Les attentats de Paris ont démontré l’insuffisance des moyens de renseignement face à la quantité et la variété des terroristes potentiels et de leurs modes d’action. L’angélisme cède du terrain au pragmatisme. Quels que soient les effectifs des agents de l’Etat, des outils plus puissants doivent être mis en œuvre pour leur permettre de mieux focaliser les moyens humains, dans un cadre juridique adapté.
Une nouvelle donne
Deux mois ont passé après les attentats de janvier à Paris, qui ont confirmé l’insuffisance des moyens humains, techniques et juridiques dans une lutte asymétrique, polymorphe et sournoise. Pendant que le landernau se gargarisait longuement mais à juste titre sur les cybermenaces, nos concitoyens reprenaient conscience de risques plus palpables pouvant les affecter sur leurs lieux de travail, sur leur trottoirs ou dans les supermarchés, en attendant pire, car ceux qui « sont Charlie » seront peut-être les prochaines victimes.
Je l’avais prédit dans ces colonnes en décembre 2013 : le passage de la menace à la réalité va déplacer le point d’équilibre entre la sécurité et les libertés. Dans son discours du 21 janvier dernier, le premier ministre a annoncé des mesures exceptionnelles : 2700 postes supplémentaires dont 1100 pour le renseignement intérieur, recrutement d’analystes, fichier des personnes prévenues ou condamnées pour terrorisme, magistrats référents, et des moyens technologiques non précisés dans un ensemble d’investissements de 425M€. Cela ne signifie pas que l’Etat va recourir à des lois d’exception, mais que tout sera fait pour combiner l’intelligence humaine et les moyens techniques tout en restant fidèle au principe de protection des libertés de notre démocratie.
Dans sa grande majorité, l’opinion y est désormais prête, à condition qu’on lui explique mieux les tenants et aboutissants. Les professionnels des forces de sécurité, d’autres services de l’Etat et des industriels pourvoyeurs d’outils technologiques sont résolus à assembler rapidement et expérimenter des solutions, pour peu que le droit de les mettre en œuvre soit établi. L’arsenal juridique français étant déjà bien fourni, il est possible que peu d’adaptations soient requises pour permettre la réalisation de ces nouveaux outils techniques et procéduraux.
Des nouvelles techniques prêtes à servir l’intérêt général
Les nouvelles technologies logicielles et les mathématiques permettent d’analyser automatiquement de grandes quantités données issues de capteurs de réseaux de téléphonie cellulaire, telle que la localisation des téléphones portables. La chronolocalisation, qui permet de mesurer Qui est Où et Quand, est un outil déterminant pour la prévention ou l’élucidation des actes criminels ou terroristes, en complément d’autres outils et bien entendu du renseignement humain.
D’autres traces numériques sont porteuses de Qui/Où/Quand, telles que celles des smartphones, des caméras de vidéo-protection et des lecteurs de plaques d’immatriculation, des cartes de paiement ou de fidélité, des textes échangés sur les réseaux sociaux et autres supports Web ou télécom, des procès-verbaux de tous types, du fichier des passagers (Passager Name Record), des véhicules et de la myriade d’objets communicants qui vont se multiplier.
Seule la justice et sous son contrôle la force régalienne ont la légitimité de recueillir, filtrer, comparer et traiter ces milliards d’informations dans un cadre juridique ou administratif très strict, justifié par la nécessité de prévenir ou d’élucider des actes terroristes ou criminels.
Encore faut-il disposer des savoir-faire technologiques nécessaires, de les adapter rapidement et constamment aux besoins des enquêteurs, de développer ou combiner en peu de temps les réponses techniques. Il faut aussi les maintenir sans cesse pour suivre les constantes évolutions de la technologie, de l’usage et des méthodes des bons et des méchants, qui ont trop souvent une longueur d’avance. Autant de critères que la puissance publique peine à satisfaire.
Face à la multiplicité des cibles en croissance constante et à l’extraordinaire quantité de traces numériques, les services de police judiciaire, de renseignement et de douanes ont impérativement besoin d’outils de ciblage capable d’en extraire des signaux faibles mais significatifs afin de mieux concentrer leur action dans l’espace et dans le temps pour plus d’efficience de leurs moyens intellectuels et physiques, qu’il s’agisse de prévention ou d’élucidation. Il en est désormais un besoin absolu pour la sécurité nationale.
Les impératifs de sécurité et de souveraineté
Au-delà du recueil des données via divers sources et capteurs, leur agrégation et leur traitement imposent de maîtriser tous les maillons de la chaine d’exploitation. Après la prise de conscience qui suivit les révélations d’Edward Snowden, d’autres affaires récentes ont démontré la cyberperméabilité des systèmes informatiques et de télécommunications de nos entreprises et de nos services publics. Aujourd’hui, ce sont principalement des entités étatiques qui nous narguent avec un certain succès, mais il est avéré que demain, ce seront des Etats voyous, puis des organisations terroristes et criminelles, qui s’adonneront soit à mettre en berne nos fichiers et systèmes de renseignement, soit plus insidieusement à déjouer discrètement leur dangerosité à leur égard. Il s’avère donc indispensable de renforcer la sécurité des centres de recueil, de traitement et d’échanges d’information. L’étanchéité totale étant impossible, il est impératif de miser sur le cryptage et la sécurisation numérique des données ainsi que l’authentification et la traçabilité des accès. C’est précisément là que des procédures d’autorisation et de contrôle adaptées à l’enjeu et aux circonstances peuvent être mises en place, sous l’égide et le contrôle de la puissance publique, avec ou sans modification du cadre juridique actuel.
