Commençons par parler de l’évolution du renseignement français. Qu’est-ce qui a changé? Vous l’avez remarqué, la France a maintenant renoué avec le terrorisme. Ce fléau n’était plus apparu durant 16 ans. Pour tenter de se défendre, l’hexagone a mis en place des dispositions concernant la surveillance numérique. Plus les années passent et plus les mesures font rage. Ces lois sont légitimées par la lutte contre le terrorisme, pourtant certaines de ses mesures dépassent cette sphère. La preuve: les cas concrets évoqués plus haut n’ont pas de lien avec le terrorisme. Floran Vadillo est un spécialiste du renseignement sur le terrorisme, il a publié beaucoup sur le sujet. Il a collaboré avec Jean-Jacques Urvoas, le ministre de la Justice de l’époque, pour concocter la loi renseignement. Il était son conseiller en la matière. Il travaille d’ailleurs toujours dans ce domaine en tant que directeur de la sécurité intérieure chez Sopra Steria. Il explique : « La loi relative au renseignement de 2015 n’a pas été conçue comme une loi relative à l’antiterrorisme. Elle a pour but premier de réguler les activités de renseignement, activités de police administrative de souveraineté. Une partie de ces activités contribue à la lutte contre le terrorisme et permet de nourrir de manière plus riche les enquêtes de police judiciaire, ce qui contribue à la prévention et à la répression du terrorisme. » Le terrorisme était donc un prétexte pour rédiger cette loi, mais en réalité, elle couvre bien plus de finalités:

L’histoire législative de la France en matière de surveillance numérique débute en 1991. La loi relative au secret des correspondances émises par la voie des télécommunications a créé la première autorité administrative indépendante chargée de contrôler uniquement les interceptions de sécurité. C’est le premier contrôle qui n’est pas exercé par les services de renseignement, habituellement livrés à eux-mêmes. Cette autorité est appelée la Commission nationale de contrôle des interceptions de sécurité (CNCIS). C’est l’ancêtre de la Commission nationale de contrôle des techniques de renseignement (CNCTR) créée en 2015 avec la loi renseignement et qui contrôle donc, comme son nom l’indique, toutes les techniques de renseignement. Elles sont toutes les deux des autorités administratives indépendantes. Pourquoi créer une nouvelle commission et quelles sont alors les différences entre les deux?

En 2007, la CNCIS est complétée par un contrôle parlementaire exercé par une Délégation parlementaire au renseignement. En 1991, instituer un contrôle par une autorité indépendante était assez novateur, mais il était très limité. La loi ne prévoyait qu’un contrôle après l’autorisation et la mise en œuvre des interceptions de communication. Rien n’était prévu avant que la surveillance ne soit établie. D’un commun accord, la CNCIS et le gouvernement décident que la commission allait également rendre un avis au Premier ministre avant qu’il ne statue sur les demandes de surveillance.
Toutefois, un problème subsiste. La CNCIS ne pouvait contrôler que les interceptions de sécurité. Avec la loi de 2006 et la loi LPM de 2013, les compétences de la commission se sont élargies. Dès le 1er janvier 2015, elle a été habilitée à contrôler a priori et a posteriori les géolocalisations en temps réel.

