C’est un sigle impersonnel, « #PNCD », mais il cache un secret sur lequel la République a réussi, depuis 2007, à maintenir un silence absolu. Derrière ces quatre lettres se dissimule la Plateforme nationale de cryptage et de décryptement [@stephane s’arrache les cheveux], un système complexe et occulte de recueil massif et de stockage de #données_personnelles étrangères et françaises dans lequel les services de renseignement français puisent à leur guise et sans aucun contrôle autre que leur propre hiérarchie.
Le Monde avait révélé, en 2013, l’existence de ce dispositif et s’était vu opposer par les autorités un démenti formel. Au terme de deux ans d’enquête, il est désormais possible de décrire dans le détail l’architecture interne de ce véritable « Big Brother » à la française classé « #secret-défense ». Les gouvernements successifs ont validé son fonctionnement et soutenu son développement. Au nom de la raison d’Etat, des parlementaires nient toujours son existence. Le mode de financement de la PNCD est très discrètement dilué au cœur du budget de l’Etat et les fonds alloués à ce programme n’ont cessé de croître.
La mutualisation de cet outil, présenté comme une pierre angulaire du monde du #renseignement en France, est jugée si essentielle par l’Etat à la bonne marche des services français qu’elle est totalement absente du projet de loi sur le renseignement [#PJLRenseignement] présenté, lundi 13 avril, en séance publique à l’Assemblée nationale, dans le but de donner un cadre légal à l’activité des services. La PNCD semble avoir pris une place exorbitante au sein de l’organisation du renseignement en France et couvre des champs juridiques si différents qu’aucun cadre ne paraît, à lui seul, pouvoir le mettre en conformité avec la loi.
La PNCD est hébergée, pour l’essentiel, dans les locaux du siège de la Direction générale de la sécurité extérieure (#DGSE), à Paris. Equipée des plus puissants calculateurs de France, elle recueille des milliards de données françaises et étrangères interceptées par la DGSE au moyen d’outils satellitaires ou hertziens et surtout par le biais de #câbles_sous-marins par lesquels transite, aujourd’hui, l’essentiel des communications mondiales. Elle stocke une grande partie du flux intercepté et trie les sujets au cœur de ses recherches.
Sur la base de protocoles bilatéraux, les autres services de renseignement français ont organisé, à partir de 2007, leur accès à cette gigantesque base de données. Il s’agit de Tracfin pour la lutte contre le blanchiment, de la DNRED pour les douanes, de la DPSD pour la sécurité militaire, de la DRM pour la branche satellitaire de l’armée, de la Direction du renseignement de la préfecture de police de Paris et enfin de la Direction générale de la sécurité intérieure (#DGSI).
Cette consultation se fait sans aucun filtre, ni ceux des ministères de tutelle, ni celui de la Commission nationale de contrôle des interceptions de sécurité (#CNCIS), chargée de veiller à la légalité des interceptions administratives. Pas plus que celui du Groupement interministériel de contrôle, bras armé du premier ministre, tour de contrôle en matière de renseignement. La consultation est tellement intégrée que la DGSI a installé une quinzaine de ses agents dans les locaux de la DGSE pour gérer ses propres recherches. Les douaniers de la DNRED ont également des personnels à demeure.
Au regard de la circulation mondialisée des données de communication, le flux intercepté et stocké par la PNCD comporte nécessairement des identifiants français. L’Autorité de régulation de communications électroniques et des postes a confirmé publiquement qu’il « était délicat de distinguer l’origine des communications ». Une façon pudique de dire qu’il est en réalité aujourd’hui « techniquement impossible d’assurer ce tri, notamment dans le flux étranger-France », assure un membre de cabinet ministériel.
C’est le cœur du casse-tête juridique. Comment protéger toutes les données de communications des citoyens français à une époque où la circulation des données personnelles s’affranchit de toute règle territoriale ? Comment articuler un dispositif de recueil massif de données non soumis à la loi française, la PNCD de la DGSE, avec les pratiques d’un monde du renseignement national soumis à cette même loi ?
