Pêche au chalut » ou « pêche au harpon » ? « Filet dérivant » ou « mailles étroites » ? Nous ne sommes pas à un débat sur les quotas de pêche, mais bien sur celui de l’action des services de renseignement.

La métaphore maritime a été filée tout au long de l’audition par les députés et trois ministres – intérieur, défense, justice – à propos du projet de loi sur le renseignement, mardi 31 mars. Ce faisant, ils ont tenté de mieux cerner la nature de la surveillance que prévoit ce projet de loi. S’agit-il de surveillance de masse (« filet dérivant ») ou ciblée (« pêche au harpon ») ?

Au cœur des interrogations, un des nouveaux dispositifs que prévoit le projet de loi : l’installation, chez les fournisseurs d’accès et certains grands sites Internet, d’un dispositif d’analyse automatique de données créé par les services de renseignement et censé, selon la formule du projet de loi, «  révéler une menace terroriste » de manière automatisée, que ses opposants ont appelé « boîte noire ».

C’est ce dispositif qui inquiète le plus ces derniers, notamment parce que les détails et le périmètre de cette détection automatique de terroristes sont encore très vagues. Un flou que ni l’audition des ministres, mardi, ni l’examen en commission des lois, le lendemain, n’a pas permis de dissiper.

Le ministre de l’intérieur a certes donné un exemple d’utilisation : le cas d’une vidéo de décapitation postée sur Internet. Selon M. Cazeneuve, l’algorithme permettrait de repérer les premières connexions à ladite vidéo, émanant de France. L’idée serait alors de repérer des Français complices de la publication de cette vidéo et qui s’assurent dès la mise en ligne que les images sont correctement accessibles. C’est ce cas pratique qui a déjà été donné, lors de réunions à huis-clos avec entreprises et associations opposées au projet de loi, par Matignon et Beauvau. C’est le seul point précis qui sera évoqué à propos de cette « boîte noire ».

Quel contrôle démocratique de l’algorithme ?

Bernard Cazeneuve a aussi tenté d’apaiser les inquiétudes et de répondre à certains commentaires – « pas toujours fondés », selon lui – en expliquant que l’algorithme serait soumis au contrôle de la future Commission nationale de contrôle des techniques de renseignement (CNCTR, que doit créer la loi).

Problème : pour s’assurer des finalités et du fonctionnement d’un algorithme, il faudra très vraisemblablement inspecter le code source dudit programme. Ce code source peut être constitué de milliers de lignes et mobiliser, pour des logiciels similaires et dans le secteur privé, des entreprises entières. Interrogé à ce sujet par la députée Laure de la Raudière (UMP), Bernard Cazeneuve s’est retranché derrière le rôle confié au membre de la CNCTR qui sera désigné par l’Arcep – le gendarme des télécoms – et qui sera le seul membre de cette Commission à disposer de capacités techniques à même de jauger l’algorithme (avec, éventuellement, les personnels de la CNCTR).

Les députés ont débattu, le lendemain en commission, de l’opportunité de la présence de députés et de la personnalité désignée par l’Arcep parmi les membres de la commission, mais aucun accord n’a été trouvé. Le dispositif est resté, jusqu’à l’examen en séance, en l’état.

Bernard Cazeneuve a aussi précisé que si l’algorithme détectait, dans le flux des données anonymes, un comportement suspect, toute surveillance supplémentaire passerait à nouveau par le filtre de la CNCTR.

Données collectées contre données analysées

Jean-Yves Le Drian, ministre de la défense, a également défendu l’utilisation de l’algorithme, « extrêmement ciblé ». « L’algorithme est là pour éviter que l’on prenne toutes les données », a abondé le ministre de l’intérieur Bernard Cazeneuve. En creux, l’argument du gouvernement est simple : quelle que soit la portée de cette boîte noire, c’est-à-dire la quantité de données qu’elle va collecter et analyser, il ne s’agit pas de surveillance massive puisque seules les données repérées par ordinateur feront l’objet d’une analyse humaine, soumise à l’aval et au contrôle de la CNCTR.

Cette distinction a été avancée par les autorités américaines dans les débats qui agitent le pays depuis les révélations d’Edward Snowden sur la NSA, et plus particulièrement sur ceux portant sur le programme de collecte des métadonnées téléphoniques. Toutes les données sont collectées, mais seule une portion est exploitée par les analystes.

Les ministres n’ont pas précisé quelle était exactement la portion du trafic qui passera sous les fourches caudines de l’algorithme. Si cette « boîte noire » devait traiter l’intégralité des flux transitant chez un fournisseur d’accès, le terme de « surveillance massive » ne paraît pas usurpé. Ce sont d’ailleurs ces mots qu’a employé la Commission numérique dans sa critique du projet de loi, dans une recommandation publiée mercredi 1er avril.

Bernard Cazeneuve a également justifié cette détection algorithmique du terrorisme en renvoyant aux algorithmes déjà mis en place par les géants du Web pour fournir leurs services aux internautes et utilisés, selon les termes du ministre « sans aucun contrôle ».

Un amendement déposé lors de l’examen en commission, mercredi, par Sergio Coronado (écologiste) proposait de supprimer l’article 851-4, celui qui met en place ces « boîtes noires ». Quasiment au même moment, la commission numérique de l’Assemblée réclamait elle aussi la suppression de ce dispositif. Sans succès, puisque les députés de la commission des lois ont décidé de le maintenir.

Source : Le Monde 01/04/2015