mardi 26 novembre 2013

Une nouvelle loi pour espionner vos données ? Malvenu après l'affaire Snowden et NSA (Interview)

Si la nouvelle loi de programmation militaire est votée par l'Assemblée nationale, il suffira à un fonctionnaire du ministère de l’Économie, de la Défense ou de l’Intérieur de demander à un FAI (Fournisseur d'Accès Internet) les détails de connexion concernant un internaute pour y avoir accès. Auparavant, la demande nécessitait l’implication de l’autorité judiciaire.

Plus besoin d’être soupçonné de terrorisme pour être l’objet d’une écoute puisque les nouvelles dispositions visent à "prévenir" la criminalité. Certains s’inquiéteront d’une dérive à la "Minority Report", l’histoire d’un monde où la criminalité disparaît en anticipant les meurtres mais où le système de prévention atterrit entre de mauvaises mains.

Un ministère pourra capter "en temps réel" des informations. Un délai de 10 jours sera instauré avec la possibilité, d’être étendu si "besoin". Autrement dit, on a l’impression qu’il s’agit d’un accès libre une fois que le FAI aura accepté la demande. Et de toute façon, ce FAI ne pourra pas la refuser, sinon il se mettra hors-la loi.

Des termes flous pour un grand champ d'action

Quant à savoir ce que l’État pourra voir, là aussi, le texte de loi n’est pas très clair. Il est question de "documents" sans préciser s’il s’agit juste de données de connexions, de fadettes, ou également de contenus.
Il va sans dire que toutes ces approximations feront l’objet de questions lors du passage du texte devant l’Assemblée nationale. Mais ces imprécisions ne sont pas là par hasard.

En restant vague, les auteurs de la loi permettent de ne pas la brider par d’éventuelles évolutions technologiques à venir. On se souvient de la loi Hadopi qui s’est rapidement révélée obsolète, en raison de son caractère trop précis concernant les outils techniques surveillés.

Un agenda mal choisi

On peut dire que cette mesure arrive au plus mauvais moment médiatique alors que l’affaire Snowden fait encore parler d’elle. Le gouvernement semble vouloir se doter de moyens proches de ceux dont disposent les autorités américaines, au premier rang duquel PRISM, qui a fait les beaux jours de la NSA.

La CNIL (Commission nationale de l’informatique et des libertés) si prompte à dénoncer la surveillance américaine, fait preuve d’un grand silence pour l’instant sur cette nouvelle loi. Il est vrai que cette dernière relève de la sécurité nationale et que l’autorité administrative ne se sent pas forcément à même de cadrer cette évolution de la conception de la sécurité. En effet, elle semble se focaliser davantage sur des problématiques plus ciblées, touchant des intérêts privés. Enfin, on peut aussi supposer qu’il est toujours  plus facile de critiquer l’autre plutôt que soi-même.

Les géants du web se rachètent une réputation

L’@sic, une sorte de syndicat des géants du web (Google, Facebook, PriceMinister, Deezer, etc.), n’a pas manqué de dénoncer ce mutisme de la part de la CNIL. Il faut dire que cette commission s’occupe davantage des entreprises privées que des questions de sécurité nationale.

Derrière la critique formulée par l’@sic, il y a également une tentative de se racheter une réputation, l’affaire Snowden ayant mis en cause certaines des sociétés du web membres de cette association.
Elles craignent encore une fois que cela leur porte préjudice, car s’il y a une fuite concernant les données privées d’une personne au niveau d’un ministère, elles seront à nouveau montrées du doigt. Pour leur défense, rappelons qu’elles ne pourront pas refuser les demandes d’accès à ces informations.
Et elles ont raison de se faire du souci, puisque l'on a bien vu, toujours avec l’affaire Snowden, que le système n’est pas infaillible. Il faut savoir qui est accrédité et comment traiter cette masse de données.

Le risque 0 n'existe pas

L’État veut avoir confiance en son arsenal juridique pour s’adapter aux évolutions technologiques, mais pourra-t-il aussi avoir confiance envers les personnes qui récoltent les informations ? De plus, bien que la technologie fasse des progrès constants, les failles demeureront toujours présentes avec le risque de fuites non négligeable.

Par ailleurs, je ne suis pas convaincu de la pertinence de ces nouvelles dispositions. Nos systèmes sont déjà censés prévenir le terrorisme mais n’y parviennent pas toujours (le risque 0 n’existe pas). Quelqu’un de déterminé et d’organisé peut facilement avoir les outils techniques pour se rendre anonyme, notamment via TOR.

L’erreur de communication politique semble flagrante, dans un contexte post-Snowden ; la polémique attisée par le secteur privé jette le discrédit sur un projet de loi alors que ce dernier n’a pas que des aspects négatifs.

Pour retrouver la confiance des citoyens, les parlementaires devront à présent mettre en avant des garde-fous solides et faire preuve de pédagogie pour éviter un mouvement de défiance, qui remettrait en cause la solidité même des mesures de sécurité existantes.

Propos recueillis par Rémy Demichelis