A la manière d’une CNIL européenne, le CEPD a pour “objectif général de veiller à ce que les institutions et les organes communautaires respectent le droit à la vie privée“. Ce pour quoi, en décembre dernier, Peter Hustinx avait déjà qualifié (.pdf) cette directive sur la conservation des données, adoptée en 2006 en réaction aux attentats de Madrid et de Londres, d’”atteinte massive à la vie privée“, et qu’elle constituait “sans aucun doute l’instrument le plus préjudiciable au respect de la vie privée jamais adopté par l’Union européenne eu égard à son ampleur et au nombre de personnes qu’elle touche” :

Conserver les données relatives aux communications et les données de positionnement de tous les citoyens de l’Union européenne, chaque fois qu’ils utilisent leur téléphone ou internet, constitue une énorme ingérence dans le droit au respect de la vie privée de la population.

En fait, la question qui se pose n’est pas de savoir si l’accès à certaines données de la téléphonie et de l’Internet peut être nécessaire pour lutter contre des crimes graves, mais si cet objectif nécessite que les données relatives au trafic des communications de l’ensemble des citoyens soient conservées systématiquement pour des périodes allant jusqu’à deux ans ?

Le contrôleur européen à la protection des données s’étonnait de voir que, 7 ans après son adoption, aucun des États membres, pas plus que la Commission européenne, n’avait démontré l’efficacité de la directive, se permettant même d’exprimer “des doutes quant au fait que des preuves convaincantes seront fournies concernant la nécessité de conserver des données à une si grande échelle” :

L’heure est venue de fournir suffisamment de preuves pour étayer cet argument. Sans ces preuves, la directive sur la conservation des données devrait être retirée ou remplacée par un instrument plus ciblé et moins invasif remplissant les exigences de nécessité et de proportionnalité.

Une “alternative” : l’”abrogation”

Après analyse du récent rapport d’évaluation de la Commission européenne sur la directive sur la conservation des données (voir La France, championne d’Europe de la surveillance des télécommunications), le CEPD estime aujourd’hui que “la directive ne répond pas aux exigences fixées par le droit fondamental à la protection de la vie privée et des données, en particulier pour les raisons suivantes” :

• la nécessité de la conservation des données telle que fixée par la directive n’a pas été clairement démontrée ;
• la conservation des données pourrait être réglementée de façon moins intrusive ;
• la directive laisse une trop grande marge de manœuvre aux Etats membres quant aux finalités pour lesquelles les données peuvent être utilisées, et sur qui peut accéder aux données et sous quelles conditions.

De fait, si la directive a initialement été adoptée aux fins de lutte contre le terrorisme, de nombreux pays l’ont étendu à bien d’autres crimes et délits, la France allant même jusqu’à l’utiliser dans le cadre de la “protection de la propriété intellectuelle“.

Trois pays (Roumanie, Allemagne et République tchèque) ont annulé leurs transpositions en droit interne de la directive “au motif qu’elles étaient inconstitutionnelles“, la Cour suprême de la République de Chypre ayant de son côté déclaré anticonstitutionnelle l’accès aux données des personnes n’ayant pas été condamnées.

Dans le rapport (.pdf, en), plus long, consacré à cette prise de position, Peter Hustinx en arrive à la conclusion qu’”il est désormais clair que la directive sur la conservation des données ne peut plus continuer à exister dans sa forme actuelle“.

Il appelle donc aujourd’hui la Commission à “examiner plus en avant le caractère nécessaire et proportionnel de la directive, et en particulier de considérer des moyens alternatifs, moins intrusifs, pour la vie privée“, quitte à l’abroger :

Le CEPD demande à la Commission d’envisager sérieusement toutes les options possibles dans ce nouveau processus, y compris la possibilité d’abroger la directive.

