La note interne de l’Inria qui étrille la loi sur le renseignement
Les scientifiques du prestigieux Institut national de recherche en informatique et en automatique (Inria) sont plus que sceptiques concernant la loi sur le renseignement, adoptée en première lecture le 5 mai à l’Assemblée.
Dans une note datée du 30 avril qui devait initialement être envoyée dans les cabinets ministériels et aux députés et que Le Monde s’est procurée, l’Inria étrille certains points techniques et controversés du projet de loi.
Pas de donnée anonyme
L’Institut, placé sous la tutelle de Bercy et du ministère de la recherche, critique vertement l’article 851-4 de la loi, qui prévoit la mise en place d’algorithmes – les fameuses « boîtes noires » – pour détecter automatiquement les comportements terroristes sur Internet. La loi prévoit que cette analyse se fasse sur des données anonymes, toute identification intervenant uniquement si une menace est détectée : un argument martelé par le gouvernement lors de l’examen du texte à l’Assemblée et des premières auditions au Sénat. « Il n’existe pas aujourd’hui de technique d’anonymisation sûre. Un texte de loi ne devrait pas se fonder sur la notion de donnée anonyme ou anonymisée », tranche l’Inria.
La Commission nationale informatique et liberté avait déjà pointé le caractère peu anonyme de données qui peuvent, en cas de besoin, identifier un suspect.
Les dangers de l’algorithme
L’Institut alerte ensuite sur les potentielles dérives d’une détection algorithmique des terroristes. Un programme informatique, même bien réglé, produit systématiquement des erreurs, qui sont d’autant plus nombreuses que la masse de données à traiter est importante, expliquent les scientifiques dans leur note.
« Ce phénomène scientifique bien connu (…) a des conséquences que le texte du projet de loi ne prend pas en compte », met en garde l’Inria.
L’Inria relève également l’inefficacité de la surveillance numérique introduite par les algorithmes, « facilement contournables même sans connaissance technique élaborée ». L’institut public précise que lorsque ces dispositifs de contournement – comme un VPN (l’internaute se connecte alors, de manière sécurisée, vers un ordinateur tiers par lequel transite sa navigation sur Internet) – seront mis en place, « aucune information sur le destinataire final de l’information ou le contenu du message ne sera possible ».
Enfin, l’Inria, qui se tient « à disposition du législateur », estime que la composition de la Commission nationale de contrôle des techniques de renseignement (CNCTR) chargée du contrôle des écoutes, et donc des algorithmes, n’est pas satisfaisante. « Compte tenu de la complexité scientifique et technique des sujets numériques abordés », elle devrait bénéficier, écrit l’Institut « d’une représentation équilibrée entre les compétences numériques et juridiques ». En l’état actuel de la loi, seul un membre de la CNCTR, nommé par l’Autorité de régulation des communications électroniques et des postes, sera doté d’un bagage technique lui permettant de contrôler l’algorithme.
Une deuxième note en préparation
La position exprimée dans cette note n’est pas une surprise et reflète largement les diverses interventions, dans les médias, des scientifiques membres de l’Institut.
Pourquoi ce document, très rare de la part de l’Institut, n’a-t-il finalement pas été transmis aux députés et aux ministres ? Daté du 30 avril, il a été achevé après les débats en séance à l’Assemblée et peu avant le vote solennel : trop tard pour susciter des changements dans le texte. A l’Inria, en revanche, on justifie cette non publication par la volonté d’adopter « une démarche constructive » et de ne pas se limiter à un simple « constat ».
La réticence de l’institution à publier son avis officiel traduit aussi la difficulté pour cet organisme public sous tutelle ministérielle de prendre une position frontalement opposée aux choix du gouvernement.
Selon nos informations, une seconde note assortie de propositions concrètes est en préparation. Elle donnera des clés aux pouvoirs publics pour corriger les défauts que l’Institut relève dans sa première note.
Martin Untersinger
Journaliste au Monde
* Le Monde.fr | 13.05.2015 à 17h50 • Mis à jour le 13.05.2015 à 18h05.
Les critiques de la CNIL contre le projet de loi sur le renseignement
Mise à jour le 19 mars : dans son avis définitif, rendu ce jeudi 19 mars, la CNIL souligne que le projet de loi final tient compte sur plusieurs points, des inquiétudes qu’elle avait soulevées. La Commission note que des « garanties substantielles ont été apportées » sur les conditions de mise sous surveillance de l’entourage de suspects, l’utilisation des IMSI catchers, ou encore sur le fait que le recueil de données en temps réel ne porte que sur les métadonnées et non sur le contenu des communications.
