Le projet de loi sur le renseignement, publié le 19 mars 2015, a ouvert la voie à un « Patriot Act » à la française. Ce renforcement des pouvoirs des services de renseignement a déjà fait couler beaucoup d’encre aux Etats-Unis. En sera-t-il de même en France ? Ce qui est certain, c’est qu’il suscite déjà de nombreuses critiques, notamment de la part des acteurs du Web.
Impossible d’éviter la comparaison. Le projet de loi français sur le renseignement, dont l’étude a été accélérée suite aux attentats de janvier 2015, semble être l’écho parfait du Patriot Act mis en place par les Etats-Unis après les attentats du 11 septembre 2001. Depuis la parution de ce texte, les agences de renseignement américaines ont accès à toutes les données informatiques hébergées par des sociétés américaines ou aux Etats-Unis. Le Patriot Act a eu des répercussions en France, car beaucoup d’entreprises du pays font héberger leurs données aux Etats-Unis, mais aussi dans le monde entier suite à l’affaire Snowden, qui a démontré ses abus…
Des pratiques de renseignement jusque-là illégales
Si le projet de loi français ne devrait pas donner une aussi grande liberté aux services de renseignement, il fournira tout de même à ces derniers de puissantes armes de prévention du terrorisme et du crime organisé, notamment en légalisant certaines pratiques qui étaient jusque-là illégales. Quatre dispositifs principaux sont prévus.
La détection de comportements suspects par les opérateurs et sites internet
Le projet de loi vise à soumettre les fournisseurs d’accès et hébergeurs, ainsi que les sites internet les plus fréquentés (Facebook, Twitter, Google…) à une obligation de détection automatisée et de signalement des comportements suspects (recherches internet, connexion à des sites terroristes, publication de messages tendancieux). Une obligation qui passe par la mise en place de moyens de détection, et donc d’investissement lourds…
Le recueil immédiat de données auprès des acteurs du Web
Ces mêmes acteurs du Web devront, sur simple demande des services de renseignement, leur transmettre immédiatement les données de connexion des utilisateurs ciblés. Pour accéder aussi rapidement à de telles requêtes, ces prestataires devront déployer des moyens automatisés. Ils seront, de plus, soumis au secret de la défense nationale et ne devront en aucun cas parler de ces requêtes à des tiers, sous peine d’emprisonnement…
Le décryptage des données chiffrées
Les autorités pourraient se faire remettre, grâce à cette loi, des clefs de décryptage des communications chiffrées émises sur le Web. Une mesure certainement difficile à accepter par des sociétés spécialisées dans la sécurisation des communications et données de leurs clients, et notamment par les acteurs du cloud computing.
L’utilisation de techniques de hacking par les services de renseignement
Keylogger, cheval de Troie, IMSI Catcher : ces noms vous disent quelque chose ? Ils constituent une partie de la panoplie idéale du parfait hacker. Leur but : s’introduire dans des systèmes informatiques et mobiles afin de voler ou d’intercepter des données. En devenant légale, leur utilisation permettra aux services de renseignement d’espionner aisément les conversations téléphoniques ou internet (sur Skype par exemple).
Déploiement des dispositifs sur ordonnance du Premier ministre
Dans le domaine du Web, la finalité de ce projet de loi est donc claire : permettre aux services de renseignement, sur simple autorisation administrative, d’accéder à des données et communications en ligne, puis de les déchiffrer si besoin. Le travail de renseignement s’en trouvera facilité, au détriment de la confidentialité de nos données et communications…
La mise en place de tous ces dispositifs sera soumise à la surveillance de la Commission nationale de contrôle (CNCTR), composée de deux députés, deux sénateurs, deux membres du Conseil d’État, deux magistrats et un spécialiste des communications électroniques. Cependant, ses avis ne seront que consultatifs et la décision finale appartiendra au Premier ministre.
Perte de compétitivité et délocalisation des hébergeurs français ?
Du côté des sociétés internet, le mécontentement est de mise. Leurs reproches concernent principalement l’obligation de détection de comportements suspects qui s’apparente, pour le Conseil national du numérique, à une « forme de surveillance de masse » et qui occasionne de nombreux frais de mise en œuvre. L’Association française des éditeurs de logiciels et solutions Internet (AFDEL) a quant à elle mis en avant les risques que fait peser ce projet de loi sur l’activité des hébergeurs français, qui pourraient perdre la confiance de leurs clients. Plusieurs d’entre eux menaceraient d’ores et déjà de délocaliser leurs activités hors de France afin d’échapper à leurs obligations…
Envie d’en savoir plus sur le sujet ? Découvrez notre article relatif au Patriot Act américain.