Surveillance de masse et CEDH : interview de Théodore Christakis

La Cour européenne des droits de l’Homme a rendu la semaine dernière un arrêt important. Ce dernier condamne le Royaume-Uni pour son programme de surveillance de masse. De rapides conclusions ont été tirées dans les premiers commentaires, que Théodore Christakis, professeur de droit et membre du CNNum, relativise au fil de cette interview.

À la suite des révélations d’Edward Snowden relatives au programme de surveillance et de partage de renseignements entre les États-Unis et le Royaume-Uni, trois requérants avaient saisi la CEDH contre le Royaume-Uni . Il s’agit de l’ONG Big Brother Watch, de représentants des journalistes et d’une dizaine d’organisations de protection des droits de l’Homme, soit en tout, 16 organisations.

« Les requérants dans ces trois affaires estiment que, en raison du caractère sensible de leurs activités, leurs communications ont pu être interceptées par les services de renseignements soit britanniques soit américains », résument les services de la cour. Tous ont mis en cause le régime d’interception massive, ainsi que le partage des renseignements entre les services à partir des données glanées par les fournisseurs de services en ligne. 

Lors de leurs saisines, entre septembre 2013 et mai 2015, toutes les ONG ont considéré qu’une série d’articles de la Convention européenne des droits de l’homme était violée, en particulier l’article 8 sur le respect droit au respect de la vie privée et de la correspondance, l’article 10 sur la liberté d’expression, sans oublier l’article 6 qui garantit le droit à un procès équitable et le 14 sur la non-discrimination. Selon eux, une personne se trouvant hors du Royaume-Uni aurait plus de chance de voir ses données interceptées qu’un résident.

Dans les plus de deux cents pages de son arrêt rendu jeudi 13 septembre 2018, la CEDH estime que le régime de la surveillance massive ne constitue pas en soi une violation de la Convention européenne, cependant, il y a bien violation du texte fondateur lorsque ce régime manque d’encadrement. C’est en substance ce que nuance Théodore Christakis, professeur de droit international, directeur adjoint du Grenoble Alpes Data Institute et membre du Conseil national du numérique, dans cet échange. 

Immédiatement après l’arrêt, certaines ONG comme Amnesty International ont parlé d’une « grande victoire » et même Snowden a twitté qu’« aujourd’hui nous avons gagné ». Les ONG avaient-elles raison de parler d’une « grande victoire » ?

Une victoire oui, sans doute, mais certainement pas une grande victoire... Plutôt une victoire mi-figue, mi-raisin qui, je le crains, pourrait même s’avérer être une victoire à la Pyrrhus.

Les ONG investissent beaucoup de ressources pour se battre contre des géants – en l’occurrence ici contre de grandes agences de renseignement. C’est une mission importante dans une société démocratique qui permet d’apporter de l’équilibre et de lutter contre d’éventuels abus.

Dans cette lutte entre David et Goliath, chaque succès compte et cet arrêt en constitue clairement un dans la mesure où les techniques d’interception massive des communications pratiquées par l’agence de renseignement britannique (le Government Communications Headquarters ou GCHQ) ont été considérées comme violant deux droits importants de la Convention européenne des droits de l’homme : l’article 8 (protection de la vie privée) et l’article 10 (liberté d’expression – compte tenu de l’absence de garanties pour la protection du secret des sources des journalistes). Par ailleurs, la cour a souligné que l’accès aux données de connexion (ou métadonnées) pourrait être tout aussi intrusif que l’accès aux données de contenu. 

C’est donc une victoire pour les requérants qui est d’autant plus précieuse qu’à la lecture des opinions dissidentes on comprend que deux des sept juges de la cour étaient en faveur d’une décision « blanchissant » presque entièrement le Royaume-Uni.  

Toutefois, si on regarde de plus près l’arrêt, on constate que ce qui est condamné par la cour, ce sont surtout certaines techniques utilisées par le GCHQ, notamment le fait que, sur certains points, le Royaume-Uni n’a pas assorti son système de surveillance de garanties suffisantes.

