Interceptions obligatoires légales

Les interceptions obligatoires légales (ou IOL) sont, dans le domaine du renseignement ou de l'enquête judiciaire, un dispositif français de surveillance automatisé (« d'écoute ») du réseau téléphonique commuté, du réseau de téléphonie mobile et du réseau Internet en France.

Longtemps resté secret (et a-légal, para-légal ou illégal), et encore peu connu du public, il est basé sur l'utilisation de « sondes » (aussi dites « boîtes noires »), initialement installées sur le réseau ADSL, permettant de collecter « en temps réel » des métadonnées (activité initialement non-autorisée)^[1]^,^[2].

Il est pratiqué par le Groupement interministériel de contrôle (GIC) (s'agissant des activités de renseignement) et l'Agence nationale des techniques d'enquêtes numériques judiciaires (ANTENJ) (s'agissant des enquêtes judiciaires^[3]).

En 1991, en France, l'article L. 811-5 du code de la sécurité intérieure (devenu depuis 2015 l'article L. 871-2), cadre les interceptions de sécurité et autorise la surveillance hertzienne par les services de renseignement (avant d'être jugée inconstitutionnelle par le Conseil constitutionnel car n’étant soumise à « aucune condition de fond ni de procédure » et sa « mise en œuvre » n’étant encadrée « d’aucune garantie »), cette plateforme informatique d'interception a pu permettre une surveillance généralisée de tout le réseau Internet français dès 2009, d'après un rapport publié en 2013^[4], rédigé par la mission parlementaire chargée de l'« Évaluation du cadre juridique applicable aux services de renseignement », indiquant que les services faisaient environ 30 000 requêtes par an en vertu de la loi de 2006 (c'est-à-dire dans le cadre des lois antiterroristes), contre près de 200 000 requêtes sur la base de l'article L. 811-5 détournée, couvrant, lui tout le champ, bien plus large, des interventions de renseignement – cadré par des notions aux contours mal définis, tels que celles de « la sécurité nationale » et de « sauvegarde des éléments essentiels du potentiel scientifique et économique de la France ».

À partir du 6 juin 2013, le lanceur d'alerte Edward Snowden attire l'attention du monde sur des pratiques similaires mises en place à plus grande échelle par le Gouvernement fédéral des États-Unis pour surveiller les communications d'individus de la planète entière, via notamment la captation par la National Security Agency (NSA), des métadonnées des appels téléphoniques aux États-Unis, et les écoutes de conversation téléphoniques et internet via les programmes PRISM, XKeyscore, Boundless Informant et Bullrun, ainsi que sur les pratiques du gouvernement britannique via les programmes de surveillance Tempora, Muscular et Optic Nerve.

En France, longtemps, la loi ne définit pas ce qu'est la « communauté nationale du renseignement » ; ainsi, la loi de finances pour 2002 fait mention des « services destinataires » (fonds spéciaux), mais sans les mentionner explicitement. Il faut attendre 2011 (article 27 de la LOPPSI) (4) pour que l’article L. 2371-1 du code de la Défense pose une définition : « Les services spécialisés de renseignement [...] sont désignés par arrêté du Premier ministre parmi les services mentionnés à l’article 6 nonies de l’ordonnance n^o 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires ». Le 9 mai 2011, un arrêté du Premier ministre dresse enfin une liste des administrations concernées par le recours à une fausse identité et, indirectement, par la délégation parlementaire au renseignement (DPR) : la DGSE, la DPSD (aujourd'hui DRSD), la DRM, la DCRI (aujourd'hui DGSI), la DNRED et Tracfin.
En 2013, la surveillance par les « Interceptions obligatoires légales » est officiellement reconnue (par la LPM, Loi de programmation militaire) puis reconduite par la loi relative au renseignement (examinée au Parlement à partir du 19 mars 2015 puis promulguée le 24 juillet 2015)^[5], alors que dans divers pays, le droit du renseignement évoluait aussi, pour notamment s'adapter à la croissance mondialisée de l'Internet^[6].

