3 lois pour surveiller Internet
Nous reprenons ici une publication de la ligue Odébi, rappelant les étapes successives d’accroissement de la surveillance sur Internet depuis 2001. Par rapport à la version originale, le texte a été un peu allégé et quelques passages reformulés, puis complété avec l’actualité, mais le fond reste le même.
LSQ, LPSI, LCT : Petite histoire de l’instauration en 3 temps de la surveillance de l’Internet français.
2001 : LSQ
6 Octobre 2001
Le gouvernement français dépose des amendements au projet de loi pour la sécurité quotidienne (LSQ) [1] [2], destinés à insérer dans cette loi des "dispositions renforçant la lutte contre le terrorisme" [3] :
« Afin de renforcer l’efficacité des services d’enquêtes et combattre plus efficacement les menées du terrorisme, le Gouvernement dépose sous ce nouveau chapitre de la loi sur la sécurité quotidienne plusieurs amendements destinés à assurer la plus grande sécurité des Français dans une période où le risque est accru et actuel. »
L’amendement n°2 [4] (qui donnera naissance à l’article 22 de la LSQ) indique clairement que ces dispositions sont exceptionnelles et temporaires :
« Afin de disposer des moyens impérieusement nécessaires à la lutte contre le terrorisme alimenté notamment par le trafic de stupéfiants et les trafics d’armes et qui peut s’appuyer sur l’utilisation des nouvelles technologies de l’information et de la communication, les dispositions du présent chapitre sont adoptées pour une durée allant jusqu’au 31 décembre 2003.
Le Parlement sera saisi par le Gouvernement, avant cette date, d’un rapport d’évaluation sur l’application de l’ensemble de ces mesures. »
L’amendement n°9 [5], qui donnera naissance au fameux article 29 de la LSQ, impacte directement la vie privée des internautes en permettant aux FAI de ne pas effacer les données de connexions (logs) de leurs abonnés, et de conserver ces logs pendant au plus un an :
« I.- Les opérateurs de télécommunications [...] sont tenus d’effacer ou de rendre anonyme toute donnée relative à une communication dès que celle-ci est achevée [...].
II. - Pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l’autorité judiciaire d’informations, il peut être différé pour une durée maximale d’un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques. Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, détermine [...] ces catégories de données et la durée de leur conservation [...]. »
En résumé : à la suite des attentats du 11 septembre, le gouvernement français fait adopter des dispositions destinées à la lutte anti-terroriste, devant prendre fin le 31 décembre 2003, et donnant accès à l’autorité judiciaire aux logs de connexions conservés par les FAI.
15 Novembre 2001
Promulgation de la LSQ [6]. Le rapport d’évaluation prévu à l’article 22, et le décret d’application prévu à l’article 29 n’ont jamais vu le jour.
2003 : LPSI
23 Octobre 2002
Le ministre de l’intérieur [7] dépose [8] le projet de loi pour la sécurité intérieure (LPSI) [9] [10] au Sénat. L’urgence est déclarée. Le texte comporte un article 17 devant prolonger pour deux années supplémentaires la durée de vie de l’article 29 de la LSQ, (prévue à l’article 22 de la même loi), à des fins de lutte anti-terroriste :
« Le chapitre V du projet de loi rassemble des dispositions visant à lutter plus efficacement contre le terrorisme.
A cet effet, l’article 17 prolonge jusqu’au 31 décembre 2005 la période de validité de certaines des dispositions du chapitre V de la loi du 15 novembre 2001 relative à la sécurité quotidienne qui ont été adoptées jusqu’au 31 décembre 2003.
Ces dispositions concernent :
– [...] la conservation par les opérateurs de télécommunication des données relatives aux communications (article 29) et la mise au clair des données chiffrées nécessaires à la manifestation de la vérité (article 30 et 31)[...]. »
19 Novembre 2002
Le Sénat confirme cette prolongation pour deux ans de l’article 29 de la LSQ en votant [11] un article 17 ainsi rédigé :
« L’article 22 de la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne est ainsi modifié :
1° Au premier alinéa, les mots : "les dispositions du présent chapitre, à l’exception de l’article 32, sont adoptées pour une durée allant jusqu’au 31 décembre 2003" sont remplacés par les mots : "les dispositions du présent chapitre, à l’exception des articles 32 et 33, sont adoptées pour une durée allant jusqu’au 31 décembre 2005" ;
2° (nouveau) Le deuxième alinéa est ainsi rédigé : "Le Parlement sera saisi par le Gouvernement, avant le 31 décembre 2003 et avant le 31 décembre 2005, d’un rapport d’évaluation sur l’application de l’ensemble de ces mesures." »
26 décembre 2002
Publication du rapport Estrosi [12] :
« [...] en matière de lutte contre le terrorisme, l’article 17 prolonge, du 31 décembre 2003 au 31 décembre 2005, la validité de certains articles adoptés à titre provisoire dans le cadre de la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne. Les dispositions visées concernent [...] la conservation, par les opérateurs, des données relatives aux communications et la mise au clair des données chiffrées nécessaires à la manifestation de la vérité. Les autres dispositions prévues par la loi du 15 novembre 2001 pour lutter contre le terrorisme sont pérennisées. »
Le député Estrosi, rapporteur, fait adopter un amendement transformant les dispositions temporaires en dispositions permanentes : « La Commission a adopté un amendement du rapporteur pérennisant les dispositions précitées des articles 29, 30 et 31 de la loi du 15 novembre 2001 (amendement n° 86). »
21 Janvier 2003
L’assemblée Nationale, après avis favorable du gouvernement [13], adopte l’amendement sus-cité, rendant définitive la mesure "anti-terroriste" , initialement exceptionnelle et temporaire [14].
