L’argumentaire pernicieux des promoteurs de la loi
Dans l’argumentaire que le gouvernement a construit pour promouvoir le projet de loi renseignement, il est présenté comme fournissant un cadre légal complet et cohérent pour régir l’action des services de renseignement et le recours aux différents moyens techniques d’accès à l’information. La devise du projet est : « Sans loi sur le renseignement, tout le monde y perd. Avec une loi, tout le monde y gagne ». Le gouvernement affirme que, si la loi était adoptée, elle fournirait plus de garanties pour les agents et pour les libertés et plus de sécurité.
Derrière ces belles formules, se cache un argument plus précis qui est développé face aux critiques du projet : le projet ne ferait que légaliser des pratiques déjà existantes en installant un meilleur contrôle sur celles-ci. Or cet argument est à la fois faux et pernicieux. Faux, parce que, nous le verrons, le projet ouvre la porte à des pratiques nouvelles et immensément dangereuses. Pernicieux, parce que, s’il est parfois nécessaire de légaliser des pratiques qui, autrefois, étaient punies de sanctions (que l’on pense à la contraception, l’homosexualité ou l’avortement) quand cela permet l’exercice de nouvelles libertés ou remédie aux graves conséquences de leur interdiction, cela ne saurait en aucun cas servir à installer des atteintes illégitimes aux droits fondamentaux. On a ici affaire à une sorte de blanchiment légal. Loin d’être nouveau, malgré l’affirmation du gouvernement selon lequel il n’y aurait plus eu de loi en la matière depuis 1991, ce blanchiment semble au contraire une constante des nouvelles politiques sécuritaires. La loi renseignement est la quatrième en 18 mois qui le pratique après l’article 20 de la loi n° 2013-1168 de programmation militaire 2014-2019, la loi géolocalisation n° 2014-372 du 28 mars 2014 et la loi n° 2014-1353 du 13 novembre 2014 (dite loi terrorisme bien que, comme ici, il s’agisse aussi de tout autre chose). En quoi consiste ce blanchiment ? Des pratiques illégales se voient donner un statut légal. En parallèle, on autorise de nouvelles mesures de surveillance ou de contournement du judiciaire ou de nouveaux motifs pour lesquels elles pourront être mises en place.
Enfin, on créé des brèches dans lesquelles il est très probable que s’engouffrent de nouvelles pratiques illégales.
L’analyse présentée dans cette tribune étaye ces affirmations.
Ceci n’est pas une loi anti-terroriste
Dans les débats déjà vifs qui entourent le projet de loi, ses promoteurs ne cessent de faire référence au danger terroriste et s’en servent pour justifier la procédure d’urgence et l’ensemble du contenu du projet. Or, parmi les dispositions générales définissant le domaine d’application, la « prévention du terrorisme » n’est que l’un des sept « intérêts publics » auquel les dispositions de la loi vont s’appliquer, sauf pour les nouveaux articles 851-3 et 851-4 du code de la sécurité intérieure qui ne s’appliquent qu’aux « seuls besoins de la prévention du terrorisme ». Parmi les six autres motifs, on trouve ainsi « les intérêts essentiels de la politique étrangère et l’exécution des engagements européens et internationaux de la France » et « la prévention des violences collectives de nature à porter gravement atteinte à l’ordre public ». Le Conseil national du numérique a déjà fait connaître son inquiétude, considérant qu’il y a avait là « une extension significative du périmètre de la surveillance ». Ces deux éléments n’étaient pas présents dans le périmètre d’application de la loi de 1991 ni dans l’article 20 de la loi de programmation militaire, pourtant déjà objet de critiques sévères. Les deux motifs sont vagues dans leur définition, mais le deuxième (la prévention des violences collectives) soulève des inquiétudes supplémentaires du fait des interprétations très différenciées dont il fait déjà l’objet dans les pratiques de maintien de l’ordre.
Au total, le projet permet, dans un champ très large, des atteintes importantes aux droits fondamentaux, sans autorisation judiciaire préalable et avec un contrôle a posteriori déficient. Il s’agit en particulier des atteintes à la vie privée, et à travers les atteintes à l’intimité et au secret des communications, d’effets nuisibles sur la liberté d’expression. Mais commençons par le pire : la mise en place d’un dispositif permettant la surveillance généralisée et la suspicion de l’ensemble des citoyens.
