Vous tenez à la confidentialité de vos données numériques ? Alors inquiétez vous, car en France aussi, on fouille dans vos affaires. Dans un article précédent, j’ai parlé des services de stockage en ligne les plus sûrs. Le but était de se protéger des hackers.

Voici maintenant un aperçu de la menace gouvernementale, et de son instrument principal : la loi.

Le 24 juillet 2015 a été promulguée en France la loi 2015–912 dite sur le renseignement. Pour certains, ce texte représente un retour en arrière certain en matière de libertés numériques, une sorte d’équivalent français du Patriot Act américain. Au premier abord, le texte est assez obscur. Mais pour qui regarde les détails, voici ce qu’on peut y discerner.

Ce que la loi autorise désormais

La première fonction de cette loi est de rendre légal le renseignement. Oui, vous avez bien lu, jusqu’à aujourd’hui la France était la dernière grande démocratie à ne pas avoir encadré ce genre d’activité, ce qui permettait toutes les dérives.

Alors on pourrait se dire qu’il y a eu une avancée. En fait non, car la loi donne aux services de renseignement des prérogatives extrêmement vastes et ne prévoit pas de contre-pouvoirs crédibles, ce qui en pratique permet de passer outre le respect des libertés individuelles. Et cela, en toute légalité désormais.

La nouvelle loi autorise l’interception de données voix (téléphone) et data (SMS, emails, etc.). Mais elle précise surtout quelles méthodes utiliser pour cela, et la liste est longue : pose de caméras, écoutes téléphoniques, micros, balises GPS, logiciels espions, accès aux logs des FAI, etc. En gros, toute forme de donnée électronique peut être capturée.

Le gouvernement peut désormais compter sur les IMSI-catchers, un dispositif de capture du trafic d’un téléphone mobile utilisant la technique dite du “man-in-the-middle” (l’homme au milieu) : un émetteur-récepteur espion se fait passer pour une antenne de téléphonie mobile.

Abusé, votre téléphone lui transmet ses données. L’IMSI-catcher les relaie vers une vraie antenne, non sans les avoir recopié au préalable, évidemment. La communication n'ayant pas été perturbée, vous ne vous doutez de rien.

Toujours pour notre “sécurité”, il est possible de mettre en place des “boites noires” . Ce surnom donné par la presse désigne un dispositif de capture de données visant à détecter les activités terroristes.

Les FAI comme Orange, SFR, etc. doivent le relier à leur réseau sur demande des autorités. Il permet de connaitre l’origine ou destinataire d’un email, l’adresse IP d’un site visité, la durée de la conversation ou de la connexion…

Quelles protections pour les citoyens ?

D’ordinaire, lorsqu’on limite les libertés publiques, on met en place des organes et procédures visant à éviter les abus. C’est aussi le cas ici, mais en apparence seulement.

Lorsque le gouvernement veut procéder à une surveillance, il doit demander l’avis préalable (un avis, pas une autorisation !) de la Commission nationale de contrôle des techniques de renseignement (CNCTR), une autorité administrative “indépendante” créée pour l’occasion. Sauf qu’il peut passer outre cet avis avec l’accord du premier ministre…

Cette CNCTR est constituée de 9 personnalités dont 7 nommées par le Conseil d’Etat, lui-même composé de parlementaires nommés par le gouvernement. Autrement dit, celui qui est censé être surveillé choisit indirectement ceux chargés de la surveillance ! Autant dire que ce système ne sert à rien.

Par ailleurs, il est prévu que chaque citoyen puisse demander au Conseil d’Etat de vérifier qu’aucune technique de renseignement n’est utilisée illégalement pour le surveiller.

Mais pour cela il faut d’abord passer par tous les degrés de la juridiction administrative, une procédure extrêmement longue (jusqu’à plusieurs années), ce qui laisse largement le temps aux autorités d’effacer les traces de leurs excès s’il y en a eu.

La durée de conservation des données capturées est de 30 jours pour la correspondance, 90 jours pour la voix, la localisation et la vidéo, et 5 ans pour les logs des FAI.

Les conséquences de la loi

Elles sont évidentes : les dérapages peuvent se multiplier. Car si la loi se donne officiellement pour objectif de combattre le terrorisme et l’espionnage économique d’autres gouvernements, elle pourra servir à bien d’autres fins : découvrir les sources d’un journaliste d’investigation, repérer à l’avance un éventuel Edward Snowden français, espionner les partis politiques d’opposition (rappelons nous l’affaire du Watergate aux Etats-Unis), accumuler des informations à charge contre une personne que l’on souhaite contraindre au silence, etc.

Et tout cela sans le moindre contre-pouvoir crédible.

Cette loi a pourtant fait l’objet d’un recours devant le Conseil constitutionnel, un organe censé vérifier qu’elle est bien conforme à la constitution et compatible avec les libertés individuelles. Mais les membres, notamment des anciens présidents bien connus, n’ont pas semblé inquiétés par son contenu.

Un collectif de députés et d’associations a également tenté d’alerter l’opinion. Dans le mémoire présenté, on peut lire :

S’agissant du champ d’application de la loi, il semble évident que plusieurs dispositions vont bien au-delà de la lutte contre le terrorisme ou bien de la défense des intérêts économiques, scientifiques ou industriels du pays.

Là encore, sans succès.

Alors que faire ? Une seule solution : protéger ses données essentielles par des systèmes cryptés de bout en bout et basés à l’étranger.

Et comme le disait Benjamin Franklin (1706–1790) :

Ceux qui sont prêts à sacrifier leur liberté pour un peu de sécurité ne méritent ni l’une ni l’autre.

---

Un avis sur la question ? Donnez le moi sur Twitter 💬