L'article 13 est-il plus dangereux pour Internet que les lois existantes?

Frankfort. REUTERS/Kai Pfaffenbach

Frankfort. REUTERS/Kai Pfaffenbach

Juristes, défenseurs des libertés, politiques ne font pas la même lecture de ce point de la loi de programmation militaire, jugé encore plus liberticide que les autres textes en vigueur. Essayons d'y voir plus clair. (C'est pas gagné.)

La loi de programmation militaire a été adoptée en seconde lecture ce mardi 10 décembre par le Sénat. Et avec elle, son article 13, qui n'a eu de cesse, ces derniers jours, de provoquer les inquiétudes de l'ensemble du secteur du numérique. La disposition est accusée d'étendre considérablement la surveillance du Net en France. Est jugée susceptible d'instaurer, pêle-mêle, «un Grand Frère à rendre jaloux Big Brother», «une dictature numérique» où «l'Etat pourra bientôt tout espionner».

Ces critiques proviennent de tout bord touchant de près ou de loin à Internet. Rarement on avait vu attelage aussi fleuri. Côté business: l'Asic (Association des services Internet communautaires, qui compte dans ses rangs Facebook, Google ou Dailymotion), le Syntec («syndicat patronal» du numérique), la FFT (Fédération française des télécoms) et même le Medef, qui est venu grossir les rangs déjà fournis. Côté société civile: la FIDH (fédération internationale des droits de l'homme), la Quadrature du Net (en pointe sur les questions relatives aux libertés numériques) se sont aussi élévés contre le sujet. Côté institutionnel, la Cnil et le CNNum (Conseil national du numérique, chargé d'orienter le gouvernement sur ces sujets) ont également réagi.

Face à cette unanimité, certains émettent pourtant des réserves. Le Canard Enchaîné, dans son édition du 4 décembre, écrivait que «ministres, juges et médias perdent le nord» sur le sujet. «En lisant l'article, je ne vois pas trop où est le problème», affirme également un ancien collaborateur de l'Assemblée nationale, rompu aux questions numériques. Jean-Marc Manach, journaliste également spécialisé dans ces questions de surveillance, avoue sur Le Monde que «c'est compliqué».

Compliqué. C'est le moins que l'on puisse dire. Impossible d'y voir clair dans les différents argumentaires. On y cause «interceptions de sécurité», «accès aux données techniques», «Code des postes et des communications éléctroniques». On y cite des articles de loi plein de chiffres et de tirets...

Bref! Le jargon est roi et porte, histoire de s'arracher un peu plus de cheveux, sur un domaine à la fois complexe, méconnu et brûlant: ce que peuvent ou non demander les services de renseignement aux acteurs du Net.

A lire aussi 
» Prism: comment les Français sont écoutés par la NSA, et par des services bien de chez nous

Rajoutez à cet embrouillamini les révélations d'Edward Snowden sur la surveillance opérée par les Etats-Unis sur Internet, qui maintiennent depuis des mois et comme jamais auparavant ces affaires d'espionnage en haut de l'actualité internationale, et vous obtenez le cocktail idéal pour un débat parasité de toute part. Auquel on ne comprend rien, absolument rien.

Afin d'y voir plus clair, nous avons réalisé un tableau, expliquant point par point les paramètres du texte qui vient d'être adopté mais aussi des dispositifs qui ont eu cours jusqu'à présent.

Cliquez sur l'image pour voir le tableau en grand

Et vu qu'un tableau ne suffit pas, on vous fournit les outils pour le comprendre. Et vous poser les bonnes questions qui permettront (peut-être) de savoir si oui ou non, il faut avoir peur de cet article 13.

1. Au commencement, il y a deux textes

A l'heure actuelle en France, deux textes encadrent ce que peuvent demander les services de renseignement aux acteurs du Net:

A cela, s'ajoutent «des dispositions propres à d'autres organismes spécifiques», telle que l'Autorité des marchés financiers (AMF), également susceptibles d'accéder à certaines données recueillies par les acteurs du secteur, précise la Commission nationale de contrôle des interceptions de sécurité (CNCIS). Cette autorité indépendante a précisément en charge l'encadrement des écoutes et autres consultations de données liées aux communications sur Internet par les services de renseignements.