Nous voilà arrivés à la fameuse loi relative au renseignement de 2015, celle qui a changé beaucoup de choses. Floran Vadillo était membre du Groupe d’étude et de réflexions sur le renseignement en 2010 à l’époque du quinquennat de Nicolas Sarkozy. Jean-Jacques Urvoas et Floran Vadillo estiment que ce groupe a dressé le bilan des réformes et élaboré des propositions sur la surveillance au cas où les socialistes revenaient au pouvoir. Ce bilan serait à l’origine de cette loi. Cette législation est survenue après les attentats contre Charlie Hebdo en janvier et ceux de Paris en novembre. Un contexte très sombre.
En fait, il était surtout question pour la France de disposer d’un cadre légal en matière de renseignement, car avant 2015, elle n’en avait pas. La loi de 1991 instituait un contrôle, mais rien ne régissait la mise en œuvre des techniques de surveillance. Une grande partie de ces techniques l’étaient en dehors de tout cadre légal, sans autorisation et sans contrôle.
Serge Slama est professeur de droit à l’Université de Grenoble. En novembre dernier, il a animé une conférence en partenariat avec l’Inria: « Contrôle du renseignement: comment concilier surveillance et respect des droits de l’homme? » Il explique la situation: « C’est comme ça, c’est le système français. Pendant longtemps, le système de renseignement en France était secret. Ça ne veut pas dire qu’il n’y avait pas du tout de textes. Il y avait des textes plus informels qui encadraient les pratiques. Il y a eu un effet levier, Manuel Valls avait profité du contexte terroriste notamment de l’attentat à Charlie hebdo pour faire adopter cette loi.  »
« Cette situation était problématique à plusieurs titres », estime Francis Delon, l’actuel président de la nouvelle autorité de contrôle (CNCTR) lors de la conférence à Grenoble. Francis Delon est un haut fonctionnaire de 67 ans familier des profondeurs de l’État. Son CV est impressionnant: ENA (la prestigieuse école nationale des administrateurs), Secrétariat général de la défense et de la sécurité nationale (SGDSN, voir schéma ci-dessous), CNCTR. Un peu trop pour certain: on lui reproche de ne pas être objectif quant aux services de renseignement. Et pour cause… Pendant 10 ans à la SGDSN, il a été aux ordres du Premier ministre pour lequel il s’occupait de la planification des moyens des services de renseignement. Il a notamment participé à la mise en place secrète de câbles sous-marins pour intercepter les communications internationales par la DGSE. Pourtant, la CNCTR est chargée de contrôler ce genre de décision.
Le haut fonctionnaire énumère donc les problèmes de ce manque de cadre légal: « En termes de protection des libertés publiques, elle n’offrait évidemment pas les garanties nécessaires, notamment (…) au respect de la vie privée ; elle ne permettait pas l’exercice, nécessaire dans une société démocratique, d’un contrôle rigoureux de l’action des services de renseignement ; elle maintenait l’action des services de renseignement dans une forme de clandestinité et elle plaçait les agents des services et les responsables de ceux-ci dans une situation d’insécurité juridique. »
De vraies actions clandestines, car en 2006, la France lance IOL, un programme d’écoutes administratives. Ce système, qui couvre 99% de l’ADSL
résidentiel français, est classé secret-défense. Un secret qui a été dévoilé en juin 2016 par Médiapart et Reflets.info. 50% de ce programme d’écoutes provient de l’entreprise française Qosmos. La Fédération internationale des droits de l’Homme (FIDH) et la Ligue des droits de l’Homme (LDH) ont d’ailleurs porté plainte contre elle pour « complicité d’actes de torture ». L’entreprise a vendu un système d’écoute de type DPI à Bachar El Assad en 2011. À cause de dispositif, la Syrie a arrêté et torturé énormément d’opposants au régime. Pas content avec le gouvernement? Hop, prison. La Justice a donné raison à la FIDH et à la LDH. La pratique de surveillance numérique a été légalisée en 2015 mais elle était probablement déjà d’attaque en 2006, soit 9 ans avant sa légalisation.
Dorénavant, avec la CNCTR, aucune des techniques de renseignement prévues par la loi ne peut être mise en pratique sans l’autorisation du Premier ministre. C’est un grand changement, les services ne sont plus livrés à eux-mêmes. Avant, la loi leur laissait une importante marge de manœuvre. Un grand changement, mais est-ce suffisant ?

La communauté du renseignement

Le monde du renseignement compte énormément de structure et d’acteurs. On s’y perd vite. Voici ce à quoi ressemble la communauté du renseignement en schéma:

Toutes ces législations sur le renseignement numérique permettent à l’État de s’immiscer petit à petit dans la vie privée des citoyens. Les renseignements s’autorisent parfois à collecter des données sur des partisans de gauche radicale par exemple. C’est le cas pour Gaspard Glanz, qui est journaliste. Il s’est rendu compte qu’il était fiché S lors de sa garde à vue après l’évacuation de la jungle de Calais en 2016 où il manifestait. Les policiers lui ont montré sa fiche dans son dossier judiciaire. La France peut donc maintenant le surveiller en toute impunité, ce qui porte atteinte à sa vie privée et au droit au secret des sources qui plus est.
La garantie d’une bonne utilisation de cette surveillance numérique par l’Etat, liée uniquement au crime, sans vocation d’écouter ses opposants politiques ou de connaître les sources d’un journaliste dérangeant, n’existe pas. Le judiciaire n’a pas de contrôle sur les écoutes.
Cette intrusion dans la vie privée est un fait tout à fait assumé par les politiques qui ont rédigé ces lois. Ils la justifient cependant par un équilibre avec les intérêts du pays. « La loi relative au renseignement porte atteinte à la vie privée des citoyens comme le reconnaît l’article L. 801-1 du code de la sécurité intérieure que nous avons placé, à dessein, en tête de la loi », reconnaît Floran Vadillo, collaborateur de Jean-Jacques Urvoas sur la loi Renseignement. Il ajoute : « Mais cette atteinte est soumise à autorisation et contrôle. Il y a donc une juste conciliation entre les intérêts fondamentaux de la Nation et le respect de la vie privée. »

