Ateliers

L'Atelier Juridique de Forum ATENA est présidé par
Olivier Iteanu

Président d'Atelier

guillemetL'atelier juridique organise et a organisé plusieurs réunions d'information sur l'actualisation de ce cadre réglementaire. Nouvelles lois françaises, paquet télécom européen,… les sujets ne manquent pas. Si ceux-ci vous interpellent, vous êtes les bienvenus à rejoindre notre atelier.guillemet Olivier Iteanu


LPM, l’arrière-grand-père et l’arrière-petit-fils disent non

 

 

A l’échelle d’un Etat, d’une nation ou d’un peuple, les décisions les plus graves, celles qui engagent l’avenir, devraient être prises seulement après qu’on ait interrogé deux personnes. Son arrière-grand-père, parce que ces décisions ne devraient pas remettre en cause l’histoire et certains acquis, gagnés de haute lutte. L’arrière-petit-fils, parce qu’on doit mesurer les conséquences dans l’avenir, du nouveau système mis en place. Nous leur avons posé la question de savoir ce qu’ils pensaient de la Loi n°2013- du 18 Décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale. Cette Loi est plus connue sous le nom de LPM. Ces détracteurs dénoncent la mise en place d’un système de surveillance extra judiciaire et généralisé de la société française. Quand est il ?

 

Certes, notre arrière-grand-père comme notre arrière-petit-fils trouveraient légitimes par principe, que dans un monde de plus en plus dangereux, l’Etat soit capable de les défendre et de prévenir tout acte de terrorisme attentatoire à leurs vies et celles de leurs proches. C’est l’objectif affiché par la LPM. Mais notre arrière-grand-père aurait il accepté que de manière permanente et à son insu, on puisse légalement pénétrer son domicile, fouiller sa table de chevet, son secrétariat, y consulter sa correspondance, en prendre copie ? Aurait-il admis que son épicier, son boulanger, son médecin, son marchand de journaux soient enjoints de noter ses jours et heures de passages, ses achats, ses paroles prononcées ? Notre arrière-petit-fils admettrait-il que, dans un geste naturel et habituel puisqu’exigé par Loi, chaque intermédiaire auquel il aurait recours, enregistre et conserve comme prêt à être mis à disposition, toutes « informations et documents » le concernant. Supporterait il de vivre avec la crainte que ces intermédiaires, leurs collaborateurs et partenaires, ne soient tentés de les consulter pour eux-mêmes ou pour d’autres et pour des motifs très divers ou qu’ils n’aient pas pris les mesures nécessaires pour en assurer la sécurité et interdire à des tiers non autorisés d’y accéder ? Tout ce qui vient d’être décrit est dénoncé par certains, comme étant mis en place par la LPM du 18 Décembre 2013. En son article 20, la LPM vise à généraliser une surveillance administrative très intrusive de la société en vue de donner aux services de l’Etat des pouvoirs d’enquêtes colossaux, sans que des garanties sérieuses n’aient été données au citoyen en contrepartie. Cette Loi est signée par le 1er Ministre Ayrault, les Ministres de l’intérieur, de la défense, de la justice, de l’économie, des finances et du budget. Elle est la petite sœur de la Loi américaine dite USA Patriot Act du 26 Octobre 2001, mise à l’honneur par les affaires Snowden et Prism. Elle est également dans la famille de la Convention de Budapest sur la Cybercriminalité et de son article 18, aussi conclue dans les suites des attentats des tours jumelles du 11 septembre 2001, ratifiée par la France en 2006.

 

 

Pour appréhender l’ampleur de la LPM, il faut la mesurer à quatre niveaux. Quelles sont les personnes visées par les « enquêtes » (1), quelles données sont concernées (2), quelles personnes doivent fournir ces données (3) et quelles sont les garanties accordées au citoyen (4).
 

