Interceptions obligatoires légales

• En 1991, en France l'article L. 811-5 du code de la sécurité intérieure (devenu depuis 2015 l'article L. 871-2), cadre les interceptions de sécurité et autorise la surveillance hertzienne par les services de renseignement (avant d'être jugée inconstitutionnelle par le Conseil constitutionnel car n’étant soumise à « aucune condition de fond ni de procédure » et sa « mise en œuvre » n’étant encadrée « d’aucune garantie »), cette plate-forme informatique d'interception a pu permettre une surveillance généralisée de tout le réseau internet français dès 2009, d'après un rapport (2013)[3] parlementaire de la mission parlementaire chargée de l'« Évaluation du cadre juridique applicable aux services de renseignement », indiquant que les services faisaient environ 30 000 requêtes par an en vertu de la loi de 2006 (c'est-à-dire dans le cadre des lois antiterroristes), contre près de 200 000 requêtes sur la base de l'article L. 811-5 détournée, couvrant, lui tout le champ, bien plus large, des interventions de renseignement – cadré par des notions aux contours mal définis, tels que celles de « la sécurité nationale » et de « sauvegarde des éléments essentiels du potentiel scientifique et économique de la France ».

• À partir du 6 juin 2013), le lanceur d'alerte Edward Snowden attire l'attention du monde sur des pratiques similaires mises en place à plus grande échelle par le Gouvernement fédéral des États-Unis pour surveiller les communications d'individus de la planète entière, via notamment la captation par la National Security Agency (NSA), des métadonnées des appels téléphoniques aux États-Unis, et les écoutes de conversation téléphoniques et internet via les programmes PRISM, XKeyscore, Boundless Informant et Bullrun, ainsi que sur les pratiques du gouvernement britannique via les programmes de surveillance Tempora, Muscular et Optic Nerve.

• En France, longtemps, la loi ne définit pas ce qu'est la « communauté française du renseignement » ; ainsi, la loi de finances pour 2002 fait mention des « services destinataires » (fonds spéciaux), mais sans les mentionner explicitement. Il faut attendre 2011 (article 27 de la LOPPSI) (4) pour que l’article L. 2371-1 du code de la défense pose une définition : « Les services spécialisés de renseignement [...] sont désignés par arrêté du Premier ministre parmi les services mentionnés à l’article 6 nonies de l’ordonnance n^o 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires». Le 9 mai 2011 un arrêté du Premier ministre dresse enfin une liste des administrations concernées par le recours à une fausse identité et, indirectement, par la délégation parlementaire au renseignement : la DGSE, la DPSD, la DRM, la DCRI, la DNRED et TRACFIN.
  En 2013, la surveillance par les « Interceptions obligatoires légales » est officiellement reconnue (par la LPM, Loi de programmation militaire) puis reconduite par la loi relative au renseignement (examinée au Parlement à partir du 19 mars 2015 puis promulguée le 24 juillet 2015)[4], alors que dans divers pays, le droit du renseignement évoluait aussi, pour notamment s'adapter à la croissance mondialisée de l'Internet[5].

• En 2016, après une enquête journalistique, une activité de surveillance généralisée, précoce, avant qu'elle ne soit autorisée par la loi, a été dénoncée et portée à la connaissance du public par Mediapart le 6 juin 2016, via un article de Jérôme Hourdeaux, intitulé La surveillance du Net a été généralisée dès 2009[2]. Cet article montre qu'elle était en réalité utilisée dès 2009. En 2016 également, le Journal officiel a publié un décret d’application de la loi sur le renseignement relatif au système de surveillance français, dressant la liste des données techniques de connexion légalement accessibles aux services de surveillance[6]. C'est le Premier ministre qui définissait la liste des appareils de surveillance pouvant être importés, distribués, commercialisés, détenus, etc. en France ; les « dispositifs techniques » (software) incluant désormais les appareils (hardware). Les services du renseignement n'ont plus besoin d'une autorisation du premier ministre pour de fabriquer d'appareils ou de dispositifs techniques depuis qu'un décret leur accorde « de plein droit » cette autorisation. Il existait depuis les années 1960 un groupement interministériel de contrôle (GIC, dont le nouveau président, à compter du 1^er février 2016, Pascal Chauve (ingénieur en chef de l'armement), a été nommé par Manuel Valls, en remplacement du contre-amiral Bruno Durteste). Cet organisme n'a été officialisé qu'en 2002. Placé auprès du Premier ministre, il enregistre toutes les autorisations de surveillance prononcée par ce dernier, puis recueille et conserve toutes les métadonnées récupérée auprès des intermédiaires techniques, hébergeurs et FAI. Il centralise aussi l'exécution des interceptions de sécurité (« écoutes ») et leurs retranscriptions. Enfin, il va « contribuer » à la centralisation et à la traçabilité de ces différentes opérations. Bref, un rôle fondamental dans la mise en œuvre de la loi sur le renseignement.

