This article will focus on the provisions related to communications intelligence (COMINT), including targeted telephone tapping (lawful interception or LI), metadata collection and data requests to internet service providers (ISPs). Targeted interception of the content of internet communications is not regulated by these new laws, but only by older decrees which are still a bit unclear. The new laws are only about collection the metadata of internet communications. http://zonedinteret.blogspot.com/2016/02/a-look-at-latest-french-laws-on.html
C’était prévisible... ou craint : la CNCTR se plaint de plus en plus bruyamment du manque de centralisation des informations collectées par les services du renseignement. Une lacune qui gage la qualité de son contrôle, alors que le spectre des données collectées gagne en amplitude. Explications.
La Commission nationale de contrôle des techniques du renseignement (CNCTR) a rendu public son avis sur le projet de décret relatif aux techniques du renseignement. Un point central y a été abordé : la question des URL. Est-ce une donnée de connexion ou de contenu ? [...] Ce décret publié fin janvier est fondamental : il définit la liste des données de connexion que peuvent aspirer les renseignements, soit les 6 services dit du premier cercle (DGSI, DGSE, DPSD, DRM, DRNE et TRACFIN), la longue liste de ceux du second cercle et bientôt, peut-être, l’administration pénitentiaire. [...] Pour aider à y voir plus clair, le Conseil constitutionnel avait donné quelques éclairages à l’occasion d’une question prioritaire de constitutionnalité posée par la Quadrature du Net, FDN et FFDN. Il faut dire que les trois requérantes n’étaient que peu satisfaites du Code de la sécurité intérieure. [...] La loi sur la confiance dans l'économie numérique et le Code des postes et des télécommunications résument en effet l’expression de « données de connexion » par l’appellation vague d’« informations et documents ». Pour la valider, le juge s’est spécialement focalisé sur le point VI de l'article L. 34-1 du Code des postes et des communications électroniques : ces données techniques, conservées et traitées par les opérateurs « portent exclusivement » sur l'identification des personnes utilisatrices des services, sur les caractéristiques techniques des communications et sur la localisation des équipements terminaux (log de connexion). Elles ne visent donc jamais « le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications. » Dans leur décision, les sages de la rue de Montpensier ont dès lors asséné que « le législateur a suffisamment défini les données de connexion, qui ne peuvent porter sur le contenu de correspondances ou les informations consultées ». À sa lecture, Benjamin Bayart (FDN) nous faisait alors part de sa satisfaction : « le juge constitutionnel rappelle ce que sont les informations et documents et qu’il ne peut y avoir dans le lot des contenus ni des informations consultées ». Conclusion ? « Pour moi, quand le ministre nous explique qu’on va surveiller ceux qui regardent des vidéos de décapitation, il se met le doigt dans l’œil jusqu’au coude ». Est-ce si sûr en pratique ?
Dans le contexte du projet de la Loi Renseignement, des mesures d’exception prises en France en 2015 et 2016, de la grande collecte annoncée des données, comment seront utilisées ces informations, par qui ? || Documentaire : http://www.franceculture.fr/documentaires
a France devra subir un nouveau front devant la Cour européenne des droits de l’Homme. Après l’association de la presse judiciaire et l’Ordre des avocats de Paris, nous avons appris que le Conseil national des barreaux s’était à son tour attaqué à la loi du 24 juillet 2015 sur le renseignement.
Cet établissement d'utilité publique, qui représente l'ensemble des avocats exerçant en France, estime que l’entrée en vigueur de ce texte crée de lui-même « une menace de surveillance pour tous ceux auxquels on pourrait l’appliquer ». Selon les informations qui nous ont été communiquées par le CNB, celui-ci juge les différentes techniques de renseignement comme « particulièrement intrusives », susceptibles d’intervenir dans « des affaires particulièrement sensibles qui touchent aux intérêts fondamentaux de la Nation visés à l’article 811-2 du Code de la sécurité intérieure ».
Il y aurait ainsi violation de l’article 8 de la CEDH qui proclame le droit de toute personne au respect de sa vie privée, familiale, de son domicile et de sa correspondance.
