Que pourront faire exactement les boîtes noires installées chez les fournisseurs d'accès à internet et chez les hébergeurs et éditeurs de certains services en ligne, prévue par la loi Renseignement ? Devront-elles se contenter — ce qui est déjà trop — d'observer en temps réel les métadonnées sans regarder le contenu des communications, ou la loi autorise-t-elle les intelligences artificielles conçues par l'Etat à fouiller les communications privées des internautes, avant d'alerter les services qu'un suspect est à surveiller ? Numerama tente de faire le point.

Très légèrement modifié par la Commission des lois de l'Assemblée Nationale qui l'a adopté sans sourciller, le futur article 851-4 du code de la sécurité intérieure créé par le projet de loi Renseignement donne la possibilité au Premier ministre d'imposer l'installation de boîtes noires sur les réseaux des FAI et des hébergeurs. Pilotées par une intelligence artificielle dont on ne saura rien du niveau de sophistication, ces boîtes auront pour mission d'observer les faits et gestes des internautes dans leur intimité, et d'alerter l'Etat lorsqu'un comportement suspect est détecté. Les services auront alors la possibilité d'obtenir l'identité de l'internaute dénoncé par l'IA, s'ils estiment qu'une "menace terroriste" est confirmée par l'analyse des données.

En verbiage juridique, l'article 851-4 dispose que "pour les seuls besoins de la prévention du terrorisme, le Premier ministre (…) peut, après avis de la Commission nationale de contrôle des techniques de renseignement, imposer aux opérateurs (…) la mise en œuvre sur leurs réseaux d’un dispositif destiné à détecter une menace terroriste sur la base de traitements automatisés des seules informations ou documents mentionnés au même article L. 851-1, sans procéder à l’identification des personnes auxquelles ces informations ou documents se rapportent et sans procéder au recueil d’autres données que celles qui répondent aux critères de conception des traitements automatisés".

Avant son examen en séance plénière entre le 13 et le 16 avril prochain, la reformulation du texte nous invite à glisser dans les méandres de la loi pour (tenter de) comprendre très exactement à quoi auront accès les intelligences artificielles développées par les services de renseignement. Il ne faut pas compter sur l'étude d'impact réalisée par le Gouvernement pour le savoir, puisque celle-ci est des plus succinctes et entretient le mystère :

Afin d’identifier le plus en amont possible l’existence de ces menaces, les services de renseignement, confrontés à une multitude sans cesse croissante de réseaux, modes et supports de communications générant au plan planétaire des flux massifs de données, doivent pouvoir recueillir, traiter, analyser et recouper un grand nombre d’éléments techniques anonymes pour détecter les signaux de faible intensité qui témoignent d’une menace pesant sur les intérêts de notre pays.

Il convient de dépasser l’approche exclusivement fondée sur le suivi de cibles déjà connues ou repérées pour privilégier la recherche d’objectifs enfouis sous le maquis des réseaux de communications transnationaux, Internet offrant à cet égard des opportunités de furtivité immenses pour les acteurs et vecteurs de la menace.

Opérée grâce à la détection anonymisée de certains comportements de communication, cette détection sera prévue par le nouvel article L. 851-4 du code de la sécurité intérieure. La levée de l’anonymat pesant sur les données collectées, qui serait justifiée par la révélation de la réalité d’une menace, ferait l’objet de la procédure de droit commun d’autorisation par le Premier ministre après avis de la commission de contrôle.

Entrons donc dans le labyrinthe juridique, en essayant d'être aussi clair que possible. Le futur article L851-4 dispose que les boîtes noires pourront être imposées par le Premier ministre chez les opérateurs mentionnés à l'article 851-1 (l'actuel L246-1). Celui-ci renvoie évoque lui-même aux "opérateurs de communications électroniques et personnes mentionnées à l'article L. 34-1 du code des postes et des communications électroniques", c'est-à-dire les fournisseurs d'accès à internet au sens large, et aux "personnes mentionnées aux 1 et 2 du I de l'article 6 de la (LCEN)", c'est-dire les FAI et les hébergeurs. Dans ces derniers sont assimilés des services en ligne tels que YouTube, Gmail ou Facebook, lorsqu'ils servent essentiellement d'intermédiaires. 

