Intervention de Francesco Ragazzi

J'espère que les travaux que je vais vous présenter, fruit d'une recherche conjointe du Centre d'études sur les conflits, liberté et sécurité (CCLS) et du Centre for European Policies Studies (CEPS) de Bruxelles, autour de la question de la surveillance de masse sur internet, qui ont alimenté l'enquête du Parlement européen sur le sujet, seront utiles à votre réflexion sur la gouvernance mondiale de l'Internet.

Un point, tout d'abord, sur cinq aspects des politiques de surveillance de masse telles qu'elles ont été révélées par l'affaire Snowden, ainsi que par les travaux des juristes, des investigateurs et des chercheurs, et sur la situation en Europe.

Les pratiques de collecte de données révélées par l'affaire Snowden relèvent de deux modes opératoires. L'upstreaming, en premier lieu, c'est à dire la collecte en masse des données qui transitent sur les câbles en fibre optique, soit l'architecture physique d'Internet, grâce à des dispositifs d'interception. C'est le fait des États-Unis, via la NSA, mais aussi du Royaume Uni, qui a placé quelque deux cents de ces dispositifs sur les câbles qui relient les îles britanniques à l'Europe et aux États-Unis, de la DGSE française, autour de Djibouti et ailleurs, du Bundesnachrichtendienst (BND) allemand, qui s'intéresse entre autres aux données qui transitent à travers l'Internet Exchange de Frankfort, de l'agence suédoise FRA (Försvarets radioanstalt), pour les câbles qui relient les pays Baltes à la Russie. On est loin, ici, des problématiques du cloud : chacun agit sur son pré carré...

Le second type de pratique, lié au programme Prism est l'acquisition de données personnelles via des décisions de justice, notamment celles de la cour créée par le Foreign Intelligence Security Act (Fisa). Ce sont, dans ce cas, des sociétés privées comme Google, Facebook, Apple, ou Microsoft ainsi que les grandes sociétés de télécommunications, qui assurent la collecte. Les chiffres sont connus, ils ont été récemment publiés. Ils fournissent un ordre de grandeur. Le nombre de requêtes dont la NSA a ainsi demandé communication à Google a pu atteindre, certains trimestres, 30 000 à 35 000.

À cela s'ajoute un ensemble hétérogène de pratiques qui concernent d'autres aspects de la surveillance, comme les programmes de collecte de masse de métadonnées des téléphones, ou des programmes tels que Bullrun, visant à affaiblir les technologies de cryptage, ou bien encore des tentatives pour exploiter les failles des protocoles de sécurité - voir les récentes révélations sur la faille dite Heartbleed dans le protocole OpenSSL.

Les chiffres, cependant, révèlent l'extrême disproportion dans les moyens. La NSA emploie 37 000 personnes pour un budget annuel de 7 milliards, le GCHQ britannique (Government Communications Headquarters), 5 600 personnes pour un budget de 1,2 milliard, et la DGSE française 4 600 personnes pour un budget de quelque 650 millions.

Ce qui frappe, cependant, c'est l'ampleur du phénomène, qui opère à grande échelle. On est bien au-delà du « business as usual »... Il existe des cartes éloquentes qui permettent de comparer la taille des archives de la Stasi et celle de la NSA... Le GCHQ à lui seul intercepte 21 pétaoctets de données par jour, l'équivalent de l'utilisation quotidienne de 2,1millions de gros consommateurs de bande passante, ce qui laisse penser que la surveillance porte sur 3 à 4 millions de personnes par jour...

La distinction entre surveillance légitime et illégitime se brouille. On ne sait pas grand chose sur la façon dont les données sont utilisées, traitées et distribuées au sein des agences de sécurité européennes. Servent-elles, in fine, à des opérations de surveillance ciblée ne débordant pas le cadre juridique fixé par la loi ou faut-il penser que les agences européennes, à l'instar de la NSA, se livrent à un data-mining actif et indiscriminé qui met en cause les droits fondamentaux comme l'a révélé Edward Snowden au sujet du programme X-Keyscore qui permet de faire des recherches sur tout un ensemble de bases de données mises en commun. La NSA procède à un traitement algorithmique des données, qui produit directement des listes de cibles potentielles pour les drones de la CIA. De là à l'élimination totale du facteur humain dans la détermination des cibles, il n'y a qu'un pas. D'une manière générale, on ignore quelles conséquences a la surveillance pour les personnes qui en sont l'objet.

Toutes ces questions sont souvent posées sous le registre de l'antagonisme entre les États-Unis et l'Europe, quand il s'agit bien plutôt d'un problème de contrôle démocratique sur un réseau transnational. Notre rapport montre que les services de renseignement dans les pays européens que nous avons observés, en France, en Allemagne, en Suède, aux Pays-Bas, sont tous engagés dans des programmes de surveillance de masse, le plus souvent coordonnés par les États-Unis, et impliquant l'échange de données. Une des raisons majeures de la course à la collecte engagée en France à partir des années 2000 tient même à cette volonté de s'asseoir à la table des États-Unis. L'échange de données est automatique pour le GCHQ britannique, dans le cadre des accords Ukusa dit aussi Five Eyes passés entre les États-Unis, le Canada, le Royaume Uni, l'Autralie et la Nouvelle-Zélande. On estime par exemple que 60% du renseignement du GCHQ provient des données de la NSA, qui aurait financé l'agence britannique, sur les trois dernières années, à hauteur de 120 millions, directement assignés au programme Tempora. Il en va de même dans le cadre d'autres configurations, comme Alliance Base, accord de coopération antiterroriste passé entre les États-Unis, le Royaume Uni, la France, l'Allemagne et l'Australie, avec des échanges en partie pilotés par la France. Sans parler des révélations du journal Le Monde sur la coopération entre Orange et la DGSE.