Un important décret de 17 pages a été publié ce week-end au Journal officiel. Il met en application la loi sur le renseignement en ouvrant les capacités de surveillance administrative à une impressionnante liste de personnes. Tour d’horizon. La loi du 24 juillet 2015 pose un principe simple : seuls les services spécialisés du renseignement peuvent utiliser les outils de surveillance (mouchards informatiques, balises, boites noires, sondes, micro, caméra, etc.). Quels sont ces services ? Cette définition a été renvoyée à un décret, donc un texte du gouvernement, déjà publié fin septembre.
La solution de messagerie sécurisée CaliOpen, qui a fait de la vie privée son moteur principal, a décidé de déménager. La cause ? Le vote de la loi Renseignement par le Parlement et sa validation quasi intégrale par le Conseil constitutionnel.
Un sondage commandé par l'Ordre des avocats de Paris et réalisé par l'institut CSA montre que les Français sont très majoritairement hostiles à l'utilisation de nombreuses mesures prévues par la loi Renseignement, y compris dans le cadre de la lutte contre le terrorisme.
Le projet de loi sur le renseignement, qui sera débattu en avril à l’Assemblée nationale, prévoit une disposition exceptionnelle dans notre pays : la possibilité pour les services du renseignement d’installer des « boites noires » sur les infrastructures des opérateurs et hébergeurs. De nouveaux détails sont désormais connus, via l'étude d'impact accompagnant ce texte. https://cdn.nextinpact.com/medias/ei_renseignement_cm_19-03-2015.pdf Dans l’étude d’impact annexée au projet de loi (PDF), le gouvernement a pris le tremplin des attentats de Charlie Hebdo pour justifier la mise en œuvre de nouveaux outils de renseignement. « Les actes de terrorisme perpétrés en France au cours du mois de janvier 2015 témoignent de l’importance cruciale qui s’attache désormais au suivi le plus exhaustif possible des échanges que peuvent nouer sur le territoire national les activistes terroristes par la voie des communications électroniques. »
Il n’en reste pas moins que ce système de surveillance opérera dans la plus grande opacité. Les entreprises chargées de surveiller leurs utilisateurs se verront imposer le secret de la défense nationale. De
plus, leurs locaux pourront faire l’objet de visites de contrôle de la part d’agents de la CNCTR.
L’un des nœuds du problème dans ce débat est le statut des métadonnées. De nombreux experts, mais également les journalistes ayant étudié les documents fournis par Edward Snowden tels que Glenn Greenwald,
soulignent régulièrement le caractère intrusif de ces données et l’appétence toute particulière des services de renseignement pour ce type de surveillance. Celle-ci est en effet automatisée et son
exploitation demande beaucoup moins de moyens que l’interception de contenus qu’il faut ensuite analyser. Lors d’une audition, au mois de novembre dernier[1], par la Commission de réflexion sur le droit et
les libertés à l’âge du numérique de l’Assemblée nationale, le président de la CNCIS, Jean-Marie Delarue, avait lui-même fait part des dérives qu’il avait pu constater dans la collecte des métadonnées. « Je
suis personnellement persuadé que la saisie répétitive et portant sur des domaines étendus de métadonnées révèle autant en matière de contenant que la saisine de certains contenus », avait-il déclaré. « Elle
révèle d’autant plus que, bien entendu, ceux qui pensent être l’objet d’interceptions de sécurité sont en général discrets dans leurs propos. La saisine de contenant parle beaucoup plus que ce qu’ils peuvent
dire au téléphone. »
Jusqu’à présent, le gouvernement balaye de la main ces arguments et s’obstine à considérer les métadonnées uniquement comme des données techniques ne bénéficiant pas de la même protection. Ainsi, dans le
projet de loi renseignement, leur durée de conservation est portée à cinq ans, contre un mois pour les écoutes et un an pour les autres types de contenu. Dans un rapport relatif à l’activité de la délégation
parlementaire au renseignement, remis au mois de décembre 2014,[2] Jean-Jacques Urvoas avait indirectement répondu au président de la CNCIS. « Dans tous les cas, ces documents et informations ne portent que
sur les données techniques de connexion », écrivait-il. « À l’inverse de ce qui peut-être abondamment répété, le caractère intrusif s’avère donc limité puisqu’une facture détaillée révèle moins d’un individu
que le contenu de ses conversations », martelait Jean-Jacques Urvoas, renvoyant, en note de bas de page, à un article de Mediapart qui relayait les critiques de Jean-Marie Delarue.
