Conservation généralisée des données de connexion, surveillance de masse… Adopté par les députés, avant le Sénat fin juin, le projet de loi renseignement passe en procédure accélérée. Mais son contenu inquiétant mériterait un débat public d’ampleur.
Passer des textes de loi en procédure accélérée devient une habitude. L’actuel projet de loi relatif à la prévention d’actes de terrorisme et au renseignement ne déroge pas à la règle. Adopté le 2 juin par l’Assemblée nationale en seulement deux jours, il ne lui manque plus que le vote du Sénat, à l’issue d’un examen prévu les 29 et 30 juin. Dans un contexte d’inflation législative et politique sur la surveillance et le renseignement, « le but est d’empêcher tout débat public » fustige Pierre*, membre du Centre d’études sur la citoyenneté, l’informatisation et les libertés (CECIL). Cette organisation fait partie de l’Observatoire des libertés et du numérique, un groupement d’associations et de syndicats qui vient de publier un communiqué alertant sur cette « nouvelle étape dangereuse dans les atteintes régulières et toujours plus importantes portées par ce gouvernement à nos libertés ».
Le premier objectif de ce texte est de pérenniser des dispositifs issus de la loi renseignement de 2015 et de la loi SILT (renforçant la sécurité intérieure et la lutte contre le terrorisme) de 2017. Pour cette raison, il avait été rédigé de longue date, et aurait pu être déposé plus tôt sur la table des parlementaires. Mais il n’a été présenté en Conseil des ministres que dans la foulée du meurtre d’une agente de police à Rambouillet, le 23 avril – laissant peu de temps aux élus pour s’en saisir. Au-delà de la pérennisation contestée de plusieurs dispositifs de lutte antiterroriste, les défenseurs des libertés numériques ont passé au peigne fin le volet renseignement de ce texte de loi – parfois obscur et technique –, et s’inquiètent de nouvelles portes sécuritaires qu’il ouvre.
La surveillance algorithmique de masse entérinée
Là encore, tout est une question de timing. Le projet de loi a été présenté une semaine après que le Conseil d’État, dans une décision du 21 avril, ait laissé le champ libre au gouvernement sur la conservation généralisées des donnés de connexion. De quoi balayer d’un revers la jurisprudence de la Cour de justice de l’Union européenne. En octobre 2020, celle-ci jugeait contraires aux droits fondamentaux les « boîtes noires », ces algorithmes de surveillance des données de connexion, mis en place par la loi renseignement de 2015. Leur but : surveiller toute la population pour « découvrir des profils suspects, et en faire automatiquement des cibles des renseignements » résume Pierre, du CECIL. Sans que l’on connaisse les marqueurs exacts à partir desquels seront repérés ces « profils suspects ». « En 2015, la seule concession du gouvernement Hollande avait été de rendre ces boîtes noires expérimentales jusqu’en 2018 », retrace Pierre. La loi SILT est venu les prolonger pour deux ans. « En 2020, elles ont été de nouveau prolongées. Cette fois, elles deviennent permanentes » : le projet de loi les entérine définitivement.
Surtout, ces algorithmes intègreront l’analyse des adresses URL – l’adresse d’un site ou d’une page Web – que consultent les Français. Selon la CNIL, les trois premières boîtes noires expérimentées jusqu’ici se restreignaient aux données téléphoniques. Mais difficile de savoir quelle était la pratique réelle : « Dans le cadre de nos contentieux, les services de renseignement nous disaient qu’ils utilisaient déjà les adresses URL », assure Arthur Messaud, juriste de la Quadrature du Net. Dans tous les cas, il est désormais officiel que les algorithmes de surveillance seront étendus aux URL. Dans son avis sur le projet de loi, la CNIL estime pourtant « que le ministère ne lui a pas transmis d’éléments suffisamment précis lui permettant d’apprécier l’efficacité opérationnelle et l’efficience de cette technique ». Aucun bilan d’évaluation ni rapport public sur ces boîtes noires n’est paru à ce jour.