Vous allez dire que j’exagère avec ce titre « Le Patriot Act à la française ». Et pourtant.. Cette LPM du 18 décembre 2013 recélait bien des trésors, en plus du régime nouveau sur les Opérateurs d’Importance Vitale.

---

[mise à jour du 25 juillet 2015 ] La LPM et le décret du 24 décembre 2014 ici commentés ont été abrogés par la loi du 24 juillet 2015 relative au renseignement. Mais, rétrospectivement, vous pouvez relire, c’est édifiant… oui, c’est un mouvement constant depuis 2013 vers plus de sécurité…

---

Patriot Act à la française : prélude (méconnu) de la loi Renseignement

George Orwell en avait rêvé en 1956 dans son célèbre roman « 1984 » ? Voila, c’est fait pour la France !

Depuis le 1er janvier 2015, et avant même les évènements terroristes de Paris de ce début d’année 2015, en application de la Loi de Programmation Militaire (également désignée par l’acronyme délicat de « LPM ») du 18 décembre 2013 et grâce au décret n°2014-1576 du 24 décembre 2014 « relatif à l’accès administratif aux données de connexion », les militaires, les policiers, les gendarmes et certains agents de Bercy peuvent demander aux « opérateurs de communications électroniques » un accès aux « informations et documents » vous concernant pour faire du « renseignement ». Sans que vous le sachiez.

Il est permis de se demander pourquoi nos politiques ont évoqué tout au long du mois de janvier 2015 le besoin d’un nouveau « Patriot Act » à la française, alors que la loi complétée par le décret du 24 décembre 2014 forment une législation déjà très complète qui envisage expressément la « prévention du terrorisme » (article L.241-2 CSI). L’affaire n’est sans doute qu’une question de terminologie et de communication politique…

Reprenons les textes, notamment du Code de la sécurité intérieure (ou « CSI« ), dans l’ordre (si j’ose dire vu la matière).

Patriot Act à la française : 1 – La cascade des textes législatifs

Patriot Act à la française : 1.1 – « à titre exceptionnel », des « interceptions de correspondances » pour « rechercher des renseignements »

article L.241-2 du Code de la sécurité intérieure

Peuvent être autorisées, à titre exceptionnel, dans les conditions prévues par l’article L.242-1, les interceptions de correspondances émises par la voie des communications électroniques ayant pour objet de rechercher des renseignements intéressant la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous en application de l’article L. 212-1.

Soyons positifs : l’accès aux données (on parle ici d’interception de correspondance) ne devait être autorisé qu’à « titre exceptionnel« . Cette notion est à rapprocher du discours du Premier ministre en janvier 2015 qui envisageait alors la mise en place d’un « régime exceptionnel » qui ne saurait être un « régime d’exception« .

Les demandes de renseignements à transmettre par les « opérateurs de communications électroniques » ne devraient donc concerner que :

– la sécurité nationale,

– la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France,

– ou la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous.

Celles et ceux qui criaient tout au long du mois de janvier 2015 à l’adoption nécessaire et urgente d’un « Patriot Act » à la française devraient être rassurés : cette recherche de renseignements peut être justifiée pour des motifs de « sécurité nationale » et de « prévention du terrorisme« .

Rien que du classique, me direz vous, même après les actes terroristes contre Charlie Hebdo et le supermarché casher de la Porte de Vincennes à Paris.

Sauf « la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France » qui ne peut manquer de faire tiquer, tant la notion est vague. Surtout lorsque cela concerne, nous dit la LPM transposée dans le Code la sécurité intérieure, les « informations ou documents traités ou conservés » via un réseau de communication électronique. Ce qui devrait inclure les documents stockés sur des réseaux de type « cloud« … Oui, cela fait moins rire que l’histoire du piratage des photos dénudées de stars aux Etats-Unis il y a quelques semaines.

Patriot Act à la française : 1.2 – … sur les « informations ou documents traités ou conservés sur des réseaux ou services de communications électroniques« …

article L.246-1 du Code de la sécurité intérieure

Pour les finalités énumérées à l’article L.241-2, peut être autorisé le recueil, auprès des opérateurs de communications électroniques et des personnes mentionnées à l’article L.34-1 du code des postes et des communications électroniques ainsi que des personnes mentionnées aux 1 et 2 du I de l’article 6 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, des informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques, y compris les données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communications électroniques, au recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée, à la localisation des équipements terminaux utilisés ainsi qu’aux communications d’un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications.

