Ça a pris du temps, mais le rapport annuel de la délégation parlementaire au #renseignement (aka DPR) est enfin en ligne sur le site du Sénat. C'est parti pour un (très long) thread.
https://twitter.com/Senat/status/1310533806336737281
Il est copieux : 297 pages, 59 recommandations + 7 relatives aux fonds spéciaux.
6 chapitres : bilan & perspectives des lois de 2015, renseignement pénitentiaire, maîtrise des risques (habilitation et déontologie), renseignement spatial, cyberdéfense + rapport de la commission de vérification des fonds spéciaux.
En intro, une pique à l'adresse de Nicole Belloubet et de Matignon, à propos d'une demande de communication du rapport sur l'attaque à la prison de Condé-sur-Sarthe en mars 2019, restée lettre morte (liberation.fr/france/2019/03…) 
Ça commence donc par un retour sur les lois de 2015 : satisfecit global. Au passage, l'usage de techniques non autorisées avant cette date est qualifié de «non légal», avec des guillemets (poke @pierre_alonso)
Vu que la question est souvent posée : «premier cercle», «second cercle», kézaco ? Voilà un petit mémo :
Respecter les procédures, c'est du taf : 20 ETP en plus boulevard Mortier.
L'extension du périmètre de la Commission nationale de contrôle des techniques de renseignement (aka CNCTR) a-t-elle conduit les services à se réfréner ? La réponse est non :
L'intérêt des rapports de la DPR c'est qu'on peut parfois avoir plus de granularité que dans ceux de la CNCTR. Par exemple sur les avis défavorables : en 2018, moins de 0,5% pour les demandes de la DGSI, 7% pour celles de la DGSE
Dans les évolutions préconisées par la DPR : allonger la durée de mise en œuvre du recueil d'identifiants par Imsi-catcher...
... avec un argument assez étonnant : ce n'est pas plus intrusif qu'une pose de balise ou une géoloc. Ça concerne tout de même beaucoup plus de monde.
Autre durée que la DPR verrait sans souci s'allonger : l'exploitation des données collectées via la surveillance internationale (aujourd'hui 4 mois)
On n'en parle pas souvent, mais le Groupement interministériel de contrôle (aka GIC), qui centralise le recueil de données de connexion et les interceptions de sécurité («écoutes»), est en pleine croissance :
Par contre au niveau de l'infrastructure ça suit moins bien.
La centralisation des données recueillies, ce douloureux problème, y compris au niveau des services eux-mêmes :
Autre problème relevé par la DPR : la traçabilité, pas toujours au top. C'est évidemment un souci pour le contrôle externe (CNCTR), mais aussi pour le contrôle interne :
Du coup, la DPR demande que soit diligentée une inspection sur le sujet. Et relève, au passage, qu'en matière de traçabilité, ce n'est pas la taille qui compte. Qui sont les mauvais élèves ? On ne saura pas...
... Mais bon, vu que la DGSI est désignée comme le bon élève, on en déduira bien ce qu'on veut ;)
Granularité, suite. Les demandes de techniques de renseignement (TR) ont augmenté depuis 2015, mais plus dans certains services que dans d'autres : +30% par an depuis 2016 à Levallois
Tendanciellement, le recueil de données de connexion en temps différé («fadettes») baisse, alors que :
Sauf pour les écoutes et les fadettes, les rapports de la CNCTR ne donnent jamais le détail par technique (à mon grand dam). Le rapport de la DPR non plus (à mon grand dam itou).
Au rayon des outils qui ne servent pas trop, la «captation de données informatiques» – à différencier du «recueil de stock de données informatiques». Pas très «man-in-the-middle», les services français ?
Pas très usitée non plus, une technique [**caviardée**], pour laquelle existent deux indices : finalités «limitées» et «durée courte de conservation, de 48 heures»
Il se trouve qu'il existe dans la loi renseignement une technique limitée à la prévention du terrorisme et autorisée pour 48 heures renouvelables : le recueil de correspondances (contenus) par Imsi-catcher. #jdcjdr (caviarder, c'est tout un art)
La DPR, disais-je, préconise de passer de 4 à 6 mois la durée d'autorisation d'exploitation des données collectées via la surveillance internationale. Petit rappel au passage, on parle ici du boulottage de ce qui passe par les câbles sous-marins liberation.fr/futurs/2015/10…
Or il se trouve que ces données sont de plus en plus utilisées :
Elles le sont encore plus depuis 2018 car, rappelez-vous, le gouvernement avait glissé (très) discrètement dans la loi de programmation militaire (aka LPM) la possibilité pour le renseignement intérieur d'exploiter des données recueillies par la DGSE liberation.fr/france/2018/06…
De nouvelles capacités, sans surprise, «rapidement et pleinement» utilisées par les services :
Ça a l'air prometteur en plus cette affaire, mais pour les détails on repassera :
On avait eu écho de la montée en puissance du renseignement économique ces dernières années. Avec des chiffres, c'est toujours plus parlant : 60% des demandes de la DGSE portent sur «la protection des intérêts économiques, industriels et scientifiques majeurs de la nation».
