|
INTRODUCTION
En écrivant son célèbre " 1984 ", en 1949, Georges Orwell n’était peut être pas un
écrivain aussi précurseur que l’on a pu alors le penser. En effet son roman, qui décrit un
monde où chaque fait et geste des citoyens est épié et connu par une autorité centrale, voit
certains de ses aspects se réaliser aujourd’hui, au travers de systèmes nationaux et
internationaux de télésurveillance. Et Georges Orwell n’était pas en avance sur son temps, car
ces systèmes de surveillance existent depuis plusieurs dizaines d’années.
En effet, c’est depuis la naissance de la radio que l’interception des signaux,
internationalement appelé SIGINT, pour Signals Intelligence, a débuté. Aujourd’hui, plus de
30 pays utiliseraient de tels systèmes Sigint d’interception. Ces systèmes permettent de capter
tous les signaux, ceux des radars ou des missiles par exemple, mais ils permettent surtout de
capter toutes les communications. Il effectuent alors ce qu’on appelle le COMINT, ou
Communication Intelligence. Ce Comint permet l’interception secrète des communications
étrangères et est défini par la NSA comme : " l’ensemble des informations techniques et des
renseignements détournés des communications étrangères par une autre voie que leur médium
ordinaire " 1 . A l’origine les cibles du Comint étaient les messages militaires et diplomatiques
entre les capitales et leurs missions à l’étranger. Puis, dans les années 1960, avec
l’accroissement des échanges commerciaux, le Comint est de plus en plus utilisé pour le
renseignement à caractère économique. Plus récemment, on l’utilise pour la lutte contre le
trafic de drogue, le blanchiment d’argent ou le crime organisé.
La mise en place du plus important Comint, réseau d’interception des communications, a
débuté dès 1948. L’année précédente, l’URSS avait refusé l’aide du plan Marshall Américain,
qui proposait d’aider les pays détruits par la guerre à se reconstruire et se redresser
financièrement. C’est alors le début de la Guerre Froide. Dès 1943, les Etats-Unis et la
Grande Bretagne s’étaient allié dans un réseau de renseignement appelé " Brusa Comint ", en
vue d’espionner l’Allemagne Hitlérienne. Après la fin de la guerre, ce pacte est renommé
UKUSA, à partir des initiales des deux pays membres. C’est la naissance du UKUSA Security
agreement. Les deux Etats créent par ailleurs des instances pour gérer ce pacte :
· Aux Etats Unis, le Pentagone crée d’abord l’AFSA (Armed Forced Security
Agency), qui devient en 1952 la NSA (National Security Agency), basée à Fort Georges
Mead, et dont l’existence ne sera révélée à la population que 10 ans plus tard. Le rôle de
la NSA est de faire du contre-espionnage, de protéger les communications
gouvernementales, mais elle effectue également des missions d’espionnage puisque l’on
sait qu’elle a permis l’infiltration des communications des Nations Unies lors de la
guerre du golfe.
· En Grande Bretagne, c’est le GCHQ (Governement Communication Headquarters),
à Cheltenham qui collabore à l’UKUSA.
5
Le rôle principal de ces agences est d’écouter les émissions et communications stratégiques
que s’échangent les Etats majors des armées du bloc communiste et desquelles on déduit leurs
capacités militaires sur le terrain. Le Pacte est donc un outil mis en place pour traquer " le
péril rouge ".
Rapidement, le pacte original va intéresser d’autres candidats. C’est ainsi que les deux
fondateurs sont rejoints par le DSD (Defense signals directoral) Australien, le CSE
(Communication security Establishment) Canadien et le GCSB (Governement communication
security Bureau) Néo-zélandais, 3 services de renseignement à but militaire. Plus tard,
d’autres pays tels que la Norvège, le Danemark, l’Allemagne ou la Turquie, ont signé des
accords Sigint secrets et devinrent des participants tiers au réseau UKUSA.
