07/03/2016

Un vote par internet sans garanties démocratiques élémentaires ? Jamais !

J’ai déjà eu l’occasion de le dire plusieurs fois : je suis plutôt sceptique face au vote par internet, pour ne pas dire franchement opposé. J’envisage toutefois de l’admettre dans deux cas : pour les Suisses de l’Etranger (qui n’arrivent souvent pas à voter, car les services postaux n’arrivent pas à transmettre leurs bulletins assez rapidement) et pour les personnes handicapées de la vue (à qui le vote électronique permet de voter seule et de maintenir le secret du vote). Mais, même dans ces deux cas, il est important que le système de vote par internet bénéficie de toutes les garanties de sécurité (même si atteindre un niveau de sécurité comparable à un vote « sur papier » est illusoire) ainsi que de respect des principes démocratiques de base. Il est notamment indispensable que le logiciel soit transparent, open-source, opéré en Suisse et, surtout, appartienne à l’Etat et à ses citoyens. Il ne viendrait par exemple à l’esprit de personne, même chez les ultralibéraux les plus saugrenus, de privatiser l’organisation et le dépouillement d’une élection ou d’une votation.

Le Conseil national a l’occasion de poser les jalon d’un vote électronique qui respecte ces quelques principes pourtant élémentaires en acceptant la semaine prochaine la motion Darbellay/Romano. Le Conseil fédéral s’y oppose, car il semble soutenir la montée en puissance du système proposé par La Poste et opéré par l’entreprise espagnole Scytl. Or, ce système n’est pas transparent (le code-source n’est pas publié). Il n’est pas non plus en mains publiques, car La Poste, même si elle appartient à l’Etat, est une entreprise purement privée, avec des objectifs de rentabilité dignes du secteur privé. Et c’est une information de taille, car, lorsque le groupe socialiste aux chambres fédérales à demandés à La Poste, soupçonnée de faire de la sous-enchère pour imposer son logiciel, de dévoiler ses tarifs en la matière, elle a refusé, cependant que l’autre prestataire, le Canton de Genève, a sans problème accepté de dévoiler les siens. Mais surtout, Scytl est une entreprise étrangère, dont les capitaux sont surtout étatsuniens, qui plus est en lien avec les agences des renseignement des USA, ainsi que son Département de la Défense. Ce qui n’inspire guère confiance, à plus forte raison quand on parle de l’essence même de la démocratie qu’est le droit de vote.

Cette position du Conseil fédéral est absurde à deux égards. Tout d’abord, parce que vouloir à tout prix une « concurrence » entre plusieurs systèmes de vote par internet est coûteux et, après 13 ans d’essai, il conviendrait de se mettre enfin d’accord sur un système, à condition qu’il remplisse les exigences minimales de la démocratie. Ce qui m’amène à mon deuxième point : le Conseil fédéral s’oppose à cette motion en arguant que ces exigences pourtant fondamentales « retarderaient le processus » d’introduction du vote électronique. Or, jusqu’à présent, le gouvernement prétendait qu’en matière de vote électronique, « la sécurité prime la vitesse ». Désormais, pour des impératifs de calendrier, la sécurité est passée par pertes et profits. Cette position est malheureusement dans la droite de ligne des prises de positions précédentes qui ne font pas le moindre pas en direction des sceptiques du evoting, même lorsqu’ils font des demandes qui ne visent qu’à augmenter sécurité, fiabilité et contrôle démocratique de ce canal de vote. On voudrait torpiller une introduction, même restreinte, du vote par internet, qu’on ne s’y prendrait pas autrement.

19/11/2015

Nouvelle loi sur le renseignement : le référendum malgré les attentats

« Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux. » (Benjamin Franklin)

Les attentats de Paris, Beyrouth et Ankara ont déchaînés les partisans de la nouvelle loi sur le renseignement (LRens), censée donner aux services secrets helvétiques les moyens de lutter contre le terrorisme. Nombreux sont ceux qui jettent l’opprobre sur les référendaires, dont je m’honore de faire partie, les accusant pour les uns d’être des « bisounours qui bradent la sécurité », pour d’autres de « donner honteusement au droit à la sphère privée la priorité sur le droit à la sécurité », pour d’autres enfin d’être carrément des « traîtres qui font un affront aux victimes ». Et la première question des journalistes qui souhaitent m’interroger sur le sujet est presque toujours : « mais pourquoi ne renoncez-vous pas à ce référendum ? »… Et bien, à l’instar du comité référendaire, je persiste et signe : le référendum est justifié et il est nécessaire que le peuple se prononce sur une LRens qui n’améliorera en rien la sécurité, ni ne contribuera à lutter efficacement contre le terrorisme, mais constitue un grave danger pour les libertés démocratiques.