En 2016, après une enquête journalistique, une activité de surveillance généralisée, précoce, avant qu'elle ne soit autorisée par la loi, a été dénoncée et portée à la connaissance du public par Mediapart le 6 juin 2016, via un article de Jérôme Hourdeaux, intitulé « La surveillance du Net a été généralisée dès 2009 »^[2]. Cet article montre qu'elle était en réalité utilisée dès 2009. En 2016 également, le Journal officiel a publié un décret d'application de la loi renseignement relatif au système de surveillance français, dressant la liste des données techniques de connexion légalement accessibles aux services de surveillance^[7]. C'est le Premier ministre qui définissait la liste des appareils de surveillance pouvant être importés, distribués, commercialisés, détenus, etc. en France ; les « dispositifs techniques » (software) incluant désormais les appareils (hardware). Les services du renseignement n'ont plus besoin d'une autorisation du Premier ministre pour la fabrique d'appareils ou de dispositifs techniques depuis qu'un décret leur accorde « de plein droit » cette autorisation. Il existait depuis les années 1960 le Groupement interministériel de contrôle (GIC, dont le nouveau président, à compter du 1^er février 2016, Pascal Chauve, ingénieur en chef de l'armement, a été nommé par le Premier ministre Manuel Valls, en remplacement du contre-amiral Bruno Durteste). Cet organisme n'a été officialisé qu'en 2002. Placé auprès du Premier ministre, il enregistre toutes les autorisations de surveillance prononcées par ce dernier, puis recueille et conserve toutes les métadonnées récupérées auprès des intermédiaires techniques, hébergeurs, FAI et opérateurs télécoms. Il centralise aussi l'exécution des interceptions de sécurité (« écoutes ») et leurs retranscriptions. Enfin, il va « contribuer » à la centralisation et à la traçabilité de ces différentes opérations. Bref, un rôle fondamental dans la mise en œuvre de la loi relative au renseignement.

Une question prioritaire de constitutionnalité (QPC) posée par La Quadrature du Net, la French Data Network (FDN) et la Fédération FDN (FFDN), a porté sur plusieurs dispositions issues de la loi de programmation militaire (LPM) du 18 décembre 2013 autorisant l'« accès administratif » aux « données de connexion » (dispositions qui seront entre-temps modifiées par la loi renseignement du 24 juillet 2015, dont le Conseil constitutionnel a reconnu la constitutionnalité). Pour répondre à cette QPC et définir ce que la loi entendait par la notion de « données de connexion », le Conseil constitutionnel a rendu plusieurs décisions (French Data Network et d'autres) le 24 juillet 2015 (juste le lendemain de la « décision du 23 juillet portant sur la loi renseignement » faisant suite à la contestation par certains députés de la conformité de certains articles de la loi à la Constitution, et en particulier au droit au respect de la vie privée et à la liberté d'expression)^[8].
Les articles L 246-1 à L 246-5 du code de la sécurité intérieure (CSI) en vigueur jusqu'à l'intervention des décrets d'application de la loi renseignement (art. 26 de la loi du 24 juillet 2015) autorisaient trois ministères (de la Défense, de l'Intérieur et de l'Économie et des Finances) à accéder aux « informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques ». Le champ d'application est plus large que celui la loi du 24 juillet 2015, limitée aux services de renseignement français, et il a le même objectif : autoriser, à certaines conditions, un accès administratif aux données de connexion (« informations ou documents » pouvant être aspirés par les services via les intermédiaires que sont les infrastructures, serveurs, fournisseurs d'accès, etc.).

Le 10 juillet 2015, Mediapart, se basant sur des documents émanant d'une violation de données au sein de l'entreprise italienne Hacking Team (fabricant virus et logiciels de surveillance), affirme que dès 2013 la France cherchait à se fournir en logiciels-espions^[9]. Les services de renseignement semblaient notamment vouloir acheter Galileo, un outil permettant via un virus informatique de prendre le contrôle d'ordinateurs distants. Des négociations avec des sociétés étrangères se sont notamment faites via une entité déclarée comme une association loi de 1901, CNET Sagic Service Administratif, dont le code « APE » déclaré à l'INSEE était celui d'« autres services de restauration » (désignant habituellement les « Exploitations en concession de cantines, restaurants d'entreprises, de cafétérias »), déclarée avoir été créée le 1^er janvier 1900, et fonctionnant sans salarié ni effectif, et officiellement fermée le 1^er février 2011 après avoir été basée à la même adresse que celle du GIC et du secrétariat général de la Défense et de la Sécurité nationale (SGDSN)^[10].