Faute de réponse, l’Etat laisse ce puissant système intrusif aux seules mains des services, de quoi inquiéter au regard de la quantité de données auxquelles peut accéder la PNCD. En effet, si elle a constitué sa propre base de données de communications, elle est aussi reliée aux centres de stockage de tous les opérateurs installés en France. Un agent de la direction technique de la DGSE peut, de son ordinateur, faire remonter tous les éléments attachés à la requête des services de renseignement français. Or ces données de connexion, aussi appelées « métadonnées », sont bien plus attentatoires à la vie privée qu’une interception téléphonique.
La DGSE, qui opère en théorie en dehors du territoire français, n’est pas contrainte par les lois s’y appliquant. Mais elle est prise au piège, selon certains de ses membres, à cause du partage de ses moyens techniques. Le projet de loi sur le renseignement tente de combler les trous béants créés par la PNCD au regard de la loi. Dans le chapitre 4 de l’article 3, qui concerne la DGSE, le gouvernement entend légaliser la #surveillance des communications « émises et reçues à l’étranger », ce qui revient, de façon curieuse, à officialiser l’espionnage du reste du monde, y compris nos alliés européens.
Le projet ajoute l’obligation de garantir aux identifiants français recueillis lors de cette pêche au chalut les droits fixés par le législateur en matière de traitement des données, tout cela sous le contrôle de la CNCIS, devenue la Commission nationale de contrôle des techniques de renseignement.
Cette distinction entre données étrangères et françaises, on l’a vu, est très difficile à garantir. De plus, si la CNCIS a été pleinement associée, dès 2007, à la création de la PNCD, elle n’a, en revanche, aucune connaissance des conditions de sa mutualisation. Par ailleurs, alors que cette structure est chargée de veiller à la stricte application de la loi en matière d’interceptions qui ne peuvent qu’être ciblées, la CNCIS participe elle-même au système de recueil massif de données. Elle délivre à la plupart des services de renseignement français des autorisations d’interceptions à l’échelle d’un pays tout entier sous forme de « fiches-pays » cartonnées qui permettent d’intercepter et de recueillir massivement du contenu sans aucune discrimination.
Enfin, le projet de loi ne dit rien non plus sur une autre entorse majeure au régime légal du traitement des données personnelles des citoyens français. La DGSE échange, en effet, dans le cadre de trocs avec certains alliés, ce qu’elle appelle des « blocs » de données. L’Agence nationale de sécurité américaine (#NSA), le plus puissant service de renseignement technique au monde, et son homologue britannique, le #GCHQ, s’adressent ainsi régulièrement à la DGSE pour récupérer des « blocs » concernant des régions du monde particulièrement surveillées par la France. La NSA demande ainsi régulièrement plusieurs mois de flux de données de communications venant du Sahel. Ce bloc contient de très nombreux identifiants français, souvent non décryptés, livrés tels quels aux Américains.
Le Monde n’a retrouvé qu’une mention officielle de la PNCD sous un tableau comptable du budget de l’Etat en 2006. A cette époque, ce n’est pas encore une « plateforme », mais un « programme ». Un an plus tard, le sigle a disparu mais on apprend néanmoins que son financement, inscrit dans les livres du ministère de la défense, bénéficie d’une contribution interministérielle au nom de cette mutualisation. En 2015, le projet de loi de finances soutient toujours le développement de la PNCD sans la nommer : « Conformément aux orientations du Livre blanc sur la défense et la sécurité nationale de 2013 (…), la DGSE poursuit sa montée en puissance de ses dispositifs au bénéfice de l’ensemble de la communauté du renseignement ».
Sollicités à plusieurs reprises, les services du premier ministre ont refusé de répondre aux questions du Monde. Le caractère « secret-défense » de la PNCD a enfin été opposé par les parlementaires et les services de renseignement contactés.
