L'épineuse mission de surveillance numérique des services de renseignement français échapperait à tout contrôle effectif, selon La Quadrature du Net. L'association vise notamment les échanges de données avec les services étrangers et l'inspection des réseaux sociaux.

Le renseignement français flirte dangereusement avec les limites de la loi, d'après LQDN © DC Studio / Shutterstock
Le renseignement français flirte dangereusement avec les limites de la loi, d'après LQDN © DC Studio / Shutterstock

Plusieurs semaines après un colloque de la CNCTR (Commission nationale de contrôle des techniques de renseignement), La Quadrature du Net (LQDN) a décidé de pointer du doigt lundi les nombreuses zones d'ombre qui persistent dans la surveillance numérique en France. Entre l'absence de contrôle sur les échanges de données avec des services étrangers comme la NSA et le flou juridique entourant la surveillance des réseaux sociaux, le dispositif français présenterait de sérieuses lacunes, selon l'association.

Entre la NSA et la DGSE, des échanges de données hors contrôle sur le dos des Français

Les services de renseignement français échangent de plus en plus de données avec leurs homologues étrangers, notamment depuis les accords SPINS signés avec la NSA (le renseignement américain) fin 2015. La DGSE (Direction Générale de la Sécurité Extérieure) est particulièrement concernée, puisqu'elle est le principal service français impliqué dans ces échanges massifs de données avec les États-Unis. Pourtant, ces transferts massifs d'informations échappent totalement au contrôle de la CNCTR, l'autorité chargée de surveiller les activités de renseignement.

Pour La Quadrature du Net, cette situation est d'autant plus préoccupante que la France fait figure d'exception en Europe. Elle est en effet le dernier pays de l'Union européenne à ne disposer encore d'aucun cadre juridique pour justement encadrer ces échanges internationaux de données. Et ce, malgré les recommandations insistantes et répétées de la Cour européenne des droits de l'homme.

Le risque serait ici bien réel : les services français pourraient obtenir via leurs partenaires étrangers des données qu'ils n'auraient pas le droit de collecter directement selon la loi française. Il s'agirait d'une faille majeure, qui forcément inquiète la CNCTR elle-même, qui réclame depuis plusieurs années un meilleur encadrement de ces pratiques.

Réseaux sociaux et piratage : la surveillance française dans l'illégalité ?

Oui, la surveillance des réseaux sociaux (OSINT) par les services de renseignement s'est considérablement développée ces dernières années, et ce n'est d'un point de vue sécuritaire pas une mauvaise chose. Ce qui pose problème, insiste LQDN, c'est qu'elle ne soit encadrée par aucun texte en France, tout comme l'achat de données aux data brokers, ces sociétés spécialisées dans le commerce des données personnelles.

Le piratage informatique est un autre sujet sensible en la matière. Les services français bénéficient d'une immunité pénale pour leurs activités de hacking à l'étranger, une disposition qui ici semble contraire à la Convention de Budapest sur la cybercriminalité. De quoi renforcer un peu plus le flou juridique qui entoure la légalité de ces pratiques.

Alors face à ces diverses lacunes, la CNCTR demande un renforcement de ses pouvoirs. Elle souhaite notamment que ses avis deviennent contraignants pour le gouvernement, comme l'exige le droit européen, et non plus simplement consultatifs comme c'est le cas aujourd'hui.