Croire, comme semblent l’indiquer certains tweets et commentaires de la société civile, que la cour a condamné la surveillance de masse en tant que telle et le « système » dénoncé par Snowden n’est pas exact. Grande nuance donc.

La cour accepte donc la politique de surveillance de masse en tant que telle ?

Oui. Déjà dans un arrêt rendu le 19 juin 2018 dans une affaire validant à l’unanimité la loi sur la surveillance internationale de la Suède, la cour avait, de façon aussi expresse que claire, reconnu que la surveillance de masse est une politique légitime que les États peuvent développer.

Mais dans cet arrêt, la cour va encore plus loin en disant (§386) qu’il s’agit même d’un « moyen précieux » pour les États pour protéger la société contre le terrorisme et le crime organisé.

On pourrait donc dire que désormais la cour de Strasbourg endosse une nouvelle situation en Europe, à savoir la multiplication des lois sur le renseignement ayant une dimension « surveillance de masse ». En contrepartie, la cour européenne essaye d’accompagner cette surveillance de garanties et de contrôles. Il ne s’agit donc plus d’une question concernant la légalité des politiques de surveillance de masse, mais plutôt d’une question liée au « comment l’opérer ».

Est-ce que cela ne va pas à rebours des positions de la CJUE dans l’affaire Schrems ou du G29 dans son analyse du Privacy shield ?

Effectivement, on est en train de constater, dans ce domaine, un certain contraste entre le « droit de la CEDH » et le « droit de l’Union européenne ».

Pour la Cour de justice de l’Union européenne (CJUE), le caractère indiscriminé et très général de la collecte et du traitement de données personnelles, fût-il pour protéger des populations contre des crimes graves, comporte des risques importants pour les droits et libertés et exige «que les dérogations à la protection des données à caractère personnel et les limitations de celle-ci s’opèrent dans les limites du strict nécessaire ».  Dans sa fameuse décision « Schrems » de 2015, qui avait invalidé le Safe Harbor, la CJUE avait clairement affirmé qu’une « réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée ».

De manière similaire, le « Groupe de l’article 29 », qui regroupe les autorités européennes de contrôle des données personnelles (et qui est devenu, depuis l’entrée en vigueur du RGPD, le Comité européen de la protection des données), a publié en décembre dernier son premier rapport relatif au Privacy Shield, où il « réitère sa position de longue date selon laquelle une surveillance massive et indiscriminée des individus ne peut jamais être considérée comme proportionnée et strictement nécessaire dans une société démocratique, comme l'exige la protection offerte par les droits fondamentaux ».

En 2016, on avait alors cru que la CEDH allait suivre un chemin similaire. Dans un arrêt condamnant la Hongrie pour sa législation sur les opérations secrètes de surveillance antiterroriste, la CEDH avait en effet donné l’impression d’endosser le test de la « stricte nécessité » de la CJUE dès lors que l’on se trouve confronté à une surveillance de masse. L’arrêt Big Brother Watch montre qu’il n’en est rien et soulève des interrogations sur une certaine « fragmentation » du droit européen de la protection des données et de la vie privée. 

Est-ce que les garanties exigées par la cour sont suffisantes pour limiter les risques d’abus ?

Il faut noter ici un certain changement de paradigme dans la jurisprudence de la cour. Nous avions, jusqu’à présent, une jurisprudence étoffée concernant les nombreuses conditions et critères devant accompagner la surveillance.

Or, l’endossement de la politique de la surveillance de masse semble conduire la cour à bouleverser ces conditions. À titre d’exemple, alors que certains arrêts avaient indiqué que les États devraient notifier, dès que possible, à une personne visée qu’elle a fait l’objet d’une mesure de surveillance, la cour dit maintenant dans cette affaire Big Brother Watch (§317) que l’idée même de notification est logiquement incompatible avec un système de surveillance de masse (qui, par définition, n’est pas ciblé) et qu’il faut donc l’écarter.

