La Quadrature du Net, FDN et FFDN s’attaquent à l’édifice de la surveillance en France

La Quadrature du Net, FDN et FFDN s’attaquent à l’édifice de la surveillance en France

Fin du chantier dans 18 ou 24 mois

Avatar de l'auteur
Marc Rees

Publié dans

Droit

19/02/2015 12 minutes
44

La Quadrature du Net, FDN et FFDN s’attaquent à l’édifice de la surveillance en France

Ni le gouvernement, ni le législateur n’avaient souhaité faire examiner la loi de programmation militaire par le Conseil constitutionnel. Qu’à cela ne tienne. La Quadrature du Net, FFDN et FDN annoncent qu’ils attaquent l’un de ses principaux décrets d’application devant le Conseil d’État, avec pour objectif une question prioritaire de constitutionnalité. Mais pas seulement.

L’ambition des initiateurs de cette procédure est pour le moins vaste et ambitieuse : « Nous essayons de remettre en cause l’ensemble de l’édifice juridique lié à la surveillance d’Internet, et spécialement les obligations de conservation des données par les fournisseurs d’accès et les hébergeurs » nous confie Félix Tréguer, membre du collège stratégique de la Quadrature du Net. « Le décret d’application attaqué va certes moins loin que les formulations très larges de la loi de programmation militaire », mais c’est justement cette vaste latitude du pouvoir réglementaire qui prête le flanc à leur critique.

Le décret sur l’article 20 de la loi de programmation militaire

Le décret ciblé est celui du 24 décembre 2014, relatif à l’accès administratif aux données de connexion (voir notre point sur le sujet).

Que dit ce texte en substance? Revenons d’abord à la loi de programmation militaire. Son article 13, devenu article 20, ouvre et conforte les vannes du droit de communication à toute une série d’administrations (Intérieur, Bercy, Défense, etc.). Il leur permettra un plein accès à tous les « documents » et aux « informations » stockés chez les hébergeurs ou transmis dans les tuyaux des FAI et autres opérateurs télécoms. Il suffit de justifier de la recherche de renseignements intéressant notamment la sécurité nationale, la prévention du terrorisme, la criminalité et la délinquance organisées ou « la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France ». Les intermédiaires sont alors tenus de communiquer « en temps réel » ces pièces recueillies sur « sollicitation du réseau. »

Le décret du 24 décembre est venu préciser ces notions pour le moins floues et qui ont naturellement suscité un grand nombre de critiques lors des débats à l’Assemblée nationale et au Sénat. Il prévient par exemple que les documents et informations visent les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication, les données « permettant d'identifier le ou les destinataires d’une communication » électronique, etc.

Dans sa délibération portant sur ce texte administratif, la CNIL avait certes critiqué plusieurs points, mais elle poussait un « ouf » de soulagement : le décret litigieux ne permet « en aucun cas de réaliser des interceptions de contenus ou des perquisitions en ligne ». Quels sont alors les reproches de la Fédération des fournisseurs d’accès à Internet associatifs, French Data Network et la Quadrature du Net ? Les critiques sont multiples.

Le défaut de notification du texte et l’absence d’étude d’impact

« Nous soulevons d’abord l’absence de la notification et de l’étude d’impact » nous expose Felix Tréguer. Les requérants considèrent en effet que le texte aurait dû être notifié à Bruxelles. La directive du 22 juin 1998 oblige en effet d’alerter la Commission européenne et les autres États membres des futures règles et spécifications techniques qui viendraient s’appliquer dans un pays sur les épaules des intermédiaires. Bien entendu, le Conseil d’État devra d’abord dire si, oui ou non, la notification s'imposait. Quid d'une réponse positive ? Simple : le texte tombe, comme il l’a déjà jugé en 2013 (notre actualité).

Quant au défaut d’étude d’impact, Félix Tréguer nous rappelle l’existence d’une circulaire du 17 février 2011 qui impose justement « une analyse d’impact circonstanciée » avec au surplus la saisine d’un commissaire à la simplification. Des procédures qui feraient ici défaut.

