Extension de la surveillance : le rapporteur public conclut à la transmission de la QPC

Bernard vs les susceptibles 15
Accès libre
image dediée
Crédits : Marc Rees (CC-BY-SA 3.0)
Justice MàJ
Par
le vendredi 05 mai 2017 à 17:33
Marc Rees

Mise à jour : Aujourd’hui, au Conseil d’État, le rapporteur public a conclu à la transmission de cette question prioritaire de constitutionnalité. Il a jugé que les trois critères justifiant cette transmission étaient remplis, à savoir une problématique sérieuse, applicable à la procédure en cours et nouvelle puisque le Conseil constitutionnel ne s’est jamais prononcé sur ces nouvelles dispositions. La réponse du Conseil d’État est attendue dans les prochaines semaines, sachant que celui-ci est libre de suivre ou non cet avis. 

Le 5 mai prochain, le Conseil d’État examinera la demande de QPC visant la loi renseignement, dans le cadre d’une procédure contre l’un de ses décrets. Dans le viseur, la vaste extension de la surveillance en temps réel pour prévenir les faits de terrorisme votée l’an passée.

Voilà plusieurs mois, French Data Network, la Fédération des fournisseurs d’accès à Internet associatifs et la Quadrature du Net ont demandé l’annulation du décret du 29 janvier 2016. L’une des pierres angulaires de la fameuse loi sur la surveillance. Le texte définit en effet ce que sont les données de connexion susceptibles d’être recueillies par les services.

Il s’agit d’une pierre angulaire puisqu’on touche ici au carburant du moteur de la surveillance en France. Juridiquement, ce texte définit ce que sont les fameux « informations ou documents » qui peuvent être glanés par les services du renseignement chez l’ensemble des prestataires et autres intermédiaires techniques. Derrière l’expression, l’ensemble des données accompagnant les contenus échangés sur les réseaux.

Et la liste est longue :

  • Les informations permettant d'identifier l'utilisateur, notamment pour les besoins de facturation et de paiement
  • Les données relatives aux équipements terminaux de communication utilisés
  • Les caractéristiques techniques, ainsi que la date, l'horaire et la durée de chaque communication
  • Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs
  • Les données permettant d'identifier le ou les destinataires de la communication
  • L'identifiant de la connexion
  • L'identifiant attribué par ces personnes à l'abonné
  • L'identifiant du terminal utilisé pour la connexion lorsqu'elles y ont accès
  • Les dates et heure de début et de fin de la connexion
  • Les caractéristiques de la ligne de l'abonné
  • L'identifiant attribué par le système d'information au contenu, objet de l'opération
  • Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus
  • La nature de l'opération
  • Date et heure de l'opération
  • L'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni
  • Les nom et prénom ou la raison sociale
  • Les adresses postales associées
  • Les pseudonymes utilisés
  • Les adresses de courrier électronique ou de compte associées
  • Les numéros de téléphone
  • Les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour
  • Le type de paiement utilisé
  • La référence du paiement
  • Le montant
  • La date et l'heure de la transaction
  • Les données permettant de localiser les équipements terminaux
  • Les données relatives à l'accès des équipements terminaux aux réseaux ou aux services de communication au public en ligne
  • Les données relatives à l'acheminement des communications électroniques par les réseaux
  • Les données relatives à l'identification et à l'authentification d'un utilisateur, d'une connexion, d'un réseau ou d'un service de communication au public en ligne
  • Les données relatives aux caractéristiques des équipements terminaux et aux données de configuration de leurs logiciels.

Bref, un joli stock où l’accès des services diffère selon la qualité de l’intermédiaire (FAI, opérateur, hébergeur) et le type de recueil (en temps différé ou réel).

En 2016, l’extension de la surveillance en temps réel

La procédure est toujours en cours, mais profitant de cette fenêtre, les trois entités ont soulevé une question prioritaire de constitutionnalité, examinée la semaine prochaine par le Conseil d’État avant possible transmission au Conseil constitutionnel.

Pour en comprendre les ressorts, il faut se plonger cette fois dans la loi du 21 juillet 2016 prorogeant à nouveau l’état d’urgence. Celle-ci a modifié le périmètre de l’accès aux données, spécialement lorsqu'il est réalisé en temps réel aux fins de prévention des actes de terrorisme. Un périmètre défini à l’article L851-2 du Code de la sécurité intérieure

Initialement, dans le marbre de la loi renseignement, le recueil pouvait viser les données de connexion d’ « une personne préalablement identifiée comme présentant une menace » :

code de la sécurité intérieure temps réel
Version initiale du L851-2

Depuis la loi du 21 juillet 2016 relative à l'état d'urgence et portant mesures de renforcement de la lutte antiterroriste, cependant, le dispositif a été étendu à toutes les données d’une personne « préalablement identifiée susceptible d'être en lien avec une menace ».

