La Défense assure que la loi Renseignement est bien compatible avec le droit européen

La loi Renseignement est-elle conforme à la récente jurisprudence de la Cour de justice de l’Union européenne ? Oui, affirme en substance le ministère des Armées, en réponse à une question parlementaire posée par un député LREM. Certes, la CJUE ne s'est pas prononcée sur cette loi, mais celle-ci abriterait bien les garanties nécessaires.

Voilà un an, presque jour pour jour, la CJUE rendait un nouvel arrêt fondamental. Dans sa décision Télé2 du 21 décembre 2016, la Cour a considéré que « les États membres ne peuvent pas imposer une obligation générale de conservation de données aux fournisseurs de services de communications électroniques ».

Elle complétait là son arrêt Digital Rights rendu en avril 2014, où elle a affirmé cette fois le caractère illicite d’une législation organisant une obligation de conservation qui couvre « de manière généralisée toute personne et tous les moyens de communication électronique ainsi que l’ensemble des données relatives au trafic sans qu’aucune différenciation, limitation ni exception soit opérée en fonction de l’objectif de lutte contre les infractions graves ».

Une jurisprudence « peu opérationnelle »

Ces décisions ont inspiré le député Fabien Gouttefarde (LREM), qui a interrogé la ministre des Armées sur les conséquences dans le droit interne et spécialement quant aux techniques de surveillance prévues par la loi sur le renseignement du 24 juillet 2015.

« Plusieurs techniques de renseignement permettent aux services spécialisés de renseignement relevant du ministère de la Défense d'avoir accès aux données de connexion associées aux correspondances électroniques » se souvient le député. « Accès en temps réel à l'exhaustivité des données de connexion associées à des personnes présentant un enjeu en matière de terrorisme », « accès administratifs aux données de connexion », etc. (voir notre actualité détaillée).

De ses yeux, « l'idée d'une collecte sélective des données », demandée par la jurisprudence européenne, « semble peu opérationnelle et impliquerait de faire renoncer les services à l'exploitation administrative ou judiciaire des données de connexion qui repose nécessairement sur une collecte générale et préalable de ces données par les opérateurs dans des objectifs commerciaux ». 

Un renoncement qui ne serait pas bien opportun « dans un contexte de menace terroriste élevée ». Alors que des États membres ont depuis remis à plat leur législation (Pays-Bas, Belgique), il a donc demandé « si la loi sur le renseignement du 24 juillet 2015 qui permet l'accès aux données conservées ou transmises par les opérateurs comporte les garanties nécessaires au regard des critères récemment fixés par la CJUE ».

L'arrêt Télé2 n'est pas transposable à la loi Renseignement

Sans surprise, Florence Parly a sorti l’artillerie lourde pour considérer que la loi Renseignement était en pleine harmonie avec les décisions de la CJUE. 

Elle n'a évidemment pas expliqué au député LREM que la loi Renseignement concernait d'autres pans que la lutte contre le risque terroriste, comme l'indépendance nationale, l'intégrité du territoire et la défense nationale, les intérêts majeurs de la politique étrangère, l'exécution des engagements européens et internationaux de la France, la défense des intérêts économiques, industriels et scientifiques majeurs, etc.

Dans sa réponse, elle a surtout souligné que la Cour européenne « n'a pas été appelée à se prononcer sur des législations organisant le recueil par les autorités publiques des données de connexion conservées par les fournisseurs de communications électroniques à des fins de police administrative, de défense et de sécurité nationale ».

Selon elle, en conséquence, « cet arrêt n'est pas transposable » à la loi renseignement, laquelle « poursuit de telles finalités ». En toute évidence, explique-t-elle, « cette loi, qui ne met par elle-même aucune obligation de conservation des données de connexion à la charge des fournisseurs de communications électroniques, comporte les garanties nécessaires quant à l'accès à ces données au regard des critères fixés par la Cour ».

Il est vrai que la loi Renseignement n’organise aucune conservation des données, mais orchestre avant au profit des agents, le butinage du stock conservé par les opérateurs (FAI, hébergeurs, services en ligne…).

Tout va bien !

Seulement, la France n’a jamais vraiment ouvert le couvercle de ce sujet organisé par le Code des postes et télécommunications, quand elle n'a pas préféré botter en touche lorsque le sujet est arrivé dans sa surface.

En juin 2016, le ministre de la Justice, Jean-Jacques Urvoas estimait que le L. 34-1 du Code des Postes et des communications électroniques a été adopté « deux ans avant l'adoption de la directive 2006/24/CE » et ne procède donc pas de la directive invalidée. Quand bien même, « la législation française apporte des garanties supérieures à celles prévues par la directive invalidée en matière de protection des données et de contrôle des demandes d'accès aux données ».

Dans la loi Renseignement, ces garanties sont assurées notamment par la Commission de contrôle des techniques du renseignement qui intervient sur le papier pour avis préalable aux opérations de surveillance sur les données rattachées au territoire national, et a posteriori sur l’ensemble des éléments glanés par les services.

Assurer cependant sans détour que la loi de 2015 est CJUE-compatible est un pas ambitieux puisque la CJUE n’a pas été amenée à se prononcer. 

La Cour européenne des droits de l’Homme a, elle, été saisie par des représentants d’avocats et de journalistes qui considèrent d’une même voix que le spectre de la loi Renseignement est bien attentatoire à la vie privée et au droit recours effectif.

Ainsi, si le Code de la sécurité intérieure interdit la surveillance de ces activités protégées pour tout ce qui relève de leur activité professionnelle, les requérants se demandent comment les services peuvent par avance savoir si les données à aspirer relèvent ou non de cette zone interdite. Dit autrement, leur crainte est que la collecte et le traitement soient indiscriminés.