Une future QPC, un décret qui dépasse les bornes

« Le recours est plus une requête introductive d’instance. Nous prévoyons cependant de rajouter un mémoire ampliatif avec d’autres arguments. Nous envisageons évidemment une question prioritaire de constitutionnalité puisque la conformité à la constitution n’est pas acquise. Il y a des formulations trop vagues et des cas d’incompétences négatives ». Ces cas d’incompétences négatives sanctionnent le fait pour un législateur de confier des missions trop vastes au pouvoir réglementaire, qui auraient justement dû être détaillées plus complètement par la loi. Le Conseil constitutionnel explique dans cette note qu’il « est attentif à ce que le législateur ne reporte pas sur une autorité administrative, notamment le pouvoir réglementaire, ou sur une autorité juridictionnelle le soin de fixer des règles ou des principes dont la détermination n'a été confiée qu'à la loi. »

Pire encore, le décret irait aussi au-delà du cadre défini par la loi et spécialement l’article L246-4 du Code de la sécurité intérieure. Selon cet article, la Commission nationale de contrôle des interceptions de sécurité dispose « d'un accès permanent au dispositif de recueil des informations ou documents mis en œuvre » en vertu des dispositions remaniées par la loi de programmation militaire. Il prévoit en outre que les modalités d’application sont définies par un décret « qui précise notamment la procédure de suivi des demandes et les conditions et durée de conservation des informations ou documents transmis. »

Problème, « le décret semble aller plus loin que son exposé des motifs. De plus, il n’y a rien qui précise concrètement comment seront assurés et encadrés la sécurité et le suivi de ces opérations, comme l’a pointé la CNIL » commente Felix Tréguer. Dans sa délibération, la CNIL a en effet regretté que le projet de décret soumis à son examen ne contienne « aucune information technique sur les modalités de mises en œuvre des réquisitions administratives de données de connexion ou d'informations », alors que ces contraintes sont désormais exigées par la Cour de justice de l'Union européenne.

L’invalidation de la directive sur la rétention des données

C’est là l’un des gros morceaux de cette procédure. En avril 2014, la Cour de justice de l'Union européenne a invalidé la directive sur la conservation des données. Les juges dénonçaient alors « une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel sans que cette ingérence soit limitée au strict nécessaire ». Pourquoi ? Cette directive était censée mieux harmoniser la collecte et la conservation des données de connexion dans toute l’Europe (origine, destination, horodatage, équipements utilisés, etc. doivent être conservés par les FAI et les opérateurs entre six mois et deux ans, au choix des États membres).

Seulement, pour la CJUE, cette directive a plusieurs défauts graves : d’un côté, ce texte permet aux États membres de cartographier toute la vie d’une personne, de l’autre, il les autorise à aspirer toutes les métadonnées sans prévoir de limitations et d’exceptions précises, par exemple en couplant obligation de conservation et infractions graves. Pire encore, la directive « ne prévoit aucun critère objectif permettant de délimiter l’accès des autorités nationales compétentes », relevait la CJUE, qui dénonçait aussi l’absence de contrôle préalable de ces accès par une juridiction ou une autorité indépendante, tout comme d’« un niveau particulièrement élevé de protection et de sécurité par des mesures techniques et organisationnelles ».

Pour Felix Tréguer, « cet arrêt a donné lieu partout en Europe à des recours. Il y a des débats aux Pays-Bas, une grande campagne au Royaume-Uni. En Autriche, Roumanie, Slovaquie et Slovénie il, y a eu selon les cas des annulations ou des suspensions des textes ». Seulement, en France, les effets telluriques de cette invalidation font toujours débat. La raison est simple : les dispositions en vigueur permettant la conservation et l’exploitation des données de connexion ne procèdent pas directement de cette directive invalidée.