18 Mars 2003
La LPSI est promulguée [15] ; avec l’adoption de l’amendement Estrosi, la mesure d’exception consistant initialement à enregistrer l’activité sur internet à des fins de lutte anti-terroriste est devenue une mesure définitive. L’article 22 de la LSQ, modifié par l’article 31 de la LPSI, devient :
« Les dispositions du présent chapitre répondent à la nécessité de disposer des moyens impérieusement nécessaires à la lutte contre le terrorisme alimenté notamment par le trafic de stupéfiants et les trafics d’armes et qui peut s’appuyer sur l’utilisation des nouvelles technologies de l’information et de la communication. Toutefois, les articles 24, 25 et 26 sont adoptés pour une durée allant jusqu’au 31 décembre 2005.
Le Parlement sera saisi par le Gouvernement, avant le 31 décembre 2003, d’un rapport d’évaluation sur l’application des dispositions du présent chapitre adoptées pour une durée allant jusqu’au 31 décembre 2005. Un second rapport lui sera remis avant le 31 décembre 2005. »
Fin novembre 2005, les rapports d’évaluation prévus à l’article 31 de la LPSI n’ont jamais vu le jour. Le Décret d’application prévu à l’article 29 de la LSQ (rendu définitif par l’article 31 de la LPSI) n’a toujours pas été publié...
2005 : LCT
10 Octobre 2005
La CNIL étudie le projet de loi relatif à la lutte contre le terrorisme (LCT) présenté par le ministre de l’intérieur [16], et émet un avis très réservé sur le texte [17] qui prévoit de donner directement accès aux logs de connexion aux services de Police (DST, DGSE, Renseignements Généraux, ...) en dehors de tout contrôle de l’autorité judiciaire. Le texte prévoit que les demandes d’accès aux logs de connexion seront centralisées par l’Unité de Coordination de la Lutte Anti-terroriste (UCLAT), et autorisées par une personnalité qualifiée placée auprès du ministre de l’intérieur et nommée par lui.
Le ministre annonce ses intentions « être à l’écoute de tout, et si possible savoir tout » [18] et qualifie de « polémique stérile » les réactions d’inquiétude provoquées par le projet de loi menaçant le droit au respect de la vie privée et le rôle protecteur du juge [19].
26 Octobre 2005
Le projet de loi LCT est déposé à l’Assemblée Nationale [20] sans tenir compte de l’avis de la CNIL, après avoir pris l’avis du Conseil d’Etat, mais sans avoir consulté le Conseil Consultatif de l’Internet. L’urgence est encore une fois déclarée.
L’article 4 de la LCT , vise en particulier les cybercafés et étend la définition des prestataires :
« Les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques [...]. »
L’article 5 de la LCT définit les données que les FAI et les hébergeurs devront communiquer aux services de police :
« Afin de prévenir les actes de terrorisme, les agents individuellement habilités des services de police et de gendarmerie nationales spécialement désignés en charge de ces missions peuvent exiger des opérateurs [...] ainsi que des prestataires [...] la communication des données conservées et traitées par ces derniers en application de l’article 6 de cette même loi [...].
Les données pouvant faire l’objet de cette demande sont limitées aux données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communications électroniques, au recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée, aux données relatives à la localisation des équipements terminaux utilisés ainsi qu’aux données techniques relatives aux communications d’un abonné portant sur la liste des numéros appelés et appelants, la durée et la date de la communication. »
22, 23 et 24 Novembre 2005
Publication du rapport Marsaud [21] sur la LCT. L’article 5 du projet de loi confirme le contournement de l’autorité judiciaire :
« Cet article vise à instituer, à côté de l’obligation de transmission des données techniques de connexion par les opérateurs de communications électroniques et les hébergeurs de site Internet dans le cadre d’une procédure pénale, une procédure semblable de réquisition administrative au profit des services chargés de la lutte contre le terrorisme.