• Une question prioritaire de constitutionnalité (QPC) posée par la Quadrature du Net, la French Data Network (FDN) et FFDN, a porté sur plusieurs dispositions issues de la loi de programmation militaire (LPM) du 18 décembre 2013 autorisant l’« accès administratif » aux « données de connexion » (dispositions qui seront entre-temps modifiées par la loi renseignement (dont le Conseil constitutionnel a reconnu la constitutionnalité). Pour répondre à cette QCP et définir ce que la loi entendait par la notion de « données de connexion », le Conseil constitutionnel, a rendu plusieurs décisions (French Data Network et d'autres) le 24 juillet 2015 (juste le lendemain de la « décision du 23 juillet portant sur la loi renseignement » faisant suite à la contestation par certains députés de la conformité de certains articles de la loi à la Constitution, et en particulier au droit au respect de la vie privée et à la liberté d'expression)[7].
  Les articles L 246-1 à L 246-5 du code de la sécurité intérieure (CSI) en vigueur jusqu’à l’intervention des décrets d’application de la loi renseignement (art. 26 de la loi du 24 juillet 2015) autorisaient trois ministères (de la Défense, de l’Intérieur et de l’Économie et des finances) à accéder aux « informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques ». Le champ d’application est plus large que celui la loi du 24 juillet 2015, limitée aux services de renseignement français, et il a le même objectif : autoriser, à certaines conditions, un accès administratif aux données de connexion (« informations ou documents » pouvant être aspirés par les services via les intermédiaires que sont les infrastructures, serveurs, fournisseurs d'accès, etc.).

• Le 10 juillet 2015, Médiapart, se basant sur des documents émanants de Hacking Team (fabricant virus et logiciels de surveillance), affirme que dès 2013 la France cherchait à se fournir en logiciels-espions. Les services de renseignement semblaient notamment vouloir acheter Galileo, un outil permettant via un virus informatique de prendre le contrôle d'ordinateurs distants. Des négociations avec des sociétés étrangères se sont notamment faites via une associations CNET Sagic Service Administratif dont le code « APE » déclaré à l’Insee était celui de « autres services de restauration » (désignant habituellement les « Exploitations en concession de cantines, restaurants d'entreprises, de cafétérias »), déclarée avoir été créée comme Association le 01/01/1900, et fonctionnant sans salariés ni effectif, et officiellement fermée le 1^er février 2011 après avoir été basée à la même adresse que celle du Secrétariat général de la Défense et de la Sécurité nationale (SGDSN)[8].

• En 2016 (14 novembre), Francis Delon (président de la Commission nationale de contrôle des techniques de renseignement (CNCTR) annonce lors d'un colloque à Grenoble que les boîtes noires sondant en temps réel les communications Internet de millions de résidents français sont désormais légalisées (après l'adoption de la loi renseignement de 2015) ; selon lui le « contenu » des communications n'est pas concerné, et le secret des correspondances est donc protégé, mais ce n'est pas l'avis des journalistes enquêteurs, de militants, de juristes, d'universitaires et d'observateurs comme F Tréguer (de l'ONG laQuadrature du Net) : Ce dernier explique que ces boites noires, qui doivent algorithmiquement repérer des communications « suspectes » échangés via l'internet (y compris via la téléphonie), sont une première étape dans l'évolution du droit français qui cherche depuis 2013 à légaliser l'usage des techniques de « Deep Packet Inspection » (« point d'articulation entre différentes logiques du renseignement technique contemporain », utilisée avant même d'être juridiquement cadrée[4]. Selon lui, plusieurs ambiguïtés légistiques « faisaient obstacle à la compréhension de l'articulation droit/technique, faute de transparence sur la nature des outils techniques utilisés par les services et leurs usages. Or, compte tenu des informations révélées par Reflets.info et Mediapart l'an dernier sur des sondes DPI installées dès 2009 chez les grands fournisseurs d'accès français, on peut raisonnablement penser que les « boîtes noires » sont en réalité déjà expérimentées depuis longtemps »[4]. Même si le trafic Internet chiffré a augmenté, cette « écoute » du trafic Internet permet aux services qui l'utilisent de repérer des cibles, mais aussi potentiellement de dresser des graphes sociaux détaillés de tous les internautes (qui communique avec qui, quand, à l'aide de quel service en ligne, etc.), via l'analyse des métadonnées et d'une partie du contenu des communications : « au lieu de considérer les identifiants associés aux services en ligne comme le contenu des communications acheminées par les FAI [ce qu'ils sont au plan technique], ces identifiants contenus dans les paquets conservent le statut juridique de métadonnées, et peuvent ainsi être collectés à l'aide d'outils DPI »[4]. Selon F Tréguer, cet outil de captation des identifiants contenus dans les communications Internet permet aux services de massifier la surveillance, en contournant les quotas prévus en matière d'interceptions de sécurité (plafond de 2 000 interceptions simultanées)[4].

• En 2018, Jean-Pierre Dubois (professeur de droit public et président d’honneur de la Ligue des droits de l'homme (France)) dans un article intitulé « La coercition dans tous ses état », publié dans l'ouvrage Qui gouverne le monde[9] s'interroge sur la manière dont les conflits et violences ont changé (devenant plus « asymétrique ») et comment dans un monde en proie au exacerbations de « tensions sociales, aux crispations identitaires et aux fragmentations territoriales » ; en réponse « les outils de coercition dits « forces de sécurité », les distinctions classiques (armée et police, public et privé) se brouillent singulièrement », l’exercice de la « contrainte physique légitime » se durcit : états d’exception de plus en plus durables, renforcement des pouvoirs policiers au détriment des pouvoirs juridictionnels, alourdissement pénal et pénitentiaire du « sécuritaire »[10]... Il relève que les services de renseignements français ont mis en place dès 2009 un dispositif automatisé d'« Interceptions obligatoires légales », de surveillance du Net collectant les « métadonnées », alors que l’analyse des métadonnées « en temps réel » n'était pas encore autorisé.

Dans le Journal officiel de la République française (JORF), sur Légifrance :