#PJLTerro : les fragilités constitutionnelles de l’obligation de déclarer ses identifiants

À l'Assemblée nationale, à l’occasion des débats autour du projet de loi sur la sécurité intérieure et la lutte contre le terrorisme, a été adoptée l’obligation pour les personnes au comportement suspect de déclarer l’ensemble de leurs identifiants. Une telle obligation souffre de plusieurs fragilités constitutionnelles.

Suite à un amendement réintroduit par le gouvernement, les députés ont adopté une nouvelle obligation à l'encontre des personnes à l’égard desquelles il existe « des raisons sérieuses de penser que [leur] comportement constitue une menace d’une particulière gravité pour la sécurité et l’ordre publics ».

Si elles sont en relations habituelles avec d’autres personnes ou organisations « incitant, facilitant ou participant à des actes de terrorisme » ou bien si elles ont elles-mêmes soutenu, diffusé (sur Twitter par exemple) ou adhéré « à des thèses incitant à la commission d’actes de terrorisme ou faisant l’apologie de tels actes », alors elles devront déclarer l’ensemble de leurs identifiants électroniques au ministre de l’Intérieur.

Selon Gérard Collomb, cette mesure est du pain béni : elle permettra aux services du renseignement de suivre ces personnes à la trace, en scrutant au besoin en temps réel, l’ensemble de leurs données de connexion (article L. 851 2 du code de la sécurité intérieure).

Ce mécanisme peut s’entrevoir autrement : plutôt que de mettre en place les boites noires, censées d’ici 2020 détecter de possibles graines de menaces terroristes, ce sont les personnes au comportement suspect qui fourniront les éléments d’attention.

Seulement, plusieurs contraintes constitutionnelles risquent de freiner l’ardeur de cette surveillance auto-alimentée. 

Le droit de se taire

Dès sa décision du 2 mars 2004, le Conseil constitutionnel a reconnu que « nul n’est tenu de s’accuser ». Un principe né de l’article 9 de la Déclaration de 1789 (« Tout homme étant présumé innocent jusqu'à ce qu'il ait été déclaré coupable »).

Dans sa décision du 4 novembre 2016, il a ajouté que découle de ce principe « le droit de se taire » dans le cadre d’une procédure pénale visant une personne « à l’encontre de laquelle il existe une ou plusieurs raisons plausibles de soupçonner qu'elle a commis ou tenté de commettre un crime ou un délit puni d'une peine d'emprisonnement ».

Dans l’actuel projet de loi, nous ne sommes pas dans le cadre d’une procédure pénale, mais la fourniture sur un plateau de ses identifiants peut bien entraîner l’engrenage d’une telle action, d’autant que les textes contre le terrorisme ont été démultipliés depuis 2015 s’agissant notamment de l’apologie au terrorisme sur Internet par exemple.

Le principe de proportionnalité

Lorsque l’internaute suspect se voit contraint de remettre aux services de l’Intérieur l’ensemble de ses identifiants électroniques, il aura intérêt à avoir une bonne mémoire. Un identifiant oublié, et le voilà éligible à trois ans d’emprisonnement et 45 000 euros d’amende.

Certes, il sera délicat pour les services de connaître finalement le spectre de ses identifiants, sauf que le projet de loi permet également des mesures de saisies administratives. Lors d’une « visite », l’équivalent des perquisitions sous l’état d’urgence, les agents pourront donc copier l’ensemble des données présentes sur les ordinateurs, tablettes, smartphones voire au besoin saisir ces éléments-là aux fins d’analyse.

Il sera simple du coup de vérifier si la personne-au-comportement-suspect n’a pas finalement oublié de déclarer un identifiant eBay, Paypal, Instagram, etc. ou d’un service plus ancien dont il reste des traces sur les espaces de stockage.

Comment le Conseil constitutionnel appréciera-t-il cette contrainte face au principe de proportionnalité ? Est-il raisonnable d’exiger du principal intéressé une mémoire sans faille portant sur des années d’activités en ligne, et dans le même temps le menacer jusqu’à trois ans de prison et 45 000 d’amende pour le moindre oubli ?

Le principe de nécessité

Dans un amendement de suppression, les députés GDR ont fait état d’un autre problème : cette mesure ne serait pas nécessaire, constitutionnellement parlant, au motif que la loi du 24 juillet 2015 prévoit déjà toute une série de solutions pour « récupérer les identifiants techniques de connexion, sous le contrôle de la Commission nationale de contrôle des techniques de renseignement ou du juge administratif ».

Ils citent l’accès aux données de connexion (article L. 851-1 du Code de la Sécurité intérieure) et le recueil en temps réel des données de connexion (article L. 851-2 du Code de la Sécurité intérieure).