Y a-t-il réellement une conciliation? Telle est la question. Pour y arriver, il faut que les mesures soient vraiment efficaces et qu’elles puissent permettre d’empêcher les terroristes de nuire. Des dispositions qui proposent de vraies solutions rendent légitime cette atteinte à la vie privée aux yeux du droit de l’Union européenne. Cependant ici, des spécialistes expriment des craintes: « ces lois sont critiquées par les opérationnels du fait de la superficialité de la solution qu’elles proposent. On sait que beaucoup de djihadistes ont bel et bien appris à contourner de telles mesures. Ça n’aidera pas à identifier ou surveiller des individus qui échangent sur cryptocat ou Telegram », déplore Romain Mielcarek, journaliste spécialisé sur les questions de défense. Constamment au coeur du sujet, il est animateur du blog Guerres et influence et chercheur associé à l’Institut prospective et sécurité en Europe.
On peut se demander d’ailleurs combien d’attentats elles ont réellement déjoués. Après tout, c’est la meilleure façon de savoir si ces moyens, malgré leur atteinte à la vie privée, sont efficaces. « La loi a été mise en œuvre avec succès par les services de renseignement. Ce qu’elle a empêché de se produire est difficile à quantifier », rétorque Floran Vadillo.
Aux États-Unis, le Patriot Act, qui permet une surveillance très forte des Américains, et les programmes de surveillances secrets et illégaux de la NSA dévoilés par Edouard Snowden n’ont même pas permis de déjouer les attentats de Boston ou le massacre à Orlando, entre autres.
Allons du côté des « opérationnels ». Ceux qui critiquent ces lois sont des activistes d’Internet comme la Quadrature du Net et les Exégètes amateurs, des juristes et l’Inria, l’Institut national de recherche en informatique et en automatique. La Cnil, la Commission nationale pour l’informatique et les libertés, a aussi sévèrement critiqué ces dispositions. Une belle brochette de personnes calées sur le sujet. Voici les mesures qui font polémiques.

1. Les métadonnées et les boîtes noires

L’État peut dorénavant collecter des métadonnées. Les métadonnées, ce sont des données sur des données. Par exemple, dans une conversation sur une application de messagerie, on peut savoir qui parle, où et quand, mais pas le contenu des messages. La loi relative au renseignement prévoit la mise en place de boîtes noires chez des opérateurs télécoms pour récolter ces métadonnées. Ce sont des algorithmes.
Ces informations révèlent énormément de choses. L’Inria explique qu’il faut seulement quatre géolocalisations pour identifier une personne, donc quatre métadonnées. Il suffit que l’on utilise quatre applications sur son téléphone pour que l’on sache qui l’on est. Un malheureux message sur Messenger, une photo sur Instagram, un petit tweet, un snap rigolo et ça fait l’affaire. On sait où vous êtes. On peut très facilement chiffrer ses données, donc le contenu de son message, mais pas ses métadonnées.
« Ça en dit énormément sur la vie privée »

Lori Roussey est membre des Exégètes amateurs, un collectif d’activistes qui déposent des recours contre des lois qui touchent au numérique. Elle vient de terminer ses études de droit et passe le plus clair de son temps à travailler comme bénévole pour l’association. Elle a même été jusqu’à déménager à Oxford pour se rapprocher de Privacy International. Elle est prête à tout pour défendre les libertés d’Internet. Pour elle, récolter les métadonnées des citoyens, « ça revient à ouvrir toutes les lettres qui transitent par la poste. On ne le sent pas l’impact quand on communique, mais l’impact est énorme. » Si en réalité l’État n’ouvre pas les enveloppes, elles contiennent tellement d’informations importantes que cela revient à la même chose.
La Commission nationale de contrôle des techniques de renseignement (CNCTR) a annoncé, en novembre, qu’au moins une boîte noire a été mise en fonctionnement. Les défendeurs de la loi renseignement expliquaient que ces boîtes noires n’étaient pas en état de marche et ne le seraient pas avant longtemps. « Nous avions dit publiquement en 2016 que ce qu’on appelle les boîtes noires, c’est-à-dire les algorithmes, n’avaient pas été mis en œuvre: ça n’est plus vrai aujourd’hui », avoue Francis Delon, le président de la CNCTR, lors d’une conférence à Grenoble. Que la collecte des métadonnées commence!

Et elles peuvent être collectées sur toute la population. N’importe qui peut passer à la loupe. Pour Romain Mielcarek, « les dispositifs de la loi renseignement sont plus proches des caméras de surveillance : tout le monde passe dedans, suspect ou non. »
Philosophiquement, le droit des pays de l’Union européenne prend racine dans le principe de la présomption d’innocence. Or, le trafic internet français peut être scanné. On ne part plus du principe que chaque personne est innocente jusqu’à ce que soit prouvé le contraire, mais on part du principe qu’il faut surveiller tout le monde.
Et surveiller autant de monde pour cibler des terroristes créée ce qu’on appelle le paradoxe des faux positifs.

Oriane Piquer-Louis est la présidente de la Fédération des fournisseurs d’accès à Internet associatifs, une association qui milite aussi pour un Internet libre. Codeuse autodidacte, elle a commencé son premier site web à 14 ans et ne s’est plus arrêtée depuis. Passionnée par la technologie et le numérique, elle est le genre de fille à laisser brûler son gratin au four parce qu’elle codait à ce moment-là. C’est une nerd doctorante pour qui la surveillance numérique de l’État a d’énormes lacunes. Elle explique que surveiller autant de monde « c’est inutile dans le cadre de la lutte contre le terrorisme. C’est un fait maintenant avéré et documenté. Il est préférable de collecter de l’information plus ciblée sur quelques personnes identifiées par les services que de collecter massivement des informations sur toute la population au cas où. » Effectivement, le système est en fait très coûteux et surtout peu efficace.
Au moment où la loi renseignement a été adoptée, les services étaient écrasés sous une quantité de données. Elles n’étaient pas traitées dans les temps. Le GIC, l’organe qui analyse les données, avait six mois de retard. « Ils se sont rendu compte qu’il y avait un attentat qui se préparait sous la tour Eiffel et ils ont eu des sueurs froides quand ils ont constaté que les données dataient de six mois », assène Lori Roussey. Ça peut être, en effet, très dangereux.

