Mais notre arrière-grand-père aurait il accepté que de manière permanente et à son insu, on puisse légalement pénétrer son domicile, fouiller sa table de chevet, son secrétariat, y consulter sa correspondance, en prendre copie ?
Aurait-il admis que son épicier, son boulanger, son médecin, son marchand de journaux soient enjoints de noter ses jours et heures de passages, ses achats, ses paroles prononcées ?
Notre arrière-petit-fils admettrait-il que, dans un geste naturel et habituel puisqu’exigé par Loi, chaque intermédiaire auquel il aurait recours, enregistre et conserve comme prêt à être mis à disposition, toutes « informations et documents » le concernant.
Supporterait il de vivre avec la crainte que ces intermédiaires, leurs collaborateurs et partenaires, ne soient tentés de les consulter pour eux-mêmes ou pour d’autres et pour des motifs très divers ou qu’ils n’aient pas pris les mesures nécessaires pour en assurer la sécurité et interdire à des tiers non autorisés d’y accéder ?
Tout ce qui vient d’être décrit est en place par la Loi n°2013-1168 de programmation militaire, dite LPM, du 18 Décembre 2013.
En son article 20, la LPM vise à généraliser une surveillance obligatoire et très intrusive de la société en vue de donner aux services de l’Etat des pouvoirs d’enquêtes colossaux, sans que des garanties sérieuses n’aient été données au citoyen en contrepartie.
Cette Loi est signée par le 1er Ministre Ayrault, les Ministres de l’intérieur, de la défense, de la justice, de l’économie, des finances et du budget. Elle est la petite sœur de la Loi américaine dite USA Patriot Act du 26 Octobre 2001, mise à l’honneur par les affaires Snowden et Prism. Elle est également dans la famille de la Convention de Budapest sur la Cybercriminalité et de son article 18, aussi conclue dans les suites des attentats des tours jumelles du 11 septembre 2001, ratifiée par la France en 2006.
Pour appréhender l’ampleur de la LPM, il faut la mesurer à quatre niveaux.
Quelles sont les personnes visées par les « enquêtes » (1), quelles données sont concernées (2), quelles personnes doivent fournir ces données (3) et quelles sont les garanties accordées au citoyen (4).
1. Les personnes visées par les enquêtes ? Tout le monde. La question n’est en réalité pas traitée par la Loi. Il suffit que l’enquête soit orientée vers un certain objectif. Ces objectifs se trouvent à l’article L 241-2 du Code de la sécurité intérieure. On y parle de sécurité nationale et de prévention du terrorisme certes, mais aussi « de la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France (…) de la criminalité et de la délinquance organisées » faisant entrer dans son giron la contrefaçon ou la lutte contre la fraude fiscale qui peuvent l’un et l’autre rejoindre les délits en bande organisée. Toute personne simplement soupçonnée de ces préventions peut donc subir l’article 20 de la LPM, et même si les soupçons s’avèrent par la suite totalement ou partiellement infondés. La personne visée peut avoir toute nationalité et tout lieu de résidence.
2. Les données concernées sont toutes données. La fable des données de connexion qu’on nous a servie au milieu des années 2000, est désormais loin derrière nous. La LPM parle « d’informations ou documents » et ajoute « y compris les données techniques », ce qui atteste bien qu’on se trouve au-delà de données simplement techniques.
La nouvelle fable qui nous est servie est désormais celle des « métadonnées », c’est-à-dire les données à propos des données. En clair, les tenants de cette thèse prétendent que les services de l’Etat ne seraient aucunement intéressés par nos messages, contenus de nos courriels, mais que la journalisation de nos connexions et échanges leur suffiraient. Etre le dindon de la farce est déjà difficile à vivre, sans qu’on y ajoute une insulte à notre intelligence. La société de l’information a donné aux officines de surveillance bien plus de moyens que par le passé.
Le temps de l’écoute téléphonique ou de l’interception, où il suffisait de se brancher sur la « ligne », est dépassé.
Voici venu le temps de la captation ou du recueil de nos données.
Mais comme du temps des écoutes téléphoniques où nos conversations étaient bien enregistrées, on ne voit pas pourquoi, les services se priveraient de lire nos courriels.
