pas seule­ment aux don­nées de connexion2 ».

L’article, entré en vigueur dès jan­vier 2014, confie au Pre­mier ministre le soin de conduire l’action du gou­ver­ne­ment en matière de sécu­ri­té de l’information, en s’appuyant sur les ser­vices de l’ANSSI (Auto­ri­té natio­nale de sécu­ri­té des sys­tèmes d’information). Il crée sur­tout un pou­voir de contrat­taque, aus­si éten­du que flou, qui auto­rise l’État à pira­ter des ser­veurs enne­mis lorsque « le poten­tiel de guerre ou éco­no­mique, la sécu­ri­té, ou la capa­ci­té de sur­vie de la Nation » sont attaqués.

La loi ne défi­nit pas ce qu’est une cyber­me­nace et ne pré­cise pas l’autorité com­pé­tente pour déter­mi­ner ce qui consti­tue une atteinte au « poten­tiel de guerre ou éco­no­mique, la sécu­ri­té ou la capa­ci­té de sur­vie de la Nation ». Avec une ter­mi­no­lo­gie aus­si large, cette légis­la­tion pour­rait s’attaquer, par exemple, à une mani­fes­ta­tion orga­ni­sée et dif­fu­sée à tra­vers les réseaux sociaux.

Quant à l’article 22, il crée une obli­ga­tion, pour les FAI, héber­geurs et autres opé­ra­teurs, dont les infra­struc­tures sont consi­dé­rées d’importance vitale pour le pays, de mettre en place, à leurs frais, des outils de « détec­tion des évè­ne­ments sus­cep­tibles d’affecter la sécu­ri­té de leurs sys­tèmes d’information ». Ces outils étant exploi­tés par des tiers cer­ti­fiés ou par les ser­vices de l’État lui-même, la loi auto­rise, dans les faits, le pou­voir exé­cu­tif à ins­tal­ler des sondes qu’il contrôle direc­te­ment ou indirectement.

L’article 23 ren­force l’insécurité juri­dique pour les auteurs ou ven­deurs de logi­ciels qui pour­raient per­mettre l’interception de don­nées. Jusqu’à pré­sent, l’article 226 – 3 du code pénal inter­di­sait les appa­reils ou dis­po­si­tifs « conçus pour » inter­cep­ter des cor­res­pon­dances pri­vées ou des don­nées infor­ma­tiques. Main­te­nant, seront inter­dits les dis­po­si­tifs « de nature à » réa­li­ser de telles infrac­tions. L’intention ne sera plus à recher­cher, seul le résul­tat, même acci­den­tel, pour­ra compter.

L’article 23 bis donne accès aux fichiers d’abonnés à l’ANSSI qui pour­ra obte­nir les coor­don­nées de tout abon­né, héber­geur ou édi­teur de site inter­net, « pour les besoins de la pré­ven­tion des atteintes aux sys­tèmes de trai­te­ment auto­ma­ti­sé » ou si l’agence estime que son sys­tème infor­ma­tique est ou peut seule­ment être sujet à des attaques. En théo­rie, l’ANSSI pour­rait, par exemple, se faire com­mu­ni­quer les iden­ti­tés de tous les inter­nautes dont les ordi­na­teurs sont vul­né­rables, et iden­ti­fier des cibles pour exploi­ter ces failles pour les propres besoins de la défense nationale.

  1. http://bit.ly/1a3Hb7t.
  2. http://bit.ly/1aAMgCt.

Paye


Auteur

sociologue, auteur de L’emprise de l’image. De Guantanamo à Tarnac, éditions Yves Michel 2012