Intervention de Catherine Morin-Desailly

Monsieur le président, madame la garde des sceaux, monsieur le ministre, mes très chers collègues, au sommet de la pyramide est placé Big Brother. Big Brother est infaillible et tout-puissant ! C’est l’affaire Snowden qui aura démontré que nous ne sommes désormais plus très éloignés du monde effrayant de 1984 imaginé par George Orwell. En 2013, les révélations de ce jeune informaticien sur les pratiques de la NSA ont en effet mis en lumière un système de surveillance de masse exercée en ligne, précipitant la fin du mythe originel d’internet.

Quarante ans après sa naissance, internet, synonyme de liberté, se révèle être aussi un instrument de puissance qui nous échappe, support d’un monde d’hyper-surveillance et de vulnérabilité. Tel est le diagnostic réalisé l’année dernière par la mission commune d’information sur la gouvernance mondiale de l’internet, voulue par le groupe UDI-UC, dont j’ai eu l’honneur d’être la rapporteur.

Forte de ce constat, notre mission a réfléchi au rôle que devraient jouer la France et l’Europe dans cette gouvernance. Parmi les soixante-trois propositions sur un ensemble de sujets, étaient évoqués l’urgence d’un cadre juridique renouvelé et modernisé, le nécessaire renforcement de l’encadrement légal des activités de renseignement, mais aussi l’indispensable amélioration de leur contrôle politique. C’est dire si je suis, comme vous tous, préoccupée par les questions de sécurité, que je considère comme un droit fondamental. Tout comme je considère comme fondamental – ce n’est pas opposable – le respect de nos libertés.

Sur ce sujet, à en juger le texte initial du Gouvernement, je dois dire que nous revenons de loin. C’est ici au Sénat, grâce au travail effectué par Philippe Bas pour la commission des lois et par Jean-Pierre Raffarin pour la commission des affaires étrangères, qu’il a été sensiblement amélioré. Je remercie d’ailleurs la commission des lois d’avoir intégré certains de mes amendements. Néanmoins, en l’état, ce texte est encore source de grande inquiétude. Je ferai à cet égard plusieurs remarques.

Première remarque : une législation exclusivement nationale reste à mon sens insuffisante. Aujourd'hui, si chaque membre de l’Union européenne s’interdit d’espionner sa propre population, il obtient néanmoins des renseignements sur celle-ci auprès de ses voisins. C’est ce qu’Edward Snowden a qualifié de « bazar européen » lors de son audition au Parlement européen.

Il faut donc un cadre juridique européen harmonisé de contrôle des échanges d’informations entre services de renseignement, et ce sans préjudice de la compétence exclusive de l`État français en matière de politique de renseignement. Il faut aussi se préoccuper de la sécurité de nos réseaux et de nos infrastructures. Je l’ai expliqué dans un autre rapport fait au nom de la commission des affaires européennes en 2013 : nous sommes sur bien des sujets, et sur celui-ci en particulier, une « colonie du monde numérique ».

Deuxième remarque, et c’est un point à mes yeux rédhibitoire : ce texte, à travers les mesures proposées, qui n’ont en rien prouvé leur efficacité, instaure la suspicion numérique généralisée. Ce n’est pas pour rien si tant d’institutions expertes et qualifiées, comme le Conseil national du numérique, la Commission nationale de l’informatique et des libertés, l’INRIA - l’Institut national de recherche en informatique et en automatique -, les barreaux, le Conseil national des droits de l’homme nous alertent quant aux graves risques d’abus de dispositifs par nature intrusifs. Hier, au sujet d’une question prioritaire de constitutionnalité, le rapporteur au Conseil d’État lui-même a recommandé à l’institution qu’il représente de saisir le Conseil constitutionnel.