Patriot Act à la française : 1.3 – … que doivent transmettre les « prestataires de fourniture au public de services de communications électroniques« 

article L.34-1 Code des postes et des télécommunications électroniques

I – Le présent article s’applique au traitement des données à caractère personnel dans le cadre de la fourniture au public de services de communications électroniques ; il s’applique notamment aux réseaux qui prennent en charge les dispositifs de collecte de données et d’identification.

II – Les opérateurs de communications électroniques, et notamment les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne, effacent ou rendent anonyme toute donnée relative au trafic, sous réserve des dispositions des III, IV, V et VI.

Ces prestataires sont les opérateurs télécom et les Fournisseurs d’Accès à Internet (FAI).

Alors, que dit le décret n°2014-1576 du 24 décembre 2014 qui modifie le Code de la sécurité intérieure ?

Patriot Act à la française : 2 – Et les décrets : les « informations et documents » auxquels les « autorités » ont accès

Patriot Act à la française : 2.1 – Quelles « autorités » ?

Bénéficient du droit à cette « recherche de renseignements… à titre exceptionnel » les « services relevant des ministres chargés de la sécurité intérieure, de la défense, de l’économie et du budget » (article R.246-2 CSI) :

– pour le ministère de l’intérieur, la direction générale de la sécurité intérieure (DGSI) et la direction générale de la police nationale (DGPN) et notamment pour cette dernière, l’unité de coordination de la lutte antiterroriste, la direction centrale de la police judiciaire, le service central du renseignement territorial et les services départementaux du renseignement territorial et les sûretés départementales… , l’office central pour la répression de l’immigration irrégulière et de l’emploi d’étrangers sans titre… ;

– plusieurs services de la direction générale de la gendarmerie nationale, dont les brigades de recherche et le « service technique de recherches judiciaires et de documentation » ;

– plusieurs services de la Préfecture de police de Paris ;

– pour le ministère de la défense : la  direction générale de la sécurité extérieure (DGSE), la direction de la protection et de la sécurité de la défense (DPSD) et la direction du renseignement militaire (DRM) (en clair, tous les services militaires d’espionnage) ;

– Plus étonnant, pour le ministère des finances : la « direction nationale du renseignement et des enquêtes douanières » (ou DNRED, bien connue de mes Confrères qui traitent de dossiers d’enquêtes douanières) et le service du « traitement du renseignement et action contre les circuits financiers clandestins » (ou TRACFIN).

Cela commence à faire du monde… En fait, il serait plus rapide de se demander quel service de renseignements de l’Etat aurait été oublié ?

Patriot Act à la française : 2.2 – Une collecte de données selon une procédure judiciaire ?

Non, justement, et c’est en cela que cette cascade de textes fait froid dans le dos. Le titre du décret est sans ambiguité : « accès administratif« , ce qui signifie procédure sans doute secrète, en tout cas non contradictoire.

L’ensemble du dispositif de collecte de données par les services de l’Etat rejoint le régime des interceptions administratives, c’est-à-dire sans autorisation judiciaire ! Il suffit donc à une des « autorités » de l’article R.246-2 CSI de se prévaloir d’un des motifs visés à l’article L.241-2 CSI pour demander à un « prestataires de fourniture au public de services de communications électroniques » communication de l’ensemble des « données et documents » qu’il a l’obligation de conserver.

S’agissant d’une procédure administrative, la « personne concernée » (pour reprendre une terminologie juridique chère à la Commission Nationale de l’Informatique et des libertés) n’est pas informée de la recherche la concernant. Ni l’autorité judiciaire. Aucun contrôle ne s’exerce donc sur ces demandes de transmission d’informations, ni sur leur utilisation. On touche ici au « secret d’Etat » dans son acception la plus entière.

Patriot Act à la française : 2.3 – Quels « informations et documents » ?