1. Les personnes visées par les enquêtes ? Tout le monde. La question n’est en réalité pas traitée par la Loi. Il suffit que l’enquête soit orientée vers un certain objectif. Ces objectifs se trouvent à l’article L 241-2 du Code de la sécurité intérieure. On y parle de sécurité nationale et de prévention du terrorisme certes, mais aussi « de la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France (…) de la criminalité et de la délinquance organisées » faisant entrer dans son giron la contrefaçon ou la lutte contre la fraude fiscale qui peuvent l’un et l’autre rejoindre les délits en bande organisée. Toute personne simplement soupçonnée de ces préventions peut donc subir l’article 20 de la LPM, et même si les soupçons s’avèrent par la suite totalement ou partiellement infondés. La personne visée peut avoir toute nationalité et tout lieu de résidence.
 

2. Les données concernées sont aussi toutes données. La fable des données de connexion qu’on nous a servie au milieu des années 2000, est désormais loin derrière nous. La LPM parle « d’informations ou documents » et ajoute « y compris les données techniques », ce qui atteste bien qu’on se trouve au-delà de données simplement techniques. La nouvelle fable qui nous est servie est désormais celle des « métadonnées », c’est-à-dire les données à propos des données. En clair, les tenants de cette thèse prétendent que les services de l’Etat ne seraient aucunement intéressés par nos messages, contenus de nos courriels, mais que la journalisation de nos connexions et échanges leur suffiraient. Etre le dindon de la farce est déjà difficile à vivre, sans qu’on y ajoute une insulte à notre intelligence. La société de l’information a donné aux officines de surveillance bien plus de moyens que par le passé. Le temps de l’écoute téléphonique ou de l’interception, où il suffisait de se brancher sur la « ligne », est dépassé. Voici venu le temps de la captation ou du recueil de nos données. Mais comme du temps des écoutes téléphoniques où nos conversations étaient bien enregistrées, on ne voit pas pourquoi, les services se priveraient de lire nos courriels. Dans les deux textes d’application des dispositions légales déjà existantes imposant la traçabilité, la Loi n°2004-75 pour la Confiance dans l’Economie Numérique (LCEN) du 21 Juin 2004 et le code des postes et des communications électroniques, des informations comme les mots de passe des comptes de services Web ou les moyens de paiement utilisés dans des sites de commerce électronique, doivent être conservés par les intermédiaires. On est donc bien loin des données techniques et des métadonnées.
 

3. Les personnes concernées par la traçabilité imposée par la LPM, sont légion. Ce sont les opérateurs de communications électroniques (ex opérateur de télécom et FAI), acteurs historiques des écoutes téléphoniques. Mais depuis quelques années, beaucoup d’autres acteurs ont rejoint la catégorie. Ce sont « Les personnes qui, au titre d'une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l'intermédiaire d'un accès au réseau, y compris à titre gratuit … » (article L 34-1 CPCE §2) c’est-à-dire les cybercafés, les accès publics en général, les magasins qui offrent un accès wi-fi à leurs chalands, les écoles à leurs étudiants, les employeurs à leur personnel etc. … A côté des opérateurs, on parle de plus en plus de « fournisseurs de services de communications électroniques » comme dans l’ordonnance d’août 2011 qui a instauré la notification de faille de sécurité ou l’article L 121-83 du Code de la consommation, sans qu’on sache vraiment s’il s’agit d’un nouveau flottement terminologique ou de la volonté d’étendre la catégorie des opérateurs à des acteurs qui y sont assimilés. Et puis, sont également concernées les personnes visées par la LCEN c’est-à-dire en plus, les hébergeurs au sens fonctionnel et non technique du terme, comme e-Bay ou LeBonCoin hébergeurs des annonces publiées jusqu’à tel blogueur pour les commentaires publiés sur son blog. Au final, il s’agit bien d’une masse d’acteurs divers qui vont se trouver contraints de surveiller et conserver les « informations ou documents » pour répondre à la LPM. 