Si fort soit-il, l’avis du CEPD, chargé de conseiller la Commission européenne, le Parlement européen et le Conseil “sur les nouvelles propositions de législation et autres initiatives ayant un impact sur le protection des données” n’est que consultatif : “L’objectif est de veiller à la préservation des droits fondamentaux des citoyens européens en matière de protection de la vie privée et des données personnelles“. Quelles que soient l’ampleur des atteintes aux droits fondamentaux qu’il peut dénoncer, rien n’oblige la Commission européenne à à s’y conformer.

Le jeu de mot du titre vous intrigue ? C’est que vous ne connaissez pas cette vidéo, qui a pas mal buzzé l’an passé : Ça, c’est vraiment PD.

Photos de chouettes (symbole de la Brigade de renseignement, qui chapeaute les unités militaires françaises de guerre électronique) CC Johan J.Ingles-Le Nobel, Vicki’s Nature, Left Hand, Dario Sanches, mereco.

La preuve : avec 514 813 demandes d’accès en 2009 aux données de trafic conservées par les opérateurs de téléphonie fixe ou mobile, et les fournisseurs d’accès à l’internet, contre 503 437 en 2008, la France est championne d’Europe! Elle occupe la première place pour ce qui est de l’exploitation des “logs“, également nommées “données de trafic“, ou “données de connexion“, encore plus intrusives que ne le sont les désormais célèbres “FaDet” (pour “factures détaillées“). Toutes ces demandes étant faites par des OPJ dans un cadre judiciaire.

Le Royaume-Uni arrive en seconde position, avec 470 222 demandes d’accès, loin devant la Lituanie (85 315), les Pays-Bas (85 000) ou encore l’Espagne (53 578), l’Allemagne n’en dénombrant de son côté “que” 12 684 (pour 81,5 millions d’habitants). Comme le soulignait ce matin Le Canard enchaîné, “en bonne logique, le territoire de nos voisins allemands devrait être livré à la terreur et à la dévastation“.

Ces chiffres de la Commission européenne, publiés en annexe du Rapport d’évaluation concernant la directive sur la conservation des données (.pdf), contrastent très fortement avec ceux dont on disposait jusqu’alors. Deux sources ont récemment livrés des estimations très inférieures :

• Le Figaro soulignait ainsi récemment que le nombre d’écoutes téléphoniques était passé de 5 845 en 2001 à 35 000 aujourd’hui, mais qu’il n’y aurait eu “que 500 interceptions sur Internet alors que le besoin en France est dix fois supérieur“.
• La Commission nationale de contrôle des interceptions de sécurité (CNCIS) qui, en 2008 et pour les seules enquêtes relatives à l’antiterrorisme, avaient recensé 34 911 d’accès aux “données techniques” en 2008, et 39 070 en 2009.

Conclusion logique: 93% des demandes d’accès concernent donc des enquêtes autres que terroristes.

De la lutte antiterroriste aux atteintes à la propriété intellectuelle

C’est pourtant le terrorisme qui est à l’origine de cette législation. Le dispositif a été introduit, en France, suite aux attentats du 11 septembre 2001, afin d’obliger les fournisseurs d’accès à internet (FAI) à garder la trace, pendant un an, de tout ce que font les internautes sur les réseaux.

Adoptée en 2006 en réaction aux attentats de Madrid et de Londres, la directive sur la conservation des données a quant à elle élargi le dispositif à “la recherche, la détection et la poursuite d’infractions pénales graves“, ainsi qu’aux opérateurs de téléphonie et non plus seulement d’internet, afin de les “contraindre à conserver les données relatives au trafic et les données de localisation pendant une durée comprise entre six mois et deux ans“. Sont concernées les données mentionnant :

La source, la destination, la date, l’heure, la durée et le type de communication, ainsi que le matériel de communication des utilisateurs et, dans le cas de la téléphonie mobile, des données relatives à la localisation de l’équipement.

