Une mesure à haut potentiel de controverse a été glissée dans le nouveau projet de loi sur le renseignement et la lutte antiterroriste présenté le 28 avril en Conseil des ministres. Comptant 19 articles, ce texte vise à renforcer plusieurs dispositions de la loi renseignement de juillet 2015 et de la loi sur la sécurité intérieure et la lutte contre le terrorisme (Silt) d'octobre 2017. Sa promulgation est attendue avant le 31 juillet, après un examen prévu fin mai à l'Assemblée nationale.
Le texte, révélé par le site Next Inpact, pérennise notamment le traitement automatisé des données de connexion pour détecter les menaces, en l'étendant à l'historique des adresses URL des sites internet consultés par les Français. Ainsi, les services de renseignement pourraient accéder aux «adresses complètes de ressources sur internet utilisées» par une personne «préalablement identifiée susceptible d'être en lien avec une menace» terroriste.
Dans la version actuelle de la loi, promulguée par le gouvernement de Manuel Valls en 2015, les données exploitables par les renseignements ne concernent que des informations techniques, comme l’heure de la connexion à un site internet ou l’adresse IP de l'utilisateur. Les adresses des sites consultés sont en revanche protégées par leur statut de données personnelles pouvant refléter la vie privée d'un internaute. A l'avenir, si le texte est bien modifié après passage par le Parlement, cette barrière juridique sautera et les adresses des sites consultés pourront être analysées.
Une idée portée par la droite et Manuel Valls depuis 2012
La mesure faisait figure de serpent de mer législatif depuis une décennie. Pendant la campagne présidentielle au printemps 2012, à la suite de l'affaire Mohammed Merah, le président Nicolas Sarkozy avait promis la création d'un délit pénal de consultation régulière des sites terroristes. L'alternance politique n'avait pas enterré le projet, puisque le ministre de l'Intérieur de François Hollande, Manuel Valls, avait évoqué l'idée en septembre 2012, avant d'accélérer une fois devenu Premier ministre, à partir des attentats du 13 novembre 2015, avec le soutien de l'opposition de droite.
Un délit de consultation de sites djihadistes avait été inséré dans la loi du 3 juin 2016 renforçant la lutte contre le crime organisé et le terrorisme. Mais il avait fait l’objet d’une question prioritaire de constitutionnalité en février 2017 avant d’être censuré par le Conseil constitutionnel. Réécrit par le Sénat à majorité LR, le texte avait subi une deuxième censure par la même instance en décembre 2017, qui avait estimé que projet de loi portait «une atteinte à la liberté de communication» qui n'était pas «nécessaire, adaptée et proportionnée».
Malgré ces freins, le gouvernement actuel a donc relancé le principe d'une analyse des adresses URL, qui se fera par le biais d'algorithmes mis en place par les services de renseignement si la loi est bien promulguée. Questionné le 25 avril dans le JDD sur le risque d'atteinte aux libertés individuelles, le ministre de l'Intérieur Gérald Darmanin avait demandé d'arrêter «avec cette naïveté». «Toutes les grandes entreprises utilisent des algorithmes. Et il n'y aurait que l’Etat qui ne pourrait pas les utiliser ?», a-t-il justifié, ajoutant qu'il existe «des garanties, comme par exemple la nécessité d’avoir quatre visas, dont ceux du Premier ministre, du ministre de l’Intérieur et de la Commission nationale de contrôle des techniques de renseignement».
Les GAFA en avance sur le renseignement
L'argument des «grandes entreprises» – en l'occurrence les GAFA – qui font déjà la même chose, peut néanmoins se retourner contre le ministre de l'Intérieur. Patrick Calvar, l'ancien directeur général de la DGSI (2012-2017), avait en effet pointé dès janvier 2018 l'obsolescence de cette loi renseignement face à l'évolution des technologies et de la collecte des données personnelles, point sur lequel les géants du numérique ont acquis une large avance : «Ces sociétés sont bien plus puissantes que les services du renseignement, même si les objectifs poursuivis ne sont pas les mêmes», notamment selon lui parce que «les données sont communiquées volontairement».
Et selon le spécialiste des réseaux sociaux Fabrice Epelboin, il est illusoire d'espérer que «les Etats-Unis donnent aux services français un libre accès aux données de Facebook». En outre, pour cet enseignant au Medialab de Sciences Po, les algorithmes des services français ne pourraient analyser que la face émergée de l'iceberg numérique : «Objectivement, l’essentiel du trafic web est en "https" [un protocole de transfert avec chiffrement sécurisé]... les renseignements ne verront donc pas grand-chose. La partie non sécurisée, en "http" représente moins d’un quart du trafic», explique-t-il auprès de RT France.
Fabrice Epelboin voit dans ce projet législatif «une loi de circonstance conçue par des gens qui ne comprennent pas très bien ce qu’ils font». «Il s’agit de croyance dans une sorte de solutionnisme, plus que de connaissance, qui aura pour effet de pousser à changer les usages et à rendre plus compliquée la lutte contre le terrorisme», argumente-t-il.
L'une des conséquences perverses pour le renseignement pourrait en effet d'accélérer le développement des techniques de chiffrement des communications, qui «empêchent souvent l’action des services et handicapent aussi les contrôles publics», expliquait Patrick Calvar en 2018 devant la Commission nationale de l'informatique et des libertés (Cnil). «Tout le monde adoptera un VPN [système permettant de naviguer anonymement en utilisant une adresse IP différente de celle de son ordinateur], et par ailleurs ce type de contenu se déportera vers d’autres espaces comme WhatsApp, sans parler de Telegram ou de Signal», abonde Fabrice Epelboin.
Le nouveau texte présenté en Conseil des ministres peut donc sembler excessif pour les défenseurs des libertés individuelles, tout en restant insuffisant pour le renseignement face à l'évolution de la menace terroriste. Notons que le projet de loi propose par ailleurs de porter la durée autorisée pour recueillir des données informatiques à deux mois, contre un seul aujourd'hui. Au-delà, les données seront considérées comme «mortes», mais pourront être conservées pendant cinq ans aux fins de recherches et développement de l'intelligence artificielle des «boîtes noires», les algorithmes des services de renseignement.