Ce pacte UKUSA devient le système Echelon au cours des années 1970. En 1972 le
témoignage d’un ancien employé de la NSA est publié dans la revue américaine
" Remparts ". De plus en plus d’agents de la NSA et du CGHQ vont d’ailleurs se mettre à
parler des dérives de ce système d’écoutes généralisées, malgré l’obligation de confidentialité
et les risques d’un procès qui pèsent sur eux. Selon le général Michael Hayden, directeur de la
NSA, plus de 7000 des 38 000 employés ont quitté l’agence ces dernières années, et il est
impossible de les réduire tous au silence.
Jusqu’en 1995, aucun Etat membre ne reconnut l’existence du système Echelon. Cette année
là le gouvernement Canadien déclara " collaborer avec certains de ses plus proches et plus
anciens alliés pour l’échange de renseignements extérieurs (…) ". La révélation officielle de
l’existence du système Echelon n’est néanmoins apparue qu’en 1998, lors de la
déclassification de documents secrets par la NSA. C’est à cette date que les gouvernements
européens ont fait semblant d’être surpris par l’existence d’un tel système de surveillance
planétaire généralisé, et ont commencé à enquêter.
Ces derniers n’ont plus seulement été surpris, mais offusqués lorsque le journaliste
britannique Duncan Campbell a rendu son rapport au Parlement Européen. En effet il y
révélait que la plupart des écoutes étaient désormais réalisées dans un but commercial.
Echelon, d’abord conçu pour " espionner " des cibles militaires, a été reconverti, après
l’effondrement du bloc communiste, vers des objectifs civils.
On peut effectivement parler de fausse surprise des Etats Européens. D’abord de nombreux
témoignages avaient révélé dans la presse l’existence d’un système international d’écoutes
généralisé sous la direction des Etats-Unis, mais surtout les moyens techniques nécessaires à
ce dispositif sur toute la planète ne pouvaient pas passer inaperçus. Toutes les
communications sont susceptibles d’être captées par ce système : téléphone, fax, e-mail…etc.
Les communications qui passent par câbles ou fibres optiques sous-marins sont écoutés
depuis des années.
1 Directive n°6 sur le renseignement, Conseil de sécurité Nationale des Etats-Unis, 17 février 1972.
6
Mais c’est surtout le dispositif de plus de 120 satellites qui peut difficilement rester caché.
Ceux-ci captent les communications, quelle que soit leur nature, puis les renvoient vers les
" grandes oreilles ", d’immenses paraboles de 30 m de diamètre disséminées sur la planète
depuis 1971.
Le système fonctionne par mots-clés. Il isole les données qui comportent ces mots-clés et les
transmet aux services de renseignement qui sont alors chargés de les interpréter. Le système
Echelon est ainsi capable d’analyser les 15 Go de messages électroniques et d’échanges sur
les forums de discussion transmis chaque jour via Internet. La NSA traiterait en temps réel
1000 milliards de bits. Le système aurait une capacité de stockage de 90 jours, soit une
mémoire d’1 téra-octet. Les 5 Etats du Pacte se répartissent la tâche : La NSA " espionne " les
communications des deux Amériques, l’Angleterre celles de l’Europe et de l’Afrique, Le
Canada les latitudes polaires et nordiques, l’Australie et la Nouvelle-Zélande celles de l’Asie
et du Pacifique.
A l’intérieur de leurs frontières, les Etats-Unis ont choisi de développer un autre système afin
de surveiller les communications : c’est le système appelé Carnivore. En effet, avec le
développement de l’Internet, le gouvernement a décidé de se doter, en février 1997, d’un outil
permettant d’intercepter tous les paquets de données électroniques échangées par des
abonnées Internet : les e-mails, tous les fichiers transférés, les URL visitées…etc.
Le premier système était appelé Omnivore et fonctionnait sur un Solaris X86. Cette première
version aurait coûté 900 000 $. En juin 1999 une nouvelle version, dénommée Carnivore, a
été mise en place, fonctionnant sous Windows NT cette fois. Cette adaptation technique était
nécessaire compte tenu du mode de fonctionnement de Carnivore : celui-ci se présente comme
un PC que le FBI branche, après autorisation judiciaire, sur les serveurs d’un fournisseur
d’accès Internet.
