Loi renseignement : l’ASIC s’inquiète de l’instauration d’une surveillance massive et globale sans garde-fous

L’installation de “boîtes noires” offrira aux services de renseignement un accès sans précédent aux faits et gestes de tous les internautes

Paris, le 8 avril 2015. –  L’Association des Services Internet Communautaires (ASIC), fondée en 2007 et qui regroupe l’ensemble des plates-formes d’hébergement Internet, françaises et internationales, s’inquiète de plusieurs dispositions prévues dans le projet de loi relatif au renseignement actuellement en cours de discussion à l’Assemblée nationale.

Alors que le Gouvernement n’a pas souhaité associer l’ASIC ou ses membres lors de l’élaboration du projet de loi, plusieurs membres de l’ASIC ont été invités individuellement au cycle d’auditions menées par le Président de la Commission des lois, Jean-Jacques Urvoas. Au cours de ces échanges, plusieurs points ont été soulevés – qui n’ont pas, pour l’heure fait l’objet des modifications nécessaires.

Comme avait eu l’occasion de le rappeler l’ASIC dès la publication du projet, toute mesure nouvelle de surveillance introduite par le projet de loi ne doit pas être redondante avec les nombreuses mesures déjà existantes, doit être proportionnée, transparente et soumise au contrôle d’une autorité dotée de pouvoirs et moyens suffisants.

Une loi qui “légalise” des pratiques existantes

D’une manière positive, le projet de texte renforce la transparence des mesures de surveillance mises en oeuvre, jusqu’alors de manière opaque et sans contrôle, par les services de renseignement.

A ce titre, il serait utile que le Gouvernement, notamment en amont des débats parlementaires, explicite le bilan de la mise en oeuvre des pratiques ainsi légalisées, notamment celles relatives aux boîtes noires déjà installées dans les réseaux des opérateurs de communication et leur impact sur la prévention d’actes de terrorisme sur le territoire.
Une loi qui instaure une surveillance généralisée pour identifier les cibles d’une surveillance plus fine.

Contrairement aux déclarations des membres du Gouvernement, l’ASIC considère que le projet de loi met en oeuvre des mesures aboutissant à l’instauration d’une surveillance généralisée.

En particulier, comme indiqué par le Gouvernement, les services de renseignement souhaiteraient installer des boîtes noires dans les infrastructures des diverses plates-formes d’hébergement de données, que ce soient des plates-formes de vidéos, des forums de discussion, des plates-formes de commerce électronique, des réseaux sociaux, etc., dans le but de collecter des informations.

Les débats sont venus préciser cette mesure : il s’agirait pour les autorités d’analyser en temps réel les données de tous les internautes visitant ces plates-formes afin d’identifier des comportements suspects.

Il s’agit bien d’une surveillance généralisée de tous les internautes, d’une analyse permanente du comportement de ces internautes – afin d’identifier des comportements suspects qui feront l’objet ensuite d’enquêtes spécifiques.

Le plus étonnant est que les ministres rappellent que ces mesures visent à placer sous surveillance les “3000 personnes” qui représentent aujourd’hui une menace pour la sécurité nationale. Dès lors qu’un chiffre existe, cela signifie que ces personnes sont d’ores et déjà identifiées. En conséquence, le principe d’une collecte massive de données de tous les internautes apparaît disproportionnée.

Une loi qui délègue aux acteurs de l’Internet le soin de détecter les “individus suspects”

Avec les mécanismes de boîtes noires, les services de renseignement délèguent à des acteurs privés le soin de détecter les comportements suspects. En effet, et selon les précisions apportées lors des débats en Commission, il reviendrait alors aux acteurs du Web – sur la base de critères encore flous fournis par les autorités – de rechercher proactivement des individus potentiellement suspects.

Il ne s’agit pas de rechercher des personnes qui manifestement commettent ou s’apprêtent à commettre un crime ou un délit. Il s’agit bien de rechercher proactivement des personnes qui potentiellement pourraient représenter un danger pour la sécurité nationale.

