Informatique et Libertés, RGPD, CIL et DPO, du pareil au même ?

Continuons à présenter quelques détails relatifs au Règlement Général sur la Protection des Données. Aujourd’hui, nous allons parler des postes de CIL et de DPO. Le sujet est abordé suite à des choses trop fréquemment entendues, exemple : « le DPO c’est l’exact copie du CIL, mais pour le RGPD ».

Vrai ou faux ? Continuer la lecture de Informatique et Libertés, RGPD, CIL et DPO, du pareil au même ?

Un présumé terroriste arrêté en Angleterre. Le chiffrement est-il illégal ?

Le 4 octobre, une personne a été arrêtée dans une rue de Cardiff, en Angleterre. Samata Ullah, 33 ans, est accusé d’être un terroriste et/ou d’avoir participé à la préparation d’actes terroristes. L’homme est, depuis, en détention provisoire. La police britannique l’accuse de six délits et, dans ces 6 chefs d’inculpation, quelques-uns sont…disons…. étranges… sur le chiffrement. Explications. Continuer la lecture de Un présumé terroriste arrêté en Angleterre. Le chiffrement est-il illégal ?

[En bref] Les logiciels libres sortis de la loi numérique

Lors de la consultation sur le projet de loi relatif au Numérique, porté par Axelle Lemaire, une proposition a majoritairement été soutenue, sous trois formes différentes : la promotion du logiciel libre au sein des administrations.

Au total, plus de 6500 votes positifs ont été recueillis pour ces trois propositions. Ce chiffre peut sembler faible mais il ne l’est clairement pas. Naturellement, avec un tel score, nous étions en droit d’espérer, de croire, que le gouvernement allait suivre et allait donc prioriser le logiciel libre au sein des administrations.

Et bien…. En fait…. Non.

Certains seront déçus par cette nouvelle, d’autres auront simplement confirmation d’une chose : cette consultation était inutile.

Attention, entendons-nous bien : la consultation était une excellente initiative, elle a montré un chemin qui me plait, un potentiel futur où nous participons directement à la vie politique et aux décisions qui font, au moins en partie, notre quotidien.

Mais soyons réalistes, elle est aussi efficace et utile qu’une opération de chirurgie esthétique pour Frank Ribery.

Les ayants-droits n’étaient pas contents de certaines dispositions : elles sont retirées. Le gouvernement n’est pas content de certaines propositions : elles sont retirées.

A quoi sert la consultation si même les propositions les plus soutenues sont balayées d’un revers de la main ?

Le gouvernement a tenu à s’expliquer, comme le souligne Next Inpact : il « souhaite avant tout le faire par des mesures non législatives, par accompagnement sur le terrain et promotion des initiatives des administrations et des agents. »

[quote]Mais le train de tes propositions roule sur le rail de mon indifférence[/quote]

En langage politique, cela veut dire : « nous sommes d’accord avec vous mais nous n’allons rien changer, rien faire, nous allons vous parler d’accompagnement et de sortie des mesures législatives pour qu’aucun contrôle ne puisse être opéré sur tout ceci. ».

En version raccourcie, cela donne : « circulez, il n’y a rien à voir. »

Lorsqu’on sait que le gouvernement vient à peine de signer un chèque de plus de 80 millions d’euros à Microsoft, on se dit que ce n’est clairement pas demain que les administrations basculeront…

… ni demain que le gouvernement écoutera vraiment ses citoyens.

David Cameron n’a définitivement pas compris le chiffrement.

L’Investigatory Powers Bill est un projet de loi qui propose d’étendre le pouvoir d’enquête des policiers et, selon un journal anglais, ce projet de loi va tenter d’interdire le « chiffrement indéchiffrable », explications.

Continuer la lecture de David Cameron n’a définitivement pas compris le chiffrement.

[En bref] Loi renseignement et surveillance internationale : pas tous égaux.

