Renseignement : pourquoi le Conseil d'État a sacralisé l'accès aux données de connexion

Seules solutions : CEDH et CJUE 32
image dediée
Crédits : Xavier Berne
Loi

Dans le cadre de la loi de programmation militaire, l’accès aux données de connexion par le renseignement ne pose pas problème au Conseil d’État. C'est ce qu'il a affirmé aujourd'hui, rejetant le recours de French Data Network, La Quadrature du Net, la Fédération des fournisseurs d'accès à internet associatifs et RSF. Explications.

Ce recours vise le décret du 24 décembre 2014 relatif à l’accès administratif aux données de connexion. Pour faire court, ce texte, publié à la veille de Noël est venu mette en application de la loi de programmation militaire (LPM).

L'article 20 de la LPM permet en effet aux autorités de recueillir en temps réel et sur sollicitation du réseau, tous les « documents » et « informations » détenus par les opérateurs, au titre des métadonnées (notre actualité détaillée). Pour ouvrir les vannes, rien de plus simple, pourrait-on dire. Il suffit préalablement aux services de renseignement de justifier d’impératifs tenant à :

  • La sécurité nationale,
  • La sauvegarde des éléments essentiels du potentiel scientifique et économique de la France,
  • La prévention du terrorisme,
  • La prévention de la criminalité et la prévention de la délinquance organisée
  • La prévention de la reconstitution ou du maintien de groupe dissous

Rejoints par Reporters sans frontières, ces représentants de la société civile défendus par Me Spinosi, ont pilonné de critiques ces dispositions.

Sur le terrain de la légalité externe, par exemple, ces dispositions auraient dû, selon eux, être notifiées à Bruxelles. Or sans notification, un tel texte devient inopposable, et donc inapplicable. L’argument est démonté par le juge administratif : les dispositions n’abritent pas de « règles techniques » au sens de la directive de 1998. Elles ne font donc pas partie du spectre des textes devant préalablement glaner l’avis de la Commission européenne.

Sur la légalité interne, ces critiques prennent plus d’épaisseur encore, évoquant de multiples violations de la convention européenne des droits de l’Homme, notamment sur l’autel de la vie privée, et surtout un magnifique télescopage avec l’arrêt Digital Rights de la Cour de justice de l’Union européenne.

L'arrêt Digital Rights de la CJUE

Téléscopage ? En 2014, la CJUE a considéré qu’un accès aux données de connexion non correctement borné est inacceptable en Europe. Pourquoi ? Tout simplement parce « ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ».

Pour faire court, les États membres peuvent évidemment se défendre contre des infractions graves, mais cette quête sécuritaire ne peut mettre à plat la vie privée de personnes sans lien avec ces faits. Dans l’esprit des juges européens, l’accès aux données doit donc être calibré, encadré, accompagné de garantie, soit à l’exact opposé des pratiques de la NSA révélées par Snowden.

Pour les associations françaises requérantes, le régime des réquisitions administratives en France s’éloigne aussi de trop des préceptes européens. Il souffre de nombreux flous, aussi bien quant au type de données pouvant être collectées par les services du renseignement que les conditions de leur collecte.

Un régime français sans violation disproportionnée de la vie privée

L’analyse n’a pas été partagée par la haute juridiction qui n'a même pas fait cas de cette jurisprudence, pour le plus grand soulagement de Bernard Cazeneuve. D’un, les finalités poursuivies répondent à des objectifs d’intérêt général. De deux, les informations et documents glanés ne concernent pas les contenus, mais les contenants des échanges. De plus l’obligation de conservation de ces métadonnées, limitée à un an chez les opérateurs et les acteurs du Net, « est fondée sur des règles précises et contraignantes, dont la méconnaissance est sanctionnée ».

Du coup, dans son esprit, « est en mesure d’être connue l’étendue maximale des données susceptibles de faire l’objet d’une collecte ». Mieux : la liste des agents pouvant solliciter l’accès à ces données est énumérée limitativement par le Code de la sécurité intérieure, sous le contrôle la Commission nationale de contrôle des interceptions de sécurité, à l’époque compétente pour vérifier ces opérations.

