Par Yannick Chatelain.

Comme je le soulignais en mars 2020, la loi la plus marquante, celle que retiendra probablement l’histoire de l’Internet français, restera celle qui aura instauré la surveillance de masse des internautes français : la Loi sur le renseignement adoptée le 5 mai 2015 intégrait la mise sous surveillance du réseau national par le déploiement d’un dispositif destiné à faire remonter des « signaux faibles » au renseignement.

Ce dispositif  décrié connu sous le nom de boîtes noires analyse automatiquement les métadonnées des communications Internet en France afin de détecter des signaux faibles et de prévenir entre autres les passages à l’acte d’individus radicalisés. Le mardi 14 novembre 2017, Francis Delon, le président de la Commission nationale de contrôle des techniques de renseignement (CNCTR), annonçait l’activation d’une première boîte noire.

Le gouvernement Hollande avait alors arrêté une date d’évaluation de ce dispositif au 31 décembre 2018. Un amendement du pouvoir exécutif actuel a une première fois repoussé cette échéance au 31 décembre 2020. Nonobstant une prorogation en aveugle de ce dispositif, dans les faits et comme le soulignait alors Jacques Follorou dans le quotidien Le Monde en octobre 2019 :

"58 des 59 attentats déjoués depuis six ans avaient pû l’être grâce au renseignement humain."

Dans la même veine, Next inpact, sous la plume de Marc Rees, avançait que suite au déploiement des trois boîtes noires activées en France entre 2017 et le 31 décembre 2018 :

"Seule une dizaine de personnes avaient été surveillées
individuellement suite au déploiement."

Un nombre pour le moins faible au regard de la masse de données collectées, sans compter le nombre de faux positifs noyant le renseignement.

Le problème n’était pas seulement la récupération en masse des données personnelles, mais également la capacité à leur donner du sens. De quoi questionner sur la raison d’être et la pertinence du déploiement de ces boîtes noires !

Pas d’évaluation des boîtes noires et pourtant…

Le jeudi 7 mai 2020, le site Dalloz repérait un projet de loi portant diverses « dispositions urgentes ». Sous couvert d’état d’urgence sanitaire, celles-ci devaient dans un premier temps permettre à l’exécutif de prolonger l’expérimentation des boîtes noires jusqu’en 2021.

Afin de justifier, tant la prorogation que l’absence d’une évaluation pourtant programmée, le gouvernement s’était alors retranché « derrière les circonstances sanitaires qui auraient rendu délicate la rédaction d’un rapport au Parlement sur les boîtes noires à la date prévue » à savoir le 30 juin 2020.

Dont acte. Libre à chacun d’apprécier la façon qui a permis à la Loi n° 2020-734 du 17 juin 2020 de voir le jour et de paraître au JO n° 149 du 18 juin 2020.

De l’absence d’évaluation à la pérennisation des boîtes noires

Outre le fait d’avoir prorogé l’usage des boîtes noires sans tenir parole, en avril 2021 c’est un nouveau pas qui va tenter d’être franchi par un nouveau le projet de loi intitulé « Projet de loi relatif à la prévention d’actes de terrorisme et au renseignement », un texte pour lequel le gouvernement a par ailleurs engagé une procédure accélérée le 28 avril 2021.

Dans un contexte de crise sanitaire qui perdure, dans un climat émaillé de violences urbaines et de drames liés au terrorisme, avec cette nouvelle loi le gouvernement français souhaite aller encore plus avant dans la surveillance d’Internet et des usagers français.

Dans ce projet de loi, les boîtes noires des services de renseignement pourraient ainsi collecter et analyser en masse les adresses URL complètes visitées par les internautes et les conserver plus de 5 ans.

L’article 8 proposé instaure

"Un régime autonome de conservation de renseignements pour les seuls besoins de la recherche et du développement en matière de capacités techniques de recueil et d’exploitation des renseignements. […] Enfin, ces renseignements sont, en outre, uniquement accessibles aux agents spécialement habilités à cet effet et exclusivement affectés à cette mission puis détruits dès qu’ils ne sont plus utiles aux besoins précités et au plus tard cinq ans après leur recueil."