2. Les voies hertziennes

La loi relative au renseignement de 2015 a introduit, dans son article L811-5, une procédure simplifiée « pour la surveillance et le contrôle des transmissions empruntant la voie hertzienne ». Les Exégètes amateurs ont jugé que cet article met en place un vide juridique et ont saisi le Conseil constitutionnel. Il l’a censuré. Sans cette intervention du Conseil constitutionnel, l’État aurait pu surveiller les communications suivantes : les transmissions entre un téléphone portable et son antenne relais, gsm, 3G ou 4G, entre une borne wifi et un ordinateur ou un smartphone, entre deux équipements bluetooth comme, par exemple, un micro sans fil,  entre le satellite et ses abonnés, les transmissions générées par les balises GPS, les transmissions entre les puces NFC, comme celle des cartes bleues, et sa borne.
Ça faisait beaucoup de communications. En fait, la voie hertzienne reprenait toutes nos communications. La loi antiterroriste de 2017 réintroduit cette disposition, mais en limitant cette surveillance aux appareils de type CB, c’est-à-dire un petit émetteur-récepteur avec une antenne qui permet de communiquer librement entre eux, et aux talkies-walkies.

Tout est dans le contrôle

« Le danger c’est qu’on généralise ces techniques »

Qu’un service de renseignement abuse de ces moyens pour d’autres usages est le risque. Par exemple, « qu’on utilise ces outils pour chercher les sources d’un journaliste, ce qui serait illégal », s’alarme Romain Mielcarek.

Camille Polloni, journaliste aux Jours, a fait l’objet d’un fichage illégal. Elle se sentait observée et en 2011, elle a voulu exercer un droit: celui de demander toutes les fiches de renseignement la concernant. Cette procédure se fait par l’intermédiaire de la Commission nationale de l’informatique et des libertés (Cnil). Six ans se sont écoulés avant la décision du Conseil d’État le 8 novembre 2017. Ils ont tranché: les données vont être effacées, mais la journaliste ne pourra pas savoir de quoi il retournait. C’est raté pour vérifier si son secret des sources est respecté. « Les impératifs de sécurité nationale mis en avant par les autorités ces dernières années ont tendance, de fait, à réduire le périmètre du secret des sources », dénonce-t-elle.
« Je connais un certain nombre de personnes faisant l’objet d’un fichage par les services de renseignement. Pour autant, ces personnes ne savent pas si la surveillance dont elles font l’objet est légale ou non », remarque la journaliste des Jours. En 2016, 4379 demandes de droit d’accès à des fiches de renseignement ont été envoyées à la Cnil.  
En même temps, on ne peut pas nier que les terroristes font des erreurs à un moment ou à un autre. Leurs compétences en matière d’informatique sont parfois très limitées. « Pendant l’attaque contre les militaires en Sentinelle à Levallois en août dernier, le mec n’a même pas pensé à la balise GPS sur sa voiture ! Un assaillant de ce type n’aura probablement pas les bons réflexes pour sécuriser ses communications », prend comme exemple Romain Mielcarek.

Mais il ne faut pas pour autant ignorer les risques. L’une des questions principales pour évaluer l’équilibre c’est est-ce que les différents organes de surveillance et contre-pouvoir sont en mesure d’identifier les dérives et peuvent-ils les stopper et les dénoncer?

« Le mouvement actuel est plutôt inverse: davantage de surveillance, moins de contrôle », estime Camille Polloni. Dans « Comment a évolué le renseignement », on voyait que la loi renseignement a instauré la CNCTR. Le Premier ministre autorise le recueil des données auprès des opérateurs Internet après l’avis de la Commission Nationale de Contrôle des Techniques de Renseignement. Elle peut se prononcer soit par un seul de ses membres, qui possède la qualité de magistrat, ce qui est le cas des deux membres de la Cour de cassation et du Conseil d’État, soit en formation collégiale. La commission statue en groupe pour le recueil des données et pour toutes les demandes qui vise un parlementaire, un magistrat, un avocat ou un journaliste.
Elle dispose de 24 heures pour statuer si l’avis est rendu par une seule personne et de 72 heures si l’avis est rendu par les neuf membres. C’est une autorité administrative indépendante qui ne peut émettre que des avis. Les services de renseignement ne sont pas tenus de leur obéir, mais seulement de les écouter.