Actuellement, les seules données qui peuvent être transmises aux services de police en dehors d’une procédure judiciaire [...] sont celles qui se rattachent à une interception administrative effectuée dans le cadre de cette loi, laquelle relève d’une procédure particulièrement lourde justifiée par le caractère très intrusif d’une écoute téléphonique.
Les nécessités de la lutte contre le terrorisme justifient donc la mise en œuvre d’une procédure de réquisition administrative, même si celle-ci aura d’incontestables incidences sur la vie privée de nos concitoyens."
Examen du texte (urgence déclarée) par l’Assemblée Nationale [22] [23] [24] [25].
En matière de garantie, le projet de loi prévoyait que les demandes d’accès aux logs soient soumises à l’approbation d’une personnalité qualifiée nommée par le ministre de l’intérieur et placée auprès du ministre de l’intérieur. Le rapporteur propose l’amendement n°15, adopté, par lequel cette personnalité est proposée par le ministre et désignée par la commission nationale des interceptions de sécurité :
« Le rapporteur ayant estimé que la personnalité qualifiée [...] devait bénéficier de la plus grande indépendance possible, la Commission a adopté un amendement du rapporteur (amendement n° 15) prévoyant que cette personnalité est désignée par la commission nationale des interceptions de sécurité (CNCIS), autorité administrative indépendante, sur proposition du ministre et non directement par le ministre lui-même.
Le rôle de cette personnalité sera considérable car elle devra vérifier la réalité des motivations de chaque demande et devra évaluer, par le rapport qu’il établira chaque année, le bilan de l’utilisation de cette procédure par les services. »
Les propositions alternatives tentant de réintroduire le contrôle judiciaire dans cette procédure sont rejetées ; amendement n°110, refusé [26], qui prévoyait que les demandes d’accès aux logs ne soient pas autorisées par une personnalité placée auprès du ministre de l’intérieur, mais par le juge des libertés et de la détention du tribunal de grande instance compétent [27], puis l’amendement n°111 rectifié [28], rejeté également.
Concernant la durée de validité des mesures, l’article 15 du texte adopté par l’Assemblée [29] dispose que :« Les dispositions des articles 3, 5, et 8 sont applicables jusqu’au 31 décembre 2008. » L’article 4 qui étend la définition des personnes pouvant ne pas effacer les logs de connexion n’est pas dans cette liste. Encore une fois, comme pour l’article 29 de la LSQ via l’amendement Estrosi à la LPSI, des mesures d’exception sont rendues définitives. Par ailleurs, les "personnes ’définies’ à l’article 4" (fournisseurs d’accès et hébergeurs) passent de l’autorisation de ne pas effacer les logs à un l’obligation de les conserver.
De plus, dans l’article 5 finalement adopté par l’Assemblée, les agents demandant communication des logs rendent compte directement auprès du ministre de l’intérieur :
« [...] Lorsqu’elle constate un manquement aux règles définies par le présent article ou une atteinte aux droits et libertés, elle saisit le ministre de l’intérieur d’une recommandation. Celui-ci fait connnaître dans un délai de quinze jours les mesures qu’il a prises pour remédier aux manquements constatés. »
Aucun recours n’est prévu pour pour l’internaute victime de surveillance abusive.
14 Décembre 2005
Le sénat étudie la proposition de loi contre le terrorisme [30].
Le mode de nomination des autorités de contrôle est encore objet de plusieurs tentatives d’amendements. L’élargissement de la surveillance aux cybercafés, et peut-être aux bibliothèques et universités, est l’occasion de nombreuses objections, et l’absence des décrêts d’application prévus dans les lois précédentes est reconnue comme anormale.
22 Décembre 2005
Le texte est approuvé par le Sénat [31] ; la procédure d’urgence étant appliquée au projet de loi, celui-ci est adopté sans autre navette parlementaire. Plus de 60 sénateurs saisissent le Conseil Constitutionnel.
19 Janvier 2006
Le Conseil Constitutionnel publie sa décision [32] ; le texte est approuvé, mais limité à la prévention des actes de terrorisme, excluant explicitement l’application de cette loi pour la répression ; cela confirme que la répression est du domaine exclusif de la justice, et ne pouvait être supervisée par une autoritée nommée par le ministre de l’intérieur.
En l’état, la LCT intensifie la surveillance des communications, réduit son contrôle par la justice, et s’inscrit dans la perspective de plusieurs lois antérieures qui, déclarées temporaires, ont été prolongées ou pérennisées.
À suivre... Le prochaine épisode sera peut-être européen.