La surveillance et la suspicion généralisées noir sur blanc
Dans l’argumentaire déjà cité, le gouvernement affirme qu’il ne s’agit « en aucun cas de mettre en place des mesures d’exception ou une surveillance généralisée des citoyens ». Manuel Valls a repris cette affirmation dans son intervention du jeudi 19 mars 2015 juste après l’adoption du projet de loi par le conseil des ministres. Le lecteur va juger lui-même de ce qu’il en est. L’article 2 du projet de loi prévoit en effet un article L-851-4 du code de la sécurité intérieure disposant que :
« sur demande des agents individuellement désignés et dûment habilités […] le premier ministre ou une personne déléguée par lui peut, après avis de la Commission nationale de contrôle des techniques de renseignement, imposer aux opérateurs et personnes mentionnés à l’article L. 851-1 la mise en œuvre sur les informations et documents traités sur leurs réseaux d’un dispositif destiné à révéler, sur la seule base de traitements automatisés d’éléments anonymes, une menace terroriste.
Si une telle menace est ainsi révélée, le premier ministre ou l’une des personnes déléguées par lui peut décider de la levée de l’anonymat sur les données, informations et documents afférents dans les conditions prévues au chapitre 1er du titre II du présent livre ».
De quoi s’agit-il donc ? À tout moment, et de façon renouvelable sans limite, on pourra imposer aux opérateurs de télécommunication et fournisseurs d’accès la mise en place de dispositifs (entendre une combinaison de matériels et logiciels) appliquant à l’ensemble des données circulant sur leurs réseaux des algorithmes détectant des profils (de connexion, de contenu, d’activités en ligne) que les concepteurs de ces algorithmes auront jugés suspects. Il s’agira de « traitements d’éléments anonymes » ce qui fera sourire tous les spécialistes du domaine, puisqu’on sait qu’on peut assurer l’identification d’un individu en combinant un petit nombre de traitements de données anonymes.
Comment donc le premier ministre (par ailleurs visé par cet article, enfin plus probablement les personnes déléguées par lui) peut-il prétendre qu’il n’y a pas ici de surveillance généralisée ? Si l’on préfère exclure la mauvaise foi caractérisée, on peut penser qu’il reprend ainsi le raisonnement que les responsables de la NSA avaient avancé pour défendre le programme PRISM, selon laquelle il n’y avait pas surveillance généralisée, puisque personne ne « lisait » les données collectées et qu’elles étaient traitées par des algorithmes. Or ceci définit précisément la surveillance généralisée contemporaine et les dangers extrêmes qu’elle ouvre. S’il fallait que quelqu’un lise les contenus ou métadonnées collectés et les interprète, la généralisation de la surveillance buterait sur les mêmes obstacles de ressources humaines que la surveillance physique. La surveillance généralisée est donc automatique et algorithmique.
C’est précisément cela qui la rend si dangereuse, et le législateur en a déjà été conscient, puisqu’il a introduit en 2004 un article dans la loi informatique et libertés n° 78-17 qui précise notamment :
« Aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité.
Aucune autre décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ».
Qui pourra donc prétendre que la décision de lever l’anonymat à la suite de l’application des traitements par les dispositifs ne porte pas ici des effets juridiques pour ceux qui auront ainsi été jugés suspects ? Et, puisque, avant cette levée de l’anonymat, on ne sait pas (ou prétendument pas) de qui il s’agit, comment pourrait-on les soupçonner sur une autre base que ce traitement ?
Si jamais l’article 2, alinéa 3, du projet de loi n’est pas abrogé, nous serons entrés dans un dispositif légal reproduisant ce qu’a fait la NSA de façon largement illégale (avec des différences puisque seuls les services de communication électronique seront concernés). Mais les dangers ne s’arrêtent pas là. Car qui va installer les « dispositifs » ? Certainement pas les personnes déléguées par le premier ministre elles-mêmes. Ce seront donc des acteurs privés et – plus que probablement – des prestataires des services de renseignement eux-mêmes1. De là à craindre qu’en plus des mécanismes « autorisés » selon les procédures de la loi, des traitements illégaux d’un nouveau type deviennent possibles. Paranoïa de défenseur des droits ? Non, c’est toute l’histoire de la surveillance qui nous apprend que quand on rend techniquement possible une dérive dans l’usage de la captation des données, elle se produira.