Les doutes du Conseil d’État

P.200 et 201 de son rapport annuel portant sur le numérique, le Conseil d’État n’a pas été bien limpide, exposant deux interprétations, l’une minimaliste, l’autre maximaliste. Dans le premier cas, les textes français seraient intouchables, dans le second cas, il faudrait bien une mise à jour complète de notre législation. « Le CE semble cependant prendre parti en faveur de cette interprétation minimaliste, relate le représentant de la Quadrature, alors pourtant qu’un juge de la Cour de justice de l’Union, européenne nous a expliqué lors d’un colloque que les paragraphes 57 à 60 de l’arrêt remettait bien en cause la surveillance généralisée. Du coup, soit le Conseil d’État estime finalement comme nous que cette interprétation est claire, soit il devra questionner la CJUE. »

Les risques soulevés par la CNIL

Dans sa délibération sur le décret de la LPM, la CNIL s’était d’ailleurs elle aussi interrogée « sur le risque d'inconventionnalité des dispositions de la loi de programmation militaire ». Elle soulignait que les données « détenues par les opérateurs qui peuvent être demandées sont de plus en plus nombreuses, sont accessibles à un nombre de plus en plus important d'organismes, sur réquisitions judiciaires ou administratives ou en exécution d'un droit de communication, et ce pour des finalités très différentes ». Elle sensibilisait alors le Gouvernement « sur les risques qui en résultent pour la vie privée et la protection des données à caractère personnel et sur la nécessité d'adapter le régime juridique national en matière de conservation et d'accès aux données personnelles des utilisateurs de services de communications électroniques ». Des remarques restées vaines d’effets.

Félix Tréguer prend aussi note que « les dispositions du décret ne vont pas aussi loin que ne l'y invite la loi, mais cela montre aussi qu’il suffit d’une simple modification réglementaire notamment sur la notion d’informations et de documents pour changer la donne. Il y un flou, une ambiguïté à encadrer et il reste assez incroyable de voir combien le gouvernement a fait bloc pour légaliser des pratiques alégales ! Cela nous a bien entendu motivés dans notre volonté de relancer ce débat sur les pratiques de l’État français. »

Dissonance et disharmonie

« Il y aussi a une dissonance entre les dispositions législatives et les injonctions réglementaires » considère-t-il encore. Le Code des postes et des télécommunications pose le principe d’un effacement de la donnée de trafic. Cependant, le même article 34-1 prévoit une série d’exceptions, notamment pour les besoins de recherche, constatation et de poursuite des infractions pénales. Dans, la partie réglementaire, cette possibilité est devenue une injonction généralisée à l’encontre de tous les intermédiaires pour tous les flux.

« Il y a sans doute un problème de conventionalité sur ce point. Pour qu’une ingérence dans un droit fondamental soit justifiée et nécessaire dans une société démocratique, selon la formule consacrée, cela implique une mesure efficace et surtout l’absence d’alternative tout aussi efficace. Or, rien n’indique que les mesures de conservation ciblées en vigueur en Allemagne ou dans d’autres pays seraient justement moins efficaces » commente Felix Tréguer, qui pointe aussi que de plus en plus d’administrations ont vu leur droit de communication se muscler au fil des patchs législatifs et réglementaires, sans l’encadrement nécessaire.

Une procédure relativement longue

Du côté de la FFDN, on apprend que « la procédure va être relativement longue (compter 18 à 24 mois environ) ». La fédération promet de publier « régulièrement des nouvelles » afin de tenir informés ceux qui s’intéressent à ce débat. « L'enjeu pour nous, associations fournissant de l'accès à Internet et ayant à cœur la protection des données personnelles et de la liberté d'expression, est bel et bien de mettre fin à un régime de surveillance intrusif, imposé et renforcé en Europe depuis une vingtaine d'années. C'est l'occasion également de réaffirmer que notre rôle d'intermédiaire d'accès à Internet n'est pas d'être une police privée des communications des adhérent⋅e⋅s abonné⋅e⋅s qui nous font confiance. »

Dans ce recours en annulation pour excès de pouvoir, même son de cloche pour FDN. « Les dérives que nous craignions tant, à l'époque des débats sur la rétention des données, se sont toutes produites. La surveillance généralisée de la population, nous sommes en plein dedans » considère Benjamin Bayart dans ce billet, n'évitant pas la référence aux révélations d'Edward Snowden.

44

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le décret sur l’article 20 de la loi de programmation militaire

Le défaut de notification du texte et l’absence d’étude d’impact

Une future QPC, un décret qui dépasse les bornes

L’invalidation de la directive sur la rétention des données

Les doutes du Conseil d’État

Les risques soulevés par la CNIL

Dissonance et disharmonie

Une procédure relativement longue

Commentaires (44)


Le gouvernement ne respecte pas ses propres règles (notification, études d’impact)? Non, s’pas possible…



(Je me demande comment personne ne pense à ce genre de chose quand ils font des lois, à croire que c’est voulu).