Il y a tout d’abord la question des métadonnées, c’est-à-dire des données sur les données. Parce qu’elles seraient, nous dit-on, moins intrusives que le contenu lui-même, elles pourraient être collectées et traitées sans que cela constitue un risque pour le droit à la vie privée de nos concitoyens. Eh bien, c’est tout le contraire ! En raison de la montée en puissance des capacités de traitement des données en masse, le « big data », et aussi de la numérisation de toute l’activité humaine, ces métadonnées sont devenues plus révélatrices du comportement des modes de vie, des opinions, des usagers que nous sommes.

Il y a ensuite la question des « boîtes noires », les fameux algorithmes, posées chez les fournisseurs d’accès à internet, les hébergeurs de sites web ou encore les grands services en ligne que l’on utilise au quotidien et où se trouvent les métadonnées de chaque internaute.

Disons-le clairement, le projet de loi tel qu’il a été voulu par le Gouvernement s’apparente bien à un Patriot Act à la française : une loi d’exception, prise au lendemain des attentats du 11 septembre 2001 et qui a abouti à l’émission de plus de 200 000 national security letters – lettres de sécurité nationale – permettant d’avoir accès aux données d’usagers de télécommunications entre 2003 et 2006.

Non content d’alerter sur les potentielles dérives d’une détection algorithmique et de démontrer qu’un programme informatique, même bien réglé, produit systématiquement des erreurs, l’INRIA souligne également l’inefficacité de cette technique algorithmique, apportant la preuve qu’ils sont facilement contournables, même sans connaissance technique et informatique élaborée.

Ironie du sort, comme l’a rappelé notre collègue Claude Malhuret, au moment où le Congrès américain remet en cause la reconduite de l’article 215 du Patriot Act, sans tirer de conclusions de l’application de celui-ci lors des quinze dernières années, nous nous apprêtons à légiférer aujourd’hui pour amplifier notre dispositif légal du renseignement avec des conséquences démocratiques mais aussi économiques imprévisibles.

Outre le fait qu’il convient de supprimer des dispositifs dits de « boîtes noires » et de prendre quelques garanties supplémentaires, que j’aurai l’occasion d’évoquer lors de la discussion des articles, concernant notamment les « professions protégées », il faut absolument donner à la CNIL la possibilité d’un contrôle a posteriori des fichiers. C’était d'ailleurs la recommandation n° 54 de notre rapport.

Enfin, troisième remarque : il est important de préciser une menace sous-jacente à ce texte, à savoir la création de « failles » par les services de renseignement qui seront autant de portes dérobées dans les algorithmes cryptographiques, des failles accessibles tant aux agences de sécurité qu’aux terroristes et autres cybercriminels. Il a été démontré que les programmes de surveillance de masse comme ceux de la NSA fragilisent les dispositifs de sécurité d’internet. Ils rendent encore plus vulnérables les entreprises et les infrastructures critiques des États et, donc, leurs données. Les conséquences économiques liées à la crise de confiance numérique sont d'ailleurs devenues telles aux États-Unis que l’agence fédérale américaine chargée d’élaborer les standards de chiffrement souhaite désormais s’émanciper de la NSA.

Mes chers collègues, je dirai, en conclusion, qu’à l’hyper-surveillance, qui nous touche tous, doit correspondre la mise en place d’hyper-moyens de contrôle de la surveillance, seul rempart contre l’arbitraire. La France et les Français ont besoin d’être protégés, mais ils ont aussi besoin de voir leur démocratie et ses valeurs protégées sur le long terme.

Pour avoir participé ce matin, dans le cadre du deuxième forum de la gouvernance de l’internet, à un débat sur ces sujets, je vous mets en garde. À la question posée par un atelier intitulé « La sécurité peut-elle être le résultat d’un algorithme ? », la réponse a bien sûr été négative. La conclusion a été qu’une fois les dispositifs établis, nul ne pouvait garantir l’utilisation qui en serait faite. Quel que soit le gouvernement, il sera toujours tentant de mettre le doigt dans le pot de confiture.