[En bref] Loi renseignement et surveillance internationale : pas tous égaux.

L’article L. 854-1 – III de la proposition de loi relative aux mesures de surveillance des communications électroniques internationalesje sais, c’est très pompeux comme entrée en matière – est ainsi rédigé :

« Les personnes qui exercent en France un mandat ou une profession mentionné à l’article L. 821-7 ne peuvent faire l’objet d’une surveillance individuelle de leurs communications à raison de l’exercice du mandat ou de la profession concernée. »

Il est bon de se rappeler l’article L. 821-7, puisque le L. 854-1 – III en fait mention :

« Les techniques de recueil du renseignement mentionnées au titre V du présent livre ne peuvent être mises en œuvre à l’encontre d’un magistrat, d’un avocat, d’un parlementaire ou d’un journaliste ou concerner leurs véhicules, bureaux ou domiciles que sur autorisation motivée du Premier ministre prise après avis de la commission réunie.»

En décodé , l’article dont il est question dans mon billet dit donc la chose suivante :

les magistrats, avocats, parlementaires ou journalistes ne peuvent être surveillés que si le premier ministre l’autorise et que ladite autorisation est dite « motivée », argumentée si vous préférez. Il lui faudra également l’avis de la Commission Nationale du Contrôle des Techniques du Renseignement (CNCTR), que j’ai surnommé la « commission du oui » pour anticiper l’avenir…

Condition importante : il faut que ces professions « protégées » soient exercées en France. Dans le projet de loi relatif à la surveillance des communications électroniques internationales, ce n’est pas le cas.

Pour faire plus simple et moins pompeux : pour surveiller des magistrats, des avocats, des parlementaires ou des journalistes à l’étranger, servez-vous, c’est open bar.

La vision est assez binaire, j’en conviens, mais tout ce qui n’est pas inscrit dans la loi est dans le champ du possible.

Seulement…

Bien, ce point-là me dérange profondément. Non pas que les autres ne me dérangent pas, loin de là, très loin même, rassurez-vous.

Il me dérange car il crée une rupture d’égalité pour des personnes qui exercent le même métier, qui ont besoin des mêmes protections, qui ont les mêmes exigences que leurs confrères du sol français.

Dans ces métiers, il existe de très nombreuses connexions internationales, certains avocats de l’étranger gèrent des dossiers pour des clients français, certains journalistes étrangers communiquent avec d’autres français et ainsi de suite…

Pourtant, le projet de loi ne prévoit pas de protéger ces professions si elles sont exercées hors du territoire français.

Une nouvelle fois, j’ai honte de cette loi qui fait honte à notre pays et aux valeurs que nous sommes censés défendre plus que tout : liberté, égalité, fraternité.

Comment pouvons-nous encore avoir l’égalité comme devise lorsque la loi s’efforce de rompre ce qu’il reste de cette valeur déjà bien massacrée ?

Comment peut-on se faire avoir à ce point ?

Ces protections pour quelques métiers sont insuffisantes et inefficaces :

  • insuffisantes car d’autres métiers méritent d’être protégées, comme les médecins et le secret médical par exemple
  • inefficaces car pour ne pas surveiller un avocat, un journaliste … il faut déjà l’avoir identifié et pour l’identifier, il faut qu’il ait déjà été l’objet d’une surveillance.

Pour faire plus simple : si, sur une autoroute, j’ai l’obligation de laisser passer toutes les conducteurs qui portent un chapeau vert, il faut que j’observe chaque conducteur, y compris ceux qui portent ce chapeau “sésame”.

Pour ne pas surveiller les professions protégées, il faut que je tombe dessus pour dire « ah, non, lui ce n’est pas possible, c’est Marc Rees, de Next INpact, c’est un journaliste, on ne peut pas le surveiller, arrêtez tous, les mecs ! », donc, l’espace d’un instant déjà bien trop long, je l’ai surveillé.

Vous voyez le problème je pense, non ?

Quel dommage que les rédacteurs de la « rustine » suite à la toute petite claque du conseil constitutionnel ne le voient pas….

TextSecure ou SMSSecure ?

Récemment, de nombreux échanges au sein de la communauté du Libre et dans les scènes hacktivistes tournent autour de la même question :

Faut-il utiliser TextSecure ou SMSSecure ?

Et une chose est sure, la réponse n’est pas simple. J’ai décidé de faire le point, en partant « de la base ».

TextSecure, SMSSecure, c’est quoi ?

Ces deux applications, disponibles sous Android, permettent de chiffrer les messages, SMS ou MMS, envoyés depuis l’appareil.

Les deux applications sont pensées pour s’intégrer parfaitement à votre utilisation quotidienne, remplaçant sans le moindre problème le logiciel SMS « par défaut » d’Android. Si vous préférez, vous n’avez pas besoin d’être un expert en informatique pour utiliser ces applications, elles sont pensées pour être utilisées par tout le monde.