Par ce renvoi à l'article L246-1 créé par la loi de programmation militaire de 2013, le Gouvernement entend exploiter les termes très (trop) flous du texte bientôt attaqué par La Quadrature du Net, qui autorise des services de l'Etat à recueillir auprès des FAI et hébergeurs "des informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques, y compris les données techniques relatives à l'identification des numéros d'abonnement ou de connexion à des services de communications électroniques, au recensement de l'ensemble des numéros d'abonnement ou de connexion d'une personne désignée, à la localisation des équipements terminaux utilisés ainsi qu'aux communications d'un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications".

Mais il existe une grande incertitude sur ce que sont les "informations ou documents" concernés. L'article L34-1 du CPCE évoqué par le L246-1 est plutôt rassurant, puisqu'il contient un paragraphe VI qui précise que les données conservées notamment pour la recherche d'infractions ne "peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications". Chez les FAI et opérateurs téléphoniques, les boîtes donc sont donc censées ne traiter que les métadonnées de connexion.

Mais l'article 6 de la LCEN qui vise les hébergeurs et certains éditeurs de services en ligne ne contient aucune précaution du même genre. Les boîtes noires installées de force chez Google, OVH ou Facebook pourraient donc-t-elles traiter le contenu-même des communications, si tant est qu'il ne soit pas chiffré ou qu'il soit déchiffrable ?

C'est là que nous entrons dans des subtilités supplémentaires.

Le dispositif de la boîte noire s'insère dans un chapitre intitulé "des accès administratifs aux données de connexion". Or en droit, les intitulés des sections doivent être pris en compte pour l'interprétation des articles eux-mêmes. Il n'apparaît donc pas possible légalement pour les services de renseignement de programmer la boîte noire pour aller lire automatiquement les e-mails et les communiquer aux agents s'ils contiennent des termes surveillés.

Mais il est aussi possible d'interpréter la loi comme autorisant l'intelligence artificielle à fouiller elle-même le contenu des communications, et à alerter les services de l'Etat si elle y trouve un faisceau d'indices inquiétants, sans fournir le contenu des documents. La boîte noire pilotée par une IA fonctionne-t-elle dans le strict champ juridique de "l'accès administratif aux données de connexion", ou cette formule ne s'applique-t-elle qu'aux agents humains de l'Etat qui font remonter in fine les données dans leurs services ? Alerté par la boîte noire, le ministère de l'intérieur pourrait se contenter de réquisitionner l'ensemble des métadonnées correspondant à la personne identifiée, ce qui en pratique suffit très largement à obtenir des indices justifiant une mise sous surveillance rapprochée.

Notons toutefois que l'article L851-4 réécrit en commission demande que les boîtes noires ne recueillent pas d'autres "d’autres données que celles qui répondent aux critères de conception des traitements automatisés". La formule n'est pas d'une grande limpidité mais elle vise l'encadrement des traitements automatisées de données personnelles prévu par la loi CNIL de 1978. La garantie est toutefois limitée. L'article 26 oblige simplement à l'Etat à prendre un arrêté après avis de la CNIL pour tout traitement de données "qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions", ou à prendre un décret si pour la défense de l'intérêt public le traitement peut faire "apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci".

En clair, nous ne sommes pas beaucoup plus avancés. Or l'intelligibilité de la loi est un principe démocratique essentiel, en principe garanti par le Conseil constitutionnel. Comme nous le rappelions dans notre article sur les raisons pour lesquelles la loi Renseignement viole le droit international, le Haut-Commissaire de l'ONU aux droits de l'homme demande que toute loi sur la surveillance de la population soit "suffisamment accessible, claire et précise pour qu'un individu puisse s'y référer pour vérifier qui est autorisé à pratiquer la surveillance des données et en quelles circonstances".

une comparateur meilleur vpn numerama

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !