Interventions sur "connexion"

...nement, la géolocalisation administrative en temps réel d’une personne, d’un véhicule ou d’un objet et l’utilisation en cours d’opération de dispositifs mobiles de proximité de captation directe de certaines métadonnées. Il permet également, pour les seuls besoins de la prévention du terrorisme, le recueil en temps réel sur les réseaux des opérateurs de communications électroniques des données de connexion de personnes préalablement identifiées comme constituant une menace, voire, à titre exceptionnel, l’utilisation du dispositif des IMSI-catchers pour intercepter directement le contenu des correspondances. Il permet enfin, à des fins de prévention du terrorisme, l’exploitation par les opérateurs de communications électroniques et les fournisseurs de services des informations et documents traités p...

Nous souhaitons, par cet amendement, revoir la définition des données de connexion donnée au nouvel article L. 851-1 du code de la sécurité intérieure, qui est issu de l’article 20 de la loi de programmation militaire. Nous ne souhaitons pas supprimer cet article 20, qui avait donné lieu à un grand débat extrêmement polémique à l’époque, notamment parce qu’il est très imprécis. Mais nous proposons d’harmoniser la rédaction de l’article L. 851-1 avec celle prévue au nouvel artic...

La commission a repoussé cet amendement, et pas seulement parce qu’il revient sur le débat sur l’article 20 de la loi de programmation militaire ! Il entend en effet encadrer le recueil des données de connexion via un dispositif technique dit « de proximité ». Or, en commission, ce dispositif a perdu sa qualification de « proximité » et, surtout, a fait l’objet d’un encadrement strict aux alinéas 23 et 24 du présent article, prenant ainsi en compte la préoccupation exprimée ici.

...ande d’explications qu’avait faite Christian Paul au Gouvernement à la fin de la séance de l’après-midi. D’autres d’entre nous avaient aussi posé de nombreuses questions qui n’ont pas eu de réponses. Les questions essentielles, messieurs les ministres, sont de savoir en quel point du réseau de télécommunications vous entendez poser les sondes. Si c’est en coeur de réseau ou sur le routeur d’interconnexion, cela nécessite de recourir à un équipement supplémentaire si vous voulez aller au-delà de la loi actuellement en vigueur. Si vous voulez recueillir d’autres métadonnées que les données de connexion, vous serez obligé de mettre en place des équipements en coeur de réseau, des « deep packet inspection » : est-ce votre intention, ou pas ? Ces équipements, vous le savez, sont extrêmement intrusifs, ...

...lle le recueil de documents auprès des opérateurs ? Je ne vois pas de réponse. Je pense donc qu’il faut tout simplement supprimer cette référence, car il y a une suspicion que je souhaite lever, comme vous j’imagine, messieurs les ministres. La CNIL a formulé la même interrogation et estime que le périmètre est mal défini. Elle recommande de préciser la formulation, afin que seules les données de connexion – les données ! – puissent être recueillies. Tel est le sens de mes amendements nos 20 à 22.

La commission a repoussé cet amendement car nous avions déjà tenu ce débat sur l’article 20 du projet de loi de programmation militaire. M. Tardy avait d’ailleurs déjà exprimé un certain nombre d’incertitudes ou d’inquiétudes. Mais depuis, le décret du 24 décembre 2014 relatif à l’accès administratif aux données de connexion, codifié aux articles R. 246-1 et suivants du code de la sécurité intérieure, a apaisé toutes les craintes qui avaient été formulées. Nous considérons donc que l’amendement n’a pas lieu d’être.

Je vous rassure, je n’ai pas l’intention de rouvrir le débat que nous avons eu lors de l’examen du projet de loi de programmation militaire. Ceci dit, vous apportez vous-même des modifications aux articles relatifs aux accès administratifs aux données de connexion. C’est donc l’occasion de revenir sur deux problèmes qui sont toujours, à mes yeux, irrésolus. En effet, la liste des données pouvant être recueillies n’est pas exhaustive. Il est question de « recueil d’éléments », mais avec un « y compris » qui ne ferme pas la porte au recueil d’autres choses non mentionnées dans la loi. Je cite cette liste : données techniques relatives à l’identification des...

...eland. D’une part, il concerne non pas les États mais les opérateurs privés, et je ne suis pas certain qu’il faille immédiatement en tirer des conséquences pour l’État, et d’autre part il n’est pas pertinent de s’y référer ici puisque l’article L. 851-4 ne propose pas une surveillance de masse. Enfin, M. Coronado pointe dans son exposé sommaire le caractère illusoire de l’anonymat des données de connexion. C’est la raison pour laquelle la notion de levée d’anonymat a été supprimée du texte adopté par la commission, au profit de celle d’identification, utilisée uniquement dans des cas bien circonscrits. La présidente de la Commission nationale de l’informatique et des libertés – CNIL – nous en avait convaincus. La commission a donc émis un avis défavorable sur ces deux amendements.

Permettez-moi de céder à la mode du « vrai-faux » qui semble sévir au sein du Gouvernement sur ce projet de loi. Vous nous dites, monsieur le ministre de la défense, que les données de connexion sont moins importantes, ou en tout cas moins précises, que le contenu lui-même. C’est faux ! Et malheureusement pour vous, nous ne sommes pas les seuls à le dire. Quiconque s’y connaît un tout petit peu en informatique pourrait vous le confirmer.

Comme je l’ai démontré hier soir, les informations obtenues sont encore plus riches lorsqu’elles sont assorties de métadonnées et de données de connexion, puisque l’on peut alors savoir avec qui la personne est en relation tant de fois par jour ou par semaine, combien de temps dure la conversation, quels sont les conversations menées et les sites consultés ultérieurement. Ainsi, les données sont encore plus précieuses. C’est bien pourquoi elles sont au centre des préoccupations des géants mondiaux de l’informatique. Vous nous dites ensuite que ce...

... faut trouver la façon de gérer cette tension, particulièrement vive à propos de ce texte. Pour faire avancer le débat, je souhaite vous faire part de deux interrogations. Monsieur le ministre de la défense, vous avez parlé de la captation – le choix des termes n’est pas aisé et peut-être conviendrait-il de parler plutôt de collecte, de traitement – en temps réel de l’exhaustivité des données de connexion.

Le nouvel article L. 851-3 du code de la sécurité intérieure permet, s’agissant des seuls besoins de la lutte antiterroriste, et pour certaines personnes présentant un risque en matière de terrorisme, un accès instantané en temps réel aux données de connexion, c’est-à-dire aux réseaux des opérateurs. Certes, le contenu même de ces échanges est exclu : seule une interception de sécurité permettra d’y accéder. Pour autant, le périmètre des données pouvant être recueillies est très large. Il s’agit en effet, selon la lettre du futur article L. 851-1 du code, « des informations ou documents traités ou conservés par leurs réseaux ou services de communicat...

Il tend à préciser que ce sont bien les données de connexion que vous voulez récupérer, monsieur le ministre. Je suis désolée si je donne l’impression de dire des mensonges, parce que ce n’est pas du tout mon objectif. En revanche, je serais rassurée si vous me précisiez la méthode par laquelle vous allez procéder. Allez-vous utiliser la technique du deep packet inspection pour recueillir les données ? Dites-le nous simplement, cela nous rassurerait. Expl...

...ème philosophique. Comme l’a souligné le Conseil national du numérique – qu’il faudrait écouter de temps en temps – s’en remettre à un algorithme est un choix de société douteux. Cela peut convenir pour chercher ses vacances, mais je ne vois pas l’intérêt pour cibler des terroristes. Ensuite, on ne connaît pas la localisation de ces sondes : seront-elles aux coeurs de réseau ou aux points d’interconnexion qui ne voient pas passer l’intégralité du trafic ? Ce serait alors peu efficace pour le trafic échangé localement entre cellules terroristes. Ou bien seront-elles au plus proche des abonnés finaux ? Dans ce cas, cela impliquerait d’aller reconfigurer plus de 50 000 équipements. On ne connaît pas non plus le périmètre des métadonnées. Seules les adresses IP seront-elles concernées, ou également l...