TextSecure dispose d’un équivalent sous iOS : Signal. SMSSecure, quant à lui, n’existe que sous Android.

SMSSecure est ce qu’on appelle un « fork » de TextSecure, c’est-à-dire qu’il a été créé à partir du code source de TextSecure. Si son ambition est équivalente à celle de TextSecure, les deux applications fonctionnent différemment.

Comment ça fonctionne ?

TextSecure et SMSSecure ont deux fonctions : ils chiffrent la base de SMS stockée dans votre appareil et, par défaut, la protègent par un mot de passe que vous définissez. Ce mot de passe permet également d’accéder à l’application, sans ce dernier, impossible d’envoyer des messages.

Leur seconde fonction est l’envoi de messages sécurisés : les SMS sont chiffrés de l’expéditeur au destinataire, on appelle ça du « end-to-end encryption ». Avec ce mode d’envoi, seul le destinataire du SMS est capable de déchiffrer le message. Même si votre message passe par un serveur intermédiaire, ce dernier ne pourra pas le lire.

Je ne rentrerai pas dans le détail du chiffrement, sauf si vous le souhaitez, cela fera alors l’objet d’un article spécifique.

La grande différence réside dans le transport des messages : TextSecure fait transiter les messages par Internet, via ses serveurs, alors que SMSSecure fait transiter les messages par le réseau mobile, sans passer par Internet.

Et alors ?

Afin de tenir la charge pour l’envoi des messages, TextSecure a fait le choix suivant : utiliser GCM, Google Cloud Messaging, seul outil capable de gérer les millions d’utilisateurs TextSecure à travers le monde.

Si une alternative est en cours de développement, il faut pour l’instant composer avec cette forte dépendance à Google, renforcée par le fait que GCM demande impérativement l’installation du Google Play.

SMSSecure, lui, ne fait pas passer les messages par Internet, ces derniers passent sur le réseau mobile, comme n’importe quel autre SMS. Il gère donc le chiffrement mais pas le transport des messages.

Pour faire plus clair : TextSecure gère le chiffrement et le transport des messages, SMSSecure ne gère que le chiffrement. TextSecure est dépéndant de Google pour acheminer les messages, SMSSecure non, il n’est dépendant que du réseau mobile.

Avantages, inconvénients …

Chaque solution a un certain nombre d’avantages… et certains inconvénients :

  • TextSecure et SMSSecure chiffrent les messages, avec des protocoles considérés comme solides, les deux offrent donc un niveau de sécurité parfaitement acceptable. Il faut en revanche que le destinataire de votre message dispose de la même application pour que le message puisse être chiffré. Si votre destinataire ne dispose pas de TextSecure ou SMSSecure, le message envoyé sera un “simple” SMS, l’échange ne sera ni chiffré, ni protégé.
  • TextSecure fait transiter ses messages par Internet, ce qui est à la fois un avantage et un inconvénient.
  • L’avantage : votre message ne passe pas par le réseau mobile, votre opérateur n’a donc aucun trace de votre message, ne sait pas avec qui vous communiquez, quand, comment, combien de fois… il est aveugle et ne peut plus récupérer de métadonnées sur vos messages.
  • L’inconvénient : vous devez passer par Internet, il faut donc avoir un forfait data, être sous couverture data, il y a une dépendance à Google. Si vous n’avez plus de data où que vous êtes dans un pays sans data, vous serez complètement paralysé.

Sur ces avantages et inconvénients, SMSSecure est l’exact opposé de TextSecure :

  • L’avantage : vous passez par le réseau mobile, votre message arrivera, avec ou sans data. Où que vous soyez, tant que vous avez du réseau, votre message arrivera et vous pourrez en recevoir.
  • Inconvénient : vous passez par le réseau mobile, votre opérateur sait donc que vous envoyez des messages, à qui vous les envoyez, quand, il peut savoir avec qui vous communiquez le plus et, pour résumer, est capable d’accéder à toutes les métadonnées liées à un SMS.

Une question de choix…

Choisir SMSSecure, c’est s’assurer une complète indépendance vis-à-vis de Google, c’est aussi s’assurer que cela fonctionnera dans de nombreuses situations, puisqu’il suffit d’avoir du réseau. Hélas, c’est aussi choisir de laisser trainer ses métadonnées dans la nature

Si vous êtes journaliste par exemple, il sera possible de savoir avec qui vous communiquez et donc, d’identifier vos sources assez rapidement.

Choisir TextSecure, c’est s’assurer que vos échanges seront invisibles pour votre opérateur. Si vous êtes journaliste, il devient très compliqué voire impossible de savoir avec qui vous échangez des messages.

En revanche, c’est être dépendant d’un accès à Internet et être dépendant d’un outil mis en ligne par Google, un monstre bien trop curieux.

Au final, le choix entre TextSecure ou SMSSecure se résume donc à une question de protection et de sécurité.