Cette directive constitue “sans aucun doute l’instrument le plus préjudiciable au respect de la vie privée jamais adopté par l’Union européenne eu égard à son ampleur et au nombre de personnes qu’elle touche“, a récemment déclaré (.pdf) le contrôleur européen à la protection des données, qui dénonce cet espionnage généralisé de nos télécommunications. Une situation qui pourrait changer, nombreux étant ceux qui, en Europe, plaident pour une révision de la directive.

Le rapport de la Commission relève à ce titre que “la plupart des États membres qui ont transposé la directive autorisent, dans leur législation, l’accès aux données conservées et leur utilisation pour des finalités dépassant celles couvertes par la directive“. La France est ainsi le seul pays à préciser que la conservation des données vise tout à trac “la prévention d’actes de terrorisme et la protection de la propriété intellectuelle” :

Explication de la “limitation des finalités de la conservation des données dans le droit national”

A en croire le tableau comparatif de la Commission, la France est le seul pays à mentionner ainsi explicitement la “protection de la propriété intellectuelle“. Les autres évoquent successivement:

• “les missions des services de renseignement et de sécurité” (Belgique)
• de “lutte contre la corruption, de contre-espionnage et de renseignement militaires” (Pologne)
• les infractions “graves” (Chypre)
• “très graves” (Lituanie)
• “particulièrement graves” (Grèce)
• ou susceptibles d’une peine de prison d’au moins un (Luxembourg), deux (Hongrie) trois (Estonie) ou cinq ans (Irlande)
• ou encore la “sauvegarde de la sécurité de l’État et la préservation de la vie humaine” (Irlande)

La France est aussi le seul pays à avoir lancé la chasse aux “pirates” avec sa Hadopi…

Objectif : identifier les sources des journalistes

Dans sa réponse à la Commission européenne, la France précise que les autorités nationales autorisées à accéder aux données sont le parquet, ainsi que les officiers de police et les gendarmes désignés. Chaque demande d’accès doit être motivée, puis l’agent doit “demander l’autorisation de la personne du ministère de l’intérieur désignée par la Commission nationale de contrôle des interceptions de sécurité“. Au passage, Paris omet soigneusement de préciser que le fisc et le gendarme de la Bourse y accèdent eux aussi à l’envi, tout comme les douaniers et ce, sans aucun contrôle judiciaire.

C’est aussi grâce à ces FaDet que la Direction centrale du renseignement intérieur (DCRI), à qui il avait été demandé d’identifier les hauts-fonctionnaires soupçonnés d’informer la presse, a réussi à contourner la loi sur les écoutes téléphoniques, l’an passé, avant d’”outer” David Sénat, membre du cabinet de la Garde des Sceaux Michèle Alliot-Marie, ainsi que quelques agents du Quai d’Orsay magistrats.

Le rapport de la Commission fait curieusement l’impasse sur ces écarts, avançant qu’il n’y aurait aucune preuve d’un quelconque détournement de données personnelles… ce qui fait bondir l’European Digital Rights (Edri, qui réunit 28 ONG européennes de défense des libertés et de la vie privée), mais également le Conseil de l’Union qui, dans sa réponse (.pdf) à la Commission, rappellent, a contrario, plusieurs autres cas d’excès ou d’abus de ce type.

En Allemagne, Deutsche Telekom s’est ainsi servi de ces données pour espionner 60 personnes, dont des journalistes et des syndicalistes, afin de trouver l’informateur qui leur avait confié des documents. En Pologne, deux services de renseignement avaient eux aussi utilisé illégalement ces données, sans contrôle judiciaire, pour identifier les sources de journalistes. En Hongrie, des policiers ont contourné la loi pour confier des données à des personnes non autorisées.

Une directive anticonstitutionnelle ?

Les cours constitutionnelles de trois pays (Roumanie, Allemagne et République tchèque) ont annulé leurs transpositions en droit interne de la directive “au motif qu’elles étaient inconstitutionnelles“, et la Cour de justice va elle aussi devoir se prononcer sur la légalité de la directive.