Chargé d’un logiciel conçu par le FBI, le PC lit le nom des destinataires et des expéditeurs
ainsi que l’objet de tous les courriers passant par les circuits du provider, et ne retient, selon le
FBI, que les messages suspects. Il utilise des filtres prédéfinis en fonction de la nature de
l’écoute. En théorie, Les interceptions sont autorisées par un juge et ne peuvent intervenir que
pour des crimes spécifiques et particulièrement graves.
La révélation de l’existence de ce système a été faite en décembre 1999 par un avocat dont
l’un des clients, fournisseur d’accès à Internet, s’était vu imposer un système de surveillance
des courriers électronique sur ses serveurs. Il a alors été révélé que le système était capable
d’intercepter bien plus que les seuls messages provenant ou en direction d’une cible unique,
comme l’avait affirmé le FBI.
Les associations de défense des droits civils telles que, notamment, l’EPIC (Electronic
Privacy Information Center) et l’ACLU, voyant une atteinte certaine à la vie privée, se sont
alors saisies de l’affaire.
7
Les Etats Unis semblent donc capables de surveiller toutes les communications, sur et en
dehors de leur territoire. Echelon symbolise leur volonté d’instaurer un contrôle mondial, les
Etats Unis s’affirmant toujours plus dans leur rôle de " gendarme du monde ", sans toutefois
pouvoir cacher des objectifs purement mercantile,s et la fin de la guerre froide entraînant un
glissement de la surveillance vers la sphère économique et donc civile.
La " découverte " d’Echelon met les Pays Anglo-Saxons face au reste de la communauté
internationale, tout comme Carnivore met le Gouvernement américain face au jugement de
ses citoyens.
On peut cependant estimer que la surveillance, voire la télésurveillance, est nécessaire à la
sécurité nationale. Mais si la surveillance par l’Etat de son territoire se justifie au regard de
l’ordre public interne, elle doit néanmoins respecter les droits fondamentaux des individus,
du moins dans une démocratie.
En outre, la mise en oeuvre d’une surveillance à l’échelle mondiale par un Etat ou un groupe
d’Etats porte atteinte à la souveraineté des Etats tiers et aux droits de leurs citoyens.
Comme nous le verrons, les systèmes de surveillance globale, c’est à dire qui visent tous les
émetteurs et tous les récepteurs, sans distinction technique, ni de nature, tels Echelon ou
Carnivore, semblent faire des émules tout autour de la planète, ce qui augmente l’enjeu des
deux questions principales qu’ils posent :
- quelles sont les nouvelles limites apportées à la compétence et à la souveraineté
des Etats ? Leur compétence accrue en interne leur offrent un contrôle global de la
diffusion sur le territoire, alors même que leurs souveraineté et compétence sont
diminuées vis à vis de l’extérieur puisque un contrôle global de ces émissions peut
être effectué par un tiers et sans qu’il n’y ait de sanction effective.
- dès lors, comment définir et faire respecter un ordre public international
garantissant la souveraineté des Etats et les droits des individus ?
Ainsi, si les Etats, au travers de l’exercice de leur souveraineté nationale, ont un droit légitime
de surveiller les communications qui transitent sur leur territoire voire en dehors de celui-ci
(I), ce droit possède cependant des limites sans lesquelles de graves atteintes sont portées tant
aux droits des autres Etats qu’à ceux des personnes privées (II).
7
Les Etats Unis semblent donc capables de surveiller toutes les communications, sur et en
dehors de leur territoire. Echelon symbolise leur volonté d’instaurer un contrôle mondial, les
Etats Unis s’affirmant toujours plus dans leur rôle de " gendarme du monde ", sans toutefois
pouvoir cacher des objectifs purement mercantile,s et la fin de la guerre froide entraînant un
glissement de la surveillance vers la sphère économique et donc civile.
La " découverte " d’Echelon met les Pays Anglo-Saxons face au reste de la communauté
internationale, tout comme Carnivore met le Gouvernement américain face au jugement de
ses citoyens.
On peut cependant estimer que la surveillance, voire la télésurveillance, est nécessaire à la
sécurité nationale. Mais si la surveillance par l’Etat de son territoire se justifie au regard de
l’ordre public interne, elle doit néanmoins respecter les droits fondamentaux des individus,
du moins dans une démocratie.
