Ni le gouvernement, ni le législateur n’avaient souhaité faire examiner la loi de programmation militaire par le Conseil constitutionnel. Qu’à cela ne tienne. La Quadrature du Net, FFDN et FDN annoncent qu’ils attaquent l’un de ses principaux décrets d’application devant le Conseil d’État, avec pour objectif une question prioritaire de constitutionnalité. Mais pas seulement.
L’ambition des initiateurs de cette procédure est pour le moins vaste et ambitieuse : « Nous essayons de remettre en cause l’ensemble de l’édifice juridique lié à la surveillance d’Internet, et spécialement les obligations de conservation des données par les fournisseurs d’accès et les hébergeurs » nous confie Félix Tréguer, membre du collège stratégique de la Quadrature du Net. « Le décret d’application attaqué va certes moins loin que les formulations très larges de la loi de programmation militaire », mais c’est justement cette vaste latitude du pouvoir réglementaire qui prête le flanc à leur critique.
Le décret sur l’article 20 de la loi de programmation militaire
Le décret ciblé est celui du 24 décembre 2014, relatif à l’accès administratif aux données de connexion (voir notre point sur le sujet).
Que dit ce texte en substance? Revenons d’abord à la loi de programmation militaire. Son article 13, devenu article 20, ouvre et conforte les vannes du droit de communication à toute une série d’administrations (Intérieur, Bercy, Défense, etc.). Il leur permettra un plein accès à tous les « documents » et aux « informations » stockés chez les hébergeurs ou transmis dans les tuyaux des FAI et autres opérateurs télécoms. Il suffit de justifier de la recherche de renseignements intéressant notamment la sécurité nationale, la prévention du terrorisme, la criminalité et la délinquance organisées ou « la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France ». Les intermédiaires sont alors tenus de communiquer « en temps réel » ces pièces recueillies sur « sollicitation du réseau. »
Le décret du 24 décembre est venu préciser ces notions pour le moins floues et qui ont naturellement suscité un grand nombre de critiques lors des débats à l’Assemblée nationale et au Sénat. Il prévient par exemple que les documents et informations visent les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication, les données « permettant d'identifier le ou les destinataires d’une communication » électronique, etc.
Dans sa délibération portant sur ce texte administratif, la CNIL avait certes critiqué plusieurs points, mais elle poussait un « ouf » de soulagement : le décret litigieux ne permet « en aucun cas de réaliser des interceptions de contenus ou des perquisitions en ligne ». Quels sont alors les reproches de la Fédération des fournisseurs d’accès à Internet associatifs, French Data Network et la Quadrature du Net ? Les critiques sont multiples.
Le défaut de notification du texte et l’absence d’étude d’impact
« Nous soulevons d’abord l’absence de la notification et de l’étude d’impact » nous expose Felix Tréguer. Les requérants considèrent en effet que le texte aurait dû être notifié à Bruxelles. La directive du 22 juin 1998 oblige en effet d’alerter la Commission européenne et les autres États membres des futures règles et spécifications techniques qui viendraient s’appliquer dans un pays sur les épaules des intermédiaires. Bien entendu, le Conseil d’État devra d’abord dire si, oui ou non, la notification s'imposait. Quid d'une réponse positive ? Simple : le texte tombe, comme il l’a déjà jugé en 2013 (notre actualité).
Quant au défaut d’étude d’impact, Félix Tréguer nous rappelle l’existence d’une circulaire du 17 février 2011 qui impose justement « une analyse d’impact circonstanciée » avec au surplus la saisine d’un commissaire à la simplification. Des procédures qui feraient ici défaut.
