Introduction : une modification importante de la législation par voie d'amendement

L'article 13 de la loi de programmation militaire est le produit d'un important travail d'amendement du Sénat. Alors que la version initiale du projet de loi ne portait que sur la seule géolocalisation, les Sénateurs ont souhaité mieux encadrer non seulement la géolocalisation, mais également les processus d'écoute allant de la seule collecte des metadonnées (dont les «fadettes» sont l'exemple le plus connu) aux données proprement dites.
L'article 13 dans la version figurant dans la «petite loi» transmise en seconde lecture au Sénat pose de multiples problèmes.

Un contexte délicat

Le contexte est le premier d'entre eux. La confiance aveugle en les différents acteurs de l'Internet n'est plus de mise après la révélation par Edward Snowden de l'ampleur des écoutes électroniques mise en place par la NSA. Or, les autorisations données par l'article 13 ressemblent de manière inquiétante à celles données par le «Patriot Act» américain auxagences de renseignement états-uniennes.

Une confiance limitée en la CNCIS

Cet article cherche ensuite à mieux encadrer par un retour accru à la Commission Nationale de Contrôle des Interceptions de Sécurité (CNCIS). Or, cette commission n'a pas précisément brillé jusqu'à présent par son efficacité.

Un contrôle a posteriori et une absence de séparation des pouvoirs

Autre problème : cet article ne prévoit de contrôle qu'a posteriori et le pouvoir de sanction de la CNCIS se résume à un signalement auprès du Premier ministre. Aucun contre-pouvoir réel et sérieux n'est donc prévu face à l'exécutif.

Des technologies par nature invasives

La nature des technologies à utiliser est une autre source légitime d'inquiétude. Il est ici manifestement question d'utiliser des techniques d'inspection en profondeur («Deep Packet Inspection») dont le principe même de fonctionnement implique la collecte, la sauvegarde et l'analyse d'énormes volumes de trafic (si ce n'est tout le trafic internet à terme). Les données de personnes autres que celles visées initialement par les interceptions seront donc enregistrées, analysées et selon toute probabilité, en vertu notamment des accords «Lustre», partagées avec des services de renseignement étranger.

Un périmètre d'application considérablement étendu

Enfin, les motifs permettant de recourir à ce dispositif d'exception sont considérablement élargis. La loi prévoit en effet de modifier ainsi l'article L.241-2 du code de la sécurité intérieure :
« Peuvent être autorisées, à titre exceptionnel, dans les conditions prévues par l'article L. 242-1, les interceptions de correspondances émises par la voie des communications électroniques ayant pour objet de rechercher des renseignements intéressant la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous en application de l'article L. 212-1. »
Si l'on pourrait admettre un dispositif d'exception pour des menaces très précises, telles que le terrorisme (et encore, sous réserve que ce dernier ne soit pas invoqué à tort et à travers par nos responsables), la disproportion semble ici manifeste avec certains des autres objectifs poursuivis.
Il est intéressant de noter que les Sénateurs à l'origine de ces évolutions importantes ne parlent que de la seule géolocalisation. Il est permis de s'interroger sur l'influence des «services» et de l'introduction, sous couvert de technicité, d'un dispositif aux effets bien plus larges que les objectifs poursuivis par ses promoteurs à la chambre haute du Parlement.

Conclusion : revenir au droit commun, en ménageant des exceptions proportionnées et bien encadrées

Il est en résumé urgent :
  • De revenir au droit commun, qui prévoit la séparation des pouvoirs et l'autorisation préalable par une autorité judiciaire indépendante des écoutes et des interceptions de sécurité.
  • D'ouvrir une réflexion sur les modalités techniques d'un encadrement effectif des collectes et analyses de données «en profondeur» (DPI).
  • De renforcer considérablement le contrôle spécifique des interceptions effectuées par les «services» dans le cadre de la lutte anti-terroriste. Qu'un tel contrôle revienne à une autorité judiciaire indépendante telle que celle des magistrats du pôle anti-terroriste ne serait pas illogique.
Il est également important de noter que l'enjeu n'est pas ici limité aux seules libertés fondamentales. Sur le plan économique, un tel dispositif pourrait miner la confiance des acteurs du numérique en les services rendus par des acteurs opérant sur le territoire national. Une approche globale est ici nécessaire. Une loi d'ensemble sur les libertés numériques pourrait être un véhicule adéquat.