huyghe.fr - Le site de François-Bernard Huyghe
OK
 Sur Twitter : @huyghefb
 Comprendre les conflits : une nouvelle polémologie
 Terrorisme
 Affrontements, stratégies et images
 Information, pouvoir et usage : l'infostratégie
 Intelligence économique : du savoir à l'influence
 Pouvoirs et information
 Transmission et communication : la médiologie
 Médiologie au présent
 Médiologie de l'histoire
 Divers
 Textes à télécharger
 Huyghe Infostratégie Sarl
Information, pouvoir et usage : l'infostratégie > Pouvoirs et information
Bon Noël, Big Brother !

Depuis les révélations de Snowden, chacun sait que la NSA recueille des milliards de métadonnées et l'emploi de ce terme se banalise dès qu'il est question de surveillance ou de libertés publiques. Et pas seulement aux États-Unis.

Ainsi les récentes discussions sur la proposition de loi de programmation militaire (le fameux article 13 devenu article 20 de la loi adoptée il y a quelques jours) ont soulevé le problème de l'accès aux données de connexion et à la géolocalisation d'appareils mobiles qui serait désormais accessibles à des services de renseignement luttant contre le terrorisme, le crime organisé ou la fraude fiscale. Accès qui serait décidé par le ministère de l'Intérieur, de la Défense ou des Finances et entériné par un responsable auprès du premier ministre et qui porterait typiquement sur des métadonnées (des données relatives aux données principales de la communication : le contenu du message lui-même).

Tout cela sans l'accord d'un juge d'instruction (comme lorsqu'une instruction est ouverte pour certains crimes et délits) ni d'un procureur, comme pour une enquête prééliminaire ou une enquête sans saisine, c'est-à-dire à la plupart des investigations que mènent policiers et gendarmes. Durant ces enquêtes ils ont souvent besoin d'intercepter le contenu des communications des suspects, mais aussi de géolocaliser les membres présumés d'une bande, de savoir qui est en contact avec qui, quand, avec quelle fréquence, d'où à où... Mais les enquêteurs sont sous contrôle de la magistrature debout (procureur) ou assise (juge d'instruction ou des libertés). De récents arrêts de la cour de Cassation considérant la géolocalisation de suspects sur ordre d'un procureur comme attentatoire aux libertés individuelles, un nouveau système donne au bout de quinze jours, le relais du procureur au juge des libertés, mais c'est toujours un juge.

Pour le dire autrement, notre droit connaît :

a) des interceptions judiciaires qui permettent l'écoute des conversations (pour une durée limitée et dans le cadre d'un mandat) et l'accès aux contenus des messageries par requête auprès des fournisseurs d'accès ou opérateurs, plus des informations dites relatives aux interceptions. Ainsi les fameuses "fadettes" (ces factures détaillées qui permettent de savoir après coup que X a eu une conversation avec Y de telle heure à telle heure et de tel endroit à tel endroit ou lui a envoyé un SMS. Sans oublier les techniques de géolocalisation d'un appareil téléphonique mobile, notamment en "l'obligeant à dire" en permanence à quelles balises il pourrait se connecter et donc où il est même si il n'est pas utilisé (mais ce sont aussi des métadonnées).

b) Des interceptions dites administratives ou de sécurité, celles dont le scandale des écoutes de l'Élysée sous F. Mitterand avait amené la restriction (loi de 1991) et la mise en place d'un contrôle par la Commission Nationale de Contrôle des Interceptions de Sécurité. Ces interceptions sont sensées réservées à des cas graves touchant au terrorisme, à la délinquance organisée, à la reconstitution de groupes dissous et à l'espionnage industriel. Donc a priori des groupes organisés dangereux, repérés au moins en partie, mais dont ne sait pas encore exactement quel crime ils ont pu ou vont commettre. Et cette première loi ne créait pas de véritable rupture entre données et métadonnées.