Malgré les dénégations du gouvernement, et de réelles avancées potentielles en matière de contrôle, ce nouveau dispositif dessiné touche par touche au fil des lois n’est pas sans rappeler le "Patriot Act",
adopté en octobre 2001 aux États-Unis, comme le fait remarquer le Washington Post[3], et les dérives dénoncées par Edward Snowden. Les services français ne risquent-ils pas de se trouver en position de
mettre en place une surveillance de masse des internautes, avec la complicité forcée des acteurs du Net ? Le projet de loi a, en tout cas, d'ores et déjà suscité une vague de réactions en ce sens.
La CNIL notamment, dans un avis publié jeudi[4], s’inquiète de « mesures de surveillance beaucoup plus larges et intrusives » qu’actuellement. Concernant les nouveaux pouvoirs accordés aux services, la
commission affirme ne pas avoir « d’opposition de principe ». Elle se félicite même de la légalisation de certaines pratiques « qui, pour certaines, échappaient à tout contrôle » et qui désormais seront
soumises à un « contrôle administratif et juridictionnel ».
Mais c’est sur les dispositions visant Internet, et plus particulièrement la captation massive de données, que la CNIL tire la sonnette d’alarme. Les nouveaux pouvoirs accordés aux services auront des
« conséquences particulièrement graves sur la protection de la vie privée et des données personnelles », avertit-elle. « Il ne s’agit plus seulement d’accéder aux données utiles concernant une personne
identifiée, mais de permettre de collecter de manière indifférenciée un volume important de données qui peuvent être relatives à des personnes tout à fait étrangères à la mission de renseignement. »
Le gendarme des données personnelles demande à ce que le « périmètre » des données collectées soit « clarifié » et s’inquiète plus particulièrement des projets visant à collecter les informations directement
chez les opérateurs. « Les garanties prévues pour préserver les droits et libertés ne sont pas suffisantes pour justifier une telle ingérence », affirme la CNIL. Concernant les « IMSI catcher », la
commission souligne qu’un « tel dispositif permettra de collecter de manière systématique et automatique des données relatives à des personnes pouvant n’avoir aucun lien ou un lien purement géographique avec
l’individu effectivement surveillé ».
Enfin, la CNIL s’inquiète du sort réservé aux données collectées, et notamment de la manière dont seront conservés les fichiers ainsi créés. Elle propose même que la loi lui confie une mission de contrôle
des données stockées, « une garantie supplémentaire essentielle », estime-t-elle.
Le Conseil national du numérique (CNNum) a, lui, publié un communiqué[5] dans lequel il s’inquiète « d’une extension significative du périmètre de la surveillance », notamment à la « prévention des violences
collectives » ou encore à « la défense des intérêts de la politique étrangère », « deux champs dont les contours flous ne permettent pas de définir avec rigueur le champ d’intervention légal du
renseignement ». « De plus, le Conseil est préoccupé par l’introduction de nouvelles techniques de renseignement, dont certaines peuvent confiner à une forme de surveillance de masse. C’est le cas, par
exemple, du dispositif de traitement automatisé ». Plus globalement, « le Conseil s’inquiète de la tendance à l’accumulation de dispositions législatives visant à une surveillance accrue des citoyens sur
Internet ».
Interrogé par L’Express[6], le juge antiterroriste Trévidic a lui aussi fait part de ses craintes. « Ces pouvoirs exorbitants se feront sans contrôle judicaire », rappelle-t-il. « Ne mentons pas aux Français
en présentant ce projet comme une loi antiterroriste. Il ouvre la voie à la généralisation de méthodes intrusives, hors du contrôle des juges judicaires, pourtant garants des libertés individuelles dans
notre pays. »
Il n’en demeure pas moins que cette nouvelle réforme de la surveillance risque de passer, comme les précédentes, à la quasi-unanimité. Seuls quelques points pourraient être amendés. Il s’agirait notamment,
selon nos informations, de la protection de certaines professions, un point sur lequel le gouvernement attend les propositions des parlementaires. La demande de la CNIL de pouvoir exercer un contrôle sur le
stockage des fichiers a, elle, de fortes chances de rester lettre morte. En dehors de ces quelques points, l’union nationale devrait encore primer.