L’article L. 854-1 – III de la proposition de loi relative aux mesures de surveillance des communications électroniques internationalesje sais, c’est très pompeux comme entrée en matière – est ainsi rédigé :

« Les personnes qui exercent en France un mandat ou une profession mentionné à l’article L. 821-7 ne peuvent faire l’objet d’une surveillance individuelle de leurs communications à raison de l’exercice du mandat ou de la profession concernée. »

Il est bon de se rappeler l’article L. 821-7, puisque le L. 854-1 – III en fait mention :

« Les techniques de recueil du renseignement mentionnées au titre V du présent livre ne peuvent être mises en œuvre à l’encontre d’un magistrat, d’un avocat, d’un parlementaire ou d’un journaliste ou concerner leurs véhicules, bureaux ou domiciles que sur autorisation motivée du Premier ministre prise après avis de la commission réunie.»

En décodé , l’article dont il est question dans mon billet dit donc la chose suivante :

les magistrats, avocats, parlementaires ou journalistes ne peuvent être surveillés que si le premier ministre l’autorise et que ladite autorisation est dite « motivée », argumentée si vous préférez. Il lui faudra également l’avis de la Commission Nationale du Contrôle des Techniques du Renseignement (CNCTR), que j’ai surnommé la « commission du oui » pour anticiper l’avenir…

Condition importante : il faut que ces professions « protégées » soient exercées en France. Dans le projet de loi relatif à la surveillance des communications électroniques internationales, ce n’est pas le cas.

Pour faire plus simple et moins pompeux : pour surveiller des magistrats, des avocats, des parlementaires ou des journalistes à l’étranger, servez-vous, c’est open bar.

La vision est assez binaire, j’en conviens, mais tout ce qui n’est pas inscrit dans la loi est dans le champ du possible.

Seulement…

Bien, ce point-là me dérange profondément. Non pas que les autres ne me dérangent pas, loin de là, très loin même, rassurez-vous.

Il me dérange car il crée une rupture d’égalité pour des personnes qui exercent le même métier, qui ont besoin des mêmes protections, qui ont les mêmes exigences que leurs confrères du sol français.

Dans ces métiers, il existe de très nombreuses connexions internationales, certains avocats de l’étranger gèrent des dossiers pour des clients français, certains journalistes étrangers communiquent avec d’autres français et ainsi de suite…

Pourtant, le projet de loi ne prévoit pas de protéger ces professions si elles sont exercées hors du territoire français.

Une nouvelle fois, j’ai honte de cette loi qui fait honte à notre pays et aux valeurs que nous sommes censés défendre plus que tout : liberté, égalité, fraternité.

Comment pouvons-nous encore avoir l’égalité comme devise lorsque la loi s’efforce de rompre ce qu’il reste de cette valeur déjà bien massacrée ?

Comment peut-on se faire avoir à ce point ?

Ces protections pour quelques métiers sont insuffisantes et inefficaces :

  • insuffisantes car d’autres métiers méritent d’être protégées, comme les médecins et le secret médical par exemple
  • inefficaces car pour ne pas surveiller un avocat, un journaliste … il faut déjà l’avoir identifié et pour l’identifier, il faut qu’il ait déjà été l’objet d’une surveillance.

Pour faire plus simple : si, sur une autoroute, j’ai l’obligation de laisser passer toutes les conducteurs qui portent un chapeau vert, il faut que j’observe chaque conducteur, y compris ceux qui portent ce chapeau « sésame ».

Pour ne pas surveiller les professions protégées, il faut que je tombe dessus pour dire « ah, non, lui ce n’est pas possible, c’est Marc Rees, de Next INpact, c’est un journaliste, on ne peut pas le surveiller, arrêtez tous, les mecs ! », donc, l’espace d’un instant déjà bien trop long, je l’ai surveillé.

Vous voyez le problème je pense, non ?

Quel dommage que les rédacteurs de la « rustine » suite à la toute petite claque du conseil constitutionnel ne le voient pas….