Pour conclure, afin de choisir, il faut bien définir votre besoin, bien définir les menaces auxquelles vous êtes exposés selon vos activités ou votre profession…

Si vous souhaitez de plus amples explications ou apporter des corrections, les commentaires sont là pour ça.

[En Bref] L’injustice est toujours punie.

Ce lundi 27 juillet 2015, le projet de loi relatif au renseignement, voté par les députés, voté par les sénateurs, considéré comme conforme par le Conseil constitutionnel, sera publié au Journal Officiel.

Ce lundi 27 juillet 2015, le projet de loi relatif au renseignement deviendra donc la loi relative au renseignement, succédant à sa grande sœur de 1991.

Ce matin, il m’est difficile de trouver des motivations pour me battre contre ces projets de loi liberticides, votés par ceux censés protéger l’Etat de droit et les valeurs de la république.

Alors lecteur, si, comme moi, tu te demandes pourquoi il faut continuer à se battre, laisse-moi éclairer tes pensées et, peut-être, te redonner un peu le sourire.

J’ai eu l’extrême privilège, un jour de « petite forme », de prendre un majestueux coup de fouet du grand monsieur qu’est Jeremie Zimmerman. Je ne pense pas avoir besoin de t’expliquer qui est ce monsieur mais, si c’est nécessaire, c’est par ici que ça se passe.

Dans cet échange, une phrase m’a marqué et me sert de source de motivation depuis : « à la fin, on gagne. »

La loi sur le renseignement n’est qu’une étape, une pièce d’un grand tout qui, j’en suis convaincu, va mettre nos nerfs à très rude épreuve, mais à la fin, on gagne. Parce que l’injustice est toujours punie. Toujours.

Ma motivation actuelle, pour continuer à me battre, c’est ça (source) :

  • L’ARCEP,
  • Le Conseil National du Numérique,
  • La Commission nationale consultative des droits de l’homme,
  • Le Conseil de l’Europe,
  • La Commission Nationale de l’Informatique et des Libertés,
  • Le Défenseur des droits, Jacques Toubon,
  • AccessNow,
  • Access France,
  • Act Up-Paris,
  • Aides,
  • Le Strass,
  • Acrimed,
  • l’Association Française des Éditeurs de Logiciels et Solutions Internet,
  • L’association française des victimes de terrorisme,
  • Amnesty International,
  • l’Association des Services Internet Communautaires,
  • le Center for Democracy & Technology,
  • la CGT Police,
  • le Conseil national de l’Ordre des médecins,
  • l’EDRI,
  • la Fédération Européenne des Journalistes,
  • la FIDH, la Fédération Nationale des Unions de Jeunes Avocats,
  • l’INRIA,
  • Human Rights Watch,
  • la Ligue des Droits de l’Homme,
  • l’Observatoire des Libertés et du Numérique,
  • le CECIL,
  • La Quadrature du Net,
  • Le Syndicat des Avocats de France,
  • Le Syndicat de la Magistrature,
  • la société Mozilla,
  • l’Ordre des Avocats de Paris,
  • l’Ordre des médecins,
  • Renaissance Numérique,
  • Reporters Sans Frontières,
  • Silicon Comté,
  • le Syndicat des avocats de France,
  • le Syndicat national des journalistes,
  • l’Union syndicale des magistrats,
  • Jean-Marie Delarue, Président de la bientôt défunte CNCIS,
  • Marc Trévidic, qui était magistrat au pôle antiterrorisme du TGI de Paris,
  • Le commissaire aux droits de l’homme du Conseil de l’Europe,
  • Le rapporteur spécial des Nations unies sur la situation des défenseurs des droits de l’Homme,
  • Le rapporteur spécial des Nations unies sur les droits de l’Homme et la lutte contre le terrorisme,
  • Le Front de Gauche,
  • Le Parti Communiste Français,
  • Le Parti de gauche,
  • Nouvelle Donne,
  • Qwant,
  • Syntec Numérique,
  • la CFDT Journalistes

Tous. Tous se sont totalement ou en partie opposés à l’arrivée de la loi sur le renseignement, tous ont émis des remarques détaillées, précises, argumentées, à l’encontre de cette loi.

Jusqu’à certains organes des Nations unies. Comment penser à un instant que nous faisons fausse route quand je vois cette liste, ces noms, tenir les mêmes arguments que nous. D’aucuns diront que les Nations unies, c’est « 5 gus dans un garage ».

Même si l’Assemblée nationale, le Sénat et le Conseil ne s’y sont pas opposés, le monde entier s’y est opposé.

Alors… quand je lis les arguments de Jean-Jacques Urvoas, de Bernard Cazeneuve ou des illuminés de la politique, que je m’énerve face à leur plus mauvaise foi, quand j’ai l’impression que notre combat est perdu d’avance, je relis cette longue liste…

Et je souris.

Parce qu’à la fin, on gagne.

Résistance.

Les lumières qui guident le peuple, éveillent les consciences, chérissent la réflexion et la raison à tout autre chose, prônent la tolérance, l’esprit critique, la réflexion politique, celles opposées à toute forme d’obscurantisme.