En effet, les terroristes gagnent lorsqu’ils parviennent à nous faire abandonner nos principes démocratiques au nom de la « lutte contre le terrorisme ». Cette « lutte » nous fait en effet jeter par dessus bord bon nombre des principes que nous croyions intangibles, mais sans guère de résultats… à part une augmentation de la peur du terrorisme. Une peur qui appelle souvent de nouvelles restrictions de nos libertés. Les USA sont-ils plus sûrs grâce au « patriot act » ? Il est permis d’en douter. Autre exemple, beaucoup plus actuel et plus frappant : la France, qui, quelques mois avant les attentats de Paris, a renforcé sa législation sur les services secrets et leur a donné des pouvoirs de surveillance très étendus, similaires à ceux prévus par la LRens. Avec le résultat que l’on connaît.

La LRens : mauvaise sur le principe, malgré quelques bons contenus

Indépendamment de son contenu et des cautèles qui ont pu y être inscrites (grâce à l’excellent travail parlementaire de la délégation PS à la commission de politique de sécurité, cf. ci-après), la LRens marque une étape supplémentaire vers cette dérive. La précédente base légale pour le renseignement civil en Suisse, la LMSI, ne parlait que de surveiller les sources accessibles au public. Avec la LRens, nous entrons dans l’ère de la surveillance préventive de la sphère privée, avec des moyens que la technique rend plus invasifs que jamais. A l’époque des débats sur la LMSI, le Conseiller fédéral Arnold Koller considérait qu’écouter des conversations privées (on ne parlait à l’époque que de conversations téléphoniques), était « une atteinte si grave contre la sphère privée que cela ne peut se dérouler que dans le cadre de l’activité de la police judiciaire ». En 2009, nous étions pourtant déjà après les attentats du 11 septembre et bien avant le scandale de la NSA, une nouvelle version de la LMSI, qui prévoyait une surveillance préventive des télécommunications, a été rejetée par le Parlement.

La surveillance préventive : dangereuse pour nos droits

La surveillance préventive est condamnable, car c’est une atteinte à la sphère privée sans le moindre soupçon. Il est admis qu’une procédure pénale est une atteinte importante aux droits fondamentaux, ne serait-ce qu’en raison de la présomption d’innocence. Il est donc nécessaire que cela se fasse sur la base de soupçons fondés d’un crime grave et sous contrôle judiciaire, et non pas sur la base de vagues intuitions, comme la participation à une manifestation, la consultation de pages internet ou une barbe un peu trop indisciplinée pour être celle d’un hispter. Pourtant, c’est bien là où nous mène la LRens. C’est le risque que chaque citoyens se fasse surveiller, non pas parce qu’il a quelque chose à se reprocher, mais parce qu’un espion croit que le citoyen en question devrait avoir quelque chose à se reprocher.

Le SRC, champion des couacs, pataquès et autres bourdes

En outre, il est difficile d’accorder la moindre confiance au service de renseignement. On peut bien vouloir surveiller le SRC comme cela est prévu dans la LRens, mais ses récents couacs (données égarées, directeurs qui s’expose en participant à une élection communale, agent qui arrondit ses fins de mois au service de fraudeurs du fisc, etc.) montrent qu’il n’est pas digne de la confiance qu’exigent les mesures de surveillance prévues. Il n’est par ailleurs pas sûr que le meilleur mécanisme de contrôle envisageable ait l’efficacité qu’on attend de lui. L’organe de surveillance de la NSA, censé éviter ses dérives, a failli en grandes longueurs. Pourtant, la surveillance du réseau câblé est justement un instrument totalement nouveau et aussi invasif que ce que fait la NSA. Enfin, le contrôle politique en matière de « lutte contre le terrorisme » n’est pratiquement pas possible, tant la pression sur les élus est forte : quel membre d’exécutif oserait refuser une surveillance au service de renseignement qui prétend qu’une « attaque terroriste » est possible, voire imminente ? Probablement aucun.