En conséquence, et afin d’alléger la charge et la responsabilité forte qui pèseraient alors sur les acteurs privés, il ne fait pas de doute que le risque zéro s’appliquerait pour ces acteurs privés : application large des critères avec une remontée massive d’informations auprès des autorités.

En faisant peser sur les entreprises privées le soin de détecter les comportements suspects et donc la responsabilité en cas d’échec, le Gouvernement va instituer de facto une véritable “course à la délation” de la part des acteurs de l’internet”, ont tenu à préciser les dirigeants de l’ASIC.

Des boîtes noires qui vont collecter non plus des données techniques, mais toute la vie des internautes

Alors que le texte demeurait silencieux sur ce point, le Gouvernement est venu expliciter la teneur des données auquel il souhaitait avoir accès par l’intermédiaire de ces boîtes noires.

A l’occasion des débats au sein de la Commission des Lois, le Ministre de l’intérieur a indiqué que les algorithmes contenus dans les boîtes noires devraient permettre, au travers de l’analyse des profils des internautes, d’identifier les comportements suspects.

La loi distingue aujourd’hui entre deux types d’accès : l’accès aux données purement techniques (par exemple, les adresses IP des personnes ayant mis en ligne une vidéo) et les données de contenus (par exemple, les emails ou les adresses des sites internet visités par un internaute). Si la première catégorie est accessible sur la base d’une simple réquisition ou requête administrative, la deuxième catégorie de données fait l’objet d’un encadrement très strict: accès limité dans le temps, ciblage sur une ou plusieurs personnes pré-identifiées, contrôle judiciaire.

Ici, le Gouvernement cherche à s’affranchir de l’ensemble de ces contraintes. En voulant utiliser des boites noires pour “profiler” les internautes français, les services de renseignement cherchent de facto à récolter l’ensemble des données de contenus dont les internautes peuvent être à l’origine (par exemple, cercle d’amis dans un réseau social, historique des sites visités, etc.).

Le mécanisme de boîtes noires cherchent à mettre en oeuvre une collecte systématique de l’ensemble des internautes, de l’ensemble des contenus qu’ils visitent ou qu’ils regardent et cela en s’affranchissant totalement des garde-fous existants” ont précisé les membres de l’ASIC.

Pour se dédouaner, le Gouvernement tente d’expliquer que des pratiques comparables seraient déjà mises en oeuvre par les acteurs privés à des fins commerciales. Mais, il oublie de préciser que de nombreux garde-fous existent à savoir:

  • un contrôle, voire des sanctions, de la part des diverses autorités de protection des données en Europe ;

  • une information préalable et un recueil du consentement de la part des internautes ;

  • et la possibilité offerte aux internautes de pouvoir contrôler leurs données – à savoir en supprimer, en modifier le contenu voire les exporter pour les porter vers d’autres services.

Or, il semble que ces garde-fous n’aient pas été prévus par le projet de loi. “Si le Gouvernement souhaite ainsi comparer les pratiques, il se doit alors de placer ces pratiques des services de renseignement sous un contrôle complet de la part de la CNIL, d’informer les individus qui en sont l’objet et enfin, leur permettre de modifier, supprimer ou exporter, les données ainsi collectées”, ont tenu à rappeler les membres de l’ASIC.

Ainsi, en collectant et en agrégeant toutes les données, émanant de divers sites internet (réseaux sociaux, plates-formes vidéos, etc.), les services de renseignement seront en mesure de tout connaître sur chaque individu.  

En conséquence, l’ASIC appelle de ses voeux à la suppression pure et simple de ce dispositif permettant l’installation de boîtes noires dans les infrastructures d’intermédiaires techniques.

A défaut, outre la mise en oeuvre d’une surveillance sans précédent en France, de telles mesures risquent de remettre en cause l’attractivité de la France pour les acteurs du numérique, par exemple, les exploitants d’infrastructure (data center, points d’interconnexion, câbles sous-marins) qui feront tout pour éviter notre territoire. La France poursuivra alors sa lente descente dans la récession numérique.