Ces lumières qui guident le peuple, celles dont nous devrions être fiers, que sont-elles devenues, qu’avons-nous fait ?

« La liberté, ce bien qui fait jouir des autres biens », disait Montesquieu. A la lumière des récents évènements politiques, Montesquieu serait certainement abasourdi.

La liberté, c’est la pierre angulaire de cette notion que bien trop de personnes oublient : le respect de la vie privée.

La liberté devrait être au cœur de tout, c’est une condition nécessaire à la démocratie, à l’État de droit, tant applaudi par nos élites politiques.

Mais, la liberté, ce n’est pas un bien acquis, il faut constamment être vigilant, constamment surveiller les conditions actuelles de son exercice.

Oui, la liberté s’exerce, mais pas sans vigilance, pas sans efforts, pas sans peine parfois.

Dans une période où les atteintes à la liberté sont multiples et détournées, masquées, il serait bon de s’en souvenir.

Il est de notre liberté d’utiliser notre liberté, il est de notre devoir, à tous, de la protéger lorsqu’elle est menacée.

Et elle l’est.

La décision du Conseil constitutionnel sur la loi relative au renseignement aurait pu être majestueuse, révolutionnaire, en consacrant certains éléments qu’il a préféré laisser passer. Sans doute, dans des années, nous parlerons d’une occasion manquée, nous en parlons déjà…

Le Conseil a préféré laisser passer un texte portant gravement atteinte aux libertés publiques, portant gravement atteinte à la liberté. Ce n’est pas la première fois que cela se produit, au début des années 80, la loi Sécurité et Liberté a subit le même traitement. Le texte était hautement sécuritaire, le Conseil amené à rendre un Décision Constitutionnelle et validait, alors, la quasi totalité de la loi.

Comme avec la loi sur le renseignement.

L’article 66 de la Constitution.

Nul ne peut être arbitrairement détenu.

L’autorité judiciaire, gardienne de la liberté individuelle, assure le respect de ce principe dans les conditions prévues par la loi.

La Constitution du 4 octobre 1958, où est-elle, dans cette loi sur le renseignement ?

Cet article annonce que l’autorité judiciaire est gardienne de la liberté individuelle et pourtant, ladite autorité n’existe tout simplement pas dans la loi relative au renseignement.

On nous répondra qu’il existe des décisions du même Conseil qui donnent des compétences supplémentaires au juge administratif, ce qui est vrai, mais pas vrai à la sauce Jean Jacques Urvoas ou Bernard Cazeneuve.

Ce que dit le Conseil constitutionnel dans certaines décisions transférant un bloc de compétences au juge administratif se résume en une phrase, extrêmement importante : tout doit être fait “dans une bonne administration de la justice” :

16. Considérant cependant que, dans la mise en oeuvre de ce principe, lorsque l’application d’une législation ou d’une réglementation spécifique pourrait engendrer des contestations contentieuses diverses qui se répartiraient, selon les règles habituelles de compétence, entre la juridiction administrative et la juridiction judiciaire, il est loisible au législateur, dans l’intérêt d’une bonne administration de la justice, d’unifier les règles de compétence juridictionnelle au sein de l’ordre juridictionnel principalement intéressé ; (source)

Le législateur pouvait inclure le juge judiciaire, il a refusé de le faire.

Le Conseil constitutionnel pouvait agir, il ne l’a pas fait, préférant faire une lecture extensive de sa jurisprudence de 1987, préférant confirmer l’élimination de l’autorité judiciaire, préférant piétiner la Constitution sur un texte extrêmement sensible et important, la loi sur le renseignement. Démontrant, s’il le fallait encore, qu’il ne protège pas l’État de droit ni la Constitution, que ses décisions sont politiques et pas juridiques.

Je ne peux me résoudre à cette décision, je ne me reconnais plus dans cet état, je ne reconnais pas mon pays dans cette décision constitutionnelle. Qu’ont-ils fait ?

Il faut se battre

Je ne veux pas du pays qui est en train de voir le jour, je veux un pays qui crée, qui ose, qui n’a pas peur.

Je veux un état qui soit garant de trois choses qu’il semble avoir oublié… trois choses qui devraient représenter bien plus de simples mots : Liberté – Égalité – Fraternité.

Liberté, parce que sans liberté, rien ne peut exister.

Je veux un peuple qui se décide enfin à assumer son rôle de protecteur de cette Liberté, qui prend conscience que la Liberté, ça se protège, ça se gagne, que ça ne tombe pas “comme ça”, cadeau.

Je ne veux pas vivre dans un pays où il devient dangereux de sortir de la norme, où il devient dangereux de réfléchir, de penser. Je ne veux pas d’un pays qui considère que savoir utiliser un clavier, c’est dangereux. Je ne veux pas d’un pays qui considère que chérir la Liberté d’expression c’est mal et dangereux.

