Définitivement adoptée le 15 avril dernier par l’Assemblée nationale, la loi relative à la sécurité globale avait fait couler beaucoup d’encre, notamment pour son article controversé sur l’utilisation des drones. Pourtant, ce texte n’est que la dernière brique d’une machinerie législative qui vise à renforcer de plus en plus la surveillance des citoyens. Et un prochain ajout est déjà dans les tuyaux, avec un nouveau projet de loi antiterroriste.
Ce dispositif de surveillance devient de plus en plus inquiétant, alors qu’il reste assez méconnu dans son ensemble. Nous vous proposons un point sur les différentes dispositions légales qui existaient déjà pour récolter un maximum de données sur nous.
Conservation généralisée des données de connexion
Ce dispositif est un peu le doyen des outils de la cybersurveillance. Il apparaît pour la première fois dans la loi du 1er août 2000, avant d’être renforcé, précisé et élargi successivement en 2001 (la loi relative à la sécurité quotidienne), en 2004 (loi pour la confiance dans l’économie numérique) et en 2006 (loi relative à la lutte contre le terrorisme, décret du 23 avril).
Il contraint les opérateurs télécoms, les fournisseurs d’accès à Internet et les hébergeurs de contenus à conserver les données de connexion pendant un an : qui communique avec qui, depuis quel réseau, à quel moment, pendant combien de temps, etc. Pas besoin d’un juge pour consulter ces données, une requête administrative est suffisante.
Ce principe de conservation généralisée, qui était également inscrit dans la directive européenne 2006/24/CE, a été invalidé en 2014 et en 2016 par la Cour de justice de l’Union européenne. Elle a estimé qu’il portait atteinte de façon disproportionnée à la protection de la vie privée. Un arrêt d’octobre 2020 l’a confirmé pour la France. On pensait que les autorités françaises ne pouvaient plus continuer à faire la sourde oreille. Et pourtant, cette conservation des données a été confirmée par le Conseil d’Etat le 21 avril dernier, dans des limites qui sont assez faciles à contourner. Bref, rien ne change et le droit européen est une nouvelle fois bafoué, estime La Quadrature du Net, dépitée.
Comment échapper à cette collecte ? C’est difficile, surtout sur les réseaux mobiles. Il est néanmoins possible d’atténuer cette surveillance en utilisant des logiciels tels que Tor Browser ou les VPN.
La loi renseignement
En 2015, le panoptique français se dote d’un nouvel et magnifique étage avec la loi relative au renseignement, qui renforce les pouvoirs des espions français.
Cette loi était aussi l’occasion de légaliser des pratiques qui étaient déjà largement utilisées. Elle permet de collecter et traiter en temps réel les données de connexion — de manière ciblée ou non — par le biais de « boîtes noires » et autres algorithmes directement implémentés chez les opérateurs, les fournisseurs d’accès et les hébergeurs.
Ce dispositif était expérimental au départ, mais un tout nouveau projet de loi antiterroriste devrait non seulement les pérenniser, mais aussi le renforcer. En effet, le gouvernement souhaite aller au-delà des données de connexion pour collecter également les URL, des informations qui sont pourtant chiffrées grâce au protocole HTTPS. Comment le ministère de l’Intérieur va-t-il s’y prendre? C’est un mystère.
Une autre mesure phare est l’utilisation des « IMSI Catcher », ces appareils qui simulent de fausses stations de base pour pouvoir intercepter localement les communications mobiles.
Ils peuvent localiser des utilisateurs, mais aussi réaliser des écoutes, par exemple en forçant le terminal mobile à se connecter en 2G. Les fonctionnaires du renseignement ne sont pas les seuls à pouvoir utiliser ces bijoux technologiques. Depuis 2016, la police judiciaire y a également accès, sur décision d’un juge.
Au départ, l’IMSI Catcher devait surtout servir à traquer les terroristes et la criminalité organisée. Désormais, cet appareil sert aussi à surveiller des manifestations ou à fliquer des militants politiques. C’est un secret de polichinelle que même les policiers n’ont plus peur de révéler.
« Ça chope tout », souligne Noam Anouar, agent de renseignements, dans une interview de Thinkerview. Il existe des applications mobiles qui détectent la présence d’IMSI Catcher, comme SnoopSnitch. Mais cela ne fonctionne pas à tous les coups.
Les fichiers TAJ et TES
Deux dispositifs ont été créés ces dernières années pour ficher les personnes tout en incluant des données biométriques : le fichier TAJ (Traitement des antécédents judiciaires) et le fichier TES (Titres électroniques sécurisés).
Le premier a été créé en 2012 et résulte de la fusion de deux bases de données judiciaires existantes, STIC et JUDEX. Son but est de rassembler des informations sur les personnes présumées avoir participé à la commission d’une infraction, comme auteur ou complice.
Cette appréciation est visiblement assez large, car en 2018, plus de 18 millions de Français y figuraient. Il contient également entre 7 et 8 millions de photos de face. Alimenté par les policiers et les gendarmes, ce fichier est régulièrement épinglé pour son manque de mise à jour. Certaines personnes y figurent pendant des années, alors qu’elles ont été mises hors de cause.
Créé en 2016, le TES regroupe les données biométriques sous forme brute (empreintes digitales, photographies) de toutes les personnes qui détiennent une carte d’identité ou un passeport.
L’existence d’une telle base de données, énorme et centralisée, a de quoi inquiéter, quand on sait que les pirates étatiques — qu’ils soient russes, chinois ou autres — rentrent comme dans du beurre dans la plupart des systèmes informatiques des services publics.
Son utilité pose également question. Pour lutter contre la falsification des titres d’identité, on aurait très bien pu choisir un stockage décentralisé, au niveau d’une puce sécurisée intégrée dans le document d’identité, comme l’a d’ailleurs suggéré la Cnil et comme l’a fait l’Allemagne.
La vraie raison se situe donc ailleurs, et probablement dans la reconnaissance faciale et le traitement algorithmique, premier pas vers une surveillance généralisée de la population. Aujourd’hui, des garde-fous limitent ce genre d’usage, mais pour combien de temps ?
Les Big Brother locaux
Au-delà des grands dispositifs nationaux, il existe aussi une multitude de projets de surveillance à l’échelon des collectivités (ville, département, région). Généralement, ils font intervenir la vidéosurveillance, avec parfois un zeste de reconnaissance faciale : caméras intelligentes dans les Yvelines, portiques de reconnaissance faciale dans des lycées de la région PACA, système de police prédictive à Lille, capteurs sonores dans les transports publics de Rouen, caméras thermiques à Val-de-Reuil, etc.
Sans compter les nombreux lâchers de drones pendant les manifestations et le confinement. Tout semble possible, et c’est bien ça le problème. La Quadrature du Net a décidé de répertorier tous ces projets locaux sous la forme d’une « Technocarte » interactive fort instructive. Un moyen de voir concrètement, sur un espace bien connu, comment nos libertés sont peu à peu rongées… et peut-être de prendre conscience du danger de la surveillance d’Etat.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