Mais c’est voulu…


Espérons que ces recours aboutissent de telle manière qu’un tel nouveau texte ne puisse plus être mis en place. Mais, la, je rêve tout éveillé …








Nozalys a écrit :



Mais c’est voulu…





<Oui, c’est totalement voulu par les copains ayant assez de blé pour le lobbying …



Un parti extrême (droite ou gauche) qui profiterait de toutes ces failles, c’est la dictature assurée très rapidement en peu de temps (merde je ne sais plus quitter ce mode)


Mon commentaire précédent a buggué et impossible d’éditer (la case d’édition n’est jamais apparue).



Je voulais donc dire : c’est voulu pour engraisser davantage les “copains” ayant assez d’argent pour du lobbying à outrance.


Enfin dans le cas présent, c’est surtout les services de renseignement qui ont gagné leur lobbying pour s’éviter tout contrôle et gêne dans leur activité.


Un parti extrémiste qui arrive au pouvoir n’en a rien à foutre des lois déjà existantes: si elles ne conviennent pas, il les change de toutes façons (historiquement, ça a chaque fois été le cas).

Ce sont les dérives dans le cadre d’un état démocratique qui sont le problème.

 








2show7 a écrit :



Un parti extrême (droite ou gauche) qui profiterait de toutes ces failles, c’est la dictature assurée très rapidement en peu de temps (merde je ne sais plus quitter ce mode)





Pas besoin d’un parti extrême pour profiter de ces “failles”, hein.

Dès qu’il en a la possibilité, même le plus gentil des agneaux peut devenir le plus horrible des monstres.



Par contre, c’est bizarre. On n’entend plus les haters dire que FDN et QDN ne servent à rien et ne font rien, qu’ils peuvent mourir, etc…

Étrange comme le silence apparait dès que la contradiction se fait.



Tutututut mauvaise langue va ! <img data-src=" />



Réponse @ tous ceux qui m’ont cité : C’est quand même comme ça qu’on ouvre la/les boite/s de Pandore&nbsp;



Mais qui pourrait encore vouloir la/les fermer avec un “49.3”&nbsp; autoritaire&nbsp;<img data-src=" /> ?


Mitterand aurait été aux anges avec la LPM et Edern Hallier… .



Qui croit encore aux partis politiques, aux ideaux, à la Justice, à la liberté, à l’égalité voire soyons fous, la fraternité ?



NWO inside.


Bel article récapitulatif de la situation actuelle, merci à l’auteur.


merci beaucoup.








MarcRees a écrit :



merci beaucoup.







Je ne me suis jamais abonnée à quoi que ce soit, mais je reconnais le travail de qualité par un professionnel passionné. J’en ai donc pris pour 2 ans.



Bravo à la QDN qui font palier aux carences des hommes politiques sur la question.


Possible, je ne me rappelle plus trop (j’étais encore trop jeune pour véritablement m’y intéresser), en 2006 si ça avait fait méga “scandale” comme ça.

Mais c’est pas comme s’ils avaient fait un passage en force illégal, c’est prévu dans les procédures, bon bah c’est le jeu quoi.








Nozalys a écrit :



Possible, je ne me rappelle plus trop (j’étais encore trop jeune pour véritablement m’y intéresser), en 2006 si ça avait fait méga “scandale” comme ça.

Mais c’est pas comme s’ils avaient fait un passage en force illégal, c’est prévu dans les procédures, bon bah c’est le jeu quoi.





Voilà, c’était en 2006 pour le CPE, et ca gueulait tou pareil… Valls et Hollande gueulaient très fort, d’ailleurs. <img data-src=" />









2show7 a écrit :



Un parti extrême (droite ou gauche) qui profiterait de toutes ces failles, c’est la dictature assurée très rapidement en peu de temps (merde je ne sais plus quitter ce mode)





Pas besoin de parti extrême, on a déjà tout ce qu’il faut avec l’ump et le ps…









tmtisfree a écrit :



Je ne me suis jamais abonnée à quoi que ce soit, mais je reconnais le travail de qualité par un professionnel passionné. J’en ai donc pris pour 2 ans.