[A froid, n°1] Le Conseil constitutionnel a parlé. #PJLRenseignement

Jeudi 23 Juillet 2015, 22h30. La nouvelle tombe : le Conseil constitutionnel a rendu la décision n° 2015-713, relative à la loi sur le renseignement.

Ladite décision est une réponse aux trois saisines, celle du Président de la République, celle du président du Sénat et celle des députés de l’Assemblée nationale.

Cette décision, composée de 93 « Considérant », est accompagnée d’une censure partielle de la loi sur le renseignement, explications partielles.

Que dit la décision ? (ndlr : ce n’est pas sexy, mais c’est la loi)

Le Conseil des sages censure :

L’article L. 821-6

L’article en question autorisait, en cas d’urgence liée à une menace imminente, l’installation des dispositifs techniques pour collecter des données sans aucune autorisation préalable. Il faudra donc, dans ces cas d’urgences, obtenir l’autorisation préalable d’installer ces dispositifs techniques. Il ne sera pas nécessaire de passer par la CNCTR, le « garde-fou » des services de renseignement mais il faudra au moins l’aval du Premier ministre ou d’une personne faisant autorité.

La dernière phrase du premier alinéa de l’article L. 821-7

« L’article L. 821-6 n’est pas applicable, sauf s’il existe des raisons sérieuses de croire que la personne visée agit aux ordres d’une puissance étrangère, ou dans le cadre d’un groupe terroriste ou d’une organisation criminelle. »

L’article L. 821-6 étant déclaré contraire à la constitution, la dernière phrase de l’article L. 821-7 n’a plus de raisons d’exister, elle tombe donc naturellement.

La deuxième phrase du premier alinéa de l’article L. 832-4.

« Ces crédits sont inscrits au programme “Protection des droits et libertés” de la mission “Direction de l’action du Gouvernement” ».

Pour faire plus explicite, le Conseil constitutionnel a censuré le budget de la CNCTR. Ce budget ne pourra plus relever des crédits du gouvernement, ce qui fait qu’il ne sera plus visible dans la loi de finance.

« les mots : « , à l’exception de ceux mentionnés à l’article L. 854-1 » figurant au troisième alinéa de l’article L. 833-2 »

« 2° Dispose d’un accès permanent, complet et direct aux relevés, registres, renseignements collectés, transcriptions et extractions mentionnés au présent livre, à l’exception de ceux mentionnés à l’article L. 854-1, ainsi qu’aux dispositifs de traçabilité des renseignements collectés et aux locaux où sont centralisés ces renseignements en application de l’article L. 822-1 ; »

L’article L. 854-1 définit les mesures de surveillance internationale, le Conseil constitutionnel censure donc la disposition qui refusait à la CNCTR l’accès aux données issues de la surveillance internationale.

« les mots : « et L. 821-6 » figurant au septième alinéa de l’article L. 833-9 »

L’article L. 833-9 demande à la CNCTR de créer, chaque année, un rapport dressant le bilan de son activité. La censure du Conseil porte sur la publication des situations d’urgence dans ce rapport. Pour faire plus simples, les procédures liées aux situations d’urgence ne figureront pas dans le rapport annuel de la CNCTR.

Reste à espérer que toutes les situations ne seront pas « urgentes », sous peine d’avoir un rapport vide.

« les mots : « Sous réserve des dispositions particulières prévues à l’article L. 854-1 du présent code, » figurant au premier alinéa de l’article L. 841-1 du code de la sécurité intérieure »

Si votre serviteur comprend bien ce point, il s’agit de déclarer que le Conseil d’Etat sera compétent pour les mesures de surveillance internationale, le premier alinéa de l’article L. 841-1 était, avant :

« Sous réserve des dispositions particulières prévues à l’article L. 854-1 du présent code, le Conseil d’État est compétent pour connaître, dans les conditions prévues au chapitre III bis du titre VII du livre VII du code de justice administrative, des requêtes concernant la mise en œuvre des techniques de renseignement mentionnées au titre V du présent livre. »

