Le 24 juillet dernier, la quasi-totalité des médias s'est focalisée sur la décision du Conseil constitutionnel relative à la loi Renseignement. Le même jour, pourtant, le même juge rendait sa décision sur la question prioritaire de constitutionnalité (QPC) de la Quadrature du Net, FDN et FFDN. Une excellente occasion de revenir dessus.
Alors que les débats autour du projet de loi sur le renseignement faisaient rage, la Quadrature du Net, French Data Network et FFDN avaient victorieusement soulevé une QPC à l’encontre d’un autre texte sécuritaire datant de 2013, la loi de programmation militaire (ou LPM). Pour les associations en cause, le régime des réquisitions administratives manque cruellement de précision. Ce flou frappe aussi bien le type de données pouvant être collectées par les services du renseignement que les conditions de leur collecte.
Comme développé dans cette actualité, le ministère de l’Intérieur, de la Défense et ceux de Bercy peuvent aspirer sur « sollicitation du réseau », les « documents » et « informations » dans les infrastructures des « opérateurs de télécommunication électronique ». Il leur suffisait de justifier de la poursuite d’une série de finalités :
- La sécurité nationale,
- La sauvegarde des éléments essentiels du potentiel scientifique et économique de la France,
- La prévention du terrorisme,
- La prévention de la criminalité et
- la prévention de la délinquance organisées
- La prévention de la reconstitution ou du maintien de groupe dissous
Précisément, l’expression d’ « informations et documents », telle que dénoncée dans la QPC, peut laisser craindre la possibilité pour les services administratifs d’accéder à d’autres données que celles de connexion. De plus, les termes de « sollicitation du réseau » semblent permettre l’aspiration directe de ces éléments dans les infrastructures des opérateurs, ce qui n’est permis que depuis la toute récente loi sur le renseignement. Enfin, se pose un problème assez aigu : le législateur n’a prévu aucune garantie spécifique pour protéger le secret professionnel des avocats et des journalistes : lorsque les services aspirent ces informations, ils peuvent en effet prendre connaissance des sources des journalistes, et savoir par exemple qui est le lanceur d’alerte qui alimente tel titre de presse.
Le Conseil constitutionnel a répondu à chacun de ces points, en auscultant d’abord la définition, puis l’accès aux données de connexion, pour terminer avec la question des professions sensibles.
Les « informations et documents » excluent les « informations consultées »
Dans sa décision, le juge va calquer sa réponse en prenant pour point de départ les positions du gouvernement, mais en apportant une précision importante (voir cette actualité).
Selon lui, le Code de la sécurité intérieure définit le spectre des personnes pouvant être tenus de répondre aux réquisitions administratives (article L. 246-1), soit essentiellement les « opérateurs de communications électroniques ». Il n’a donc pas spécialement répondu à l’un des autres griefs des requérants, lesquels estimaient l’expression trop vague.
Une fois ce champ posé, les neuf sages se sont appuyés sur le VI de l'article L. 34-1 du code des postes et des communications électroniques pour dire que les données conservées et traitées par les opérateurs « portent exclusivement » sur l'identification des personnes utilisatrices des services, sur les caractéristiques techniques des communications et sur la localisation des équipements terminaux (log de connexion). Le même article prévient d’ailleurs que ces données ne portent jamais « sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications ». Enfin, côté FAI et hébergeurs, ces données ont une seule vocation, selon cette fois le paragraphe II de l'article 6 de la loi du 21 juin 2004 (dite LCEN) : permettre l'identification de quiconque a contribué à la création du contenu (log de contribution).
Bref, ces deux articles sur la table, le Conseil constitutionnel en déduit de manière ample que « le législateur a suffisamment défini les données de connexion, qui ne peuvent porter sur le contenu de correspondances ou les informations consultées. »
Des boites un peu plus plongées dans le noir ?
