Le projet de loi relatif à la prévention d’actes de terrorisme et au renseignement, ou plus simplement "renseignement 2", ne vient pas refondre les lois de 2015 et de 2017, mais remet au goût du jour certains dispositifs qu'elles introduisaient. Au menu, durée de conservation des données interceptées, création de bases de données à des fins de R&D ou encore mise à jour des techniques d'interception. Mais la collecte des URLs, pourtant l’un des points centraux de la communication du ministère de l’Intérieur autour de ce texte, en a été évacué.
Mercredi soir, après plusieurs jours d’une communication intensive du ministère de l’Intérieur, le projet de loi relatif à la prévention d’actes de terrorisme et au renseignement, ou renseignement 2, a été présenté en Conseil des ministres et communiqué à l’Assemblée nationale accompagnée de l’étude d’impact afférente et de l’avis du Conseil d’État. Force est de constater que le texte dévoilé ce mercredi est bien différent de celui annoncé.
En amont de la présentation du texte en Conseil des ministres, mercredi matin même sur France Inter, Gérald Darmanin assurait que, “avec la loi”, les services de renseignement seront en mesure de savoir si quelqu'un “s’est connecté trois ou quatre fois, a fait des recherches sur les décapitations par Daesh”. Il soulignait par ailleurs que le gouvernement discutait avec les “grand majors d’Internet” pour obtenir des backdoors, menaçant ceux qui s’y refusent d’une réponse légale.
R&D
Pour autant cette collecte des URLs, mentionnées dans un document révélé par Next Inpact, semble avoir été expurgé du texte final du projet de loi. "Les adresses complètes de ressources sur Internet" ne sont donc pas incluses dans la mise à jour de l’article L. 851-3 du code de la Sécurité intérieure que prévoyait l’article 8 de ce document. Le gouvernement ne s’est pas encore expliqué quant à cette absence.
L’article 8 est désormais relatif aux fameux algorithmes. Mais non pas dans le sens de la pérennisation des dispositifs en vigueur depuis 2015. Ici, il s’agit de mettre en place “un régime autonome de conservation de renseignements pour les seuls besoins de la recherche et du développement en matière de capacités techniques de recueil et d’exploitation des renseignements”. En d’autres termes, cet article permet la constitution et la conservation de bases de données qui ne seront pas destinés à la surveillance, et seront de ce fait “expurgés des motifs et des finalités ayant justifié leur recueil et conservés dans des conditions ne permettant pas de rechercher l’identité des personnes concernées”, mais à des fins de R&D.
Allonger les durées de conservation et d’autorisation
Il est question d’alimenter des modèles qui serviront à améliorer les dispositifs de collecte, d’extraction ou de transcription. “Plus les réseaux de neurones qui constituent ces modèles d’apprentissage disposent de données pertinentes, c’est-à-dire aussi proches que possible de celles obtenues dans un contexte opérationnel, pour apprendre, plus ils sont performants et précis, la quantité de données nécessaires à leur entraînement étant directement proportionnelle à la complexité du problème à résoudre” explique l’exposé des motifs.
L’article 9 du projet de loi va pour sa part harmoniser les durées d’autorisation des données informatiques selon qu’elles soient recueillies ou captées. “Ces deux techniques de renseignement, qui présentent des finalités identiques, ne bénéficient toutefois pas d’une même durée d’autorisation : la première peut être autorisée pour une durée maximale de trente jours quand la seconde peut être autorisée pour une durée maximale de deux mois”. Or le recueil exigeant un traitement long et complexe, la durée d’autorisation est elle aussi portée à deux mois.
Adaptation
L’article 7 encadre quant à lui les conditions dans lesquelles les agences de renseignements peuvent exploiter les renseignements qu’elles ont obtenus pour une finalité différente de celle qui en a justifié le recueil. Mais aussi le cadre leur permettant d’échanger des renseignements entre elles, et de demander des données à d’autres autorités administratives. Le tout sous le contrôle de la Commission nationale de contrôle des techniques de renseignement (CNCTR). L’article 11 autorise, à titre expérimental, les services de renseignement à intercepter, par le biais d’un dispositif de captation de proximité, les correspondances transitant par la voie satellitaire
Enfin, l’article 10 vient modifier l’article L 871‑6 du code de la sécurité intérieure portant sur la “coopération des opérateurs de communications électroniques” de sorte que ces derniers réalisent sur leurs réseaux des opérations matérielles nécessaires à la mise en œuvre de techniques de renseignement. Il s’agit d’adapter la loi à l’arrivée de la 5G afin d’éviter l’obsolescence des IMSI Catchers. “En effet, le déploiement de la 5G (communications mobiles de 5e génération) aura pour conséquence que les identifiants des terminaux mobiles deviendront temporaires, évolueront à une fréquence élevée et seront attribués par le réseau. Seul l’opérateur pourra établir le lien entre ces identifiants temporaires et les identifiants pérennes des abonnements ou des équipements terminaux utilisés. Il sera donc nécessaire, pour que la technique de l’« IMSI‑catcher » conserve un intérêt opérationnel, de pouvoir obtenir des opérateurs de communications électroniques le lien entre ces deux types d’identifiants” écrit le gouvernement.