Le rapport de la Commission souligne également, mais très pudiquement, que “le contrôleur européen à la protection des données a, lui aussi, exprimé des doutes quant à (sa) nécessité“.

Pour être exact, Peter Hustinx a qualifié la directive d’”atteinte massive à la vie privée“, et déclaré que “conserver les données relatives aux communications et les données de positionnement de tous les citoyens de l’Union européenne, chaque fois qu’ils utilisent leur téléphone ou internet, constitue une énorme ingérence dans le droit au respect de la vie privée de la population” :

En fait, la question qui se pose n’est pas de savoir si l’accès à certaines données de la téléphonie et de l’Internet peuvent être nécessaires pour lutter contre des crimes graves, mais si cet objectif nécessite que les données relatives au trafic des communications de l’ensemble des citoyens soient conservées systématiquement pour des périodes allant jusqu’à deux ans ?

Un taux d’efficacité de… 0,011%

En l’état, la directive repose en effet “seulement sur la supposition qu’elle constitue une mesure nécessaire et proportionnée“, le contrôleur estimant que “l’heure est venue de fournir suffisamment de preuves pour étayer cet argument” :

Sans ces preuves, la directive sur la conservation des données devrait être retirée ou remplacée par un instrument plus ciblé et moins invasif remplissant les exigences de nécessité et de proportionnalité.

Peter Hustinx se permettait même d’exprimer “des doutes quant au fait que des preuves convaincantes seront fournies concernant la nécessité de conserver des données à une si grande échelle“, soulignant qu’”un certain nombre de juridictions dans le monde semblent survivre sans ce type de mesures“.

De fait, le rapport n’apporte aucune évaluation statistique sur l’efficacité de la conservation des données. Arguant de quelques affaires de cybercriminalité et de pédopornographie, les services de police la qualifient d’”absolument indispensable et déterminante“, non seulement parce qu’elle permet de confondre des suspects, vérifier des alibis, contacter des témoins, démontrer une complicité mais également, et la Commission insiste lourdement à ce sujet, parce qu’elle permet d’acquitter des innocents, ou de “mettre hors de cause des personnes soupçonnées, sans devoir recourir à d’autres méthodes de surveillance, telles que l’interception de communications et la perquisition, susceptibles d’être jugées plus intrusives“.

En 2006, une étude de l’office fédéral de police criminelle allemand (BKA) avait estimé, en 2007, que le taux d’élucidation était passé de 55% à 55,006%, grâce à l’exploitation des données de trafic, soit un taux de progression de 0,011%… ce qui fait dire au groupe de travail du Parlement allemand sur la conservation des données que celle-ci complètement “disproportionnée” quant à sa finalité :

Il apparaît clair que le succès de la rétention massive des données est très limité.

Les experts du parlement allemand estiment également qu’”il est impossible de réécrire la directive de sorte qu’elle se mette en conformité avec la charte des droits fondamentaux“, et se prononcent clairement pour un dispositif plus respectueux de la présomption d’innocence :

L’Union européenne doit abandonner cette expérience immédiatement et remplacer cette collecte totalement disproportionnée de données des télécommunications de l’ensemble de la population par un instrument qui ne préserve que les seules données des suspects.

Reste donc à savoir combien de personnes ont été visées par le 1/2 million de demandes d’accès aux données de trafic effectué chaque année en France, mais aussi, et surtout, combien ont été condamnées…

Vous imaginez une démocratie où la loi oblige les opérateurs de transport en commun et sociétés autoroutières à installer mouchards et caméras pour garder la trace, pendant un an, des endroits que les gens ont visités, de comment ils y sont allés, des personnes qu’ils ont rencontrées, et de ce qu’ils ont pu échanger ou partager ? Ce pays, c’est la France de 2011.

Un décret publié au JO le 1er mars contraint les fournisseurs d’accès à l’internet, les hébergeurs et prestataires de services web et de réseaux sociaux à conserver les données permettant d’identifier qui sont les gens qui vont sur l’internet, ce qu’ils y font, quand, et comment.