« C’est toujours en dernier essort
le Premier ministre qui va trancher »

« Ce mode de délibération, qui permet le débat interne, est proche de celui d’une juridiction », rétorque Francis Delon, président de la CNCTR. Par ailleurs, il y a un contrôle juridictionnel à la suite de la décision du Premier ministre. Il est possible que la personne surveillée ou la commission elle-même saisisse le Conseil d’État. À condition, bien entendu, que la personne sache qu’elle est surveillée. C’est un contrôle quand même intéressant en cas de désaccord entre le Premier ministre et la commission.
Un recueil de deux mois renouvelables peut être autorisé si la personne représente « une menace ». La Commission Nationale Consultative des Droits de l’Homme (CNCDH) affirme que ce critère est extrêmement vague et « dont la mise en œuvre reposera vraisemblablement sur un diagnostic et un pronostic de passage à l’acte terroriste par définition aléatoire. »
En cas d’urgence absolue, le Premier ministre peut se passer de l’avis de la CNCTR, ce qui a beaucoup inquiété les activistes d’Internet en 2015. En deux ans, il a eu recours une seule fois à la procédure d’urgence absolue. Un attentat terroriste était suspecté et la CNCTR a été immédiatement informée. Au bout de quelques heures, la mesure de surveillance a été levée, car il s’agissait, en fait, d’une fausse alerte.

Un progrès teinté d’insuffisances

La commission a rendu un certain nombre d’avis défavorables au Premier ministre en 2016 : 6,9 % des avis. Certaines des nouvelles techniques de renseignement prévues par la loi du 24 juillet 2015 ont un caractère intrusif plus élevé que les interceptions de sécurité traitées par la CNCIS et appellent à un contrôle plus exigeant.

« En tous cas en deux années de fonctionnement du nouveau cadre légal et sous trois Premiers ministres, pas une seule fois le chef du Gouvernement n’a décidé de ne pas suivre un avis défavorable de la CNCTR », observe Francis Delon. « Pour l’instant la commission a été suivie dans ses avis. Le Premier ministre suit systématiquement la commission », confirme Serge Slama. Pour lui, il y a cependant un « mais » : « Ce n’est pas sûr que ça soit suffisant pour garantir le respect des garanties procédurales exigées par la convention européenne de droits de l’homme ».

La CNCTR examine environ 59 000 demandes de déploiement des nouvelles techniques de renseignement par an. C’est 10 000 de plus par rapport au temps de la CNCIS. Mais à l’époque seulement 7 000 demandes étaient analysées. On peut ainsi dire que la CNCTR examine 52 000 requêtes de plus que la CNCIS, ce qui en soi est un véritable progrès. On remarque quand même qu’il y a 10 000 demandes supplémentaires par an. L’État surveille encore plus.

« Je tire de la loi et de sa mise en œuvre depuis deux ans un bilan positif en termes de protection des libertés. Il me semble peu contestable qu’entre le régime de la loi du 10 juillet 1991 et celui des deux lois de 2015, il y ait eu de nets progrès dans l’encadrement des activités des services de renseignement et dans leur contrôle », estime Francis Delon. « Il y a un progrès manifeste, mais un même temps il y a encore un certain nombre d’insuffisances », surenchéri Serge Slama. « Cependant pour être complet et effectif, le contrôle de la CNCTR ne saurait se borner à l’examen préalable des demandes émanant des services. Il doit aussi porter sur la mise en œuvre des techniques autorisées », reconnaît le président de la CNCTR.
Si elles ont constitué un net progrès au niveau du cadre légal, les lois de 2015 comportent quand même encore des lacunes. Elles ont déjà dû être modifiées à plusieurs reprises. Le passage sur les voies hertziennes l’ont été par exemple. Des lacunes et pas des moindres : comme l’a fait remarquer Serge Slama, la CNCTR est une autorité administrative indépendante pas une juridiction. « Il y a des garanties d’indépendance, mais pas suffisantes au sens de la convention européenne des droits de l’homme. Cette autorité administrative n’a pas de pouvoir décisionnel, elle a un pouvoir d’avis », déplore-t-il. Sa solution : « Peut-être que l’avenir, ça serait de développer plus d’autorités de type juridictionnel qui exercent des contrôles. »

En attente de la Cour européenne des droits de l’homme

180 journalistes de l’Association confraternelle de la presse judiciaire, 11 autres et le barreau de Paris ont saisi la Cour européenne des droits de l’homme (CEDH) le jour même de l’entrée en vigueur de la loi renseignement le 3 octobre 2015. Après un long moment où elle a fait planer le doute, la CEDH a affirmé le 26 avril 2017 qu’elle rendra une décision. La Cour juge finalement les requêtes suffisamment solides pour ouvrir un dialogue avec le gouvernement français. Dans sa communication, elle lui demande de répondre à ce qui lui est reproché. Un débat de longue haleine s’en suivra jusqu’à ce que la CEDH rende son arrêt, ce qui ne devra pas arriver avant au moins encore un an.
« Il est possible que la Cour européenne des droits de l’homme estime qu’il y ait atteinte à l’article 8 de la Convention européenne des droits de l’homme », regrette Serge Slama.
En attendant, les activistes n’ont pas dit leur dernier mot. Ils continuent de se battre :  ils introduisent des recours devant le Conseil d’État et ils proposent des moyens de protéger ses données. Ils ont encore plus d’un tour dans leur sac.