Il devient, après censure du Conseil constitutionnel :

« Le Conseil d’État est compétent pour connaître, dans les conditions prévues au chapitre III bis du titre VII du livre VII du code de justice administrative, des requêtes concernant la mise en œuvre des techniques de renseignement mentionnées au titre V du présent livre. »

« l’article L. 854-1 du code de la sécurité intérieure »

L’article L. 854-1 fait référence aux mesures de surveillance internationale. Le Conseil constitutionnel déclare ces mesures contraires à la constitution et censure l’article dans son ensemble.

La question est la suivante : qu’est-ce qui est prévu à l’international, puisque les dispositions de surveillance à l’international sont censurées ? Le gouvernement va-t-il écrire quelque chose pour définir un cadre légal ? Est-ce que nous allons nous retrouver dans une situation alégale, c’est-à-dire non prévue par la loi ?

« à l’article 10, les mots : « et de l’article L. 854-1 du code de la sécurité intérieure » figurant à l’article L. 773-1 du code de justice administrative »

Ce passage fait référence aux mesures de surveillance internationale, puisque ces mesures sont déclarées contraires à la constitution, elles tombent et l’article 10 de la loi sur le renseignement est modifié.

« le paragraphe IV de l’article 26 »

Le paragraphe IV de l’article 26 dit :

« L’article L. 854-1 du code de la sécurité intérieure entre en vigueur au lendemain de la publication au Journal officiel du décret en Conseil d’État prévu à l’avant-dernier alinéa du I du même article, et au plus tard le 31 mars 2016. »

L’article L. 854-1 faisant référence aux mesures de surveillance internationale, ce dernier étant contraire à la constitution, le IV de l’article 26 n’a plus de raisons d’exister, il est déclaré contraire à la constitution par les sages du Conseil.

Le Conseil des sages déclare conforme :

L’article L. 811-3

Cet article définit les finalités de la loi sur le renseignement, elles sont donc déclarées conformes à la constitution, pour rappel, les finalités sont :

« 1° L’indépendance nationale, l’intégrité du territoire et la défense nationale ;

« 2° Les intérêts majeurs de la politique étrangère, l’exécution des engagements européens et internationaux de la France et la prévention de toute forme d’ingérence étrangère ;

« 3° Les intérêts économiques, industriels et scientifiques majeurs de la France ;

« 4° La prévention du terrorisme ;

« 5° La prévention :

« a) Des atteintes à la forme républicaine des institutions ;

« b) Des actions tendant au maintien ou à la reconstitution de groupements dissous en application de l’article L. 212-1 ;

« c) Des violences collectives de nature à porter gravement atteinte à la paix publique ;

« 6° La prévention de la criminalité et de la délinquance organisées ;

« 8° 7° La prévention de la prolifération des armes de destruction massive.

L’article L. 811-4

L’article L. 811-4 autorise l’accès aux techniques du renseignement à d’autres services que ceux mentionnés par la loi relative au renseignement. D’autres services pourront donc accéder aux techniques des services du renseignement.

L’article L. 821-1

L’article L. 821-1 autorise la mise en œuvre, sur le territoire national, des techniques des services de renseignement.

L’article L. 821-5

L’article L. 821-5 autorise, en cas d’urgence absolue, à se passer de l’avis de la CNCTR. Il sera donc possible de mettre en place des dispositifs du renseignement sans demander, au préalable, l’avis  de la commission.

L’article L. 821-7

L’article L. 821-7 fait un point particulier sur les parlementaires, magistrats, avocats ou journalistes, ils ne peuvent « être l’objet d’une demande de mise en œuvre, sur le territoire national, d’une technique de recueil de renseignement mentionnée au titre V du présent livre à raison de l’exercice » de leur mandat ou de leur profession.

Le Conseil déclare donc conforme cette disposition, la suite de l’article L. 821-7 explique qu’il sera possible de les mettre sous surveillance, dans des conditions très particulières et un peu plus encadrées que les autres professions.