<img data-src=" />

<img data-src=" />

vraiment sympa !



Merci d’éviter les débordements sur le 49.3 svp…

C’est totalement hs.

&nbsp;








tmtisfree a écrit :



J’en ai donc pris pour 2 ans.





fermes ou avec sursis?



les 2 ans c’est la partie incompressible <img data-src=" />


Bah, il me semble que les trucs impossibles à faire passer dans une démocratie ont été déjà mis en place avant que l’Europe ne s’occupe de ce sujet.



Je pense surtout aux fichiers cristina, edvige, d’autres aux noms secrets et bien sûr je suppose que tous les moyens d’interceptions qui permettent de les remplir ont été validés à l’époque. Sans compter le fameux art20 très flou du code des postes et télécom qui permettait de largement ouvrir la porte à tous les abus (selon le canard enchaîné).



Donc du coup maintenant c’est plus la cerise sur le gâteau qui est visée non ? A savoir, couvrir les services de sécurité pour qu’ils ne se retrouvent pas en taule.



“mon petit, si vous vouliez être couvert, fallait vous engager dans la gendarmerie” “les barbouzes” Dialogue entre Lagneau et son chef sur le transport d’un cadavre à travers l’Europe.


Ca va pas plaire aux&nbsp; membres du parti et au Fuhrer Hollande . Mais j’avoue que cette fois QDN FDN FFDN ont des cojones








pentest a écrit :



Ca va pas plaire aux  membres du parti et au Fuhrer Hollande . Mais j’avoue que cette fois QDN FDN FFDN ont des corones





Cojones.









Drepanocytose a écrit :



Cojones.





Corrigé merci









tmtisfree a écrit :



Bel article récapitulatif de la situation actuelle, merci à l’auteur.





+1



Et merci aussi à ces structures collectives qui se battent pour faire respecter les droits des honnêtes citoyens que l’on s’acharne à transformer en suspects potentiels.









ActionFighter a écrit :



+1



Et merci aussi à ces structures collectives volontaires qui se battent pour faire respecter les droits des honnêtes citoyens que l’on s’acharne à transformer en suspects potentiels.







Les individus n’ont rien contre les structures collectives quand elles sont le résultat de l’action volontaire des agents qui les constituent, comme noté précédemment. Pas besoin de faire de prosélytisme collectiviste excessif qui ne change rien aux fondamentaux.



Ya un gros problème la ! La quasi totalité des commentaire de ce sujet ne font qu’un !

Wooo, on a divisé par zero !



&nbsphttp://i.imgur.com/0bZfgci.png



WTF?


..et dire que “certains” LES critiquaient !

“on” est bien content de LES trouver

car un Internaute, SEUL, aura du mal

à saisir le Conseil Const. !


C’est pas la première fois que ça arrive.

C’est un bug de l’éditeur visuel qui fait sauter une fermeture de div (dans le commentaire de Gilbert_Gosseyn).








Mihashi a écrit :



C’est pas la première fois que ça arrive.

C’est un bug de l’éditeur visuel qui fait sauter une fermeture de div (dans le commentaire de Gilbert_Gosseyn).





Merci.&nbsp; Pour moi c’était la première fois.&nbsp; C’est douloureux <img data-src=" />



La surveillance c’est toujours particulièrement inutile et anxiogène, du moins tant que l’ordre public est préservé.



C’est un peu comme souscrire à un système d’alarme/vidéo chez soi. C’est une intrusion inadmissible dans sa vie privée, du moins tant qu’on n’a pas vécu un home-jacking.


En attendant le ministre de l’intérieur est aux USA pour participer à un sommet sur le terrorisme qui selon lui est diffus et en “accès libre” &nbsp;- Il appelle donc à peser collectivement sur les FAI. Toujours selon lui, 90% des individus qui basculent dans le terrorisme le font par internet


c’est marrant quand tu dis ca comme ca, toi t’es pas taxé de hors sujet :)

mais je plussoie ton analyse, donc


La Quadrature du Net, ils font du bon boulot !