Et les djihadistes ?

La problématique des jeunes qui partent « faire le dijhad », p. ex. en rejoignant l’«Etat Islamique », est cruciale, même si elle est largement exagérée et instrumentalisée. Par exemple, il n’est, selon les services de renseignements suisses et allemands, pas avéré que des djihadistes se cacheraient parmi les réfugiés fuyant les conflits au Proche-Orient. Et les rumeurs qui parlaient de réfugiés au sein des terroristes parisiens se sont avérées infondées. Quoi qu’il en soit, la LRens n’apporte pas de solution. Au contraire, les personnes qui souhaitent participer à des entreprises terroristes peuvent déjà être poursuivies, et donc surveillées, efficacement grâce à la procédure pénale ordinaire. Le PS soutient d’ailleurs une précision de l’état de fait « organisation criminelle » et « organisation terroriste » dans le code pénal. Dans ce contexte, il faut veiller à ce que les autorités de poursuite pénale ordinaires disposent de suffisamment de moyens pour mener leurs tâches à bien. A cet égard la politique de la droite, qui n’a de cesse de vouloir faire des coupes budgétaires, priver l’Etat de recettes fiscales voire interdire l’engagement de nouveaux collaborateurs, est tout simplement irresponsables. Priver l’Etat des ressources, c’est mettre notre sécurité en jeu !

Quant aux jeunes « paumés » qui partent ou reviennent du djihad sans pour autant faire partie d’une organisation criminelle ou terroriste, le SRC a déjà les moyens de les surveiller efficacement (il publie d’ailleurs des statistiques éloquentes). En outre, ce genre de personnes n’a pas quasiment pas recours à des communications cryptées qui nécessiteraient l’utilisation de l’arsenal intrusif que permet la LRens (il est par ailleurs avéré que les terroristes de Paris n’ont pas utilisé de communications cryptées, mais de banals SMS). Et même si c’était le cas, le principe de proportionnalité commande qu’on n’espionne pas la sphère privée des citoyens s’ils n’ont pas l’intention de commettre un délit pénal et ne mettent pas en danger autrui.

Jeter aux orties le bon travail de la délégation PS aux chambres ?

Les deux délégations PS aux commissions de politique de sécurité ont fait un excellent travail parlementaire et obtenu d’importantes avancées, que bon nombre de membres du groupe, à commencer par l’auteur de ces lignes, ne pensaient tout simplement pas possible. Cet énorme travail doit être salué et leurs auteur-e-s remercié-e-s. Mais cet excellent travail parlementaire ne change rien aux questions de principe :

  • Veut-on qu’un service de renseignement, dont la vocation est d’agir parfois en marge de la légalité et dont les activités sont par nature difficiles à contrôler par les organes démocratiques, puisse, en dehors de toute procédure pénale et au mépris des libertés fondamentales, espionner la sphère privée des citoyens sur la base de vagues soupçons, pour ne pas dire d’intuitions ?
  • Veut-on qu’au nom d’une « lutte contre le terrorisme » dont les principaux résultats ont été de limiter les libertés fondamentales dans la plupart des Etats démocratiques, on dote le SRC d’un arsenal qui lui permette de surveiller la totalité des communications électroniques ?
  • Veut-on enfin rétablir une politique de surveillance étatique dont les principales victimes ont été jusqu’ici non pas les extrêmistes de droite ni les fondamentalistes religieux, mais la gauche, y compris modérée ? Ce sont en effet essentiellement des personnalités de gauche qui ont été fichées, y compris pour des bagatelles comme une participation ponctuelle à une manifestation pseudo-politique et non les têtes pensantes d’une l’extrême-droite qui glorifie la violence ou ceux vont chercher à genoux l’hostie que leur présente en latin un prélat d’Ecône homophobe et anti-avortement …

Personne ne conteste le danger du terrorisme et de l’« Etat islamique». Mais c’est aux autorités pénales ordinaires d’agir, dans le cadre de procédures pénales ordinaires. La loi actuelle et future leur en donne parfaitement les moyens, notamment la nouvelle loi sur la surveillance des télécommunications, que je soutiens. Quant au Service de renseignement, il peut déjà accomplir les tâches de surveillance nécessaires en dehors des procédures pénales, mais il n’est pas digne de la confiance qu’exigent les instruments invasifs que la LRens souhaite lui confier. Dans ces conditions, il convient de refuser la LRens et d’apporter son soutien au référendum.