Ce décret Big Brother “relatif à la conservation des données de nature à permettre l’identification de toute personne physique ou morale ayant contribué à la création d’un contenu mis en ligne“, est la conclusion somme toute logique d’une histoire commencée il y a près de 20 ans et qui s’est formidablement accélérée au lendemain des attentats du 11 septembre 2001.

Une demande pressante du FBI

L’histoire de la surveillance des internautes commence en 1993, alors que le web est en train d’exploser. En juin de cette année, on dénombrait 130 sites Web, et 623 en décembre. Les premiers navigateurs, Lynx, puis NCSA Mosaic, font exploser les usages, qui croissent à un rythme annuel de 341 634 %.

Cette même année, les autorités américaines commencent à mener une intense activité diplomatique afin de persuader les pays européens et l’OCDE de déployer des mesures de surveillance et d’interception des télécommunications, sous les auspices d’une organisation d’experts européens et américains, ILETS (pour Interception Law Enforcement Telecommunication Seminar).

Fondée par le FBI, son existence fut révélée par Duncan Campbell, dans le rapport que le parlement européen lui avait demandé de consacrer, en 1999, au réseau Echelon anglo-saxon d’interception des télécommunications.

Ses travaux débouchèrent, en 1995, sur l’adoption d’une résolution européenne relative à l’interception légale des télécommunications, largement inspirée du Communications Assistance to Law Enforcement Act (CALEA) américain, adopté en 1994, là aussi à l’initiative du FBI, afin d’imposer aux compagnies téléphoniques et aux fournisseurs d’accès internet de modifier leurs infrastructures pour faciliter la surveillance des réseaux.

Dans la foulée, ENFOPOL (pour “ENFOrcement POlice“), groupe de travail réunissant les ministères de l’intérieur des pays membres de l’Union considéré par certains comme la réponse européenne à l’organisation anglo-saxonne ECHELON, tente de définir les modalités techniques et standards de cette surveillance préventive des télécommunications.

Après avoir notamment proposé d’imposer la communication aux autorités des mots de passe des internautes, ou encore la présences de “backdoors” (portes dérobées) dans les logiciels et systèmes de cryptographie, le Parlement européen décida finalement de s’opposer à la conservation des traces de connexion, en juillet 2001, au motif que cela reviendrait à “donner carte blanche dans l’intrusion dans la vie privée des citoyens, en dérogation des droits de l’homme et des libertés fondamentales“, comme le rapporta alors ZDNet :

Le comité du Parlement européen a notamment précisé que des mesures de surveillance électronique doivent être «entièrement exceptionnelles, basées sur une loi spécifique et autorisées par une autorité judiciaire compétente dans le cas de personnes individuelles». Toute forme de surveillance électronique sur une large échelle devrait être interdite, tranche le comité.

“Légalité républicaine” vs “ère du soupçon”

Deux mois plus tard, les attentats du 11 septembre 2001 allaient tout changer, dans le monde entier, entraînant nombre de pays à renforcer leurs boîtes à outils sécuritaires, au nom de l’anti-terrorisme.

En France, le gouvernement socialiste qui, depuis 1997, cherchait à border la droite sur le terrain de la lutte contre l’”insécurité“, modifiait ainsi dans l’urgence son projet de loi relative à la sécurité quotidienne (LSQ), pour notamment contraindre les fournisseurs d’accès à l’internet à stocker, pendant un an, les traces (“logs“) de ce que font les internautes sur les réseaux, et ce quand bien même il n’a jamais été formellement prouvé que les terroristes avaient utilisés le Net pour communiquer (voir Terrorisme : les dessous de la filière porno).

De nombreuses associations avaient alors dénoncé des “mesures d’exception” instaurant une ère du soupçon faisant de tout citoyen un “présumé suspect” qu’il convenait de placer, par principe, sous surveillance.