2. Il n'y a jamais eu de juge dans ces questions-là

Précision indispensable: il n'est jamais question du juge judiciaire dans ce genre de procédure. Quel que soit le texte évoqué, lois déjà en cours ou projet adopté mardi par les parlementaires, il s'agit dans tous les cas de procédures administratives, c'est-à-dire sans juge.

3.Quelles données espionnées?

C'est le premier point chaud du débat: quelle est la nature des données que les agents peuvent consulter?

  • Si les enquêteurs veulent avoir accès, par exemple dans le cas d'un mail, à la date, l'émetteur, le récepteur... mais en aucun cas du contenu même de ce mail, il s'agit de recueillir des données techniques. Pour la CNCIS, cela est déjà prévu par la loi de 2006, mais aussi, en partie, dans celle de 1991.
  • Si les enquêteurs demandent à ouvrir le mail pour en lire le contenu, on est alors dans un autre régime: celui des interceptions de sécurité. Pour la CNCIS, ce dispositif «beaucoup plus intrusif et attentatoire aux libertés» mérite carrément d'être encore plus étroitement encadré. Ce qui est le cas depuis la loi de 1991.

Que propose le nouveau texte? Sur ce point, les avis divergent. Les pourfendeurs de la loi de programmation militaire estiment que ce texte permet d'étudier à la fois le contenu des communications, ainsi que leurs données périphériques. La faute à une formulation de l'article 13, qui indique que seront visés:

«Des informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques, y compris les données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communications électroniques, au recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée, à la localisation des équipements terminaux utilisés ainsi qu’aux communications d’un abonné portant sur la liste des numéros appelés et appelant, la durée et la date des communications.»

L'accroche évoquant des «informations et documents», jugée large et vague, est particulièrement mise en cause. Face à cela, la CNCIS l'assure avec fermeté:

«L'article 13 [de la loi de programmation militaire] ne porte que sur les données de communication. Sur le contenant, pas le contenu.»

A l'en croire, le nouveau dispositif est «complètement déconnecté» des interceptions de sécurité. Elle précise ainsi qu'en cas d'adoption de la loi, ce régime serait décorrelé de celui encadrant le recueil des données techniques: l'article 6 de la loi de 2006 disparaîtrait au bénéfice du nouveau texte, tandis que les dispositions encadrant la consultation des contenus seraient maintenues en l'état.

4. Quels acteurs du Net concernés?

C'est le second point chaud du débat: à la porte de quels acteurs du Net les services de renseignement ont-ils le droit de frapper?

Là encore, le débat fait rage. «A priori, les hébergeurs, comme Dailymotion, ne sont actuellement pas concernés par les interceptions», nous confie-t-on chez l'Asic. En clair: on ne leur demande pas de fournir le contenu des communications, juste les données périphériques (nom, heure, durée et lieu de connexion). A les en croire, seuls les fournisseurs d'accès à Internet, comme Free et Orange, sont visés par cette procédure. La nouvelle loi les obligerait à s'y soumettre et fournir les contenus.

Ils le font déjà, rétorque de son côté la CNCIS qui estime qu'il s'agit là d'une «interprétation des hébergeurs, qui n'est pas celle de la Commission et de la justice.» Et d'ajouter que de 2009 à 2012, «entre 10% et 14% des demandes» s'adressent précisément à ces acteurs. Des chiffres, souligne encore la Commission, disponibles sur le rapport public de l'institution. 


Capture d'écran du rapport d'activité 2011-2012 de la CNCIS, p.67

Nous avons bien trouvé les chiffres dont parle le CNCIS (voir capture d'écran ci-dessus et sur le PDF, page 67). Mas ces chiffres concernent uniquement le recueil des données techniques et non le contenu des communications. Une procédure à laquelle les acteurs du Net hors fournisseurs d'accès à Internet sont explicitement soumis. Ces chiffres ne permettent donc en rien de prouver que les FAI sont bel et bien déjà visés par l'autre procédure, plus inquiétante, de consultation des contenus.