En outre, la mise en oeuvre d’une surveillance à l’échelle mondiale par un Etat ou un groupe
d’Etats porte atteinte à la souveraineté des Etats tiers et aux droits de leurs citoyens.
Comme nous le verrons, les systèmes de surveillance globale, c’est à dire qui visent tous les
émetteurs et tous les récepteurs, sans distinction technique, ni de nature, tels Echelon ou
Carnivore, semblent faire des émules tout autour de la planète, ce qui augmente l’enjeu des
deux questions principales qu’ils posent :
- quelles sont les nouvelles limites apportées à la compétence et à la souveraineté
des Etats ? Leur compétence accrue en interne leur offrent un contrôle global de la
diffusion sur le territoire, alors même que leurs souveraineté et compétence sont
diminuées vis à vis de l’extérieur puisque un contrôle global de ces émissions peut
être effectué par un tiers et sans qu’il n’y ait de sanction effective.
- dès lors, comment définir et faire respecter un ordre public international
garantissant la souveraineté des Etats et les droits des individus ?
Ainsi, si les Etats, au travers de l’exercice de leur souveraineté nationale, ont un droit légitime
de surveiller les communications qui transitent sur leur territoire voire en dehors de celui-ci
(I), ce droit possède cependant des limites sans lesquelles de graves atteintes sont portées tant
aux droits des autres Etats qu’à ceux des personnes privées (II).
9
Bas. La souveraineté territoriale est l’indépendance de l’Etat à exercer, en exclusivité, sur son
territoire les fonctions étatiques, à condition de respecter le droit international.
L’Etat a également compétence pour exercer ses attributs sur les sujets se trouvant sur son
territoire (dans le respect des règles de droit international). La surveillance relève en effet des
" fonctions étatiques " de l’Etat, à condition qu’il n’agisse pas de manière abusive ou
arbitraire. Des règles juridiques encadrant la surveillance électronique au niveau national et
international se développent. Cependant nous verrons en infra que ces règles peuvent être
détournées de leur but.
2/ les bases légales de la surveillance
Le but invoqué par les Etats pour légitimer la surveillance électronique est la lutte contre la
cybercriminalité 8 : terrorisme, pédophilie, trafic de stupéfiants, évasions fiscales, etc. La
surveillance est légitime si elle est encadrée par des normes conformes au droit international,
et si elle est exercée de manière non arbitraire et/ou abusive dans le respect des droits
fondamentaux.
Les lois relatives à la surveillance électronique puisent leur philosophie dans le cadre
juridique des écoutes téléphoniques.
a ) Cadre juridique des écoutes téléphoniques
¨ Les écoutes téléphoniques en France et aux Etats- Unis
® Cas de la France :
Le secret des correspondances en France, qui dérive directement du droit au respect de
la vie privée, couvre les correspondances postales, mais aussi correspondances téléphoniques
et par toute correspondances émise par un moyen de télécommunication (téléphone, minitel,
télex, e-mail).
Il faut que le message soit privé, c’est à dire destiné à une ou plusieurs personnes,
physiques ou morales, déterminées
Les interceptions peuvent d’abord être ordonnées par une autorité judiciaire. Plusieurs
conditions sont nécessaires :
· Etre en matière correctionnelle ou criminelle
· Que la peine encourue soit supérieure à 2 ans
· Que l’Interception soit prescrite par un juge, qui contrôle aussi le déroulement des
opérations
8
Selon le ministre allemand des Affaires étrangères, Joschska Fischer, la cybercriminalité coûte 50
millions d’euros par an à l’Allemagne.
10
· Que l’interception dure au maximum de 4 mois, renouvelables
Un PV doit être dressé avec la date et l’heure de début et de fin d’interception.
L’enregistrement est placé sous scellé fermé. Seuls les enregistrements utiles à la
manifestation de la vérité sont retranscrits. Les enregistrements sont détruits à l’expiration du
délai de prescription de l’action publique.
