Un nouveau "projet de loi relatif à la prévention d'actes de terrorisme et au renseignement", qui met à jour des mesures déjà expérimentées en la matière, a été présentée ce mercredi en Conseil des ministres. Le texte de 19 articles vise principalement à "actualiser", voire renforcer plusieurs dispositions de la loi renseignement de juillet 2015 et de la loi sur la sécurité intérieure et la lutte contre le terrorisme (Silt) d'octobre 2017. Il contient notamment un volet renseignement, avec lequel le gouvernement entend pérenniser et actualiser la technique controversée de l'algorithme.
Après l'attaque qui a coûté la vie à une agente du commissariat de Rambouillet, dans les Yvelines, Gérald Darmanin a dévoilé les grandes lignes du texte dans le Journal du dimanche (JDD). Toutefois, son inscription à l'ordre du jour du Conseil des ministres, une semaine après l'avis rendu par le Conseil d'Etat, était actée "depuis plusieurs jours", selon une source proche de l'exécutif auprès de l'AFP, et n'est pas une réaction à l'attentat.
Comment fonctionne la surveillance par algorithme ?
Cette technique de renseignement controversée permet le traitement automatisé des données de connexion. Le but : détecter des menaces terroristes potentielles. Le dispositif est aussi connu sous le nom de "boîtes noires" : comme le rappelle Numerama, elles collectent et analysent des métadonnées. Il s'agit des informations de contexte sur un contenu ; elles ne sont pas censées avoir accès à ce contenu, et lire un message par exemple, mais savoir quand il a été envoyé, à qui, comment, etc.
Une intelligence artificielle analyse cette masse de données, et repère des comportements types définis au préalable, des "signaux faibles" qui suggèrent un contact suspect ou une radicalisation, par exemple. Une fois que l'algorithme a identifié une cible suspecte, "quatre ou cinq signatures hiérarchiques", selon les informations du Monde, et la Commission nationale de contrôle des techniques de renseignement (CNCTR), une autorité administrative indépendante, doivent valider la demande de levée de l'anonymat. Le profil est ensuite transmis aux services de renseignement, qui se chargent d'une investigation.
Que vise le texte présenté par le gouvernement ?
Il contient notamment une mesure visant à pérenniser cette technique de l'algorithme. La technique avait été introduite à titre expérimental dans la loi renseignement du 24 juillet 2015. Le texte incluait une clause dite "de revoyure" sur la technique de l'algorithme : le Parlement devait vérifier après une phase expérimentale la pertinence de cet outil.
Actuellement, la collecte des données par les "boîtes noires" a lieu chez les hébergeurs, les fournisseurs d'accès à Internet (FAI) et les opérateurs de téléphonie. Or le gouvernement compte étendre la technique aux adresses web ("URL") des pages consultées par les internautes. Mais cette innovation ne devrait être réellement présentée que le 12 mai, rapportent Le Parisien et Le Monde. Il faut en effet adapter la décision du Conseil d'Etat du 21 avril sur la conservation des données de connexion téléphoniques, selon les informations obtenues par Le Monde auprès du ministère de l'Intérieur.
L'extension aux URL est-elle réellement possible ?
L'exploitation des adresses web consultées par les utilisateurs nécessite des moyens importants pour mettre en oeuvre un tel niveau de collecte. "85 à 90 % du flux sur Internet est en protocole HTTPS, donc chiffré et protégé", rappelle au Parisien un expert en cybersécurité sous couvert d'anonymat. Dans ce cas, il n'est pas possible de lire l'URL en détail.
Un déchiffrement a priori est-il possible ? "Cela impliquerait que les opérateurs ou les FAI déchiffrent les flux sans ralentir les connexions à Internet", précise l'expert du Parisien. Un processus coûteux en temps et en argent. "Les entreprises du secteur ne vont pas apprécier de devoir s'équiper avec de gros processeurs pour traiter ces opérations de déchiffrement. Ils vont travailler à obtenir des URL complètes pour rien dans la majorité des cas et cela risque de ralentir le débit."
La surveillance par algorithme est-elle efficace ?
La pratique, autorisée en 2015, n'est opérationnelle que depuis 2017 ; l'expérimentation actuelle doit prendre fin au 30 juin 2021. Il est difficile de connaître son véritable impact, comme son utilisation est couverte par le secret-défense. Deux des 35 attentats déjoués depuis 2017 l'ont été "grâce aux traces numériques" laissées par leurs auteurs, a toutefois affirmé ce mercredi Gérald Darmanin sur France Inter, défendant le projet de loi. Pour ces deux attentats déjoués, les algorithmes n'utilisaient alors "pas les URL", a précisé Gérald Darmanin. Il a insisté sur le profil des auteurs des récents attentats, qui se sont radicalisés rapidement et n'étaient pas fichés par les services de renseignement.
En 2019, Le Monde rappelait que sur 59 attentats déjoués depuis six ans, 58 l'avaient été "grâce au renseignement humain".
Pourquoi l'utilisation d'algorithme fait-elle débat ?
Selon ses défenseurs, la surveillance par algorithme permet notamment de repérer des individus isolés, "dont les seules traces sont les traces numériques", affirmait samedi à l'AFP Laurent Nuñez, coordinateur national du renseignement et de la lutte contre le terrorisme. Interrogé dans le JDD sur le risque d'atteinte aux libertés individuelles, Gérald Darmanin a, lui, demandé d'arrêter avec la "naïveté". "Toutes les grandes entreprises utilisent des algorithmes. Et il n'y aurait que l'Etat qui ne pourrait pas les utiliser ?" Toutefois, l'avocat Hugo Roy a dénoncé sur Twitter une comparaison "fallacieuse" et rappelé que les données de connexion sont conservées un an par les opérateurs "pour l'usage exclusif de l'Etat et de la justice".
Les défenseurs des libertés s'inquiètent notamment de l'opacité de l'application du champ d'application du projet de loi. "Il est tellement large, que l'on ne sait pas vraiment ce que la loi autorise. On parle d'analyse de réseaux, mais on ne connaît pas la taille des réseaux dont on parle", déplore auprès de Franceinfo Arthur Messaud, juriste pour la Quadrature du net, une association de défense des droits et libertés fondamentales en ligne. "Pour nous, il s'agit clairement de surveillance algorithmique, une mesure de surveillance de masse. Emmanuel Macron joue à un jeu délirant, ce que fait la France n'est pas quelque chose de normal", estime le juriste.
La France a d'ailleurs été rappelée à l'ordre en octobre 2020 : la Cour de justice de l'Union européenne a dénoncé l'obligation pour les FAI de conserver les données de connexion des utilisateurs pendant un an. C'est cette même disposition qui a été validée par le Conseil d'Etat le 21 avril ; celui-ci lui apporte toutefois des limites, rappelle 01.net et impose de "subordonner l'exploitation de ces données par les services de renseignement à l'autorisation d'une autorité indépendante".