Par ailleurs, toujours dans ce même rapport, la Commission exprime explicitement ses doutes sur le sujet:

«Les possibilités de communiquer par l’Internet sont pléthores. Si le courrier électronique ne suscite plus guère, désormais, de difficultés, les listes de diffusion, de discussion, chat, forums et, bien entendu, autres réseaux sociaux relèvent-ils de la qualification de correspondance? Ce n’est en effet qu’à cette condition qu’ils relèvent du régime des interceptions. La difficulté se révèle bien souvent délicate à résoudre car, en réalité, la diffusion de l’information peut s’effectuer de multiples façons, même au sein d’une forme de communication électronique unique (par exemple, sur un forum ou sur Facebook) de sorte que, souvent, rien n’est véritablement clair ou tranché.»

Bien loin donc, de l'assurance de notre interlocuteur au téléphone. Erreur, maladresse, confusion? Nous avons demandé des précisions à la Commission par mail. Ce qui est certain, c'est que l'Asic mobilise les mêmes arguments pour expliquer que, jusqu'à présent, ses membres n'ont pas d'obligation de fournir des informations sur le contenu qu'ils stockent.

Ce point de dispute dont l'issue est essentielle pour saisir le débat (voir 6.) ne tient qu'à une simple question de formulation. Et au sens à mettre derrière les termes employés. Une problématique récurrente dans le numérique, où chaque qualification d'un acteur (hébergeur, opérateur, éditeur...) a une répercussion directe sur sa responsabilité et ses obligations légales.

Mise à jour (17 décembre 2013): la Commission de contrôle des interceptions de sécurité nous a confirmé que les chiffres évoqués plus haut concernent bien le recueil des données techniques, et non la consultation directe des contenus. Sur ce point, impossible de savoir en revanche si les acteurs du Net (hors fournisseurs d'accès tels Orange, Free ou SFR) sont soumis à la procédure des interceptions de sécurité encadrée par la loi de 1991: après un long échange de mails, la CNCIS n'a toujours pas répondu à cette question décisive pour comprendre la polémique entourant l'adoption de cette nouvelle loi.

De son côté, l'Asic nous confirme en revanche sur Twitter qu'«aucun membre [...] n'a pour l'heure reçu de demande fondée sur l'article L.244-2 CSI».

5. Le problème du recueil «en temps réel»

Une phrase du dispositif qui vient d’être adopté introduit une vraie nouveauté:

«Les informations ou documents mentionnés [...] peuvent être recueillis sur sollicitation du réseau et transmis en temps réel.»

Or aucune précision de cette nature n'a été apportée aux lois jusque-là en vigueur.

Pour les opposants au texte législatif, cette formulation introduirait la possibilité de se brancher et de capter toutes les données possibles en temps réel. Sans les garde-fous nécessaires. Les collectes d'information pourraient alors «passer par l'installation directe de dispositifs de capture de signaux ou de données chez les opérateurs et les hébergeurs», fait par exemple valoir la Quadrature du Net. En clair, c'est open bar: les services peuvent piocher directement dans les serveurs des acteurs du Net, sans avoir à passer par leur intermédiaire.

De son côté, la Commission de contrôle des interceptions nous précise «avoir toujours défendu l'idée qu'en aucun cas le renseignement puisse avoir un accès direct aux opérateurs».

Cette question est d'autant plus brûlante que dans les premiers temps de l'affaire Snowden, les géants du Net ont été accusés d'avoir largement facilité la consultation des données qu'ils stockent par les renseignements américains via l'installation d'un système d'accès direct ou «back doors».