Une future QPC, un décret qui dépasse les bornes
« Le recours est plus une requête introductive d’instance. Nous prévoyons cependant de rajouter un mémoire ampliatif avec d’autres arguments. Nous envisageons évidemment une question prioritaire de constitutionnalité puisque la conformité à la constitution n’est pas acquise. Il y a des formulations trop vagues et des cas d’incompétences négatives ». Ces cas d’incompétences négatives sanctionnent le fait pour un législateur de confier des missions trop vastes au pouvoir réglementaire, qui auraient justement dû être détaillées plus complètement par la loi. Le Conseil constitutionnel explique dans cette note qu’il « est attentif à ce que le législateur ne reporte pas sur une autorité administrative, notamment le pouvoir réglementaire, ou sur une autorité juridictionnelle le soin de fixer des règles ou des principes dont la détermination n'a été confiée qu'à la loi. »
Pire encore, le décret irait aussi au-delà du cadre défini par la loi et spécialement l’article L246-4 du Code de la sécurité intérieure. Selon cet article, la Commission nationale de contrôle des interceptions de sécurité dispose « d'un accès permanent au dispositif de recueil des informations ou documents mis en œuvre » en vertu des dispositions remaniées par la loi de programmation militaire. Il prévoit en outre que les modalités d’application sont définies par un décret « qui précise notamment la procédure de suivi des demandes et les conditions et durée de conservation des informations ou documents transmis. »
Problème, « le décret semble aller plus loin que son exposé des motifs. De plus, il n’y a rien qui précise concrètement comment seront assurés et encadrés la sécurité et le suivi de ces opérations, comme l’a pointé la CNIL » commente Felix Tréguer. Dans sa délibération, la CNIL a en effet regretté que le projet de décret soumis à son examen ne contienne « aucune information technique sur les modalités de mises en œuvre des réquisitions administratives de données de connexion ou d'informations », alors que ces contraintes sont désormais exigées par la Cour de justice de l'Union européenne.
L’invalidation de la directive sur la rétention des données
C’est là l’un des gros morceaux de cette procédure. En avril 2014, la Cour de justice de l'Union européenne a invalidé la directive sur la conservation des données. Les juges dénonçaient alors « une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel sans que cette ingérence soit limitée au strict nécessaire ». Pourquoi ? Cette directive était censée mieux harmoniser la collecte et la conservation des données de connexion dans toute l’Europe (origine, destination, horodatage, équipements utilisés, etc. doivent être conservés par les FAI et les opérateurs entre six mois et deux ans, au choix des États membres).
Seulement, pour la CJUE, cette directive a plusieurs défauts graves : d’un côté, ce texte permet aux États membres de cartographier toute la vie d’une personne, de l’autre, il les autorise à aspirer toutes les métadonnées sans prévoir de limitations et d’exceptions précises, par exemple en couplant obligation de conservation et infractions graves. Pire encore, la directive « ne prévoit aucun critère objectif permettant de délimiter l’accès des autorités nationales compétentes », relevait la CJUE, qui dénonçait aussi l’absence de contrôle préalable de ces accès par une juridiction ou une autorité indépendante, tout comme d’« un niveau particulièrement élevé de protection et de sécurité par des mesures techniques et organisationnelles ».
Pour Felix Tréguer, « cet arrêt a donné lieu partout en Europe à des recours. Il y a des débats aux Pays-Bas, une grande campagne au Royaume-Uni. En Autriche, Roumanie, Slovaquie et Slovénie il, y a eu selon les cas des annulations ou des suspensions des textes ». Seulement, en France, les effets telluriques de cette invalidation font toujours débat. La raison est simple : les dispositions en vigueur permettant la conservation et l’exploitation des données de connexion ne procèdent pas directement de cette directive invalidée.