... ces armoires noires ? Cela pose de vraies questions. Ces boîtes noires permettront l’écoute à tout instant de tout trafic d’un hébergeur ou d’un fournisseur d’accès à internet dans le but de rechercher de potentiels terroristes. Comme je l’ai déjà dit, il s’agit pour moi d’une mesure vaine parce que les personnes visées savent utiliser les réseaux anonymes, comme Tor ou VPN, pour chiffrer leurs connexions et les faire aboutir ailleurs. Ils savent également utiliser – ils ne sont pas bêtes – des algorithmes de chiffrement, tel PGP, nombreux à être considérés comme sécurisés. En fait, cela reviendra à intercepter de la soupe numérique, illisible ! Les gens qui veulent se cacher sur les réseaux internet savent le faire : ils ne vous ont pas attendus, je vous assure ! Toutes ces questions restent s...

Essayons de trouver des solutions maintenant, sans quoi vous serez obligés de réunir à nouveau les hébergeurs à Bercy. Il s’agit de prévoir que seules des métadonnées seront recueillies, et surtout pas des données de contenu ou de navigation. Ce sous-amendement vise à fixer explicitement le périmètre des métadonnées – connexion, localisation, identification du terminal – en renvoyant, en plus de ce qui est prévu, à l’article L. 34-1 du code des postes et télécommunications électroniques. Je précise que je fais référence au VI de cet article, ce qui n’est pas précisé dans l’amendement, car il s’agit d’une procédure administrative et le droit de communication se fonde sur le renvoi explicite à l’article. Ce renvoi est ut...

... que tout cela ne concerne pas que les terminaux et les IMSI-catchers ; c’est l’un des rares points sur lesquels le texte initial était plus protecteur. Je n’ai pas compris les raisons de cette extension, étant donné le caractère intrusif des dispositifs en question. Cet amendement propose donc de revenir au texte initial en prévoyant que seules peuvent être recueillies les données techniques de connexion strictement nécessaires à l’identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur, ainsi que les données techniques relatives à la localisation des équipements terminaux utilisés. De fait, cette limitation des données est salutaire car elle limite également la liste des dispositifs pouvant être utilisés par le biais de cet article précis.

...positifs au regard des finalités qu’ils développent. Nous les avons donc réintégrés dans les articles à chaque fois que la finalité était concernée. Pour ce qui est des interceptions de sécurité, qu’elles soient effectuées au moyen d’un IMSI-catcher ou de tout autre outil, ce qui nous intéresse, ce sont les interceptions de sécurité. Il en va de même pour ce qui est de la collecte des données de connexion : peu importe l’outil, c’est la finalité qui compte. De même, pour l’accès au contenu, peu importe l’outil, c’est la finalité qui compte. C’est la raison pour laquelle nous avons supprimé le dispositif : nous l’avons réintroduit à chaque fois que nécessaire, parce que nous légiférons en fonction des finalités et non pas des avancées technologiques. Avis défavorable sur votre amendement.

...d’accéder en tout lieu à des données informatiques, de les enregistrer, de les conserver et de les transmettre telles qu’elles s’affichent sur un écran. Là encore, où sont les documents ? Je ne vois que des données. Je répète en outre, car cela est passé relativement inaperçu, que les IMSI-catchers ne sont pas seuls concernés : la liste est beaucoup plus large. En principe, seules les données de connexion sont concernées. C’est ce que prévoyait le texte initial, mais on s’y perd. Toute l’inquiétude vient du fait que la liste des données n’est pas fixée exhaustivement, ainsi que je l’ai dit tout à l’heure. Il faut donc encadrer ce recueil au maximum et éliminer ce qui peut l’être, à savoir les documents.

...au moyen d’un dispositif de sécurité, en passant de 30 à 90 jours. Je précise que le délai prévu compte parmi les plus faibles d’Europe : en Allemagne, pays où tout cela existe déjà, la législation fixe ce délai à six mois. Je veux aussi indiquer que le recoupement des données recueillies, puisque dans le cadre en question les services ne sont autorisés à collecter que des données techniques de connexion et n’ont pas accès aux contenus, ce recoupement, disais-je, prend beaucoup de temps. En outre, dans le cadre de filatures complexes d’individus formés aux techniques de contre-filature, il est impossible d’effectuer un recoupement rapide sans exposer les agents ou révéler la surveillance. Enfin, je rappelle que le recours à ces techniques est strictement encadré, le président Urvoas vient de le...