Il existe des gens très contents qu’on les surveille pour les protéger des terroristes, remarque Oriane Piquer-Louis, présidente de la Fédération FDN, une fédération de fournisseurs d’accès à Internet associatifs locaux et activiste pour le Net libre. Cette protection, c’est l’argument numéro un des personnes qui plaident pour cette surveillance. Un bon argument semble-t-il mais encore faut-il que cela soit efficace et qu’un bon contrôle soit assuré. En 2016, 71% des Français étaient d’accord que le gouvernement ait accès à leurs données pour des questions de sécurité d’après l’enquête mondiale sur la sécurité et la confiance sur Internet de CIGI-IPSOS. Ce sont les 54-65 ans qui l’acceptent le plus. À l’inverse, ce sont les plus jeunes qui refusent que le gouvernement ait accès à leurs données.

Et puis, argument numéro deux, ils n’ont rien à cacher. Celui-là, il revient sans arrêt. Lori Roussey des Exégètes amateurs le démonte.

« Ce n’est pas parce qu’aujourd’hui vous n’avez rien à cacher, que demain vous n’aurez rien à cacher »

Oriane Piquer-Louis a bien remarqué que beaucoup de personnes sont d’accord avec cette surveillance: « Je n’ai pas eu l’impression que le débat ait pris plus loin que nos cercles habituels. » Par cercles habituels, la présidente entend les groupes d’activistes comme La Quadrature du Net et les Exégètes amateurs. Ils sont très actifs pour garantir les libertés d’Internet. Ils font des pieds et des mains pour trouver des solutions et non pas sans dérision. « On est plusieurs associations à avoir commencé à réfléchir à comment héberger des données hors de France. Quelqu’un a créé le compte Twitter @LesBoitesNoires pour rire de leur apparition », ajoute-t-elle.

Nous avons compté le nombre de téléphones portables présents lors de la manifestation de @FrancoisFillon

— LesBoitesNoires (@LesBoitesNoires) 5 mars 2017

Comme nous, ne craignez rien de la future loi sur la sécurité intérieure. Elle ne menace pas notre liberté de #boitesnoires.

— LesBoitesNoires (@LesBoitesNoires) 1 septembre 2017

Toujours avec une pointe d’humour, @LesBoitesNoires se sont exprimées sur la création de leur compte Twitter: « Le gouvernement français à la pointe de la modernité 2.0 a voulu nous relier aux réseaux sociaux. » Que ce soit plein d’ironie ou avec des recours, ces différents activistes critiquent ces lois sur la surveillance numérique. Ont-ils raison? « Bien évidemment que ces organismes ont raison de dénoncer les risques liés à cette loi. C’est leur rôle. Je crois qu’il ne faut cependant pas prendre les professionnels du renseignement et de la sécurité intérieure pour des psychopathes liberticides avides de nous surveiller quand on se fait une session Pornhub », estime Romain Mielcarek, journaliste spécialiste des questions de défense.

« En démocratie, c’est toujours important d’avoir des contre-pouvoirs »

Que font-ils exactement? Les Exégètes amateurs déposent des questions prioritaires de constitutionnalité (QPC). Il s’agit d’un droit reconnu de soutenir qu’une disposition législative porte atteinte aux droits et libertés que la Constitution garantit. Et si les conditions pour recevoir la QPC sont réunies, le Conseil constitutionnel se prononce. Cette question peut, à terme, permettre d’abroger la mesure.

Les Exégètes amateurs rassemblent La Quadrature du Net, la Fédération FDN et French data network. Lors des discussions à l’Assemblée nationale sur le projet de loi renseignement, Jean-Jacques Urvoas, ministre de la Justice et coauteur de la loi, a taxé d’ « exégètes amateurs » les opposants au projet. Il n’a fait ni une ni deux, le groupe s’est approprié le surnom. Nous avons tenté de le contacter pour les besoins de l’enquête, nous sommes restés sans réponse. D’ailleurs, la loi relative au renseignement de 2015 est leur plus gros dossier. « On s’est réparti des parties de la loi renseignement à analyser par thème. On a tous rédigé des arguments juridiques et même parfois techniques sur des points précis de la loi », explique Lori Roussey des Exégètes amateurs. Ils passent leur temps libre à éplucher les textes de loi pour y déceler des lacunes qui jouent à cache-cache entre les lignes. Des mois s’écoulent avant que leur QPC soit envoyée. Mais ces efforts ne sont pas en vain, ils ont même déjà décroché une victoire et pas des moindres.

« On ne voyait pas vraiment ce que c’était la voie hertzienne »

« Heureusement qu’il y a eu une QPC contre les communications hertziennes parce que sinon il n’y avait aucun encadrement de cette technique qui est tout de même assez importante en termes d’atteinte potentielle à la vie privée », félicite Serge Slama. Si les Exégètes amateurs n’avaient pas repéré cette tournure de phrase, l’État aurait justifié par le biais de la loi un tas d’écoutes intrusives.