Allez-vous laisser passer ça ? Allez-vous continuer à dépenser votre énergie à vous plaindre d’un gouvernement, sans plus ?

Arrêtons de nous résigner et prenons enfin conscience qu’ensemble, une nation est bien plus puissante qu’un gouvernement injuste.

Restons-nous des individus résignés, à se dire “toutes façons, c’est ainsi, qu’est-ce que tu veux que j’y fasse …” ?

Devenons-nous un peuple, uni face à l’injustice et au mépris des fondations de notre République, ensemble, conscients que l’union fait la force ?

Lecteurs, français, vous allez devoir, à un moment ou à un autre, choisir.

En ce qui me concerne, j’ai choisi: résister. Et j’assume le prix de mon choix, qui ne m’arrache que quelques larmes, pour l’instant.

[A froid, n°2] Le Conseil constitutionnel a parlé. #PJLRenseignement

Dans le précédent billet, j’ai tenté de faire une analyse des décisions prises par le Conseil constitutionnel, je vais maintenant les commenter. J’ai choisi de scinder mon analyse en deux parties, en trois même, pour être exact :

La première chose qui me frappe, c’est la très faible censure du Conseil constitutionnel :

  • le fonctionnement du budget de la CNCTR (L. 832-4),
  • la surveillance internationale (L. 854-1),
  • la surveillance en situation d’urgence liée à une menace imminente (L. 821-7).

Bien sûr, le Conseil émet quelques réserves d’interprétation mais, dans sa vaste majorité, la loi sur le renseignement est validée, les éléments permettant de la faire fonctionner sont déclarés conformes à la constitution.

Vient ensuite mon interrogation quant à la surveillance internationale.

Le Conseil a déclaré que l’article L. 854-1 du Code de la Sécurité Intérieure ne respectait pas la constitution. Cela signifie, en d’autres termes plus compréhensibles, que la loi sur le renseignement n’offre pas un cadre légal à la surveillance internationale. On peut légitimement s’interroger quant aux implications de cette décision.

Soit aucun cadre légal ne sera créé et on sera dans une situation dite « alégale », une situation où il n’existe pas de cadre légal défini si vous préférez, soit les services du renseignement ne mettront aucune surveillance internationale en place mais, sincèrement, permettez-moi d’en douter.

Doit-on considérer que les « services » n’iront pas fouiller dans des serveurs ailleurs que sur le sol français ?

D’ailleurs, dans son commentaire, le Conseil constitutionnel se « contente » de déclarer : « des mesures de surveillance internationales, codifiées au nouvel article L. 854-1 du CSI, en raison d’une méconnaissance de l’étendue de sa compétence par le législateur. » C’est donc une censure certes, mais pas un désaccord sur le fond.

Le même doute m’envahit quant à la conformité des finalités de la loi relative au renseignement (L. 811-3), mais ces doutes ne sont pas partagés par le Conseil constitutionnel.

De nombreuses personnes, des organisations, des experts, des avocats et, plus récemment, un organe au sein de l’ONU s’accordent à considérer ces finalités comme trop vastes, vagues, floues.

Le Conseil constitutionnel, quant à lui, considère que ces finalités apparaissent suffisamment précises et restrictives pour « respecter le caractère exceptionnel des raisons qui peuvent justifier le recours à des techniques de renseignement ».

Bien, message noté, la centaine d’avis d’experts et l’avis d’un organe de l’ONU n’aura rien changé, ces finalités sont assez précises et restrictives, « il n’y a rien à voir, circulez ! ».

Le Conseil a également déclaré conforme l’article L. 821-7, qui concerne les « professions protégées », parlementaires, magistrats, avocats ou encore journalistes.

Pour lui, il existe assez de garanties quant à la protection de ces professions : la procédure d’urgence absolue ne peut être invoquée, un avis de la CNCTR doit être rendu en séance plénière, l’encadrement strict de l’invocation de l’urgence, la descente d’informations à la CNCTR sont autant de points qui mènent le Conseil à considérer qu’il n’y a pas d’inconstitutionnalité.

Dans son considérant 35, enfin, le Conseil rappelle que la révélation d’une information à caractère secret est punie par le code pénal, donc tout est bon, il y a assez de garanties…

Ce point est difficile à accepter, il revient à considérer que ces professions n’auront pas de problèmes alors que mon côté « expert » hurle que si, justement.

Si je comprends les arguments du Conseil, j’aurais aimé qu’il prenne le temps de réfléchir sur l’impact des « boites noires » pour un journaliste. Si ces professionnel(le)s sont mis sous surveillance, même sans récupérer le contenu des échanges, il sera possible de savoir qui communique avec qui, quand, où, de quelle façon et j’estime que ces éléments mettent en danger la source ou les échanges entre le journaliste et ladite source d’information, ils vont à l’encontre du secret professionnel.