La Commission nationale de l’informatique et des libertés (CNIL) émet de sérieuses réserves sur le projet de loi sur le renseignement, que Manuel Valls doit présenter, jeudi 19 mars, en conseil des ministres. Comme pour tous les textes liés à la question des données personnelles et à la vie privée, la CNIL a été saisie par le gouvernement. Selon un document de travail quasi-définitif que Le Monde a pu consulter, son avis traduit une forte inquiétude face à certaines dispositions clés du projet de loi. Si certains arbitrages sont encore incertains, le texte comporte des « mesures de surveillance beaucoup plus larges et intrusives » que ce qui existe actuellement, observe la CNIL.
Le projet de loi – c’est une nouveauté – donne aux services de renseignement des outils jusqu’ici dévolus à la sphère judiciaire : la « sonorisation », c’est-à-dire la pose de micro, la surveillance informatique et la géolocalisation d’une personne ou d’un objet. Si la CNIL n’y voit pas matière à « une opposition de principe », elle note que certaines garanties prévues dans le champ judiciaire ont disparu. Elle regrette que certaines catégories de professions (avocats, médecins, journalistes…) ne soient en l’état actuel du texte pas protégées, que le type des données informatiques qui peuvent être collectées ne soit pas détaillé et que les outils de géolocalisation ne soient pas davantage encadrés.
« Garanties pas suffisantes »
Les critiques les plus virulentes concernent les dispositifs de surveillance « officialisés » par le projet de loi. Ce texte vise avant tout à donner un cadre légal à des techniques déjà employées sous le manteau par les services de renseignement. Mais pour la CNIL, ces nouveaux outils opèrent un changement de paradigme dans les techniques de renseignement, un changement aux « conséquences particulièrement graves sur la protection de la vie privée et des données personnelles ».
« Il ne s’agit plus seulement d’accéder aux données utiles concernant une personne identifiée, écrit la CNIL, mais de permettre de collecter de manière indifférenciée, un volume important de données qui peuvent être relatives à des personnes tout à fait étrangères à la mission de renseignement. »
Trois outils inquiètent particulièrement la commission. Le premier permet la captation des données de connexion (soit les métadonnées) en temps réel et directement sur les équipements des entreprises de télécommunication, afin de pouvoir mieux détecter des terroristes potentiels liés à des suspects déjà identifiés avec lesquels ils communiquent. Le projet de loi prévoyant que les services puissent à ce titre prélever « la totalité des informations et documents », CNIL aimerait que soit « clarifié » le « périmètre » des données qui peuvent être collectées. Elle s’alarme plus particulièrement de la possibilité donnée aux services de ponctionner ces données directement auprès des opérateurs. « Les garanties prévues pour préserver les droits et libertés ne sont pas suffisantes pour justifier une telle ingérence », selon l’avis.
Le projet de loi officialise également la création d’un système de détection automatique d’activités de nature terroriste sur la base de données informatiques « anonymes ». La CNIL souligne que l’anonymat de ces données est tout relatif dans la mesure où il peut être levé « en cas de caractérisation de menace terroriste ».
Collecte de données automatique
Troisième inquiétude : la possibilité qu’ouvre le projet de loi d’installer des « IMSI catchers », des appareils qui imitent les antennes-relais de téléphonie mobile afin de capter les communications d’un suspect. Selon la CNIL, ce dispositif très intrusif devrait être soumis au même système de contrôle que les autres techniques de surveillance, alors que le projet de loi n’en soumet l’utilisation qu’à des procédures très légères. « Un tel dispositif permettra de collecter de manière systématique et automatique des données relatives à des personnes pouvant n’avoir aucun lien ou un lien purement géographique avec l’individu effectivement surveillé », alerte la Commission.
Enfin, la CNIL note que le projet de loi est muet en ce qui concerne les bases de données et les fichiers créés par le texte, ce qu’elle déplore, et propose qu’on lui confie une mission de contrôle sous condition des fichiers ainsi créés, « une garantie supplémentaire essentielle ».
La commission salue en revanche le fait que certaines activités des services de renseignement, « qui, pour certaines, échappaient à tout contrôle » soient désormais soumises à un « contrôle administratif et juridictionnel ». La CNIL souligne ainsi la création de la Commission nationale de contrôle des techniques du renseignement, « dotée de pouvoirs de contrôle inédits ».
Martin Untersinger
Journaliste au Monde
* LE MONDE | 18.03.2015 à 11h02 • Mis à jour le 10.04.2015 à 17h35.