Read on Twitter
[Thread] [#Renseignement] Ah tiens, au fait, j'ai enfin mis le nez dans le rapport de la #CNCTR, a.k.a. "le gendarme des écoutes" (cnctr.fr/_downloads/NP_…). Qqs notes au fil de l'eau :
Dès l'intro : + que doublement des contrôles "sur pièces et sur place" entre 2016 et 2017. 
Plus d'éléments sur ces contrôles pp. 56 & suivantes. Dans le cas de la DGSI et de la DGSE, ça a pu monter à un contrôle / semaine en 2017.
Les contrôles sont prévus et notifiés en amont. Les contrôles "inopinés", réservés aux cas d'urgence ou "irrégularité manifeste", n'ont pas été mis en œuvre. (Comme j'ai mauvais esprit, je trouve ça très limitatif, vu que l'inopiné c'est pas mal pour constater une irrégularité.)
Lors de ses contrôles, la CNCTR a pu constater des "irrégularités peu nombreuses" (réglées avec le service concerné sans entrer dans le circuit "ministre -> PM -> recours devant le Conseil d'Etat")
Au chapitre "anomalies" : des données conservées trop longtemps pcq elles avaient été "qualifiées, de manière erronée, de données chiffrées soumises à des délais de destruction différents" (!)
Rappel : en surveillance internationale, les contenus de correspondances peuvent être conservé 12 mois à compter de leur 1re exploitation, jusqu'à 4 ans à compter de leur recueil. Quand c'est chiffré : jusqu'à HUIT ans à compter de leur recueil tant que ça n'est pas déchiffré...
Et autre anomalie, donc : une surveillance administrative qui se poursuit alors même qu'une procédure judiciaire a été ouverte (ahem).
Pp. 14 & 15, un rappel utile : depuis les lois de 2015, le Code de la sécurité intérieure a continué à bouger. Ici, entre le 3/10/2016 et le 31/12/2017 :
Passons, pp. 16 & suiv., au chapitre "Algorithmes & signaux faibles" a.k.a. #BoîtesNoires dont on avait appris la naissance en novembre (liberation.fr/france/2017/11…). Plus de détails, dans le rapport, notamment qu'un premier algo a été retoqué en juillet :
Date de naissance officielle : 12 octobre 2017. Premier renouvellement en décembre, un second en février 2018. (Et sans doute, même si le rapport était bouclé à cette date, un autre début juin.)
+ Le moulinage de l'algo a donné lieu à des "demandes d'accès à des données détectées ainsi que d'identification des personnes concernées" (mais on ne sait pas combien d'aiguilles la #BoîteNoire a trouvées dans la botte de foin).
Point #calendrier des #BoîtesNoires : le gouv a obligation de remettre un rapport au Parlement d'ici fin juin 2020 et le Parlement doit renouveler le dispositif d'ici fin décembre 2020, sinon il sera caduc (et il faudra débrancher celles qui tournent).
La CNCTR a recommandé la remise d'un rapport "après une première année de mise en oeuvre", ce qui nous ferait plutôt du fin 2018-début 2019. #TimeWillTell
Au moins, on connaît déjà un des éléments du "chantier qui nous occupera plutôt en 2020" dont parlait Parly au Sénat le mois dernier (source : senat.fr/seances/s20180…), un autre étant l'extension des pouvoirs de la DPR (promesse faite aux sénateurs) :
(Rapport à la première (anti)phrase de la citation de Parly dans le tweet précédent, je repose ça là : liberation.fr/france/2018/06…)
Revenons au rapport. Un truc que j'avais complètement zappé, pp. 40 & 41 : il restait dans la loi, jusqu'en octobre 2017, une disposition qui permettait à Matignon d'autoriser des demandes de données de connexion auprès des opérateurs, FAI, hébergeurs sans passer par la CNCTR :
C'est quand même fou, tous ces vieux restes de la loi de 1991 qui n'avaient pas été nettoyés par la grande réforme de 2015 -- y avait l'exception hertzienne, aussi : liberation.fr/futurs/2016/10…
Allez, quelques chiffres. 1/ l'évolution du contingent des "interceptions de sécurité" i.e. les écoutes :
2/ les chiffres par technique de renseignement. Du moins par grands volants, la rubrique "autres" regroupant accès en temps réel aux données de connexion, #BoîtesNoires, Imsi-catchers, balises etc.
(Pas inintéressant de voir cela dit que sur les accès aux données de connexion, c'est aux deux tiers des identifications)
Cela dit, sur les Imsi-catchers, on a une bonne indication de leur nombre avec le contingent de ceux qui peuvent être utilisés en même temps ;) (60, dont 35 pour Beauvau)
Les cibles potentielles du recueil de données de connexion en temps réel s'étant singulièrement étendues au fil des lois ("entourage"), le Conseil constit' a imposé que leur nombre soit contingenté :
Apprécions ensemble le caractère "incitatif" du contingentement (pour les écoutes, les Imsi-catchers et le recueil en temps réel de métadonnées) qui pousse les services à "mettre un terme aux autorisations devenues inutiles avant de pouvoir en obtenir de nouvelles" :
Autre chiffre, le nombre de personnes surveillées en France :
(Interruption momentanée du service pour cause de vie sociale, à tout à l'heure)
(Reprise des hostilités) Encore des chiffres. Quelles sont les finalités des techniques de renseignement mises en œuvre par les services ? Pourcentages, toutes techniques confondues :
Et les pourcentages en excluant les seules demandes d'identification (pour aller vite, l'annuaire inversé) :
Ce qui frappe évidemment c'est la prédominance de l'antiterrorisme. En 2e place, la lutte contre la délinquance et la criminalité organisée. Mais la part de la contre-ingérence n'est pas mince.
Intéressant aussi de voir qu'arrive en (4) "la défense et la promotion" des "intérêts économiques, industriels et scientifiques" de la France (dont il s'est dit dans un colloque récent que ça monte en puissance...)
Et là, on a comme qui dirait un problème pour comparer, donc documenter les évolutions. Dans le rapport précédent de la CNCTR (cnctr.fr/_downloads/NP_… …) la ventilation (parcellaire...) des finalités n'est faite que pour les écoutes, pas pour l'ensemble des techniques :/
Derniers éléments pour la route. 1/ Le pourcentage d'avis négatifs. On remarquera que ce %age est très faible pour les seules demandes de données de connexion (qui constituent l'essentiel des avis, cf twitter.com/amaelle_g/stat… …). + élevé pour "le reste" (qui est + intrusif)
Et pour finir, les problèmes relevés -à mots feutrés- par la CNCTR sur la centralisation des données... donc la capacité pour elle de contrôler efficacement. Le problème se pose pour les Imsi-catchers, les micros & caméras espions et la "captation de données informatiques" :
Petits soucis aussi de traçabilité en ce qui concerne l'exploitation des données collectées (y compris celles provenant des "mesures de surveillance des communications électroniques internationales", coucou la DGSE) :
[Fin du thread] parce que c'est pas tout ça mais il est tard ;)
• • •
Missing some Tweet in this thread? You can try to
force a refresh