« Nous voterons cette loi, pas de polémique », a déjà annoncé Nicolas Sarkozy le 17 mars sur TF1, à la condition que celle-ci ne soit « pas dénaturée dans le cadre du débat parlementaire ». Frédéric
Péchenard, directeur général de l’UMP et ancien patron de la police, a de son côté salué[7] un projet « équilibré et cohérent », un texte « très intéressant », même s’il « arrive un peu tard ».
Le député PS, Christian Paul, membre de la commission sur les libertés numériques, se dit « sur le principe, favorable à une loi sur le renseignement ». « Tout d’abord, on sait bien qu’aujourd’hui les
terroristes et le crime organisé utilisent les différents réseaux. Et quand une menace évolue, cela ne me choque pas que la loi évolue », explique-t-il. « Ensuite, et parallèlement, les services de
renseignement disposent de technologies aux capacités intrusives de plus en plus inquiétantes. Il faut donc qu’il y ait une loi pour encadrer ces pratiques et ne pas se retrouver dans une jungle des données
dans laquelle les services pourraient se servir. »
« Mais cette loi doit donc être une loi pour encadrer », prévient-il. « Si l’idée est de donner un cadre légal à certaines pratiques, il faudrait déjà s’interroger sur ce qui doit être légal ou non et ne pas
forcément tout autoriser. Et pour cela, il va falloir, durant les débats, entrer véritablement dans la pratique, dans "l’état de l’art" du renseignement. Il faudra également être vigilant à ne pas tomber
dans une surveillance généralisée de type NSA. La fameuse "boîte noire" évoquée par la presse par exemple pose question », poursuit-il. « Enfin, et c’est un point important de ce texte, il faudra être très
vigilant sur la nature des autorités de contrôle. Il faudra s’assurer qu’elles ne se résument pas à un simple système d’enregistrement », prévient Christian Paul.
En attendant l’adoption très probable de ce texte, le ministère de l’intérieur songe déjà aux prochaines mesures. Et la prochaine cible pourrait bien être le chiffrement, considéré par de nombreux
internautes comme un pilier de la vie privée sur les réseaux. Le projet de loi renseignement prévoit déjà que le délai de conservation des données chiffrées ne court qu’à partir du moment où elles ont été
déchiffrées. Ce qui permet en théorie de les conserver ad vitam, si les services techniques ne parviennent pas à briser le chiffrement. Mais le gouvernement envisage d’aller plus loin et réfléchit, selon nos
informations, à la possibilité d’exiger des acteurs d’Internet que soient remises aux autorités les « clefs » de chiffrement permettant de décrypter les informations protégées.
==================================================================
Loi et compilation de liens : https://shaarli.cafai.fr/?-1t_0Q
L'espionnage en open bar ne passe pas...
Les conseillers d'État digèrent mal le projet de loi qui doit donner aux services de renseignements de nouveaux moyens pour traquer les terroristes. Le Conseil d'État doit rendre son avis sur le texte le 19 mars. D'ores et déjà, plusieurs articles ne passent pas. Notamment ceux qui facilitent le recours - en dehors de tout cadre judiciaire - aux écoutes téléphoniques et à d'autres systèmes de surveillance électronique.
Le projet introduit quand même dans la loi quelques contraintes pour nos barbouzes. Les agents de la DGSE, qui, jusqu'à présent, travaillaient à l'étranger sans aucun cadre légal, devront, en principe, respecter certaines règles. De, même les mesures de surveillance devront tenir compte du « principe de proportionnalité au regard des risques d'atteinte au respect de la vie privée ». En clair, pas question de sortir le marteau-pillon pour choper un moustique ou de mobiliser les grandes oreilles au moindre cancan.