Ajoutons cette nouvelle obligation va flirter de près avec d’autres instruments présents dans le code pénal, ce qui posera la question de la nécessaire judiciarisation. Un individu dont le « comportement constitue une menace d’une particulière gravité pour la sécurité et l’ordre publics » et qui diffuse « des thèses incitant à la commission d’actes de terrorisme ou faisant l’apologie de tels actes » pourrait très bien tomber dans l’escarcelle du délit d’apologie du terrorisme.

Le fait de « faire publiquement l'apologie de ces actes » est en effet déjà puni par l’article 421-2-5 du Code pénal de cinq ans d'emprisonnement et de 75 000 euros d'amende.

Le sort de données

Le texte réintroduit par le gouvernement pose l'obligation pour le suspect de…

« Déclarer les numéros d’abonnement et identifiants techniques de tout moyen de communication électronique dont elle dispose ou qu’elle utilise, ainsi que tout changement de ces numéros d’abonnement et identifiants ; ces déclarations ne portent pas sur les mots de passe ».

Or, un souci majeur se pose. Si le gouvernement n’a eu de cesse de dire que ce pétrole allait alimenter le moteur du renseignement, il ne l’a pas écrit noir sur blanc dans le projet de loi.

Dit autrement, une fois les numéros d’abonnement et les identifiants déclarés, personne ne sait exactement ce qu’il en adviendra. Seront-ils stockés ? Combien de temps ? Un an ? Cinq ans ? Une éternité ? Sous quelles mesures de sécurité ? Qui d'ailleurs aura droit accès ?

Pour mémoire, le Conseil constitutionnel avait déjà censuré un tel défaut d’encadrement dans sa décision portant sur la surveillance des communications internationales, prévue par la loi Renseignement : 

« en ne définissant dans la loi ni les conditions d'exploitation, de conservation et de destruction des renseignements collectés (…), ni celles du contrôle par la commission nationale de contrôle des techniques de renseignement de la légalité des autorisations délivrées en application de ce même article et de leurs conditions de mise en œuvre, le législateur n'a pas déterminé les règles concernant les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ».

Et comme si l’exécutif souffrait de troubles de l’audition, il avait reproduit ces critiques à l’encontre de l’article du Code de la sécurité intérieure relatif aux mesures de surveillance hertzienne : « les dispositions contestées ne définissent pas la nature des mesures de surveillance et de contrôle que les pouvoirs publics sont autorisés à prendre. Elles ne soumettent le recours à ces mesures à aucune condition de fond ni de procédure et n'encadrent leur mise en œuvre d'aucune garantie ». 

Sans surprise, on devrait aboutir à la même fin tragique. 

Un problème d’intelligibilité de la loi

Un dernier point cependant. La loi en formation oblige à déclarer ses « identifiants techniques de tout moyen de communication électronique ». Qu’est-ce qui se cache derrière cette longue expression ? Manque de chance, le texte ne donne aucune esquisse de définition, pas plus que les travaux parlementaires. On sait juste que les mots de passe sont exclus, mais c'est un peu court pour circonscrire a contrario ce périmètre aux seuls logins.

Selon le CPCE, « on entend par communications électroniques les émissions, transmissions ou réceptions de signes, de signaux, d'écrits, d'images ou de sons, par voie électromagnétique » (article L32).

Si ce seul spectre est déjà large, celui des identifiants techniques nous plonge dans un brouillage complet. Un décret du 25 février 2011 en cite bien sept différents types :

• L'identifiant de la connexion
• L'identifiant attribué par ces personnes à l'abonné
• L'identifiant du terminal utilisé pour la connexion lorsqu'elles y ont accès
• L'identifiant de la connexion à l'origine de la communication
• L'identifiant attribué par le système d'information au contenu, objet de l'opération ;
• L'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni ;
• Au moment de la création du compte chez un FAI ou un hébergeur, l'identifiant de cette connexion

Mais, comble de l'usine à gaz, la liste n’est pas limitative puisqu’elle ne concerne que la conservation et la communication « des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne », nom du décret !

En tout cas, avec une obligation aussi mal bornée, l’utilisateur devrait donc se souvenir non seulement de ses logins, mais aussi de l’ensemble des adresses IP empruntées pour ses échanges électroniques. Si cela n’est pas inenvisageable pour une IP fixe (déjà très rare pour un particulier), imagine-t-on quiconque se rappeler de l’adresse d’un réseau Wi-Fi d’une station essence ou d’un McDo sur lequel il s’est connecté ?

Voté à l'Assemblée, le texte devra ensuite passer en commission mixte paritaire puisque les sénateurs avaient refusé une telle déclaration. Ensuite, il sera prêt pour la course finale vers le Journal officiel, avant une éventuelle saisine du Conseil constitutionnel.