La Loi du 10 juillet 1991prévoit également la possibilité d’effectuer des interceptions
de sécurité. Ces interceptions sont justifiées par des motifs de sécurité, motifs légaux :
· Recherche de renseignements de sécurité nationale
· Potentiel scientifique ou économique
· Prévention du terrorisme, de la criminalité et de la délinquance organisée
· Prévention de la reconstitution de groupements dissous.
L’autorisation est de 4 mois renouvelables pour la même durée. Le 1 er ministre décide
de l’interception sur proposition du ministre de la défense nationale, de l’intérieur ou des
douanes. La Loi 10 juillet 1991 crée une Commission Nationale de Contrôle des Interceptions
de Sécurité (CNCIS). Son président est désigné par le Président de la République. Il est
informé dans les 48 heures de toute interception. La commission peut adresser des
recommandations afin de faire cesser une interception.
® Cas des Etats-Unis
Aux Etats-Unis, la loi ne fait pas de distinction entre les écoutes judiciaires et les
écoutes de sécurité. Le respect du secret des correspondance troue son principe dans le IVème
amendement 9 qui protège les citoyens contre les perquisitions illégales.
Les écoutes doivent être autorisées par un juge, qui ne peut le faire que pour un crime
spécifique et particulièrement grave. Elles sont limitées dans le temps, en général pour 45
jours, et les juges doivent demander tous les dix jours des informations sur les résultats des
écoutes téléphoniques.
Les écoutes ne peuvent en outre pas être effectuées n’importe comment. Les services
de police se doivent d’utiliser des filtres prédéfinis en fonction de la nature de l’écoute
autorisée.
Selon les déclarations du FBI, son système d’écoute national, Carnivore, respecterait
ces principes. En effet, en théorie, le FBI doit requérir un mandat du juge qui autorise
l’installation du système Carnivore chez un FAI déterminé. Les écoutes seraient en outre très
précises et ne permettraient de n’écouter que des messages très ciblés.
Il semblerait donc que les mises sur écoutes soient largement réglementées afin de
protéger les intérêts des citoyens, que ce soit en Europe ou aux Etats-Unis. Mais on ne peut
9
" The right of the people to be secure in their persons, houses, papers, and effects, against
unreasonable searches and seizure, shall not be violated, and no warrant shall issue, but upon
probable cause, supported by Oath of affirmation, and particularly describing the place to be
searched, and the persons or things to be seized".
11
nier l’existences d’écoutes attentatoires à la vie privée. En effet, il a été prouvé que certaines
autorités outrepassaient leurs droits. De plus, il existe, au plan international, un vide juridique
n ce qui concerne le respect de la vie privée, vide qui laisse la porte ouvert à toutes sortes de
dérives.
¨ Système européen des droits de l’homme
Un bref rappel de la jurisprudence de la Cour européenne des droits de l’homme en matière
d’écoutes téléphoniques nous semble indispensable, dans la mesure où le projet de
Convention international sur la cyber-criminalité est développé au sein du Conseil de
l’Europe (voir infra).
Selon le juge européen 10 , les écoutes téléphoniques étatiques sont autorisées à condition que
le droit à la vie privée soit respecté 11 . Les interceptions doivent donc être prévues par la loi,
être nécessaires dans une société démocratique, limitées pour les cas d’infractions graves, et
proportionnées au but poursuivi.
De plus la Cour de Strasbourg exige que les écoutes téléphoniques ne soient pas générales
mais ciblées, ce qui n’a pas toujours été prévu par le projet de convention de lutte contre la
cybercriminalité développé au sein du Conseil de l’Europe.
b ) Cadre juridique de la surveillance électronique
Il semble se dégager de nos lectures, un mouvement commun aux législations nationales. Ces
dernières sont calquées sur le modèle américain qui imposent une collaboration entre les
fournisseurs d’accès à Internet (FAI)et les autorités nationales.
Cette harmonisation internationale des législations en matière de lutte contre la
cybercriminalité législative s’accélère au travers du Conseil de l’Europe, sous l’influence
américaine.
¨ Niveau national
A titre d’exemple aux Pays-Bas, les FAI doivent conserver les données de connexion des
internautes pendant au minimum un an 12 . En Grande-Bretagne, le RIP Act (Regulation of
Investigatory Powers) d’octobre 2000 permet au gouvernement d’intercepter toute
communication considérée comme suspecte.