Il y a d’autres gages du beau sérieux de la législation française : toutes les opérations sont tracées, passant d’une manière ou d’une autre par l’autorisation du premier ministre. De même, les données accédées sont gardées sur une période raisonnable de trois ans, histoire de permettre à la CNCIS d’effectuer ses contrôles...

Bref, les juges ont eu beau chercher, au maximum de leur curiosité, ils n’ont trouvé aucune atteinte excessive aux grands principes : les garanties sont suffisantes pour « permettre un contrôle effectif des demandes d’accès administratif aux données de connexion », il n’y a aucune atteinte disproportionnée à la CEDH ou à la Charte des droits fondamentaux de l’Union européenne. Et ceci est d’autant plus vrai que « toute décision faisant droit (…) à une demande d’accès administratif aux données de connexion est susceptible d’être contestée devant le juge administratif ». En creux, les opérateurs sollicités ont droit au recours. De quoi se plaint-on ?

Des atteintes non excessives au secret des sources des journalistes

Le Conseil d’État a traité à part un autre moyen soulevé par RSF. Il vise la protection des journalistes dont les métadonnées vont nécessairement être aspirées par les tuyaux du renseignement. Un petit souci : entre les mains des services, ces informations et documents vont possiblement révéler les sources de cette profession sensible, du moins pour qui se soucie encore de la liberté d’information.

La réponse du Conseil d’État a été similaire à celle du Conseil constitutionnel, lequel, saisi par QPC, avait déjà validé la constitutionnalité des dispositions de la LPM mises en œuvre par le décret : rien dans le texte de 1958 « ne consacre un droit au secret des sources des journalistes ».

Et au niveau en-dessous ? Il y a bien l’article 2 de la loi de 1881 sur le secret des sources et l’article 10 de la CEDH sur le sujet. Mais là encore, tout va bien : aucune « atteinte excessive » puisque la procédure de réquisition administrative des données de connexion est si parfaitement encadrée par la loi, comme le CE nous le dit, nous le répète et tente de nous en convaincre.

Quand le Conseil d’État critiquait ce qu’a ignoré le Conseil d’État

Dans son arrêt, la section du contentieux du Conseil d’État a bêtement ignoré les demandes de questions préjudicielles soulevées par les quatre organisations. Dommage, cela aurait justifié l’intervention de la CJUE. Plus cocasse, il a été imperméable aux critiques adressées à la législation française par… la section des études du même Conseil d‘État.

Dans son rapport sur les libertés numériques, publiées fin 2014, celle-ci estimait que l’arrêt de la CJUE Digital Rights du 8 avril 2014 soulève bien « la question de la conformité au droit de l’Union européenne des législations nationales, telles que la législation française, qui prévoient une telle obligation de conservation générale des données de connexion ».

Elle ne prône, certes, évidemment pas de suppression totale de cette législation, mais un encadrement plus solide. Ce nouvel encadrement a justement été l’objet de la loi sur le renseignement et celle sur la surveillance des communications internationales. Toutes les dispositions auscultées par le CE ont été revues, la CNCIS a été remplacée par la Commission nationale de contrôle des techniques du renseignement, et le droit au recours a été davantage ouvert devant les juridictions administratives.

Satisfaisant ? Sans doute ! Sauf si on souligne que ces lois ont aussi démultiplié les services du renseignement ayant accès à ces flux, tout en agrandissant le spectre et la puissance des outils de surveillance, avec à la clef des recherches algorithmiques sur le big data (les « boites noires ») et autres accès en temps réel sans « sollicitation » des opérateurs, FAI et services en ligne...

Face à ces garanties régénérées par la loi renseignement, le Conseil d’État se convaincra peut-être de l'ultime perfection de notre régime, mais des organisations de journalistes et d’avocats doutent et ont fait le choix de trainer ces belles dispositions devant la Cour européenne des droits de l’Homme. Celle-ci examine actuellement les conditions de recevabilité de ces recours. Dans tous les cas, la CEDH donnera raison au Conseil d’État, du moins soit à sa section du contentieux, soit à celle des études.

Publiée le 12/02/2016 à 18:29
Marc Rees

Journaliste, rédacteur en chef Droit, LCEN, copie privée, terrorisme, données personnelles, surveillance, vie privée, et toutes ces choses...

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €


chargement
Chargement des commentaires...