Signe de la fébrilité des parlementaires, le sénateur socialiste Michel Dreyfus-Schmidt avait d’ailleurs vendu la mèche, avec un lapsus lourd de sous-entendus admettant que la France sortait du cadre de la “légalité républicaine” :

« Il y a des mesures désagréables à prendre en urgence, mais j’espère que nous pourrons revenir à la légalité républicaine avant la fin 2003 ».

Conscient du fait que les législations anti-terroristes se doivent d’être sévèrement encadrées, l’article 22 de la LSQ précisait en effet que les mesures anti-terroristes rajoutées en urgence dans la foulée des attentats, et donc ce placement sous surveillance des internautes, ne devaient courir que jusqu’au 31 décembre 2003, date à laquelle un “rapport d’évaluation sur l’application de l’ensemble de ces mesures devait permettre au Parlement de statuer sur leur prorogation, ou non.

Quand l’exception devient la norme

Le Parlement n’eut pas le temps de demander ni d’examiner quelque rapport d’évaluation que ce soit. Le 21 janvier 2003, un amendement déposé par Christian Estrosi, après avis favorable de Nicolas Sarkozy, à son projet de Loi sur la sécurité intérieure (LSI, ou “Loi Sarkozy II“), dont il était le rapporteur, grave dans le marbre, sans aucun débat et en moins d’une minute, le principe de surveillance préventive des internautes. Verbatim :

M. Christian Estrosi, rapporteur. Prorogation ou pérennisation ? Dans l’article 17 du projet du Gouvernement, il n’est question que de proroger. Dans mon amendement, par contre, je propose de pérenniser certaines des dispositions visées, celles qui touchent à la conservation et au déchiffrement des données informatiques, c’est-à-dire à l’utilisation des nouvelles technologies de l’information et de la communication par la cybercriminalité.

Je vous ai soumis précédemment un amendement tendant à instituer de nouveaux délits pour donner à la police des moyens d’action dans la lutte contre la cybercriminalité et les réseaux qui s’y rattachent.

Il me paraît justifié de profiter de l’examen de cet article pour pérenniser des dispositions qui seront de plus en plus utiles à l’avenir, aux forces de l’ordre pour mener à bien leurs investigations en matière de lutte contre toutes les formes de trafics : drogue, armes, pédophilie, prostitution, blanchiment d’argent.

M. le président. Quel est l’avis du Gouvernement ?
M. le ministre de l’intérieur, de la sécurité intérieure et des libertés locales. Favorable.
M. le président. Je mets aux voix l’amendement n° 86.
(L’amendement est adopté.) “

Avec l’adoption de l’amendement Estrosi, soulignait ainsi la Ligue Odebi dans ses Logs pour les nuls, “la mesure d’exception consistant initialement à enregistrer tous les faits et gestes des internautes à des fins de lutte anti-terroriste, pour les mettre à disposition de l’autorité judiciaire, est devenue une mesure définitive, donc totalement séparée de l’existence ou non d’une menace terroriste“.

Extension du domaine des écoutes

En 2004, la loi pour la confiance dans l’économie numérique LCEN) étend l’obligation de conservation des données de connexion aux hébergeurs et responsables des sites et services web, qui doivent détenir et conserver “les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires“.

En janvier 2006, la loi relative à la lutte contre le terrorisme (LCT), présentée par le ministre de l’intérieur, Nicolas Sarkozy, élargit l’obligation de conservation des “données de trafic” aux cybercafés, et prévoit de permettre aux services anti-terroristes de pouvoir y accéder en dehors de tout contrôle de l’autorité judiciaire, mais après avis d’une personnalité qualifiée placée auprès (et dépendant) du ministre de l’intérieur.