Une fois la QPC introduite, une série d’arguments est échangée entre les exégètes et les ministères de l’Intérieur, des Armées et de l’Économie et des Finances. Un argument par-ci et une surenchère par-là. Un long débat s’ensuit. 
Pour la voie hertzienne, cette rhétorique envoyée en pleine figure les uns vers les autres a finalement permis au groupe de juristes de soulever de nouveaux arguments. Ils ont choisi de ralentir leurs recours auprès de Conseil d’État pour demander l’avis du Conseil constitutionnel. Et ils ont bien fait, car il leur a donné raison. « C’était une très grande victoire », s’enthousiasme l’exégète amatrice. Une victoire qui va « commencer à ouvrir le débat sur la question du hacking par les services de renseignement », applaudit-elle. « On voit que l’on peut faire une différence. »

Les Exégètes amateurs sont submergés par les délais de dépôts des divers recours qu’ils entreprennent, nous confie Virginie Aubrée membre du collectif. Elle vient de terminer ses études de droit et est une passionnée de la neutralité du Net. C’est un véritable travail de recherche au sein des législations et d’écriture d’arguments juridiques qu’effectuent les exégètes. « Il y a une démarche assez originale », estime Serge Slama. Un travail bénévole qui plus est, une caractéristique qui fait partie de leur originalité.

« comme on est bénévoles, on ne peut pas nous taxer de parti pris »

Quand les fournisseurs d’accès à Internet s’en mêlent

À côté des Exégètes amateurs, il y a des fournisseurs d’accès à Internet (FAI). Il n’y a pas que Orange ou SFR, il en existe bien d’autres. Leur particularité: ils sont associatifs, petits et sont basés un peu partout en France. À leur tête: la Fédération FDN présidée par Oriane Piquer-Louis et Benjamin Bayart. C’est le FAI associatif le plus vieux toujours actif en France. De leur côté, ils ne déposent pas de QPC, mais ils s’assurent de protéger du mieux qu’ils peuvent la vie privée de leurs abonnés. C’est leur cheval de bataille. « En tant que fournisseurs d’accès à Internet, nous faisons activement de notre possible pour protéger au mieux la vie privée de nos abonnés : en collectant le moins de données possibles, en proposant des services comme le VPN, en informant nos membres », explique Oriane Piquer-Louis. Ils partent du constat que le gouvernement écrit des mesures anticonstitutionnelles, ce qui touche particulièrement Daniele Pitrolo, des Franciliens, FAI associatifs en Îles-de-France : « La surveillance est exercée dans et hors un cadre légal, celui-ci étant par ailleurs constitué de parties anticonstitutionnelles au nombre croissant si l’on dénombre les prononciations du Conseil constitutionnel. »

Grégoire Jadi, vice-trésorier de FaiMaison, le FAI associatif de Nantes, le confirme: « Nous ne sommes pas parfaits, mais nous essayons de collecter le moins de données possible sur nos membres et leurs usages. » En parallèle, il est doctorant en informatique à l’Université de Nantes. Coûte que coûte, ces FAI protègent la vie privée de leurs abonnés. Certains contournent parfois même la loi pour y parvenir. Pour eux, il s’agit avant tout de rester libre sur Internet, libre de ne pas être surveillé, libre d’aller surfer sur n’importe quel site, sans discrimination. Daniele Pitrolo, des Franciliens, le FAI en Îles-de-France, nous raconte que « d’autres associations de la fédération ont pris des résolutions plus fermes s’engageant à ne pas appliquer des requêtes même contraignantes. » Ça avait été notamment le cas d’Ilico. Son président Julien Rabier s’est retrouvé face à un dilemme moral: celui d’appliquer la loi renseignement. « Non, nous ne mettrons pas de mouchards dans notre réseau. Non, nous ne nous mettrons pas sous surveillance. Il ne peut y avoir d’autosurveillance comme il peut y avoir un autocontrôle ou une autocensure. Parce que nous ne sommes pas des individus isolés. Parce que nous sommes des individus en réseau, une force collective, nous ne pouvons nous soumettre à une telle mesure. Parce que nous formons un réseau humain avant de former un réseau de machines. Non », écrit-il dans Rue89. 

Des réseaux humains qui se sont engagés encore plus loin. Des membres de FaiMaison ont participé par exemple à plusieurs campagnes d’appels de députés et d’eurodéputés organisées par la Quadrature du Net. En avril 2015, l’association participe à des ateliers contre le projet de loi sur le renseignement. Ses membres ont rencontré des parlementaires et ont développé des argumentaires. Ils prennent également part aux débats locaux sur le numérique. Elle a notamment pointé du doigt la précarité de l’accès à Internet de certaines écoles nantaises.