4. Enfin, les garanties données ? C’est la peau de chagrin et le bât qui blesse s’agissant de la LPM. En effet, il est ici question d’une surveillance extra judiciaire, c’est-à-dire hors de l’autorisation et du contrôle d’un juge. L’affaire des écoutes de l’Elysée dans les années 1980 sous le septennat de François Mitterrand, concerna plus d’un millier de personnes, dont de nombreux journalistes et intellectuels, et pour des motifs souvent totalement étrangers à la sureté nationale et à la lutte contre le terrorisme. On sait donc que dans ce type de pratiques, le détournement et l’abus de pouvoir sont possibles. Quel dispositif a donc été mis en place dans la LPM pour lutter contre ce risque ? Une personne qualifiée placée auprès du 1er Ministre sera chargée de recevoir les demandes écrites des « services » et les autorisera dans un ballet à deux avec le Président de la Commission nationale de contrôle des interceptions de sécurité. On peut se demander quels contrôles pourront réellement exercer ces deux institutions face à un agent qui sollicitera une enquête et qu’elles devront croire sur parole quant aux soupçons justifiant la demande de mesure ? Comment cette personne et cette Commission inconnue du grand public et à la volonté incertaine, vont-ils opérer leur contrôles sous la pression des Ministères ? On peut aussi se demander qui va contrôler tous les surveillants privés institués par la LPM comme « supplétifs » des services de l’Etat, de Google à eBay, LeBonCoin en passant par les hébergeurs de type Amazon ou OVH, les blogueurs ? Comment s’assurer qu’ils ne dérapent pas en s’en servant ou diffusant à titre commercial les informations collectées ou en les laissant s’échapper ? 

 

 

N’ayant pas réussi à réunir le nombre de parlementaires requis, la LPM n’a pas été soumise au contrôle du Conseil Constitutionnel, et c’est bien dommage. Il reste maintenant les Décrets d’application en Conseil d’Etat qui vont être pris après avis, notamment, de la CNIL. Aura-t-elle assez de force pour imposer des garde-fous pour limiter le nombre de services pouvant s’appuyer sur la LPM ou une durée de conservation adéquate des informations ou documents transmis à ces services ? Va-t-elle organiser un contrôle strict pour éviter les dérapages des « supplétifs » de l’Etat, enjoints de conserver ces informations ou documents dans des conditions qui ne sont pas aujourd’hui précisées ? La LPM a été votée en un temps très court et dans un silence assourdissant. Très peu d’opposants se sont signalés. Or, c’est d’une discussion serrée, qu’aurait pu sans doute surgir un texte plus fort sur ses objectifs car donnant des garanties au citoyen. Il est vrai que le texte est difficile d’approche car très technique sur un plan juridique et (volontairement ?) confus. C’est un texte aussi paralysant car il annonce pour objectif, la lutte légitime contre le terrorisme international auquel chacun souscrit. Mais en réalité, ce texte va bien au-delà de la simple lutte contre le terrorisme international. Il façonne aussi la société de demain en instaurant une surveillance généralisée et incontrôlée dans toutes les strates de la société de l’information vers laquelle toute la société du monde physique bascule. C’est pourquoi, à la date d’aujourd’hui et en l’état, l’arrière-grand-père et l’arrière-petit-fils ont de quoi dire non à la LPM.

 

  Olivier Iteanu

25/04/2013 – Clous Souverain – Le Cloud souverain, tout le monde en parle, certaines entreprises disent qu'elles en font, le Gouvernement français a indirectement financé à grands coups de millions deux entreprises sur ce thème. Le Cloud souverain existe-t-il seulement ? Quelle est la part du mythe et de la réalité dans l'USA Patriot Act de 2001 qui autorise le FBI à capter des données dans le nuage ? Quels sont les risques et enjeux du Cloud computing quant à la souveraineté liée à la perte de contrôle sur nos données ?  [ voir + ]



19/01/2012 – De la loi du silence à l'ordonnance du 24 août 2011 – C´est en plein été 2011, le 24 août, et par Ordonnance, que le gouvernement français a intégré dans le droit français, l´obligation de notification des failles de sécurité à la Cnil et, éventuellement, aux personnes concernées par la fuite de leurs données personnelles. Le texte crée également un nouvel article 226-17 du code pénal qui punit de 5 ans d´emprisonnement et de 300.000 euros la personne qui ne procèdera pas à cette notification alors qu´elle y était contrainte par la Loi. [ voir + ]


25/04/2013 – Le Cloud Souverain : mythe ou réalité ? Les diapos de la conférences, préparées par Olivier Iteanu, Avocat et Didier Soucheyre, Fondateur et Président de Neo Telecoms [ voir + ]