Le 15 mars 2006, une directive européenne sur la conservation des données définit la liste de ce que les fournisseurs de services de communications électroniques doivent logguer, suivie, en France, le 24 mars 2006 d’un décret “relatif à la conservation des données des communications électroniques“. Les FAI et les opérateurs de téléphonie sont désormais tenus de pouvoir tracer et identifier :

• la source et l’utilisateur de chaque communication
• son ou ses destinataires
• la machine utilisée pour communiquer
• le type, la date, l’heure et la durée de la communication
• les “données relatives aux équipements terminaux de communication utilisés (et) aux services complémentaires demandés ou utilisés et leurs fournisseurs“
• la géolocalisation des équipements de communication mobile utilisés.

En 2007, le ministère de l’intérieur mettait en place, en toute discrétion (dixit Le Figaro) et entre les deux tours des présidentielles, une nouvelle plate-forme d’interception, en temps réel, des données de connexion des mails et des textos, à l’intention des services de renseignement :

Qu’il s’agisse d’un appel sur mobile, d’un courriel envoyé par Internet ou d’un simple texto, les « grandes oreilles » de la République peuvent désormais savoir qui a contacté qui, où et quand.

“L’internet est un moyen de se cacher”

Problème : de plus en plus de connexions sont chiffrées, empêchant les grandes oreilles de savoir qui fait quoi sur les réseaux, comme l’expliquait l’an passé Bernard Barbier, “directeur technique” de la Direction Générale de la Sécurité Extérieure (DGSE).

A son arrivée dans les services spéciaux en 1989, “l’objectif, c’était le téléphone” : des numéros, localisés et limités en terme de relais d’informations (fax, télex ou voix), à bas débit (”un million de communications simultanées, c’est pas beaucoup pour nous”), et rarement chiffrés. Le recours à la cryptographie servait d’ailleurs d’alerte, car seuls les diplomates, les militaires ou les services secrets chiffraient leurs communications, “et notre job était de les casser, et on devait traiter entre 100 et 1000 documents par jour”.

Aujourd’hui, la couverture en téléphonie mobile est quasi-mondiale, le débit a considérablement changé (de l’ordre de 1 milliard de communications simultanées), et de plus en plus de services et de flux sont chiffrés (BlackBerry, Skype, Gmail -depuis l’attaque des Chinois), sans même que l’utilisateur ne s’en rende compte et, à terme, l’ensemble des télécommunications seront probablement chiffrées.

Dans le même temps, souligne Bernard Barbier, “même les méchants se mettent à communiquer” : souvent jeunes, instruits, “tous les apprentis terroristes utilisent la crypto : pour eux, l’internet est un moyen de se cacher : ils savent qu’ils peuvent être écoutés, et donc se cachent dans la masse des utilisateurs de l’internet”, ce qui fait que “les cibles ont changé” :

“Nos cibles principales aujourd’hui n’utilisent plus le chiffrement gouvernemental ou militaire mais plutôt de la cryptographie grand public, car nous travaillons à 90% sur l’anti-terrorisme. Aujourd’hui, nos cibles sont les réseaux du grand public, parce qu’utilisés par les terroristes.”

Parallèlement, et au vu de l’explosion du volume des télécommunications, les services de renseignement et de police judiciaire s’intéressent plus au contenant qu’au contenu, afin de savoir qui communique avec qui, quand, pendant combien de temps, voire où, si la communication est géolocalisée :

“Et toutes ces méta-données, on les stocke, sur des années et des années, et quand on s’intéresse à une adresse IP ou à un n° de tel, on va chercher dans nos bases de données, et on retrouve la liste de ses correspondants, pendant des années, et on arrive à reconstituer tout son réseau.”

“Nous stockons tous les mots de passe”

“La mémoire humaine n’étant pas infinie, les utilisateurs utilisent souvent les mêmes mots de passe“, expliquait également Bernard Barbier, ce qui peut s’avérer très pratique pour identifier les apprentis terroristes qui utilisent les mêmes types ou bases de mots de passe lorsqu’ils interviennent sous leurs pseudonymes de guerre, la nuit sur les forums de discussion, que lorsqu’ils s’expriment, le jour, sous leurs vrais noms, sur les réseaux sociaux :

Ils mènent une double vie, mais ont les mêmes mots de passe. Et nous stockons bien évidemment tous les mots de passe, nous avons des dictionnaires de millions de mots de passe.