De sa plume, le législateur a offert une grande liberté aux services : pour justifier l’aspiration en temps réel des « informations et documents », ils n’ont plus à justifier d’une vraie menace, mais simplement d’une menace « susceptible ». La différence est d’autant plus flagrante que les services peuvent désormais surveiller aussi les données de l’entourage, s’ils ont de « raisons sérieuses de penser » que des personnes de ce cercle « sont susceptibles de fournir des informations » au titre de la lutte contre le terrorisme :

code de la sécurité intérieure temps réel
Version modifiée du L851-2

Comme souligné dans nos colonnes, la nouvelle version de l’article L851-2 du CSI permet de surveiller à peu près n’importe qui, d’autant que les réseaux sociaux ont considérablement réduit les maillons nous séparant de n’importe qui dans le monde. Pour la Quadrature, FDN et FFDN, il est donc impératif que soit examinée la solidité de la V2 du L851-4 du Code de la sécurité intérieure.

Les arguments sont affutés. Lorsqu’il a été amené à examiner la version votée dans la loi Renseignement, le Conseil constitutionnel avait jugé l’article initial dans les clous des normes fondamentales. Il a constaté une conciliation non « manifestement déséquilibrée » entre l’atteinte à la vie privée et la protection de l’ordre public. Et pour cause, le recueil était ciblé :

  1. « Pour les besoins de la prévention du terrorisme »,
  2. « Pour une durée de deux mois renouvelables »,
  3. « Uniquement à l'égard d'une personne préalablement identifiée comme présentant une menace »
  4. « Sans le recours à la procédure d'urgence absolue »

Tout le monde peut être « susceptible de »

Quatre points qui ont permis à cette surveillance en temps réel de ne pas sombrer Rue de Montpensier. Défendus par Me Spinosi, les requérants estiment que la dégénérescence consécutive à la loi du 21 juillet a « élargi considérablement et de façon parfaitement imprécise » le champ de cette surveillance. « En usant de l'expression "susceptible d’être en lien" avec une menace, le législateur a permis aux autorités administratives compétentes de placer des personnes sous surveillance à la faveur de simples soupçons et autres hypothèses. »

Mieux, en visant désormais l’entourage, le dispositif de surveillance en temps réel « peut également viser des personnes dont il n’est même pas établi qu’elles seraient susceptibles d’être elles-mêmes en lien avec une menace ». 

Bref, c’est en trop à leur goût. Selon eux, l’équilibre jugé satisfaisant par le Conseil constitutionnel a été rompu. C’est d’autant plus vrai que députés et sénateurs ont également fait sauter la disposition qui limitait la surveillance à 2 mois, sauf autorisation renouvelée signée par le Premier ministre. Désormais, elle s’étend sur 4 mois, délai de « droit commun » en la matière. 

FDN, FFDN et LQDN considèrent que ce délai réduit avait aussi été déterminant pour la déclaration de conformité. Dit autrement, « en supprimant cette garantie qui assurait un équilibre entre la prévention des atteintes à l’ordre public et le respect de la vie privée, le législateur a porté une atteinte disproportionnée au droit au respect de la vie privée et au secret des correspondances ». 

Le filtre du Conseil d’État avant le Conseil constitutionnel

Si on résume, la loi renseignement permettait aux services de suivre durant deux mois renouvelables une personne préalablement identifiée comme menace terroriste. Depuis la réforme de juillet 2016, les services peuvent tracer en temps réel durant quatre mois renouvelables, le sillage des données d’un nombre indéfini de personnes, du moins celles simplement susceptibles de détenir des informations sur une personne qui serait elle-même susceptible d’être une menace. Des mesures introduites à l'occasion du vote d'une prorogation de l'état d'urgence, mais qui s'appliquent évidemment même en dehors de ces périodes.

Ce faisant, le législateur a fait sauter deux des quatre points cardinaux qui avaient servi au Conseil constitutionnel d’avaliser cette disposition sur l’autel des textes fondateurs (les points 2 et 3 énumérés ci-dessus).

Le Conseil d’État examinera cette demande le 5 mai. Sa décision tombera dans les semaines suivantes. Transmise, la QPC sera examinée dans les trois mois par le Conseil constitutionnel. Les scénarios sont simples : hors très hypothétique réserve d’interprétation, soit celui-ci valide malgré tout la nouvelle version, soit il la censure reportant l’annulation dans le temps, afin de laisser une marge de quelques mois au législateur pour corriger le tir.

Dernière mise à jour le 05/05/2017 17:33:51

chargement
Chargement des commentaires...