Le moment #BoîtesNoires (coucou @LesBoitesNoires !). On en sait un (tout petit) peu plus : 2 algos DGSI + 1 DGSE
L'affaire a l'air un peu déceptive. En résumé, selon les services, ça remonte des «signaux faibles», mais pas assez. Du coup, ils aimeraient bien que les #BoîtesNoires aient plus de choses à mouliner.
La DPR entrouvre la porte à une extension «expérimentale» aux données de navigation. What could possibly go wrong ?
(Rappel : les #BoîtesNoires sont elles-mêmes expérimentales. Depuis 2015.)
(Rappel : les #BoîtesNoires sont elles-mêmes expérimentales. Depuis 2015.)
Petit retour en arrière. Depuis la LPM 2019-2025, l'exploitation des données recueillies via la surveillance internationale est donc ouverte aux services de rens. intérieur pour 5 des 7 finalités du renseignement (legifrance.gouv.fr/codes/article_…). Mais *pas* le renseignement économique.
Vu qu'il monte en puissance (cf. supra) d'aucuns doivent se dire que c'est un peu ballot. Bingo :
Moment image vs. son. Dans la loi de 2015, les images peuvent être conservées 120 jours, le son 30 jours. Du coup, au 31e, le film passe en muet :
Il y avait sans doute une bonne raison à ça (le son est + intrusif que l'image) mais la DPR propose de rationnaliser. En proposant plus court pour les images... mais plus long pour tout le reste.
Le point #entourage : pour le moment, l'entourage d'une cible peut être concerné par les écoutes et les fadettes. Côté services, on a les idées plus larges.
Côté DPR on trouve que ça fait beaucoup pour «des individus qui ne présentent pas [...] de lien nécessairement étroit avec la menace», mais banco quand même pour la géoloc en temps réel :
Du problème de se focaliser sur le renseignement technique : on en oublie d'encadrer les bonnes vieilles méthodes, comme... intercepter des lettres.
En vertu de quoi la DPR suggère de créer une nouvelle interception de sécurité :
Un autre souci : tu renvoies à un décret, et le décret n'est jamais pris (ici sur les échanges entre services du premier et du second cercle) :
Solution, sage, préconisée par la DPR : que le législateur fasse le taf.
Deux passages obligés. Le premier : IA/big data. Le principe, comme on le sait, c'est que pour développer des IA il faut leur donner plein plein de choses à boulotter. En matière de renseignement c'est un (gros) souci :
Le deuxième : la 5G (la #5G !). Elle a son groupe ad hoc (notamment parce qu'elle va compliquer le boulot des Imsi-catchers) :
Un passage aussi sur la grosse bataille sur la conservation généralisée des données de connexion. D'un côté, la CJUE qui considère que c'est contraire au droit UE. De l'autre, les autorités, notamment FR, qui n'ont aucune intention d'y renoncer. Rappel : liberation.fr/planete/2018/0…
Pour le moment c'est le statu quo. Et clairement ça négocie sec pour trouver la martingale en révisant la directive sur les communications électroniques. Objectif, limpide : «neutraliser les conséquences de la jurisprudence de la CJUE»
Ensuite, spéciale dédicace à la CNCTR. Dans son rapport 2018, celle-ci préconisait en effet de mener «une réflexion [...] sur l’encadrement légal des échanges de données entre les services de renseignement français et leurs partenaires étrangers» (p. 52) cnctr.fr/_downloads/bc3…
Ce n'est pas un scoop, les services y sont très (très) opposés. Les auteurs du rapport de la mission d'information de l'Assemblée sur la #LoiRenseignement de 2015 avaient, en juin, renvoyé assez sèchement la Commission dans les cordes :
https://twitter.com/amaelle_g/status/1296516803536068608
La DPR est plus diplomate. Avec moult précautions oratoires, elle souligne qu'au moins sur le papier, il y a bien un problème tant sur les «flux entrants» que sur les «flux sortants» :
Et que donc l'idée d'une «Charte» poussée par l'exécutif et pilotée par la Coordination nationale du renseignement et de la lutte contre le terrorisme (aka CNRLT) va dans le bon sens :
Mais point trop n'en faut : aller plus loin serait «peu opportun» (again) car risquerait de limiter les «possibilités d'échanges avec certains Etats».
En revanche, la DPR serait preneuse d'une «réflexion» sur le statut des données collectées ou exploitées avec l'aide d'un «service étranger». Car ça arrive :
Vous vous souvenez des chiffres sur avis défavorables de la CNCTR et notamment de ces 7% pour la DGSE en 2018 ? (
https://twitter.com/amaelle_g/status/1310629404314394624) Peut-être une explication ici. La Commission retoquait pas mal de demandes pour le renseignement éco :
Résultat : «Il semble que la CNCTR [...] ait fait évoluer sa doctrine.»
La suite ici :
https://twitter.com/amaelle_g/status/1310672761094909954
• • •
Missing some Tweet in this thread? You can try to
force a refresh