Je ne détaillerai pas l’ensemble des décisions du Conseil, simplement quelques-unes que j’estime « étranges », la prochaine remporte haut la main le titre de bizarrerie en chef.

La validation des « boites noires » (L. 851-3) est confirmée et, je dois l’avouer, j’ai pris une très, très très grosse claque sur ce point.

Dans son considérant 51 puis le 60 par la suite, le Conseil estime que les boites noires ne portent pas atteinte au droit au respect de la vie privée, pour les mêmes raisons que celles citées précédemment : le contrôle est suffisant pour garantir le droit au respect à la vie privée, l’utilisation des boites noires n’a lieu que dans une finalité du projet de loi, la lutte contre le terrorisme.

Ce qui me parait être évident n’est pourtant pas accepté par le Conseil constitutionnel. Pour moi, les métadonnées collectées par ces boites noires, dans, me dit-on, l’unique lutte contre le terrorisme, est un réel danger.

Il me parait aberrant de croire qu’il existe assez de garanties, assez d’éléments, pour garantir le bon fonctionnement du système. Je ne peux me résoudre à accepter la décision du Conseil quant aux boites noires, ils font preuve d’une méconnaissance totale du fonctionnement d’Internet et des données qui y circulent.

En même temps, est-ce bien leur rôle que de connaître ce fonctionnement ? Non. Ils auraient pu, en revanche, se servir intelligemment des données transmises par les nombreux « Amicus curiae » envoyés au Conseil, pour l’éclairer dans sa prise de décision.

Je ne comprends pas une telle décision, je la comprends encore moins lorsque j’observe le commentaire du Conseil Constitutionnel qui, tout au plus, se contente de parler de ce qui est écrit, sans ajouts, sans explications, sans son commentaire.

Quels sont les fondements d’une telle décision ? Pourquoi le Conseil ne s’explique pas sur ce point, pourtant si important ?

Je cherche encore à comprendre, sans succès.

Point positif, le Conseil a donc censuré les dispositions de surveillance internationale et son avis est assez éclairé ici.

Le Conseil considère que la surveillance internationale s’applique également à des échanges du national vers l’international ou de l’international vers le national et, raison de la censure du Conseil, que la législateur n’a pas « déterminé les règles concernant les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques. »

Par manque de temps, je ne détaille pas plus pour l’instant. C’est un peu prétentieux mais n’hésitez pas à commenter ce billet si vous souhaitez que je détaille un point du billet précédent.

Quelles sont les suites à donner ?

Pour l’instant, accuser le coup et réfléchir me semble être un bon départ. Ensuite, il faut aller plus que l’autorité la plus élevée du droit français, à savoir le Conseil constitutionnel. S’il y a des suites, cela sera plus tourné vers la Cour de Justice de l’Union Européenne (CJUE) ou la Cour Européenne des Droits de l’Homme (CEDH), cela demande du temps, des moyens et surtout beaucoup de motivation et de patience.

Je reste quand même confiant, de nombreux éléments me permettent de penser que tout n’est pas encore perdu, principalement dans les instances européennes.

La suite plus tard…

[A froid, n°1] Le Conseil constitutionnel a parlé. #PJLRenseignement

Jeudi 23 Juillet 2015, 22h30. La nouvelle tombe : le Conseil constitutionnel a rendu la décision n° 2015-713, relative à la loi sur le renseignement.

Ladite décision est une réponse aux trois saisines, celle du Président de la République, celle du président du Sénat et celle des députés de l’Assemblée nationale.

Cette décision, composée de 93 « Considérant », est accompagnée d’une censure partielle de la loi sur le renseignement, explications partielles.

Que dit la décision ? (ndlr : ce n’est pas sexy, mais c’est la loi)

Le Conseil des sages censure :

L’article L. 821-6

L’article en question autorisait, en cas d’urgence liée à une menace imminente, l’installation des dispositifs techniques pour collecter des données sans aucune autorisation préalable. Il faudra donc, dans ces cas d’urgences, obtenir l’autorisation préalable d’installer ces dispositifs techniques. Il ne sera pas nécessaire de passer par la CNCTR, le « garde-fou » des services de renseignement mais il faudra au moins l’aval du Premier ministre ou d’une personne faisant autorité.

La dernière phrase du premier alinéa de l’article L. 821-7

« L’article L. 821-6 n’est pas applicable, sauf s’il existe des raisons sérieuses de croire que la personne visée agit aux ordres d’une puissance étrangère, ou dans le cadre d’un groupe terroriste ou d’une organisation criminelle. »

L’article L. 821-6 étant déclaré contraire à la constitution, la dernière phrase de l’article L. 821-7 n’a plus de raisons d’exister, elle tombe donc naturellement.

La deuxième phrase du premier alinéa de l’article L. 832-4.

« Ces crédits sont inscrits au programme “Protection des droits et libertés” de la mission “Direction de l’action du Gouvernement” ».