Selon Alexandre Archambault, ex-directeur des affaires juridiques de Free, la petite phrase excluant les « informations consultées » soulignée par le Conseil devrait finalement obliger les services à ignorer les requêtes DNS. Analyse partagée par Benjamin Bayart, contacté par nos soins : « le juge constitutionnel rappelle ce que sont les informations et documents et qu’il ne peut y avoir dans le lot des contenus ni des informations consultées ». Conclusion ? « Pour moi, quand le ministre nous explique qu’on va surveiller ceux qui regardent des vidéos de décapitation, il se met le doigt dans l’œil jusqu’au coude ».
Le porte-parole de French Data Network va plus loin encore : le Conseil assimilant métadonnées et « informations et documents », « la seule chose que pourra faire la boite noire sera de nous dire quelle IP a été donnée à tel abonné à telle heure, point barre. »
Pourquoi cette jonction avec la boîte noire ? Simple : ce dispositif algorithmique injecté par la loi sur le Renseignement est censé deviner une potentielle menace terroriste en traitant justement les « informations et documents », tout comme d'autres outils prévus désormais par cette loi. Voilà pourquoi, pour Benjamin Bayart, cette réserve « fait également tomber les sondes. Relever et transmettre à l’administration qui a consulté quoi est interdit. »
Il reste que la notion d'information consultée reste d'appréciation bien mal aisée : le Conseil constitutionnel n'a pas borné le terrain, il s'est contenté de reprendre des expressions déjà très floues dans la loi. Les uns en déduiront donc qu'une URL est bien une information consultée, hors du spectre du renseignement, quand d'autres, au hasard place Beauvau, estimeront que l'URL n'est que de la dernière porte avant d'accéder véritablement à l'information.
L’accès sur « sollicitation du réseau »
Une certitude : dans l'esprit du juge, contrairement aux craintes de la Quadrature du Net, FDN et FFDN, le fait que l’administration puisse alpaguer ces « informations et documents » sur simple « sollicitation du réseau » ne signifie pas un accès open bar.
L'article L. 246-1 du Code de la sécurité intérieure indique en effet que ces données de connexion sont transmises par les opérateurs aux autorités administratives. Et selon l'article L. 246-3, ici en cause, « lorsque les données de connexion sont transmises en temps réel à l'autorité administrative, celles-ci ne peuvent être recueillies qu'après « sollicitation » de son réseau par l'opérateur ». Et le Conseil de conclure : « les autorités administratives ne peuvent accéder directement au réseau des opérateurs dans le cadre de la procédure prévue aux articles L. 246-1 et L. 246-3. »
Pas de garantie constitutionnelle spécifique pour les journalistes et les avocats
Cela a été dit et redit : en plongeant le nez sur les métadonnées d’un journaliste il est très simple de connaître ses sources. De même, en scrutant celles d’un avocat, on peut deviner ses clients, ses futurs moyens de défense (témoins, etc.). Par la même occasion, la Quadrature du Net, FDN et FFDN espéraient donc voir enfin consacrer la protection constitutionnelle de ces professions, notamment au regard de la liberté d’information ou des droits à un procès équitable. Raté.
En effet, le Conseil constitutionnel n’a pas poussé l’analyse jusque-là, sans doute en parfaite conscience que ces outils de surveillance sont en contradiction frontale avec ces secrets : « Aucune disposition constitutionnelle ne consacre spécifiquement un droit au secret des échanges et correspondances des avocats et un droit au secret des sources des journalistes » a-t-il tambouriné, refusant donc d’offrir à ces professions sensibles un rang de protection supérieur.
Partant de là, la suite a été logique : puisque les informations et documents excluent « l'accès au contenu des correspondances », elles ne violent pas « le droit au secret des correspondances et la liberté d'expression ». Cela signifie donc, selon lui, que l’accès aux métadonnées ne viole nullement le contenu des correspondances.
Il ajoute enfin qu’au regard de l’encadrement procédural (des finalités définies par la loi, des agents spécialement habilités, accord préalable d'une personnalité qualifiée, placée auprès du Premier ministre, désignée par la commission nationale de contrôle des interceptions de sécurité, etc.), le législateur a bien prévu des garanties suffisantes pour éviter « une atteinte disproportionnée au droit au respect de la vie privée, aux droits de la défense, au droit à un procès équitable, y compris pour les avocats et journalistes. »