L’article L. 822-2

L’article L. 822-2 définit les temps de conservation des données ainsi que leur temps de destruction, selon le type de données ou le début de leur date d’exploitation.

Ainsi, les données chiffrées collectées pourront être conservées pendant six ans, le délai court à compter de leur déchiffrement.

L’article L. 831-1

L’article L. 831-1 définit la composition de la Commission Nationale du Contrôle des Technique de Renseignement, la fameuse CNCTR.

Le surplus de l’article L. 841-1

Le surplus de cet article est le suivant :

« Lorsqu’une juridiction administrative ou une autorité judiciaire est saisie d’une procédure ou d’un litige dont la solution dépend de l’examen de la régularité d’une ou de plusieurs techniques de recueil de renseignement, elle peut, d’office ou sur demande de l’une des parties, saisir le Conseil d’État à titre préjudiciel. Il statue dans le délai d’un mois à compter de sa saisine. »

Le Conseil Constitutionnel déclare donc conforme la procédure de recours de la loi relative au renseignement. Toute personne souhaitant vérifier qu’aucune technique de renseignement n’est irrégulièrement mise en œuvre à son égard et justifiant de la mise en œuvre préalable de la procédure pourra saisir le Conseil d’Etat.

Il valide donc le recours à une autorité administrative en lieu et place d’une autorité judiciaire.

Les articles L. 851-1, L. 851-2, L. 851-3, L. 851-4, L. 851-5, L. 851-6

Ces articles édictent les techniques des services du renseignement, ils autorisent le traitement et la collecte des données de connexion, la mise en place des « boites noires », de la collecte d’informations en temps réel, de traitements automatisés destinés à détecter des connexions susceptibles de révéler une menace terroriste.

L’article L. 852-1

L’article L. 852-1 autorise la mise sous surveillance, sous certaines conditions, d’une ou de plusieurs personnes appartenant à l’entourage d’une personne concernée par une autorisation de surveillance.

La suite de l’article, au II, autorise la mise en place d’IMSI Catcher, des équipements de captation de données sur les réseaux mobiles.

Les articles L. 853-1, L. 853-2, L. 853-3

L’article L. 853-1 autorise, s’il n’existe aucun autre moyen légalement autorisé, à installer des équipements de collecte d’informations dans une sphère privée, ceci « permettant la captation, la fixation, la transmission et l’enregistrement de paroles prononcées à titre privé ou confidentiel, ou d’images dans un lieu privé »

Le 853-2 quant à lui, autorise l’installation de Keylogger ou Screenloggers (EN), afin d’accéder à des données informatiques, de les enregistrer, les conserver et les transmettre, « telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de traitement automatisé de données, telles qu’il les y introduit par saisie de caractères ou telles qu’elles sont reçues et émises par des périphériques audiovisuels »

L’article L. 853-3, enfin, autorise la mise en place de moyens de collecte de données dans des véhicules ou lieux privés, y compris les lieux d’habitation.

Enfin, pour les articles L. 773-2, L. 773-3, L. 773-4, L. 773-5, L. 773-6 et L. 773-7

je ne m’estime pas assez compétent pour les expliquer, je préfère donc inviter à faire vos propres recherches et à commenter ici, j’ajouterai vos entrées dans l’article.

Vous pouvez retrouver la décision du Conseil constitutionnel ici.

Vous pouvez retrouver la dernière version du texte de la loi relative au renseignement ici.

Attention, ma grille de lecture est peut-être fausse, je n’ai pas la prétention de maîtriser la loi, si vous constatez des erreurs, signalez-les.

Je n’ai abordé ici que les décisions, c’est-à-dire la fin du verdict présenté par le Conseil constitutionnel. Marc Rees, de Next Inpact, publiera dans lundi une étude complète, étude que je vous invite à lire dans le détail avant de la partager (et vous la partagerez).