Pour faire plus explicite, le Conseil constitutionnel a censuré le budget de la CNCTR. Ce budget ne pourra plus relever des crédits du gouvernement, ce qui fait qu’il ne sera plus visible dans la loi de finance.

« les mots : « , à l’exception de ceux mentionnés à l’article L. 854-1 » figurant au troisième alinéa de l’article L. 833-2 »

« 2° Dispose d’un accès permanent, complet et direct aux relevés, registres, renseignements collectés, transcriptions et extractions mentionnés au présent livre, à l’exception de ceux mentionnés à l’article L. 854-1, ainsi qu’aux dispositifs de traçabilité des renseignements collectés et aux locaux où sont centralisés ces renseignements en application de l’article L. 822-1 ; »

L’article L. 854-1 définit les mesures de surveillance internationale, le Conseil constitutionnel censure donc la disposition qui refusait à la CNCTR l’accès aux données issues de la surveillance internationale.

« les mots : « et L. 821-6 » figurant au septième alinéa de l’article L. 833-9 »

L’article L. 833-9 demande à la CNCTR de créer, chaque année, un rapport dressant le bilan de son activité. La censure du Conseil porte sur la publication des situations d’urgence dans ce rapport. Pour faire plus simples, les procédures liées aux situations d’urgence ne figureront pas dans le rapport annuel de la CNCTR.

Reste à espérer que toutes les situations ne seront pas « urgentes », sous peine d’avoir un rapport vide.

« les mots : « Sous réserve des dispositions particulières prévues à l’article L. 854-1 du présent code, » figurant au premier alinéa de l’article L. 841-1 du code de la sécurité intérieure »

Si votre serviteur comprend bien ce point, il s’agit de déclarer que le Conseil d’Etat sera compétent pour les mesures de surveillance internationale, le premier alinéa de l’article L. 841-1 était, avant :

« Sous réserve des dispositions particulières prévues à l’article L. 854-1 du présent code, le Conseil d’État est compétent pour connaître, dans les conditions prévues au chapitre III bis du titre VII du livre VII du code de justice administrative, des requêtes concernant la mise en œuvre des techniques de renseignement mentionnées au titre V du présent livre. »

Il devient, après censure du Conseil constitutionnel :

« Le Conseil d’État est compétent pour connaître, dans les conditions prévues au chapitre III bis du titre VII du livre VII du code de justice administrative, des requêtes concernant la mise en œuvre des techniques de renseignement mentionnées au titre V du présent livre. »

« l’article L. 854-1 du code de la sécurité intérieure »

L’article L. 854-1 fait référence aux mesures de surveillance internationale. Le Conseil constitutionnel déclare ces mesures contraires à la constitution et censure l’article dans son ensemble.

La question est la suivante : qu’est-ce qui est prévu à l’international, puisque les dispositions de surveillance à l’international sont censurées ? Le gouvernement va-t-il écrire quelque chose pour définir un cadre légal ? Est-ce que nous allons nous retrouver dans une situation alégale, c’est-à-dire non prévue par la loi ?

« à l’article 10, les mots : « et de l’article L. 854-1 du code de la sécurité intérieure » figurant à l’article L. 773-1 du code de justice administrative »

Ce passage fait référence aux mesures de surveillance internationale, puisque ces mesures sont déclarées contraires à la constitution, elles tombent et l’article 10 de la loi sur le renseignement est modifié.

« le paragraphe IV de l’article 26 »

Le paragraphe IV de l’article 26 dit :

« L’article L. 854-1 du code de la sécurité intérieure entre en vigueur au lendemain de la publication au Journal officiel du décret en Conseil d’État prévu à l’avant-dernier alinéa du I du même article, et au plus tard le 31 mars 2016. »

L’article L. 854-1 faisant référence aux mesures de surveillance internationale, ce dernier étant contraire à la constitution, le IV de l’article 26 n’a plus de raisons d’exister, il est déclaré contraire à la constitution par les sages du Conseil.

Le Conseil des sages déclare conforme :

L’article L. 811-3

Cet article définit les finalités de la loi sur le renseignement, elles sont donc déclarées conformes à la constitution, pour rappel, les finalités sont :

« 1° L’indépendance nationale, l’intégrité du territoire et la défense nationale ;

« 2° Les intérêts majeurs de la politique étrangère, l’exécution des engagements européens et internationaux de la France et la prévention de toute forme d’ingérence étrangère ;

« 3° Les intérêts économiques, industriels et scientifiques majeurs de la France ;

« 4° La prévention du terrorisme ;

« 5° La prévention :

« a) Des atteintes à la forme républicaine des institutions ;

« b) Des actions tendant au maintien ou à la reconstitution de groupements dissous en application de l’article L. 212-1 ;

« c) Des violences collectives de nature à porter gravement atteinte à la paix publique ;

« 6° La prévention de la criminalité et de la délinquance organisées ;

« 8° 7° La prévention de la prolifération des armes de destruction massive.