6. Alors ça change vraiment?

Bien malin celui qui pourra trancher avec certitude. Tout dépend en fait de la validité des arguments des forces en présence:

  • Si les géants du Net portés par l'Asic (et d'autres) ont raison sur tous les points, à savoir qu'ils ne devaient pas ouvrir le contenu qu'ils stockent aux services de renseignement et que les informations qu'il est possible de consulter grâce à ce nouveau texte de loi portent aussi bien sur le contenant que le contenu, alors oui, le changement est décisif. Comme le plaident les anti-article 13, il y aurait alors une extension massive du périmètre de la surveillance sur Internet, qui permettrait l'intrusion la plus attentatoire aux libertés (lire les contenus) chez des services web très populaires jusque-là hors des radars.
  • Si la Commission qui contrôle les écoutes, ainsi que les défenseurs de la loi, ont raison sur tous les points, à savoir que les hébergeurs étaient déjà visés par des demandes de consultation de contenu, et que le nouveau dispositif légal n'encadre que le recueil de données techniques, alors rien ne change. Les acteurs du web seraient en effet soumis à ces deux régimes depuis des années.

7.Faut-il donc s'inquiéter?

Dans la première configuration, il y a tout lieu de s'inquiéter puisque cette nouvelle loi étendrait effectivement le domaine de la surveillance sur Internet. De l'avis de tous, partisans comme opposants, l'ouverture des contenus est en effet la forme de consultation d'informations la plus attentatoire aux libertés et elle viendrait en plus s'imposer à des acteurs aujorud'hui profondément ancrés dans notre quotidien. Sans oublier que cette consultation est susceptible de se faire en «temps réel». (voir 4.)

Dans la seconde, en dehors de la formulation ouvrant une consultation «en temps réel» (voir 5.), il n'y aurait pas de raisons NOUVELLES de s'offusquer. Ce qui ne veut pas dire qu'il y en a aucune: le dispositif d'écoutes administratives qui évacue le juge judiciaire, la présence parfois limitée de la Commission de contrôle des interceptions censée encadrer tout ça sont d'ailleurs des débats qui reviennent régulièrement dans les milieux initiés depuis 1991.

Le fait que ces critiques soient aujourd'hui ravivées est une incidence logique du contexte actuel, souligne par ailleurs un spécialiste du droit sur Internet qui a souhaité garder l'anonymat:

«Par rapport à 1991, il y a eu un changement de l'impact que peut avoir ces textes. Les mêmes mots s'appliquent à des choses à la réalité très différentes.»

L'ampleur et la répercussion des révélations Snowden, la prise de conscience du monitoring de nos vies par un acte le plus souvent consenti peuvent avoir changé la donne dans notre perception de dispositions qui passaient jusque-là inaperçues. Notre interlocuteur ajoute:

«La vigueur avec laquelle les gens réagissent est liée à l'extrême présence d'Internet dans nos vies, jusqu'au sentimental, au sexuel!»

Difficile dans ces conditions de blâmer ce sursaut d'indignation qui peut, c'est vrai, apparaître bien tardif aux experts des écoutes et espionnage en tout sens. Cette réaction épidermique quasi-unanime peut être déjà positive en tant que telle, quand on se souvient du désintérêt et du cynisme que les révélations d'Edward Snowden ont pu susciter il y a quelques mois auprès de la majorité des internautes, ou même des Etats.

A lire aussi
» Prism, écoutes: résignez-vous!

Ceci dit, il est vrai que la réaction perd en partie de sa force quand les arguments mobilisés sont invalides, ou quand elle est porté majoritairement par des acteurs du Net tels que Google ou Facebook, qui ont une virginité à se racheter après avoir été explicitement accusés de travailler main dans la main avec la NSA.

Finalement, c'est surtout la grande confusion qui entoure ce texte, ainsi que la fébrilité qu'il a suscitée dans tous les milieux, qui interpellent. Et qui constituent peut-être déjà un problème. Elles nous font en tout cas dire qu'il serait peut-être grand temps de redemander à François Hollande une précision sur l'état de la surveillance en France.

En octobre, le Président affirmait «rester dans le cadre légal». Cette réponse ne suffit manifestement pas.

Fin octobre, à l'occasion du Conseil européen, nous interpelions François Hollande sur la question de la surveillance en France

Papier mis à jour le 17 décembre 2013.

Andréa Fradin

A LIRE AUSSI