Conseil d'État : journée décisive pour la surveillance et la conservation indiscriminée des données

Conseil d’État : journée décisive pour la surveillance et la conservation indiscriminée des données

Urvoas et Collomb en PLS

Avatar de l'auteur
Marc Rees

Publié dans

Droit

11/07/2018 6 minutes
12

Conseil d'État : journée décisive pour la surveillance et la conservation indiscriminée des données

Deux importants dossiers vont être auscultés par le rapporteur du Conseil d’État aujourd'hui, à 14 h. Ils concernent d’une part le régime de la surveillance par les services du renseignement, d’autre part l’obligation de conservation généralisée des données. Des contentieux initiés voilà près de trois ans par FDN, FFDN et la Quadrature du Net.

Une épée de Damoclès pèse sur deux piliers du droit des nouvelles technologies. À la demande des trois requérants, soutenus par les Exégètes amateurs et défendus par Me Spinosi, elle se tient au dessus de plusieurs décrets d’application de la loi Renseignement de 2015, outre l’obligation de conservation des données, organisée par le Code des postes et communication électronique, et la loi sur la confiance dans l’économie numérique.

L’heure n’est pas encore à la décision du Conseil d’État, mais le rapporteur rendra aujourd’hui ses conclusions destinées à l’éclairer dans son arrêt attendu dans quelques semaines. Une étape décivise dans la mesure où la haute juridiction suit généralement cet avis. 

La cible du renseignement

Dans le détail, les requérants demandent d’une part à la haute juridiction d’annuler :

Difficile de résumer d’une plume la pluie d’arguments, mais en substance ils reprochent au mécanisme de ne permettre « aucunement à la personne qui soupçonne qu’une technique de renseignement a été mise en œuvre à son égard d’obtenir ne serait-ce que la confirmation ou l’infirmation d’une telle surveillance ».

Ce défaut de notification a posteriori des personnes concernées serait, selon eux, contraire au droit au respect de la vie privée et à la Convention européenne des droits de l’Homme.

Dans un arrêt du 4 décembre 2015, dit Roman Zakharov v. Russie, la Cour européenne des droits de l’Homme avait déjà épinglé un tel silence qui tue finalement dans l’œuf toute possibilité de contestation : comment agir alors qu'on ne se sait pas surveillé ? Selon elle, il serait donc « souhaitable d’aviser la personne concernée après la levée des mesures de surveillance dès que la notification peut être donnée sans compromettre le but de la restriction ».

Autre critique, dans le cadre de la surveillance des communications internationales, la personne faisant l’objet d’une mesure de surveillance est dans l’incapacité de saisir directement le juge administratif pour la contester.

Selon le texte en vigueur, elle doit impérativement passer par la commission nationale de contrôle des techniques de renseignement (CNCTR). Or, la séparation entre surveillance internationale et surveillance nationale est trop floue puisque reposant sur le critère de l’identifiant technique rattachable ou non au territoire national. « La notion demeure indéfinie et la distinction entre les deux formes de communication, déjà injustifiée, est dénuée de toute pertinence en pratique dans de nombreux contextes, notamment celui des communications électroniques transitant par Internet ».

Ce décret d'application dresse la liste des données techniques de connexion accessibles aux services spécialisés. Au prix d’une longue analyse, LQDN, FDN et FFDN dénoncent le spectre de la surveillance qui permet « à l’autorité administrative le recueil en temps réel ou par détection automatique de données techniques autres que les seuls informations ou documents ».

De tels pouvoirs auraient à leurs yeux « pour conséquence l’élargissement indu des obligations des opérateurs et, dès lors, viole[nt] le droit au respect de la vie privée dont découlent tant le principe de confidentialité des communications électroniques que le droit au secret des correspondances ».

conseil d'état

La cible de la conservation des données

L’autre chapitre concerne l’obligation faite aux FAI, aux hébergeurs et aux opérateurs de communication, une obligation de conservation indiscriminée des données de connexion (les fameuses métadonnées).

En avril 2014, la Cour de justice de l'Union européenne « rendait une décision capitale », expliquent-ils. Dans cette affaire Digital Rights Ireland, « elle annulait une directive européenne qui, depuis 2006, imposait un même régime de conservation généralisée dans toute l'Union. Pour la Cour, la Charte des droits fondamentaux de l'Union européenne s'opposait à une telle surveillance qui, par définition, considère comme suspect l'ensemble de la population ».

Dans l’arrêt Télé2 du 21 décembre 2016, la même CJUE enfonçait plus profondément le clou à l’encontre des régimes anglais et suédois, considérant que cette obligation devait ne concerner que la criminalité grave, dans toutes ses composantes (prévention, détection, lutte).