07/07/2015

Surveillance des télécommunications (LSCPT, #BÜPF) : où en sommes-nous ?

Le piratage de « Hacking Team », entreprise produisant entre-autres des « chevaux de Troie », a (re)mis la question de la surveillance des télécommunications numériques sur le devant de la scène. Or il se trouve que le Conseil national a récemment fini le traitement de la révision de la loi sur la surveillance des télécommunications (LSCPT, BÜPF en Allemand). Cette loi a été accusée de tous les maux. On l’a, en vrac, considéré comme l’introduction de l’Etat fouineur, comme étant anticonstitutionnelle ou comme la possibilité donnée à l’Etat de surveiller des milliers de citoyens innocents. La plupart de ces reproches sont mal fondés (on se demande d’ailleurs si leurs auteurs ont lu le projet de loi). Voici donc un petit état de la situation.

 Pourquoi la révision ?

Les télécommunications ont évolué. Les criminels s’en sont aperçu et font usage des nouveaux moyens de communications. Ils utilisent des logiciels ou des applications cryptées. Ils planifient leurs mauvais coups par consoles de jeu interconnectées. Et lorsqu’ils se savent écoutés, la dernière chose qu’entendront les forces de l’ordre, c’est « finissons cette conversations sur skype ou sur facebook messenger ». Ou encore sur un autre service crypté.

Parfois, ils n’ont même pas besoin de changer d’appareil. Avec un simple téléphone intelligent, il n’y a qu’à changer d’application, à appuyer sur le logo bleu doté d’un « s » ou sur le logo bleu arborant un « F » au lieu du logo vert orné d’un combiné téléphonique pour passer d’un mode que les autorités de poursuite pénales peuvent écouter à un autre qu’il n’est pas possible de surveiller.

Un des objectifs de la révision de la LSCPT est donc de donner aux autorités de poursuites pénales les moyens d’écouter ces télécommunications actuellement inaudibles et de pouvoir pour cela faire usage des instruments adéquats : IMSI-Catcher, GovWare (chevaux de Troie). Actuellement, la base légale fait défaut (et l’affaire « Hacking Team » le rappelle) et il convient de corriger cela rapidement.

Ces instruments provoquent des craintes légitimes au sein de la population, craintes renforcées par les récentes affaires d’espionnage et de surveillance massive des télécommunications par des services secrets étrangers. Il y a aussi des craintes – légitimes là aussi – que ces instruments perturbent les télécommunications, en particulier les services d’urgence, voire permettent de mener de véritables perquisitions en ligne, de falsifier des contenues et donc des preuves. Le danger est en effet réel que ces instruments soient utilisés à tort et à travers pour surveiller les communications d’honnêtes citoyens, ou de personnes vaguement soupçonnées d’avoir commis un délit mineur. Le Conseil national a donc renforcé le cadre légal. Il repose sur les principes élémentaires suivants :

  • Subsidiarité : l’instrument de surveillance n’est utilisé que lorsque d’autres, moins invasifs, ont échoué ;
  • Proportionnalité : on ne s’en sert pas pour traquer la petite criminalité ;
  • Autorisation par un juge ; la police ne peut mettre ne œuvre une surveillance invasive de sa seule initiative ;
  • Inexploitabilité des preuves obtenues en dehors du cadre légal : si l’instrument de surveillance sert à autre chose que surveiller une communication, les règles habituelles de la procédure pénale en matière d’exploitation des preuves s’appliquent ;
  • Dernier principe (pour les « GovWare ») : protocole et contrôle de chaque étape de la surveillance, afin de pouvoir garantir le respect des principes précédemment cités.