Inversement, sur d’autres points la cour semble vouloir rendre certaines conditions plus strictes pour la surveillance de masse pour contrebalancer la flexibilité donnée aux autorités par ailleurs. 

A-t-on donc désormais deux régimes juridiques distincts de surveillance en Europe ? Un « classique », pour la surveillance ciblée, et un autre aménagé pour la surveillance de masse ?

C’est effectivement ce qui semble être le cas. Mais cette opération d’aménagement menée par la cour prête sur certains points à controverse. Je pense surtout au point suivant : la jurisprudence de la cour était que l’autorisation de procéder à une surveillance doit être donnée (sauf cas exceptionnels) soit par un juge (option préférable) soit par une autorité administrative indépendante du pouvoir exécutif. Il s’agit d’une exigence procédurale destinée à éviter les abus et qui s’est d’ailleurs avérée utile dans la structuration des lois de renseignement en Europe (la CNCTR, en France, lui doit sans doute son existence et ses pouvoirs, même si la CNCTR n’est pas investie de la mission « d’autoriser » à proprement parler...).

La cour contrôle d’ailleurs non seulement le respect de cette condition procédurale, mais aussi si elle est effective : dans l’affaire Zakharov (2015), par exemple, elle a condamné la Russie, car, alors qu’un contrôle juridictionnel ex ante était prévu par la loi, la cour a estimé que ce contrôle ne fonctionnait pas de façon efficace et ne permettait donc pas d’écarter les risques d’abus.

Dans l’arrêt Big Brother, la cour néglige pourtant cette condition procédurale. Elle déclare (§381) que, alors qu’au Royaume-Uni, l’autorisation de procéder à une surveillance de masse n’était donnée ni par un juge ni par une autorité administrative indépendante, il n’y a pas de problème, car plusieurs indices montrent qu’il n’y a pas d’abus de l’exécutif.

Le fond l’emporte sur la forme. Mais on perd en prévisibilité juridique : c’est une chose de poser une condition procédurale claire que les États doivent respecter – quitte à vérifier effectivement si elle fonctionne comme dans l’affaire Zakharov ; c’en est une autre de supprimer cette exigence procédurale en disant que « ce qui nous intéresse c’est s’il y a eu ou non abus de l’exécutif ». Comment la cour va-t-elle évaluer cela et selon quels critères ? N’y-a-t-il pas le risque de voir se développer un contrôle à deux vitesses : d’un côté certains pays de l’Est (Hongrie, Russie, Roumanie, Croatie, Bulgarie, Moldavie, Turquie) qui ont tous été condamnés par la cour pour leurs lois de surveillance et de l’autre les pays occidentaux (Suède, Royaume-Uni et autre France) qui pourraient bénéficier d’une évaluation plus « souple » car leurs systèmes démocratiques constitueraient en tant que tel un gage contre les abus ?

C'est la première fois que la cour se prononce sur le partage de renseignements avec des États étrangers – ici aux pratiques entre le GCHQ et la NSA...

Oui, et au grand dam des requérants, la cour estime que ces pratiques n’ont pas violé la convention et qu’elles étaient « nécessaires dans une société démocratique ». Cette partie de l’arrêt ne semble pas entièrement à la hauteur de l’importance de cette question fondamentale.

La cour s’intéresse presque exclusivement à la question de savoir si le partage de renseignements était « prévu par la loi » britannique – et ne consacre que deux brefs paragraphes (§445-446) à la question pourtant capitale de la proportionnalité pour nous dire, grosso modo, que « c’est important pour les pays d’échanger des renseignements pour nous protéger contre le terrorisme, donc c’est bon ». Il me semble que cette partie de l’arrêt aurait pu être plus étoffée en discutant davantage la question des risques, celle de l’autorisation préalable par une autorité indépendante et celle de l’effectivité des contrôles, des recours et des garanties.