On comprend mieux pourquoi le décret sur la conservation des données “permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne“, publié 6 ans après l’adoption de la LCEN auquel il se réfère explicitement, prévoit précisément la conservation, non seulement des noms, prénoms, pseudos, identifiants, n° de téléphone, adresses postales et électroniques de ceux qui s’expriment sur le Net, mais également de leurs “mots de passe ainsi que des données permettant de les vérifier ou de les modifier“.

Les services de police et de gendarmerie ont en effet de plus en plus recours à des logiciels d’analyse criminelle (ANACRIM) afin, “par exemple, de rattacher les appels téléphoniques à des abonnés, les abonnés à leurs correspondants, les correspondants à leurs autres relations et ainsi de suite“.

C’est ainsi que les statisticiens, spécialistes du datamining, sont parvenus à exploiter des centaines de milliers de CDR (Call Data Recording), les fiches contenant toutes les données relatives à un appel téléphonique, afin d’identifier le café où se réunissaient les terroristes de l’attentat de Madrid en 2004.

C’est également ce pour quoi les mots de passe pourront donc aussi servir à identifier des internautes, comme le souligne Guillaume Champeau sur Numerama :

Avec ces méthodes, l’enquête peut devenir un véritable jeu de piste. Par exemple, si le suspect a pris soin de masquer son adresse IP et utilise une adresse e-mail jetable sur le lieu du crime, il sera peut-être possible pour les enquêteurs de trouver le même login (pseudonyme) sur un autre service en ligne, où la personne recherchée n’aura pas pris les mêmes précautions. La comparaison des mots de passe pourra peut-être alors confirmer qu’il s’agit bien de la même personne, auquel cas l’adresse IP utilisée pourra faciliter l’identification.

Les services anti-terroristes, qui ont le droit d’accéder aux données sans contrôle judiciaire, pourront ainsi plus facilement s’infiltrer sur les réseaux. Encore que : les terroristes n’utilisent guère les sites et réseaux sociaux hébergés en France, de même qu’ils passent rarement par des fournisseurs d’accès français, et l’obligation de conservation, et de transmission, des données de connexions prévus dans le décret ne s’applique pas aux forums et réseaux sociaux étrangers.

Il n’est, par contre, qu’à se souvenir de l’affaire Tarnac pour imaginer sans trop de difficulté les problèmes que cela pourrait engendrer dès lors que des policiers s’en serviraient pour infiltrer des “organisations de nature subversive susceptibles de se livrer à des actes de terrorisme ou d’atteinte à l’autorité de l’Etat“, notion pour le moins floue mais dont la surveillance fait explicitement partie des missions de la Direction Centrale du Renseignement Intérieur (DCRI), le service de contre-espionnage français qui a fusionné les RG et la DST.

En attendant de tels éventuels dérives et dommages collatéraux, on aurait tort de verser dans la paranoïa, ne serait-ce que parce que conservation des données de connexion date donc de 10 ans maintenant et, comme le souligne Eric Freyssinet, chef de la division de lutte contre la cybercriminalité de la gendarmerie, “d’ores et déjà, dans ces situations et dans la plupart des cas, les enquêteurs parviennent déjà très facilement à identifier le bon interlocuteur“.

A contrario, il n’est pas vain de rappeler pour autant que normalement, dans un État de droit, on ne place sous surveillance que les individus soupçonnés d’avoir commis un crime ou un délit. Dans nos démocraties sécuritaires, tout citoyen est a contrario un suspect en puissance, qu’il convient de surveiller, de manière préventive, “au cas où“. Le problème est politique. Il en va de la “légalité républicaine“.

Photographies CC leg0fenris.