Des atteintes aux droits dangereuses y compris dans les mécanismes ciblés
Le reste du projet de loi n’est pas pour autant anodin, même s’il s’y agit de surveillance plus ciblée sur des personnes, leurs entourages ou des lieux. Sonorisation des lieux privés et véhicules, capture sans contact des données de dispositifs informatisés, géolocalisation permanente d’une personne, d’un véhicule ou d’un objet2, suppression de la mention du caractère exceptionnel des interceptions de sécurité3, il ne s’agit pas de babioles. Le ciblage de ces actions ne sera jamais parfait, les données capturées déborderont inévitablement sur des personnes a priori non concernées. Mais même si on l’envisageait parfaitement ciblé, les atteintes à la vie privée et l’intimité sont en réalité sans précédent hors du cadre judiciaire. C’est qu’on est passé d’une logique judiciaire ou d’intervention policière pour prévenir les actes eux-mêmes, à une logique de surveillance préventive. Cette logique promet de conduire à des abus graves, tout comme l’adoption d’une doctrine de guerre préventive par les États-Unis puis d’autres États à partir de 2003, qui a conduit à des désastres dans le champ international.
Chacun jugera où se situe l’équilibre souhaitable entre quête de la sûreté4, liberté et droits fondamentaux. Mais, à tout le moins, on peut exiger que les mécanismes de contrôle et de recours soient suffisants et respectent le droit à un procès équitable devant un tribunal indépendant et impartial.
Caricatures de contrôle et de recours
En ce qui concerne le contrôle, l’affirmation selon laquelle le recours au juge conduit à une inefficacité que son contournement éviterait est aberrante si l’on considère que l’autorité de contrôle mise en place par la loi ne comporte que neuf personnes et que des décisions importantes n’appartiennent qu’à son président, à moins de considérer que ce contrôle sera de pure forme. De nombreux points-clés sont renvoyés à des décrets, ce qui accroît les inquiétudes. Enfin, le mélange de sujets comme le terrorisme et la sécurité nationale qui sont couverts par le secret-défense et d’autres domaines où celui-ci n’a rien à faire fait craindre un alignement par le bas du degré d’information et de débat public sur les activités de l’autorité de contrôle.
Les syndicats de magistrats et d’avocats ont déjà fait connaître leur grande inquiétude de la faiblesse des mécanismes de recours5. Les associations de défense des droits fondamentaux, comme La Quadrature du Net, ne sont pas moins inquiètes. En effet, les recours ne peuvent être formulés que par une personne ayant un intérêt direct et personnel à agir, ainsi que par l’autorité de contrôle (V. plus bas) ou un tribunal dans le cadre d’une procédure. Mais ce sont les conditions d’examen et de réponse aux recours qui sont alors franchement scandaleuses. Car la seule réponse obtenue sera du type « s’il y a eu surveillance, les règles ont été respectées ». On n’est plus dans le champ de la justice mais dans celui d’un dispositif de protection des activités de renseignement, dispositif conçu de telle façon que leurs abus éventuels n’auront pratiquement aucune chance d’être détectés. Même s’il est avéré que les services ont pratiqué une surveillance non autorisée, et qu’après information du premier ministre par l’autorité de contrôle, celui-ci n’a pas donné suite à ses recommandations, elle ne peut saisir le Conseil d’État pour le faire condamner qu’à la majorité de ses membres, ce qui, compte tenu de leur mode de désignation, risque bien de ne jamais se produire.
Au total, il y a bien un point véridique dans l’argumentaire présenté par le gouvernement. S’il était adopté dans ses dérives actuelles, le texte apporterait plus de garanties aux agents (et aux services) mais, au lieu d’un énoncé clair de ce qui est permis et interdit, ce serait la porte ouverte à tous les abus. Dans ce contexte, l’avocat William Bourdon6 a raison de nous alerter en affirmant que, « lorsqu’une démocratie cède aux services de renseignement, ceux-ci ne rendent jamais ce qu’on leur donne ».
1 L’exemple de la Plateforme nationale d’interceptions judiciaires est édifiant sur ce point avec le rôle qu’y joue Thalès.
2 Moins d’un an après l’adoption d’une loi sur la géolocalisation !
3 Mention actuelle dans l’article L. 241-2, CSI, dont la disparition a été relevée par la CNIL.
4 Au sens que Mireille Delmas-Marty donne à ce terme dans son livre Libertés et sûreté dans un monde dangereux, Seuil, coll. « La couleur des idées », 2010.
5 V., par ex., l’intervention de Virginie Duval, secrétaire générale de l’Union syndicale des magistrats lors du Grand Décryptage sur i-Télé le 19 mars 2015.
6 Dans Le Monde, 22-23 mars 2015.