L’article L. 811-4

L’article L. 811-4 autorise l’accès aux techniques du renseignement à d’autres services que ceux mentionnés par la loi relative au renseignement. D’autres services pourront donc accéder aux techniques des services du renseignement.

L’article L. 821-1

L’article L. 821-1 autorise la mise en œuvre, sur le territoire national, des techniques des services de renseignement.

L’article L. 821-5

L’article L. 821-5 autorise, en cas d’urgence absolue, à se passer de l’avis de la CNCTR. Il sera donc possible de mettre en place des dispositifs du renseignement sans demander, au préalable, l’avis  de la commission.

L’article L. 821-7

L’article L. 821-7 fait un point particulier sur les parlementaires, magistrats, avocats ou journalistes, ils ne peuvent « être l’objet d’une demande de mise en œuvre, sur le territoire national, d’une technique de recueil de renseignement mentionnée au titre V du présent livre à raison de l’exercice » de leur mandat ou de leur profession.

Le Conseil déclare donc conforme cette disposition, la suite de l’article L. 821-7 explique qu’il sera possible de les mettre sous surveillance, dans des conditions très particulières et un peu plus encadrées que les autres professions.

L’article L. 822-2

L’article L. 822-2 définit les temps de conservation des données ainsi que leur temps de destruction, selon le type de données ou le début de leur date d’exploitation.

Ainsi, les données chiffrées collectées pourront être conservées pendant six ans, le délai court à compter de leur déchiffrement.

L’article L. 831-1

L’article L. 831-1 définit la composition de la Commission Nationale du Contrôle des Technique de Renseignement, la fameuse CNCTR.

Le surplus de l’article L. 841-1

Le surplus de cet article est le suivant :

« Lorsqu’une juridiction administrative ou une autorité judiciaire est saisie d’une procédure ou d’un litige dont la solution dépend de l’examen de la régularité d’une ou de plusieurs techniques de recueil de renseignement, elle peut, d’office ou sur demande de l’une des parties, saisir le Conseil d’État à titre préjudiciel. Il statue dans le délai d’un mois à compter de sa saisine. »

Le Conseil Constitutionnel déclare donc conforme la procédure de recours de la loi relative au renseignement. Toute personne souhaitant vérifier qu’aucune technique de renseignement n’est irrégulièrement mise en œuvre à son égard et justifiant de la mise en œuvre préalable de la procédure pourra saisir le Conseil d’Etat.

Il valide donc le recours à une autorité administrative en lieu et place d’une autorité judiciaire.

Les articles L. 851-1, L. 851-2, L. 851-3, L. 851-4, L. 851-5, L. 851-6

Ces articles édictent les techniques des services du renseignement, ils autorisent le traitement et la collecte des données de connexion, la mise en place des « boites noires », de la collecte d’informations en temps réel, de traitements automatisés destinés à détecter des connexions susceptibles de révéler une menace terroriste.

L’article L. 852-1

L’article L. 852-1 autorise la mise sous surveillance, sous certaines conditions, d’une ou de plusieurs personnes appartenant à l’entourage d’une personne concernée par une autorisation de surveillance.

La suite de l’article, au II, autorise la mise en place d’IMSI Catcher, des équipements de captation de données sur les réseaux mobiles.

Les articles L. 853-1, L. 853-2, L. 853-3

L’article L. 853-1 autorise, s’il n’existe aucun autre moyen légalement autorisé, à installer des équipements de collecte d’informations dans une sphère privée, ceci « permettant la captation, la fixation, la transmission et l’enregistrement de paroles prononcées à titre privé ou confidentiel, ou d’images dans un lieu privé »

Le 853-2 quant à lui, autorise l’installation de Keylogger ou Screenloggers (EN), afin d’accéder à des données informatiques, de les enregistrer, les conserver et les transmettre, « telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de traitement automatisé de données, telles qu’il les y introduit par saisie de caractères ou telles qu’elles sont reçues et émises par des périphériques audiovisuels »

L’article L. 853-3, enfin, autorise la mise en place de moyens de collecte de données dans des véhicules ou lieux privés, y compris les lieux d’habitation.

Enfin, pour les articles L. 773-2, L. 773-3, L. 773-4, L. 773-5, L. 773-6 et L. 773-7

je ne m’estime pas assez compétent pour les expliquer, je préfère donc inviter à faire vos propres recherches et à commenter ici, j’ajouterai vos entrées dans l’article.

Vous pouvez retrouver la décision du Conseil constitutionnel ici.

Vous pouvez retrouver la dernière version du texte de la loi relative au renseignement ici.

Attention, ma grille de lecture est peut-être fausse, je n’ai pas la prétention de maîtriser la loi, si vous constatez des erreurs, signalez-les.

Je n’ai abordé ici que les décisions, c’est-à-dire la fin du verdict présenté par le Conseil constitutionnel. Marc Rees, de Next Inpact, publiera dans lundi une étude complète, étude que je vous invite à lire dans le détail avant de la partager (et vous la partagerez).