Analyse critique

En 2016 (14 novembre), Francis Delon (président de la Commission nationale de contrôle des techniques de renseignement (CNCTR) annonce lors d'un colloque à Grenoble que les boîtes noires pouvant sonder en temps réel les communications Internet de millions de résidents français sont désormais légalisées (après l'adoption de la loi renseignement de 2015) ; selon lui le « contenu » des communications n'est pas concerné, et le secret des correspondances est donc protégé, mais ce n'est pas l'avis des journalistes enquêteurs, de militants, de juristes, d'universitaires et d'observateurs comme Félix Tréguer (de l'ONG La Quadrature du Net) : ce dernier explique que ces boîtes noires, qui doivent algorithmiquement repérer des communications « suspectes » échangés via l'Internet (y compris via la téléphonie), sont une première étape dans l'évolution du droit français qui cherche depuis 2013 à légaliser l'usage des techniques de « deep packet inspection » (« point d'articulation entre différentes logiques du renseignement technique contemporain », utilisée avant même d'être juridiquement cadrée^[5]. Selon lui, plusieurs ambiguïtés légistiques « faisaient obstacle à la compréhension de l'articulation droit/technique, faute de transparence sur la nature des outils techniques utilisés par les services et leurs usages. Or, compte tenu des informations révélées par Reflets.info et Mediapart l'an dernier sur des sondes DPI installées dès 2009 chez les grands fournisseurs d'accès français, on peut raisonnablement penser que les « boîtes noires » sont en réalité déjà expérimentées depuis longtemps »^[5]. Même si le trafic Internet chiffré a augmenté, cette « écoute » du trafic Internet permet aux services qui l'utilisent de repérer des cibles, mais aussi potentiellement de dresser des graphes sociaux détaillés de tous les internautes (qui communique avec qui, quand, à l'aide de quel service en ligne, etc.), via l'analyse des métadonnées et d'une partie du contenu des communications : « au lieu de considérer les identifiants associés aux services en ligne comme le contenu des communications acheminées par les FAI [ce qu'ils sont sur le plan technique], ces identifiants contenus dans les paquets conservent le statut juridique de métadonnées, et peuvent ainsi être collectés à l'aide d'outils DPI »^[5]. Selon Félix Tréguer, cet outil de captation des identifiants contenus dans les communications Internet permet aux services de massifier la surveillance, en contournant les quotas prévus en matière d'interceptions de sécurité (plafond de 2 000 interceptions simultanées)^[5].

En 2018, Jean-Pierre Dubois, professeur de droit public et président d’honneur de la Ligue des droits de l'homme, publie un article intitulé « La coercition dans tous ses état » dans l'ouvrage Qui gouverne le monde^[11], dans lequel il remarque que « les formes, voire la nature (« asymétrique »), des conflits et des violences ont changé, des sociétés se décomposent : dans les outils de coercition dits « forces de sécurité », les distinctions classiques (armée et police, public et privé) se brouillent singulièrement. Face aux tensions sociales, aux crispations identitaires et aux fragmentations territoriales, l'exercice de la « contrainte physique légitime » se durcit : états d'exception de plus en plus durables, renforcement des pouvoirs policiers au détriment des pouvoirs juridictionnels, alourdissement pénal et pénitentiaire du « sécuritaire »… ». Il relève que les services de renseignement français ont mis en place dès 2009 un dispositif automatisé d'« Interceptions obligatoires légales », de surveillance du Net collectant les « métadonnées », alors que l'analyse des métadonnées « en temps réel » n'était pas encore autorisée.

Interceptions obligatoires légales

Analyse critique

Notes et références

Voir aussi

Articles connexes

Bibliographie

Related Articles