Avec poésie, l’article R. 246-1 CSI évoque, de manière exclusive (« à l’exclusion de tout autre« ), les « informations et documents« :

… énumérés aux articles R. 10-13 et R. 10-14 du code des postes et des communications électroniques et à l’article 1er du décret n° 2011-219 du 25 février 2011…

Ne cherchez plus, voici cette liste (en français administratif dans le texte) :

Article R. 10-13 code des postes et des communications électroniques

I.-En application du III de l’article L. 34-1 les opérateurs de communications électroniques conservent … :

a) Les informations permettant d’identifier l’utilisateur ;

b) Les données relatives aux équipements terminaux de communication utilisés ;

c) Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;

d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;

e) Les données permettant d’identifier le ou les destinataires de la communication.

II.-Pour les activités de téléphonie l’opérateur conserve les données mentionnées au II et, en outre, celles permettant d’identifier l’origine et la localisation de la communication.

III.-La durée de conservation des données mentionnées au présent article est d’un an à compter du jour de l’enregistrement...

article R. 10-14 code des postes et des communications électroniques

I – En application du IV de l’article L. 34-1 les opérateurs de communications électroniques sont autorisés à conserver pour les besoins de leurs opérations de facturation et de paiement les données à caractère technique permettant d’identifier l’utilisateur ainsi que celles mentionnées aux b, c et d du I de l’article R. 10-13.

II – Pour les activités de téléphonie, les opérateurs peuvent conserver, outre les données mentionnées au I, les données à caractère technique relatives à la localisation de la communication, à l’identification du ou des destinataires de la communication et les données permettant d’établir la facturation.

III – Les données mentionnées aux I et II du présent article ne peuvent être conservées que si elles sont nécessaires à la facturation et au paiement des services rendus. Leur conservation devra se limiter au temps strictement nécessaire à cette finalité sans excéder un an.

IV – Pour la sécurité des réseaux et des installations, les opérateurs peuvent conserver pour une durée n’excédant pas trois mois :

a) Les données permettant d’identifier l’origine de la communication ;

b) Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;

c) Les données à caractère technique permettant d’identifier le ou les destinataires de la communication ;

d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs.

Reste à voir le décret n° 2011-219 du 25 février 2011 (article 1er) (modifié par le décret n°2012-436 du 30 mars 2012 « portant transposition du nouveau cadre réglementaire européen des communications électroniques« ).

Accrochez vous, la liste des « informations et documents » est longue :

Les données mentionnées au II de l’article 6 de la loi du 21 juin 2004 susvisée … sont les suivantes :

1° Pour … chaque connexion de leurs abonnés:
a) L’identifiant de la connexion ;
b) L’identifiant attribué par ces personnes à l’abonné ;
c) L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès ;
d) Les dates et heure de début et de fin de la connexion ;
e) Les caractéristiques de la ligne de l’abonné ;

2° Pour … chaque opération de création :
a) L’identifiant de la connexion à l’origine de la communication ;
b) L’identifiant attribué par le système d’information au contenu, objet de l’opération ;
c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ;
d) La nature de l’opération ;
e) Les date et heure de l’opération ;
f) L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni ;

3° …les informations fournies lors … de la création d’un compte :
a) Au moment de la création du compte, l’identifiant de cette connexion ;
b) Les nom et prénom ou la raison sociale ;
c) Les adresses postales associées ;
d) Les pseudonymes utilisés ;
e) Les adresses de courrier électronique ou de compte associées ;
f) Les numéros de téléphone ;
g) Les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour ;

4° … lorsque la souscription …du compte est payante, les informations suivantes … pour chaque opération de paiement :
a) Le type de paiement utilisé ;
b) La référence du paiement ;
c) Le montant ;
d) La date et l’heure de la transaction...

Patriot Act à la française : 2.3 – La durée de conservation par l’Etat des données transmises par les opérateurs

Trois ans ! (article R. 246-6 CSI).

Patriot Act à la française : 3 – En synthèse ?

La LPM et le décret n°2014-1576 du 24 décembre 2014 « relatif à l’accès administratif aux données de connexion«  organisent un nouveau régime d’écoute administrative des communications électroniques notamment qui ne devrait pas manquer de servir aux force de police et de gendarmerie. Si cette législation a pu faire grincer des dents, nombreux seront ceux qui viennent aujourd’hui d’en trouver la justification.

Oui, pour des raisons « impérieuses », la République française dispose aujourd’hui du droit d’accéder à toute information et tout document transitant ou stockés sur un réseau de communication électronique.

Finissons avec une pensée – sans arrière pensée – pour les victimes des actes de terreurs de janvier 2015.

---