La récente publication du décret relatif à l’article 20 de la loi de programmation militaire, concernant l’accès des services de renseignement aux données de connexion, suscite déjà des interrogations sur les bancs de l’Assemblée nationale. En témoignent ces quatre questions mitraillées par le député Lionel Tardy, prochainement publiées sur le site de l’Assemblée nationale.
Le 24 décembre dernier, le gouvernement a publié un décret important relatif à l’accès administratif aux données de connexion (notre analyse). En substance, ce texte appliquant une disposition de la loi de programmation militaire (l’article 20) décrit les « informations et documents » pouvant être recueillis par les agents administratifs habilités, ainsi que leurs modalités de transfert et de conservation. Cette procédure est fléchée par des impératifs liés à la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, la prévention du terrorisme, la criminalité et la délinquance organisée et la reconstitution ou du maintien de groupements dissous.
Pour définir les données pouvant être communiquées, le décret s’appuie sur le droit existant (articles R10-13 et R10-14 du Code des postes et des communications électroniques, l'article 1er du décret du 25 février 2011 relatif à la conservation et à la communication des données) tout en prévenant qu’elles seront transmises sur « sollicitation » du réseau par les opérateurs. Concrètement, il s’agit, en vrac, des informations permettant d'identifier l'utilisateur, des données relatives aux équipements terminaux de communication utilisés, les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication, les données permettant d'identifier le ou les destinataires de la communication et celles identifiant l'origine de la communication, les identifiants de connexion, etc.
Seulement ce long listing fait tiquer Lionel Tardy.
Des informations, mais quels documents ?
Dans l’une de ses quatre missives non encore publiées, il s’étonne que les textes en question évoquent le recueil « d’informations » et de « documents » alors que la liste concerne surtout les données techniques de connexion, lesquelles sont bien des « informations » mais en aucun cas, selon lui, des « documents ». Il veut donc savoir à quoi fait référence cette dernière expression.
Une liste exhaustive dans le décret, non limitative dans la loi
Autre chose. Comme souligné, ce texte administratif s’appuie sur le droit existant pour définir les données pouvant être transmises aux autorités. Il évoque « les informations et les documents pouvant faire, à l'exclusion de tout autre, l'objet d'une demande de recueil ». C’est donc une liste exhaustive. Seulement, le texte législatif qu’il applique (l'article L246-1, qui entre en application demain) prévoit une liste ouverte par l’usage de l’expression « y compris » suivies de quelques exemples, cette fois non limitatifs.
L'article L246-1, non limitatif, face à l'article R.246-1, exhaustif
Le député demande du coup à Manuel Valls « les raisons pour lesquelles l’exhaustivité de la liste n'a pas été affirmée dans la loi » mais aussi et surtout « la façon dont il compte garantir cette exhaustivité. »
Un risque de contrariété avec le droit européen ?
Dans une troisième question, il prie le Premier ministre de réagir à l’une des interrogations ouvertes par la CNIL dans sa délibération sur le projet de décret. L’autorité indépendante doute en effet de la conformité de notre droit après l’invalidation de la directive sur la rétention des données.
L’arrêt Digital rights Ireland de la Cour de justice de l'Union européenne ouvrirait en effet un risque d'inconventionnalité des dispositions de la loi de programmation militaire, puisque la Cour européenne a pilonné les systèmes de conservations trop invasifs, généralisés, pas assez encadrés. Ce n’est cependant qu’une supposition sur laquelle le Conseil d’État lui-même n’a pas eu d’avis tranché dans son étude annuelle consacrée au numérique et aux libertés fondamentales.
L'oubli d'une convention entre l'État et les opérateurs
Enfin, dans sa délibération, la CNIL a souhaité que les modalités de transmission des données par les opérateurs au Groupement interministériel de contrôle soient obligatoirement définies par une convention conclue entre l'État et chaque opérateur. « Or, une telle convention n'est plus mentionnée dans le décret final, même à titre facultatif » regrette Lionel Tardy.
Le député UMP demande cette fois à l’exécutif pourquoi une telle recommandation n'a pas été suivie dans le texte administratif. Questionné par la CNIL, le secrétariat général de la défense et de la sécurité nationale (SGDSN) a déjà « précisé qu'une convention ne s'imposait que lorsque l'État a pour interlocuteur un opérateur dont le nombre d'abonnés est important ». Mais la Commission informatique et liberté considère malgré tout que « l'obligation de définir les modalités de transmission des données, assurant leur sécurité, leur intégrité et leur suivi, est une garantie importante. Dès lors, elle estime que l'encadrement de ces transmissions d'informations, par l'intermédiaire de conventions ou d'un arrêté, devrait rester obligatoire. »
