CNCIS – 23e rapport d’activité 2014-2015
Le recueil des données de connexion, qui se distingue dès à présent des interceptions de sécurité (cf. ce rapport ci-après) est une opération technique qui passe par l’opérateur après approbation de son
principe sur examen d’une demande. Mais cette technique reste cependant relativement simple : sa faisabilité repose sur l’opérateur qui en
livre les résultats.
Il en ira autrement avec les techniques autorisées par la nouvelle
loi sur le renseignement, par lesquelles les services mettront en œuvre
des dispositifs d��une relative complexité technique, dont les résultats
dépendront précisément de leurs caractéristiques. Ainsi, s’il est présenté
par un service un logiciel permettant de repérer chez un opérateur les
communications avec un site du « darknet » lié au terrorisme agissant,
faut-il que le contrôleur en accepte sans autre forme d’investigation la
présentation par le service ? Et si le logiciel est capable aussi d’identifier
les communications avec les sites des jeux en ligne pour repérer l’addiction de joueurs, qu’en saura le contrôleur ?
La sophistication des technologies intrusives, dont la fabrication
génère un marché où interviennent des acteurs puissants, contraint
le contrôleur, demain, à s’adapter. En premier lieu, en se dotant des
connaissances techniques qui lui sont nécessaires, par le moyen de
recrutements idoines ; en second lieu, en élargissant ses prérogatives à
un contrôle non seulement des données obtenues, mais des outils par
lesquels elles le sont.
Cette question de la matérialité se distingue à peine d’une autre
question relative au contrôle des données recueillies.
L’essentiel de ce qui est recherché par les services – identifier
quelqu’un, connaître ses agissements et ses relations – se traduit in fine
dans la quasi-totalité de ce qui doit être contrôlé par des données numériques (conversations téléphoniques, données de disque d’ordinateur,
signaux de balise…).
Les données numériques ont un avantage et deux inconvénients.
L’avantage réside dans la mobilité. Un tour du monde, au mieux
des opportunités de coût, est une banalité pour ceux qui ont à transmettre du numérique. A fortiori s’il s’agit de transmettre une donnée
d’un service déconcentré de police à un organisme de contrôle. La centralisation des données ne pose, dans son principe, aucune difficulté.
Le premier inconvénient est dans la fragilité des réseaux. On le
sait bien avec le développement des attaques informatiques de toute
nature, par jeu, malveillance, concurrence ou stratégie. Par conséquent,
les données sensibles ne doivent pouvoir circuler que sur des réseaux
sécurisés par des moyens adéquats. C’est une des garanties que les
intrusions autorisées par la loi doivent offrir : que la connaissance des
données personnelles par les services de police soit strictement limitée
26
CNCIS 2015 IV.indd 26
26/06/2015 11:17:36