La fuite en avant techno-solutionniste se poursuit donc. Le toujours plus de la même chose, qui ne peut donner que toujours plus de mêmes résultats, voire de non-résultats, est-il une réponse satisfaisante et adaptée au fléau combattu ? Sans la moindre évaluation, la question demeure sans réponse.

Si cette loi intervient dans un contexte dramatique, si le ministère de l’Intérieur assure que ce n’est pas une réponse à l’attentat de Rambouillet il n’en demeure pas moins que :

• Ce projet de loi intervient alors que la sécurité est présentée par les médias et les acteurs du monde politique comme l’un des enjeux majeurs de la prochaine présidentielle.
• Tous les moyens permettant le contournement d’une évaluation de l’efficacité de ces dispositifs ont été utilisés par l’exécutif.
• Le droit international est lui aussi contourné avec de surcroît l’appui du Conseil d’État.

En effet, si ce nouveau projet de loi et ce qui s’appliquerait aux boîtes noires a des chances d’aboutir en dépit de toutes les alertes, c’est que dans le même temps et par décision du 20 avril 2021, le Conseil d’État a refusé d’appliquer l’arrêt de la Cour de justice de l’UE (CJUE) qui, en octobre 2020, estimait que tant le droit français du renseignement que l’obligation de conservation généralisée et indifférenciée de l’ensemble des données de connexion (IP, localisation…) étaient contraires aux droits fondamentaux.

En prenant cette décision, La quadrature du net juge que le Conseil d’État isole la France dans ce que ses juristes nomment un Frexit sécuritaire. Cette décision lourde de conséquences semble à même de venir soutenir à terme cette nouvelle dérive en surveillance, puisqu’elle affranchit les renseignements français des principes et obligations de l’État de droit.

Quelle suite pour encore plus d’une efficacité improbable : l’interdiction des VPN ?

Si la nouvelle planche de salut pour protéger les citoyens du terrorisme intègre une surveillance de masse algorithmique augmentée et altère un peu plus des libertés fondamentales, cette surveillance accrue se fait, bis repetita placent, sans aucun élément probant sur son efficacité.

Si le Conseil d’État ne joue plus son rôle de garde-fou au motif d’une sécurité nationale qui lui serait supérieure, une question se pose : quelle sera l’étape suivante pour l’exécutif, une fois validée cette nouvelle loi  – si tant est qu’elle le soit – lorsqu’il « découvrira » que les utilisateurs de VPN en France sont de plus en plus nombreux  ? En France en 2019, un Français sur 5 utilisait un VPN.

L’exécutif suivra-t-il le chemin de la Chine et de la Russie qui en interdisent l’usage d’un VPN, un système encryptant les données personnelles afin que personne ne puisse y accéder par le biais d’un réseau Internet public, et que personne ne puisse avoir accès à l’adresse IP avec laquelle vous vous connectez à Internet.

En effet, en 2017 la Chine demandait aux entreprises de télécommunications de fermer tout accès aux VPN. La France emboitera-t-elle ce pas un jour ? Allons jusqu’au bout d’une logique qui persiste à défier le droit européen et s’absout de toute forme d’évaluation : en partant du principe que la surveillance de masse ne va pas faire décroître le nombre d’utilisateurs de VPN, en intégrant le fait que la crise sanitaire, pour des raisons de sécurité, à fait croître le nombre d’utilisateurs, voilà du grain à moudre et dans une logique de « tous suspects » autant de terroristes potentiels qui passeront sous les radars.

Nous dirigeons-nous demain en France vers l’interdiction prochaine des VPN ? Avant de légiférer à nouveau n’est-il pas raisonnable d’évaluer d’urgence l’efficacité de la surveillance algorithmique avant de l’augmenter encore ? S’il est une urgence dans l’urgence, ce serait bien cette dernière, afin ne pas entamer plus qu’elles ne le sont déjà des libertés fondamentales bien malmenées pour une sécurité promise qui pourrait se révéler parfaitement illusoire.

"L’adversaire d’une vraie liberté est un désir excessif de sécurité. "

Jean de La Fontaine – Le Loup et le Chien.

Cet article a été publié  le 05/05/2021 sur Contrepoints : Lire l'article original.

Photo Crédit : Ŧħīӣğŝ ₣Ō❹ ŸŌUṜ HӚ₳Đ on Flickr ( CC BY-SA 2.0)