Les doutes du Conseil d’État
P.200 et 201 de son rapport annuel portant sur le numérique, le Conseil d’État n’a pas été bien limpide, exposant deux interprétations, l’une minimaliste, l’autre maximaliste. Dans le premier cas, les textes français seraient intouchables, dans le second cas, il faudrait bien une mise à jour complète de notre législation. « Le CE semble cependant prendre parti en faveur de cette interprétation minimaliste, relate le représentant de la Quadrature, alors pourtant qu’un juge de la Cour de justice de l’Union, européenne nous a expliqué lors d’un colloque que les paragraphes 57 à 60 de l’arrêt remettait bien en cause la surveillance généralisée. Du coup, soit le Conseil d’État estime finalement comme nous que cette interprétation est claire, soit il devra questionner la CJUE. »
Les risques soulevés par la CNIL
Dans sa délibération sur le décret de la LPM, la CNIL s’était d’ailleurs elle aussi interrogée « sur le risque d'inconventionnalité des dispositions de la loi de programmation militaire ». Elle soulignait que les données « détenues par les opérateurs qui peuvent être demandées sont de plus en plus nombreuses, sont accessibles à un nombre de plus en plus important d'organismes, sur réquisitions judiciaires ou administratives ou en exécution d'un droit de communication, et ce pour des finalités très différentes ». Elle sensibilisait alors le Gouvernement « sur les risques qui en résultent pour la vie privée et la protection des données à caractère personnel et sur la nécessité d'adapter le régime juridique national en matière de conservation et d'accès aux données personnelles des utilisateurs de services de communications électroniques ». Des remarques restées vaines d’effets.
Félix Tréguer prend aussi note que « les dispositions du décret ne vont pas aussi loin que ne l'y invite la loi, mais cela montre aussi qu’il suffit d’une simple modification réglementaire notamment sur la notion d’informations et de documents pour changer la donne. Il y un flou, une ambiguïté à encadrer et il reste assez incroyable de voir combien le gouvernement a fait bloc pour légaliser des pratiques alégales ! Cela nous a bien entendu motivés dans notre volonté de relancer ce débat sur les pratiques de l’État français. »
Dissonance et disharmonie
« Il y aussi a une dissonance entre les dispositions législatives et les injonctions réglementaires » considère-t-il encore. Le Code des postes et des télécommunications pose le principe d’un effacement de la donnée de trafic. Cependant, le même article 34-1 prévoit une série d’exceptions, notamment pour les besoins de recherche, constatation et de poursuite des infractions pénales. Dans, la partie réglementaire, cette possibilité est devenue une injonction généralisée à l’encontre de tous les intermédiaires pour tous les flux.
« Il y a sans doute un problème de conventionalité sur ce point. Pour qu’une ingérence dans un droit fondamental soit justifiée et nécessaire dans une société démocratique, selon la formule consacrée, cela implique une mesure efficace et surtout l’absence d’alternative tout aussi efficace. Or, rien n’indique que les mesures de conservation ciblées en vigueur en Allemagne ou dans d’autres pays seraient justement moins efficaces » commente Felix Tréguer, qui pointe aussi que de plus en plus d’administrations ont vu leur droit de communication se muscler au fil des patchs législatifs et réglementaires, sans l’encadrement nécessaire.
Une procédure relativement longue
Du côté de la FFDN, on apprend que « la procédure va être relativement longue (compter 18 à 24 mois environ) ». La fédération promet de publier « régulièrement des nouvelles » afin de tenir informés ceux qui s’intéressent à ce débat. « L'enjeu pour nous, associations fournissant de l'accès à Internet et ayant à cœur la protection des données personnelles et de la liberté d'expression, est bel et bien de mettre fin à un régime de surveillance intrusif, imposé et renforcé en Europe depuis une vingtaine d'années. C'est l'occasion également de réaffirmer que notre rôle d'intermédiaire d'accès à Internet n'est pas d'être une police privée des communications des adhérent⋅e⋅s abonné⋅e⋅s qui nous font confiance. »
Dans ce recours en annulation pour excès de pouvoir, même son de cloche pour FDN. « Les dérives que nous craignions tant, à l'époque des débats sur la rétention des données, se sont toutes produites. La surveillance généralisée de la population, nous sommes en plein dedans » considère Benjamin Bayart dans ce billet, n'évitant pas la référence aux révélations d'Edward Snowden.
