Stéphane Schmoll est directeur général de Deveryware (société spécialisée dans les services de géolocalisation). Il est membre actif du Haut comité Français pour la défense civile (HCFDC), du GICAT, du Cybercercle, du Comité Richelieu, de la chaire Valeurs & politiques des informations personnelles de l’Institut Mines-Telecom, de l'Agence nationale de la techerche et de plusieurs pôles de compétitivité. Il nous livre ici son avis sur la loi concernant la géolocalisation, qui vient d’être adoptée. Rappelons que cette loi clarifie les conditions d’utilisation de la géolocalisation par les services enquêteurs.
Une rustine juridique nécessaire mais insuffisante
Les députés viennent d’adopter la loi relative à la géolocalisation proposée en urgence par le gouvernement pour combler la non-conformité des textes et procédures françaises dénoncée par la Cour européenne des droits de l’homme. Cette loi urgente était nécessaire et elle est donc bienvenue. Pour autant, ce n’est qu’une rustine qui va très vite se révéler insuffisante. Tout d’abord par sa fragilité vis-à-vis de la doctrine de la Cour européenne des droits de l’homme, qui pourrait rapidement se prononcer ontre les prérogatives de notre parquet. Et puis parce qu’il faut souligner que le gouvernement et le législatif n’ont traité qu’une peau de chagrin. La géolocalisation par les téléphones portables et les balises GPS est parfaitement maîtrisée par les opérateurs et prestataires concernés, dans un cadre juridique et réglementaire bien adapté. Mais ces moyens techniques sont déjà dépassés par les autres capteurs de localisation des personnes.
La technologie va plus vite que la loi
Les plus évidents sont les smartphones et tablettes qui équipent déjà une partie majeure et croissante de la population. Ils sont aussi des terminaux internet qui transmettent un grand nombre de données – dont la géolocalisation à 10 mètres près même en intérieur, mais aussi des données de connexion, des carnets de contacts, etc.- à des serveurs répartis dans le monde entier. Pour le seul cas de la géolocalisation, le nombre de capteurs capables d’indiquer directement ou indirectement les positions des gens, indifféremment bons ou méchants, va véritablement exploser avec l’internet des objets. Nos véhicules communiquent davantage et leurs plaques d’immatriculation sont déjà facilement lues et repérées. Au-delà, nous serons tous liés à divers objets communicants (plus de 10 par personne avant la fin de la décennie) : caméras, montres, lunettes, vêtements, appareils ménagers et autres, et on ne va pas faire une loi par capteur ! Avec la captation et le traitement en temps réel, la géolocalisation s’est mutée en chronolocalisation, avec la capacité d’alerter en temps réel. Mais elle évolue déjà vers le géoprofilage puis vers l’analyse comportementale, qui vont permettre d'importants progrès autant dans les moyens d’enquête judiciaire – par exemple pour démontrer des collusions criminelles ou détecter à temps des prémices de passage à l’acte -que pour les services utiles à la vie quotidienne comme la sécurité ou l’anti-fraude. Il sera donc indispensable d'adapter le cadre juridique de leur emploi.
On se trompe de sujet
Le contrôle juridique et technique de ces transmissions est quasiment impossible : ni nos opérateurs ni notre CNIL n’y peuvent grand-chose. Seul, le niveau européen aurait la capacité crédible pour établir des règles du jeu respectées. A défaut, la colonisation numérique de notre continent deviendra totale et irréversible. Nous sommes tous coupables de cette dérive : citoyens utilisateurs béats de ces technologies, pouvoirs exécutif et législatif, enseignement, presse… Tous font l’autruche ou regardent le doigt du sage lorsqu’il montre la lune. Il faut voir plus haut et plus loin. Il est vain de chercher à légiférer l’emploi et le contrôle des données transmises par chaque objet communicant. Plutôt que de chercher à encadrer la captation des données (ce que les textes existants font déjà mais sans pouvoir véritablement la contrôler), il serait plus efficient et plus sage de ne plus chercher à couvrir les moyens technologiques en mutation permanente, mais plutôt de légiférer et de contrôler les traitements de ces données et les usages qui en découlent. Le véritable enjeu est là. Mais la loi ne peut pas tout régir. Sans contrevenir aux règles du commerce international, on pourrait aussi encourager le développement de normes ou labels incluant le stockage et le traitement des données sur notre sol, là où on peut raisonnablement tenter de les contrôler.
L’illusion des frontières
Nos lois et règlements se sont concentrés sur la mise en œuvre de la géolocalisation judiciaire ou administrative de nos mobiles sur notre sol à travers nos opérateurs et prestataires associés. Mais les délinquants et criminels de tous types ignorent les frontières et travaillent en réseaux. Il faut donc traiter le problème de la territorialité juridique. Des entreprises étrangères savent localiser des abonnés français partout dans le monde à partir de serveurs répartis en « cloud », tandis que les services français ont tout autant besoin de localiser des ressortissants étrangers sur notre sol pour la sécurité nationale. Or, nos lois et nos administrations tricolores sont quasiment impuissantes à fournir des cadres de coopération internationale efficaces. C’est un double enjeu sécuritaire et économique.
Le rapport de la sénatrice Catherine Morin-Desailly « Les enjeux d'une gouvernance du numérique à l'échelle européenne » a démontré que face aux influences des américains, les européens sont coupables de leur manque de volonté ou de capacité politique de coordination juridique, fiscale, et technique. L’Europe doit mettre en place une inter-opérabilité juridique, en s’appuyant notamment sur la convention de Budapest et le futur règlement européen sur la protection des données personnelles. La CNIL d’efforce de faire entendre les lumières de la France. Nos législateurs et les professionnels concernés doivent l’aider en démontrant notre capacité à produire des textes de bon sens de portée nationale mais pouvant faire école au niveau communautaire, voire davantage.
Fabriquer des lois durables
Les bonnes lois sont réfléchies en profondeur avant de se révéler intelligentes, utiles et surtout pérennes. C’est le cas de la Loi Informatique et Libertés de 1978 ou de la Loi Godfrain de 1988 sur la fraude informatique, qui ont exprimé des principes fondamentaux indépendants des moyens techniques, avec des sanctions claires contre les infractions. Il est désormais urgent de réunir les experts compétents, pas seulement des technologies mais aussi des forces de l’ordre, des juristes, économistes, sociologues et même philosophes, afin d’édifier des propositions consensuelles qui apportent de la matière aux législateurs nationaux et européens pour concilier notre sécurité et nos libertés. Cela permettrait aussi de favoriser nos entreprises productrices de solutions de sécurité globale ou du cyberspace, créatrices de valeur exportable. C’est une des raisons d’être de la filière nationale de sécurité et du Conseil des industriels de la confiance et de la sécurité (CICS). Un bon antidote contre la colonisation numérique. Au travail !