Alors que la CNIL est restée étrangement silencieuse, l'association French Data Network, La Quadrature du Net et la Fédération des Fournisseurs d'Accès à Internet Associatifs ont préféré passer à l'attaque. Leur attention se porte sur l'article R. 10-13 du code des postes et des communications électroniques et le décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données « permettant d'identifier toute personne ayant contribué à la création d'un contenu en ligne ».

Le premier applique l’article L34-1 du CPCE pour définir les données devant être conservées durant un an, quand le second met en musique une obligation similaire prévue par la loi sur la confiance dans l’économie numérique de 2004 à l’égard des FAI et des hébergeurs.

Le rapporteur examinera ces deux pans pour recommander éventuellement la transmission d’une série de questions préjudicielles à la justice européenne. On notera qu’un lien intime existe entre ces deux volets, dans la mesure où les services du renseignement disposent d’un accès privilégié pour butiner les données de connexion conservées par les intermédiaires, sans nécessairement pouvoir justifier la moindre prévention des infractions graves.

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

La cible du renseignement

La cible de la conservation des données

Commentaires (12)


“Urvoas et Collomb en PLS” et la CNIL… <img data-src=" />



Par contre a priori je ne vois toujours pas comment trier les infos qui pourraient être conservées pour prévenir une infraction grave et ne pas conserver les infos sans lien avec une infraction ou une infraction “moins” grave.


Quel grand écart : ça et le RGPD !




Le rapporteur examinera ces deux pans pour recommander éventuellement la

transmission d’une série de questions préjudicielles à la justice

européenne.





Mais quelques lignes au dessus, on apprend que la CJUE s’est justement déjà prononcé à plusiurs reprises <img data-src=" />








Jarodd a écrit :



Mais quelques lignes au dessus, on apprend que la CJUE s’est justement déjà prononcé à plusiurs reprises <img data-src=" />





Oui…mais pas sur le régime FR ;)&nbsp;









crocodudule a écrit :



“Urvoas et Collomb en PLS” et la CNIL… <img data-src=" />



Par contre a priori je ne vois toujours pas comment trier les infos qui pourraient être conservées pour prévenir une infraction grave et ne pas conserver les infos sans lien avec une infraction ou une infraction “moins” grave.





c’est la question épineuse…mais la CJUE a ouvert le bal, alors “dansons maintenant !”&nbsp;









floceo a écrit :



Quel grand écart : ça et le RGPD !





Je suis bien d’accord.





L’heure n’est pas encore à la décision du Conseil d’État, mais le

rapporteur rendra aujourd’hui ses conclusions destinées à l’éclairer

dans son arrêt attendu dans quelques semaines. Une étape décivise dans

la mesure où la haute juridiction suit&nbsp;généralement cet avis.





C’est vrai et c’est bien malheureux.

Car dans nombre de dossiers de ce type, bien que ses avis sont censés être donnés en toute indépendance, le rapporteur se range très souvent derrière l’avis du gouvernement et évite de répondre aux critiques faites.



Pour l’anecdote, avant 2009, on parlait de “commissaire du gouvernement” au lieu de rapporteur public, c’est dire à quel point leur position est “indépendante”. Un petit coup de renommage, le fond reste le même mais dans la forme le nom de rapporteur public est moins significatif.








MarcRees a écrit :



c’est la question épineuse…mais la CJUE a ouvert le bal, alors “dansons maintenant !”&nbsp;





J’ai envie de dire qu’ils se débrouillent (en fait c’est pas ce mot là <img data-src=" />

&nbsp;), la situation de surveillance généralisée qui a été mise en place est insupportable (ce qui ne veut pas dire pour les réactionnaires de service qu’on doit rester désemparé contre des menaces graves, mais que l’on ne doit pas partir du principe que toute la population est suspecte et qu’on fera le tri après).









mounia11 a écrit :



L’arrêt du 21 décembre fait suite à une autre décision très importante de la CJUE, l’arrêt Digital Rights Ireland. En avril 2014, la CJUE avait invalidé la directive européenne de 2006 faisant obligation aux États membres d’organiser la collecte et la conservation générale des données de connexion des internautes européens. Déjà, la CJUE considérait que cette conservation systématique des données de connexion portait atteinte de façon trop importante au droit au respect de la vie privée : même sans se pencher sur l’utilisation ultérieure de cette conservation de données, le fait même de les conserver par défaut instaure une intrusion systématique dans la vie et l’intimité des citoyens.





Oui c’est pour ça que techniquement je ne vois pas comment ils peuvent a priori faire, mais comme dit Marc, qu’ils dansent ^^