En 2017, Tetaneutral.net, le FAI associatif de Toulouse, a tenu une table au festival Alternatiba et des bénévoles ont présentés une petite conférence sur la neutralité du Net. Méo, skuld pour les intimes, s’enthousiasme: « Ce genre d’événement est en quelque sorte plus intéressant à ce sujet, car ramène plus de personnes non renseignées, c’est le bon lieu pour faire de la sensibilisation. » Il est administrateur chez Tetaneutral. Cette sensibilisation est très importante pour ces activistes, car la plupart des gens touchés par ce sujet sont des personnes de leur cercle, qui s’y connaissent. Réussir à informer des personnes qui ne sont pas au courant des pratiques de l’État leur tiennent à coeur. Chaque personne en plus est une petite victoire. C’est quelque chose que nous ressentons lorsque nous les interviewons. Tous étaient heureux que nous écrivions sur eux. Le public allait être enfin au courant.

Les logiciels libres

Une partie de nos communications ne sont pas que des discussions, mais sont aussi liées à des outils qu’on utilise au quotidien. Microsoft Word, Dropbox ou encore Google sont énormément utilisés. Ce ne sont pas des logiciels libres. Il peut y avoir des codes cachés qui permettent de donner des ordres ou d’extraire des données des ordinateurs. Ces codes peuvent nous voler des informations personnelles. Tous ces activistes, que ce soit la Quadrature du Net, les FAI associatifs ou encore les Exégètes amateurs, militent pour l’utilisation des logiciels libres. Un logiciel libre, c’est un logiciel qui, grâce à l’accessibilité de son code source, peut être utilisé et modifié sans restriction. Il peut ainsi être soumis à étude, critique et correction. Pour Grégoire Jadi, « c’est nécessaire, mais non suffisant, pour garantir les libertés sur Internet. »

Framasoft est une association d’activistes née en 2001 qui promeut un Internet libre. Elle a lancé une campagne intéressante sur les logiciels libres. Son idée est de « dégoogliser » Internet. Elle a créé une série d’outils en ligne qui sont l’équivalent des outils qu’on l’on a l’habitude d’utiliser au quotidien. Leurs différences: des logiciels libres et francophone! Par exemple, Framacarte est l’alternative à Google Maps, Framaslide l’alternative à PowerPoint, Framadate remplace Doodle et Framadrop est l’équivalent de DropBox. Et il y en a beaucoup d’autres. Framasoft a même lancé leur propre réseaux sociaux. Framapiaf et Framasphère remplace respectivement Twitter et Facebook. Au total, Framasoft compte 32 services. L’association a aussi référencé tous les logiciels libres disponibles. 

Framacarte est un logiciel libre qui permet de créer des cartes.

Tous ces activistes contribuent à leur manière à faire évoluer Internet et les textes législatifs qui le touchent. Sans le collectif des Exégètes amateurs, beaucoup de mesures seraient restées intactes et l’État français aurait pu n’en faire qu’à sa tête. Que des associations la lui tiennent favorise une société démocratique. Être bénévoles leur permet de prouver le bien-fondé de leur démarche. Personne ne les paie, ils le font pour les internautes. 

Car il faut bien un contre-pouvoir pour s’opposer aux textes de loi sur la surveillance numérique. Ces législations sont tellement illisibles. Que des professionnels du droit attachés à l’informatique s’y collent fait avancer la démocratie. La France possède maintenant un cadre légal, ce qui est une avancée parce qu’avant le respect de la vie privée n’était clairement pas garanti. Ce n’est pourtant pas encore tout à fait le cas maintenant. Les techniques de renseignement ne sont pas toujours efficaces. Beaucoup d’attentats n’ont pas pu être déjoués. Les services de renseignement sont écrasés sous une quantité d’informations astronomiques. Romain Mielcarek l’a souligné, la surveillance numérique actuelle fonctionne comme des caméras de surveillance, tout le monde passe dedans, suspect ou non. Les métadonnées des internautes sont collectées à une plus grande échelle.

Le contrôle de la CNCTR, bien que nettement mieux que celui de la CNCIS, n’est pas suffisant pour garantir le droit au respect de la vie privée exigée par la convention européenne des droits de l’homme. La solution la plus adaptée serait de créer plus d’autorités juridictionnelles qui auraient un véritable pouvoir de décision sur les services de renseignement. À l’heure actuelle, si le gouvernement décide d’espionner un opposant politique ou souhaite connaître les sources d’un journaliste, il peut le faire assez facilement sans que cela ne se remarque. Qui sait, peut-être que vous aussi vous êtes surveillés.

Les services de renseignement, à la pointe de la technologie, se servent du numérique pour la prévention du terrorisme, mais parfois bien aux dépens de notre vie privée. Malgré un système de contrôle, rien ne nous certifie que l’État ne déborde pas en surveillant ses opposants politiques. Pour le moment, le Premier ministre suit les avis de la CNCTR, mais pour combien de temps? Les législations mises en place ne garantissent pas le respect de la convention européenne des droits de l’homme. Les activistes n’ont décidément pas fini de passer à la loupe les textes de loi concernant ce renseignement… 2.0.