Comme on le verra plus loin, le respect de ces conditions fonde la constitutionnalité des mesures précitées.

Il y a d’autres points où la révision de la LSCPT vise à adapter les instruments de poursuite pénale à l’évolution des technologies. Il doit être désormais être possible d’identifier les utilisateurs de télécommunications qui utilisent des moyens aussi banals que des cartes SIM à prépaiement ou réseaux sans-fil mis à la disposition du public. La nouvelle loi permet par ailleurs de rechercher une personne disparue qui court ou fait courir un danger, ainsi qu’une personne qui doit effectuer une peine privative de liberté, mais qui a plutôt choisi de prendre la clef des champs.

Les débats

Lors des débats, le Conseil national a accepté toutes les propositions de la commission pour durcir les conditions d’utilisations des GovWare. Malheureusement, il a accepté de prolonger la conservation des données secondaires de 6 à 12 mois, ce qui n’est en pratique guère utile, sauf dans quelques cas de criminalité en ligne pour lesquels une entraide internationale est nécessaire.

Deux de mes propositions de minorité ont été acceptées, ce qui a permis d’améliorer deux détails de la loi : la première proposition pour que les données secondaires de télécommunications soient conservées en Suisse (afin d’éviter qu’elles ne soient soumises à un droit étranger de la protection des données), et la deuxième pour que Conseil fédéral, Préposé à la protection des données et le cas échéant le public soit informés en cas de perte ou de piratage de données sensibles. Les récents déboires de « Hacking Team » montrent l’intérêt d’une telle disposition.

Au sein du groupe socialiste, les avis étaient partagés entre la nécessité de fournir aux forces de l’ordre les instruments dont elles ont besoin pour traquer les (cyber)criminels et les craintes de voir ces mêmes instruments utilisés pour ficher les citoyens. Convaincu que les garanties sont suffisantes, j’ai défendu la première position.

Qu’a-t-on dit de faux au sujet de la LSCPT ?

Les débats sur la LSCPT ont été houleux, peut-être pace qu’un certain nombre de bêtises ont été dites à son sujet. Voici les trois exemples les plus fréquents :

  • « La conservation des données secondaire est anticonstitutionnelle ». Les adversaires de la LSCPT se basent sur une décision non-contraignante pour la Suisse de la Cour de Justice de l’UE. Et même si cette décision était contraignante pour la Suisse, cette décision ne saurait être interprétée comme une interdiction de principe de la conservation des données secondaires. En effet, il ne s’agissait que d’examiner le respect du principe de proportionnalité, bien mieux respecté dans la loi helvétique qui impose des contraintes beaucoup plus strictes à l’utilisation de ces données. Par ailleurs, la Cour Européenne des Droit de l’Homme admet les méthodes invasives de surveillances des télécommunications et la récolte de données si les citoyens sont précisément informés de l’existence cette possibilité. Cela dit, comme toute atteinte à un droit fondamental, il s’agit de respecter les conditions de l’art. 36 de la Constitution : base légale (LSCPT), intérêt public (combattre la criminalité en ligne) et respect du principe de proportionnalité (cf. les conditions d’utilisation évoquées plus haut).
  • « L’Etat va surveiller les faits et geste de tout le monde ». C’est faux. Les données secondaires de télécommunications permettent certes de retracer les faits et gestes de toute personne qui fait usage de moyens de communication, mais elles ne seront pas stockées par l’Etat, qui ne pourra les obtenir qu’en cas de soupçons avérés d’un crime grave, sur autorisation d’un juge.
  • « Les chevaux de Troie seront utilisé pour fouiller les ordinateurs de gens ». C’est faux. La base légale prévoit que ces instruments ne pourront être utilisés que pour écouter des télécommunications cryptées. Tout autre usage rendra en règle générale l’exploitation des preuves ainsi obtenues irrecevable en justice, selon les règles habituelles de la procédure pénale en vigueur. Par ailleurs, la « perquisition en ligne » sera explicitement interdite, tout comme l’utilisation de la caméra ou du micro de l’ordinateur-cible pour écouter ce qui se passe dans la pièce où il se trouve.