Données collectées en temps réel sans juge : tout savoir sur l'article 13
Ce mardi soir, sauf prise de conscience de dernière minute, le Sénat devrait adopter sans en modifier une virgule l'article 13 de la loi de programmation militaire, qui organise la possibilité d'une collecte de données en temps réel par l'Etat chez les FAI et les hébergeurs. Numerama fait le point sur le contenu de cet article très polémique, dont le seul garde-fou semble très insuffisant.
Mise à jour : le texte a été adopté par le Sénat. Sauf improbable surprise, malgré l'opposition tardive mais massive à l'article 13 du projet de loi de programmation militaire (LPM), le Sénat devrait confirmer ce mardi soir l'adoption du dispositif de collecte en temps réel de données sur les réseaux des opérateurs télécoms, tel que l'a rédigé l'Assemblée Nationale.
Très controversé, et pour cause, l'article 13 de la LPM soumis au Sénat donne à des agents de Bercy, du ministère de la Défense, et du ministère de l'Intérieur, le droit de procéder au "recueil, auprès des opérateurs de communications électroniques et des (hébergeurs et éditeurs), des informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques". Il ajoute que ces données, qui ne sont pas définies limitativement, peuvent être "recueilli(e)s sur sollicitation du réseau et transmis(es) en temps réel par les opérateurs", ce qui laisse ouverte la possibilité de l'installation de sondes sur les réseaux (questionné sur ce point à l'Assemblée Nationale, le Gouvernement n'avait pas voulu préciser ce qu'était la "sollicitation du réseau").
Cette faculté est applicable dans le cadre des interceptions de sécurité, donc "à titre exceptionnel" (ce qui ne veut pas dire grand chose), lorsqu'il s'agit de rechercher "des renseignements intéressant la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous". Une liste sujette à interprétation, qui ne limite pas non plus la recherche à des personnes ciblées. Il peut s'agir de rechercher des personnes en surveillant massivement un type d'informations ou de communications.
C'est une "personnalité qualifiée" auprès du Premier ministre qui autorise au cas par cas ces collectes de données. En théorie, c'est la Commission Nationale de Contrôle des Interceptions de Sécurité (CNCIS) qui nomme cette personnalité. Mais elle la choisit parmi une liste de noms soumis... par le Premier ministre. De quoi éviter toute indépendance.
La CNCIS et ses trois membres, seul garants de la légalité
Lorsque les données sont collectées en temps réel, le Premier ministre doit signer son autorisation, pour une période de 30 jours renouvelable indéfiniment. Cette autorisation est transmise après coup (au maximum 48 heures après) au seul président de la CNCIS, qui doit juger souverainement de la légalité de la collecte. Avec quelle indépendance ? La loi affirme que la CNCIS est indépendante, mais elle ajoute immédiatement que son président est désigné par le Président de la République, sur propositions du Conseil d'Etat et de la Cour de Cassation. Sa composition est par ailleurs exclusivement politique, puisqu'outre le président, elle ne se compose que d'un député et d'un sénateur, désignés par les présidents des deux chambres.
De plus, c'est seulement "si celui-ci (le président de la CNCIS) estime que la légalité de cette autorisation n'est pas certaine (qu'il) réunit la commission, qui statue dans les sept jours suivant la réception par son président de la communication mentionnée au deuxième alinéa".
Au total, la collecte illégale peut donc se poursuivre jusqu'à 9 jours, sans que le texte impose de détruire les données illégalement collectées, et sans que quiconque vérifie le bienfondé des décisions prises par la CNCIS, qui ne font bien sûr pas l'objet de la moindre publication. Il est uniquement demandé qu'il soit "mis fin" à la collecte illicite, lorsque les trois membres de la CNCIS l'ordonnent.