Depuis, une loi de 2006 a autorisé le ministère de l'Intérieur à collecter des données techniques (dates, durée, numéros en connexion), dans le cadre de la lutte contre le terrorisme, de façon motivée et avec l'autorisation d'une "personnalité qualifiée" du Ministère de l'Intérieur. Sans laisser intercepter contenu. À l'époque, ce système est apparu comme une facilité technique permettant aux services d'agir rapidement auprès des opérateurs et fournisseurs d'accès Internet. L'idée était de surveiller un groupe (qui connaît qui, quel pics d'activité dans leurs communications, quels déplacements, quelles communications avec quels pays) sans passer encore au stade des "vraies" écoutes. Celles-ci sont très chronophages (il faut quelqu'un pour écouter les conversations en direct ou enregistrées ou pour lire les messages pas forcément en français). L'heure de cerveau humain des enquêteurs coûte cher.

Ce n'était déjà pas très simple, mais le fameux article 13,x devenu article 20 qui s'appliquera le 1° janvier 2015 et ne sera pas examiné par le conseil constitutionnel) porte lui aussi sur du contenant et non du contenu (qu'il s'agisse de téléphones fixes ou mobiles ou d'Internet). La formulation vague du texte a suscité des débats très vifs, notamment pour savoir si elle étendait l'accès, outre les opérateurs et fournisseurs, aux hébergeurs de services de type réseaux sociaux, forums, chats, etc.

Enfin et surtout, l'hypothèse de services recueillant les métadonnées "sur sollicitation du réseau et en temps réel" a fait scandale.

Comment obtenir "en temps réel" accès à des informations contenues les ordinateurs d'Orange, Bouygues, Free, etc. (sans parler des fournisseurs de service de type Facebook ou Dailymotion) et le faire certifier par un document signé par la "personnalité qualifiée" auprès du Premier Ministre ? Comment non seulement les opérateurs téléphone (a priori équipés pour cela et déjà sensés répondre aux milliers de requêtes judiciaires), mais aussi des dizaines d'acteurs du Net (Blogs, hébergeurs, forums, réseaux sociaux) situés sur le sol français..., feront-ils pour répondre au coup par coup à chaque demande et en vérifier la légalité ? N'est-ce pas les obliger de fait à laisser une "porte de derrière" ouverte aux services de renseignement ?

En d'autres termes, cette loi pose un problème politique et un problème technologique.

Le problème politique est de savoir quel contrôle la personnalité qualifiée avant et la CNCIS après pourront exercer. Et cela sans même envisager des interprétations larges qui autoriseraient par exemple l'extension à du contenu du "recueil des informations ou documents traités ou conservés par leurs réseaux ou services de communication électronique" chez des acteurs privés.

A priori, comment distinguer une demande sérieuse, établie dans le cadre d'une enquête des services de renseignement, portant sur une vraie bande organisée susceptible de glisser dans le terrorisme ou un important réseau de blanchissement d'une recherche sur un rival politique ou un blogueur insolent, histoire de rendre service à un ministre ? Imaginons qu'un petit dealer ou un indicateur infiltré dans un groupe activiste appelle votre adversaire du parti opposé : par contamination (le contact d'un suspect est suspect) vous commencez à faire surveiller ses contacts et déplacements.
A posteriori, il n'y aura pas de DVD de conversations où vérifier si ces gens parlaient bien de bombes ou de cocaïne. Il y aura des séries de chiffres : tel numéro ou tel loggin a contacté tel autre.. Tel appareil était tel jour à tel endroit... Seuls ceux qui connaîtront tous les détails de l'affaire pourront y comprendre quelque chose. Et ce sera valable pour des dizaines de milliers de métadonnées.

Le problème technologique est : nos métadonnées sont-elles si insignifiantes que cela ?
Au fait, pourquoi croyez-vous que les sociétés privées gagnent des milliards de dollars avec vos métadonnées ou que la NSA dépense des milliards de dollars pour les acquérir ?

 Imprimer cette page