Il a suffi d'un décret publié le soir du réveillon de Noël pour réveiller les paranoïaques du web.
C'est fort heureux, mais un peu tard et un peu court.
Le décret de l’article 20 de la Loi de Programmation Militaire (ex-article 13) apporte peu de nouveautés par rapport à la loi. Il rend concret la surveillance tous azimuts que la République veut infliger à ses citoyens.
L'article anciennement numéro 13, désormais numéro 20, de la loi du 18 décembre 2013, prévoyait les dispositions suivantes:
"– Pour les finalités énumérées à l’article L. 241-2, peut être autorisé le recueil, auprès des opérateurs de communications électroniques et des personnes mentionnées à l’article L. 34-1 du code des postes et des communications électroniques ainsi que des personnes mentionnées aux 1 et 2 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, des informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques, y compris les données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communications électroniques, au recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée, à la localisation des équipements terminaux utilisés ainsi qu’aux communications d’un abonné portant sur la liste des numéros appelés et appelant, la durée et la date des communications."Le même article prévoyait que ces interceptions seront "soumises à la décision d’une personnalité qualifiée placée auprès du Premier ministre". Enfin, elles pourront intervenir "sur sollicitation du réseau et transmis en temps réel".
Le décret du 24 décembre est plus explicite.
1. Les motifs d'espionnage sont la "sécurité nationale", la "sauvegarde des éléments essentiels du potentiel scientifique et économique de la France", la "prévention du terrorisme, de la criminalité et de la délinquance organisées", et la reconstitution ou le maintien de groupements dissous.
2. Le champ de l'espionnage est vaste: les données et documents pouvant être interceptées sont "ceux énumérés aux articles R. 10-13 et R. 10-14 du code des postes et des communications électroniques et à l'article 1er du décret n° 2011-219 du 25 février 2011 modifié relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne." Concrètement, il s'agit de toute information permettant d'identifier l'utilisateur, sa localisation, ses mots de passe et identifiants numériques, ses coordonnées y compris téléphoniques, son équipement, les dates, horaires et durées de communication,
3. Le contrôle est très faible, si l'on prend bien la mesure du volume gigantesque de données qu'il faut potentiellement surveiller. Le dispositif de surveillance est en effet placé sous l'autorité du "groupement interministériel de contrôle", sous la responsabilité du Premier ministre. Une personnalité qualifiée est désignée, avec des adjoints. Elle ne rend compte qu'à la Commission nationale de contrôle des interceptions de sécurité. Elle valide les interceptions sur la base des informations suivantes:
a) Le nom, le prénom et la qualité du demandeur ainsi que son service d'affectation et l'adresse de celui-ci ;
b) La nature précise des informations ou des documents dont le recueil est demandé et, le cas échéant, la période concernée ;Ces requêtes sont conservées pendant 3 ans seulement. Rappelons que la prescription de droit commun est de 5 ans (et de 10 en cas de dommage corporelle), à compter de la constatation des faits incriminés.
c) La date de la demande et sa motivation au regard des finalités mentionnées.
4. Les services de l'Etat habilités à procéder à de telles interceptions de données personnelles sont nombreux: tout ce compte de services en charge de contrôle au sein des ministères de la sécurité intérieure, de la défense, de l'économie et du budget.
Sur le fond, la polémique naissante sur la publication de ce décret permet de rappeler quelques vérités qu'un faux débat risquerait d'occulter.
1. L'ambiance sécuritaire joue à plein. Il ne se passe pas une semaine sans que l'un de nos gouvernants, premier ministre en tête, ne déclame combien la période est dangereuse, combien des hordes de terroristes complotent à nous frapper. Le terrain est propice pour infliger aux citoyens de nouvelles restrictions sur sa liberté.
2. Pire, depuis qu'elle est en place, l'équipe Hollande n'a réformé aucune des lois sécuritaires des gouvernements précédents. On le répète année après année. En particulier, les fameuses loi Loppsi I (2004) et Loppsi II (2009) n'ont pas été amendées. Il ne s'agissait pourtant pas d'être laxiste mais simplement d'ouvrir des gardes-fous, comme par exemple garantir un véritable "droit d'asile numérique" pour les lanceurs d'alerte.
Rien n'a été fait.
3. La lutte pour le respect de la vie privée à l'heure du tout-numérique ne fait que commencer. La prise de conscience que l'Internet s'accompagne d'un captation hors normes de nos données personnelles, d'une part, et d'une intrusion dans nos vies privées, d'autre part, est encore récente. L'espionnage sur le Web est massif, permanent, international, protéiforme, écrivions-nous en décembre 2013. Quelques semaines auparavant, un ponte de Google avait sobrement expliqué que la vie privée était peut-être une anomalie, d'un point de vue historique en tout cas.
Un an plus tard, qu'est-ce qui a changé ?
Rien.
Ou plutôt tout, et en pire.
Nous sommes entrés de plein pied dans l'internet ubiquitaire, celui des objets connectés, qui captent, stockent et enregistrent les détails les plus intimes de l'être humain.
4. Cette révolution numérique n'est pas sans heurts. Les hackers sont plus nombreux, ou plus efficaces. Le piratage des réseaux informatiques de Sony Pictures, multinationale américaine filiale d'un géant japonais, restera dans les mémoires. La plupart des plateformes digitales du moment ont été également "hackées" à plus ou moins grande échelle durant l'année (l'iCloud d'Apple, les archives de Snapchat, le navigateur Tor).
5. Les Etats, comme la France, sont des nains numériques en comparaison des Google, Facebook, et consorts. Ils tentent de s'équiper. Depuis l'affaire Snowden en 2013, on sait que les grands du Net savent collaborer à l'insu de leurs utilisateurs. Google promet d'allonger la vie, et s'agace systématiquement des réglementations et des contrôles des Etats.
Toutes les données personnelles sont donc déjà interceptées. La véritable question est donc de savoir qui protègera le citoyen, et comment il sera protégé. Sur ce sujet, l'actuel gouvernement n'a rien fait non plus. Nos Etats sont préoccupés par les menaces terroristes, point barre.
Lire aussi:
- le texte de loi
- le décret du 24 décembre 2014
- Hollande: Big Data, ou big brother ? (Sarkofrance, décembre 2013)
Crédit illustration: Wikimedia
Jeu de briques
Snake
Pacman
Bubble