Dans les deux textes d’application des dispositions légales déjà existantes imposant la traçabilité, la Loi n°2004-75 pour la Confiance dans l’Economie Numérique (LCEN) du 21 Juin 2004 et le code des postes et des communications électroniques, des informations comme les mots de passe des comptes de services Web ou les moyens de paiement utilisés dans des sites de commerce électronique, doivent être conservés par les intermédiaires. On est donc bien loin des données techniques et des métadonnées.
3. Les personnes concernées par la traçabilité imposée par la LPM, sont légions. Ce sont les opérateurs de communications électroniques (ex opérateur de télécom et FAI), acteurs historiques des écoutes téléphoniques. Mais depuis quelques années, beaucoup d’autres acteurs ont rejoint la catégorie. Ce sont « Les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit … » (article L 34-1 CPCE §2) c’est-à-dire les cybercafés, les accès publics en général, les magasins qui offrent un accès wi-fi à leurs chalands, les écoles à leurs étudiants, les employeurs à leur personnel etc. …
A côté des opérateurs, on parle de plus en plus de « fournisseurs de services de communications électroniques » comme dans l’ordonnance d’août 2011 qui a instauré la notification de faille de sécurité ou l’article L 121-83 du Code de la consommation, sans qu’on sache vraiment s’il s’agit d’un nouveau flottement terminologique ou de la volonté d’étendre la catégorie des opérateurs à des acteurs qui y sont assimilés.
Et puis, sont également concernées les personnes visées par la LCEN c’est-à-dire en plus, les hébergeurs au sens fonctionnel et non technique du terme, comme e-Bay ou LeBonCoin hébergeurs des annonces publiées jusqu’à tel blogueur pour les commentaires publiés sur son blog.
Au final, il s’agit bien d’une masse d’acteurs divers qui vont se trouver contraints de surveiller et conserver les « informations ou documents » pour répondre à la LPM.
4. Enfin, les garanties données ? C’est la peau de chagrin de la LPM. Une personne qualifiée placée auprès du 1er Ministre sera chargée de recevoir les demandes écrites des « services » et les autorisera dans un ballet à deux avec le Président de la Commission nationale de contrôle des interceptions de sécurité. On peut se demander quels contrôles pourront réellement exercer ces deux institutions face à un agent qu’elles devront croire sur parole quant aux soupçons justifiant la demande de mesure ? Comment cette personne et cette Commission inconnue du grand public et à la volonté incertaine, vont-ils opérer leur contrôles sous la pression des Ministères ?
On peut aussi se demander qui va contrôler tous les surveillants privés institués par la LPM comme « supplétifs » des services de l’Etat, de Google à eBay, LeBonCoin en passant par les hébergeurs de type Amazon ou OVH, les blogueurs ? Comment s’assurer qu’ils ne dérapent pas en s’en servant ou diffusant à titre commercial les informations collectées ou en les laissant s’échapper ?
N’ayant pas réussi à réunir le nombre de parlementaires requis, la LPM n’a pas été soumise au contrôle du Conseil Constitutionnel, et c’est bien dommage.
Il reste maintenant les Décrets d’application en Conseil d’Etat qui vont être pris après avis, notamment, de la CNIL.
Aura-t-elle assez de force pour imposer des garde-fous pour limiter le nombre de services pouvant s’appuyer sur la LPM ou une durée de conservation adéquate des informations ou documents transmis à ces services ?
Va-t-elle organiser un contrôle strict pour éviter les dérapages des « supplétifs » de l’Etat, enjoints de conserver ces informations ou documents dans des conditions qui ne sont pas aujourd’hui précisées ?
La LPM a été votée en un temps très court et dans un silence assourdissant.
Très peu d’opposants se sont signalés.
Or, c’est d’une discussion serrée, qu’aurait pu sans doute surgir un texte plus fort sur ses objectifs car donnant des garanties au citoyen.
Il est vrai que le texte est difficile d’approche car très technique sur un plan juridique et (volontairement ?) confus.
C’est un texte aussi paralysant car il annonce pour objectif, la lutte légitime contre le terrorisme international auquel chacun souscrit.
Mais en réalité, ce texte va bien au-delà de la simple lutte contre le terrorisme international.
Il façonne aussi la société de demain en instaurant une surveillance généralisée et incontrôlée dans toutes les strates de la société de l’information vers laquelle toute la société du monde physique bascule.
C’est pourquoi, à la date d’aujourd’hui et en l’état, l’arrière-grand-père et l’arrière-petit-fils ont de quoi dire non à la LPM.