Ne pas lâcher la main du droit
Dans la foulée du Livre Blanc sur la Défense et la Sécurité Nationale et d’un arrêt de la Cour européenne des droits de l’homme défavorable à la pratique française, la législature en cours a entrepris de rectifier notre arsenal juridique par la loi de programmation militaire du 18 décembre 2013 puis la loi sur la géolocalisation du 24 mars 2014. Ces textes précisaient ou complétaient les cadres d’emploi des outils techniques et rectifiaient ou entérinaient certaines procédures existantes. La nouvelle loi sur le renseignement, en cours de préparation, viendra compléter le dispositif. A ce stade, il va falloir examiner si les moyens et procédures existants peuvent servir aux « mesures exceptionnelles » annoncées par l’exécutif pour satisfaire les besoins enfin notoires, tout en respectant l’esprit des textes protégeant les libertés individuelles. A défaut, le législateur devra se remettre rapidement au travail, de préférence avec l’aide de toutes les compétences : magistrats, enquêteurs, juristes, CNIL, développeurs et pourvoyeurs de technologie, sociologues, etc.
Plusieurs pistes peuvent être explorées pour aménager les doctrines d’emploi des outils et les pratiques des forces de l’ordre, même avec des effectifs renforcés, pour faire face à la multiplicité et à la mobilité des cibles en sortant des paradigmes actuels. On peut citer l’utilisation de données pseudonymisées avec levée d’anonymat sous l’égide d’autorités judiciaires ou administratives, la restriction de l’utilisation de certains outils à des services spécialisés sous le contrôle de magistrats dédiés, ou encore l’adaptation du cadre légitime d’emploi au niveau de la menace en cours.
Un nouveau test pour la filière de sécurité
Tous les acteurs du système doivent être mis à contribution. Le Premier ministre, ancien ministre de l’intérieur parfaitement au fait des enjeux, préside également le comité de la filière de sécurité (COFIS). A lui de confirmer l’impulsion et d’en suivre l’exécution avec les ministères et organismes concernés. Le Parlement doit entamer sans tarder les éventuelles retouches juridiques appelées par l’évolution du champ des souhaitables et du champ des possibles dans l’intérêt général en s’efforçant de l’inscrire dans une perspective à moyen ou long terme.
Les services opérationnels des forces de sécurité doivent coordonner leurs expressions de besoins en tâchant de ne pas les brider par la crainte des limites du droit et des procédures actuelles.
Les industriels, via le conseil des industriels de la confiance et de la sécurité (CICS), doivent préparer des feuilles de routes technologiques, avec la contribution de laboratoires académiques, pour mettre en œuvre les solutions qui peuvent être rapidement déployées puis explorer de nouvelles voies sur les capteurs, les traitements mathématiques mais aussi la sociologie opérationnelle et l’étude des comportements. Les PME pourront démontrer leurs briques de solutions innovantes et performantes. Après qu’elles aient fait leurs preuves, les grands groupes pourront les intégrer aux systèmes des utilisateurs dans des ensembles cohérents utilisant des technologies nationales. L’heure est à l’expérimentation rapide opérationnelle et aux partenariats d’innovation et non plus à la construction ou au renforcement des cathédrales techniques.
La CNIL aura à cœur d’éclairer les débats en conjuguant le respect des principes de la protection des données personnelles avec les enjeux, dans un pragmatisme plus indispensable que jamais dont elle se montre souvent capable, en France comme avec ses consœurs européennes.
Au niveau européen, plusieurs pays ont saisi l’opportunité des attentats de Paris pour remettre le même ouvrage sur le métier. C’est ainsi qu’a rebondi le débat sur le fichier PNR et que la commission européenne accélère son fléchage des projets coopératifs de sécurité, avec divers instruments d’intervention tels que Horizon 2020, le fonds de sécurité intérieure ou le plan Junker.
L’opinion, enfin, se sent directement menacée tant dans sa vie quotidienne que dans ses supports de presse. Un minimum de communication et de pédagogie sera nécessaire pour maintenir l’adhésion de tous et éviter les levées de boucliers dogmatiques qui font trop souvent reculer l’exécutif ou le législatif.
Certains évènements exceptionnels tels que la conférence COP21 sur le climat qui aura lieu au Bourget en décembre prochain ou l’Euro2016 en France devront servir à expérimenter de nouvelles solutions dans des cadres restreints, servant ainsi de jalons tests aux feuilles de route.
Innovation ou frilosité : il faut choisir
La plupart des attentats perpétrés sur notre sol auraient pu être déjoués si les renseignements opérationnels avaient été rapidement partagés et mieux pris en compte. C’est pourtant l’exécutif qui a multiplié les services de renseignement aux niveaux central et territorial en leur donnant des objectifs et des outils propres, avant de les encourager à coopérer, non sans un certain cynisme.
Cet état de fait peut désormais être bousculé. D’une part, par le recours à de nouvelles formes de partenariats entre le secteur public et le secteur privé (cf. précédent numéro de S&D Magazine), car on peut aller plus loin et plus vite tout en conjuguant le droit et l’audace. Enfin, le projet de Loi Macron stipule, dans son article 41B modifiant de l’article L.131-1 du code la recherche, que « les personnes publiques chargées d’une mission de service public doivent promouvoir et mettre en œuvre toute forme d’innovation, entendue comme l’ensemble des solutions nouvelles en termes de fourniture de biens, de services ou de travaux propres à répondre à des besoins auxquels ne peuvent répondre des solutions déjà disponibles sur le marché. Elles doivent s’attacher à exercer une veille sur les formes contemporaines d’innovation, y compris celles émanant des petites et moyennes entreprises. »
Les moyens de la réforme sont en marche. Le défi de la sécurité implique désormais d’en utiliser tous les leviers.