En France, L’article 43-9 de la loi du 30 septembre 1986 relative à la liberté de
communication, modifiée par la loi du 1er août 2000 prévoit une obligation de conservation
10 Cour européenne des droit de l’homme, 6 septembre 1978, affaire Klass c. Allemagne.
11 Article 8 de la Convention européenne des droits de l’home, mentionné dans l’article 6 du Traité sur l’Union
européenne. Directives 95/46/CE et 97/66/CE. 12 Le coût estimé depuis 1998 année d’entrée en vigueur du Telecommunications Act est évaluer à 500.000
francs par FAI.
12
des logs par le FAI 13 relatifs aux " services de communication en ligne autre que de
correspondance privée ", dont seule l’autorité judiciaire peut demander la communication.
L’avant-projet de loi sur la société de l’information qui devrait être présenté en Conseil des
Ministres avant la fin juin 2001, retourne la situation en imposant l’effacement des données
dès que la communication est achevée. Son article 17 autorise " uniquement " la conservation
de ces données " pour les besoins de la recherche, et de la poursuite des infractions
pénales ", ou " pour les besoins de la facturation et du paiement des prestations de
télécommunications ".
¨ Prise de position de la commission européenne
La Commission européenne, afin de ne pas laisser au Conseil de l’Europe l’entière maîtrise de
la question de cybercriminalité au niveau international s’est prononcée sur le projet de
Convention sur la cybercriminalité dans son avis 2/2001 du 22 mars 2001 14 et a émis des
communications .
Elle a également mis en place un forum public sur les questions de cybercriminalité. Ce forum
a réuni " les différents services de maintien de l’ordre, les fournisseurs d’accès, les
opérateurs de réseau, les groupes de consommateurs et les autorités responsables de la
protection des données, afin d’améliorer le degré de coopération au niveau européen, et d’
attirer l’attention du public sur les risques posés par des criminels sur l’Internet " 15 .
¨ Echec des négociations du G8
A l’issue du sommet du G8 sur la cybercriminalité de Berlin des 24, 25 et 26 octobre 2000 16
aucune position commune n’avait été arrêtée 17 . Le but principal de ce sommet était l’étude du
projet de convention mondiale sur la cybercriminalité du Conseil de l’Europe, dont l’objet est
d’harmoniser les lois nationales relatives aux crimes et délits informatiques.
Ce projet a été vivement critiqué par 28 ONG qui ont dénoncé le " sérieux danger " d’atteinte
à la démocratie au travers du renforcement des pouvoirs de police dans la collecte des
données personnelles 18 .
13 L’adresse IP de l’abonné ainsi que ses heures de connexion et ses actions effectuées (upload ou download sur
un serveur FTP, les pages webs qu’il a visitées, etc.). 14 Le Conseil des ministres avait voté une résolution en 1995 incitant les opérateurs Internet et de téléphonie
mobile européens à mettre en place sur leurs réseaux des systèmes de surveillance électronique permanente et en
temps réel. 15 Notons que L’Institut européen des normes en télécommunication (ETSI) prépare le standard européen en
matière de surveillance électronique. 16 Deux autres réunions sur le sujet avaient précédé ce sommet : la conférence de Paris en mai 2000 et le sommet
annuel du G8 à Okinawa au Japon.
17 Le problème de l’uniformisation de la lutte contre la cybercriminalité au niveau international est double.
D’une part, les Etats ont une conception différente des notions de liberté d’expression, vie privée, données
personnelles, actes de cybercriminalité..... D’autre part, à une échelle internationale, la mise en place d’une
police internationale spécialisée dans la lutte contre la cybercriminalité est nécessaire. 18 Les ONG soulignaient que ce projet était contraire au projet de Charte Européenne des Droits fondamentaux
(adopté au Conseil Européen de Biarritz). Par exemple, " les articles 14 et 15 pourraient mener à l’exigence
d’un accès gouvernemental aux clés de chiffrement et cela pourrait contraindre les individus à s’incriminer eux-
|