RSF attaque le décret sur l’accès administratif aux données de connexion

Le 19 février, la Quadrature du Net, FDN et FFDN annonçaient leur procédure conjointe contre le principal décret d’application de la loi de programmation militaire. Ce front s’enrichit d’une nouvelle action en annulation, à l’initiative cette fois de Reporters sans Frontières (RSF).

Le gouvernement, la majorité tout comme l’opposition parlementaire n’avaient pas jugé utile de faire examiner la loi de programmation militaire (LPM) par le Conseil constitutionnel. Ses nombreux adversaires décelaient pourtant dans ce dispositif de graves dangers pour la vie privée, en raison de trop nombreux flous dans le marbre de la loi.

Après la Quadrature du Net, FDN, et FFDN, c’est autour de RSF de finalement passer à l’attaque. Le 24 février 2015, l’association a déposé devant le Conseil d’Etat un recours en annulation contre le décret d’application de cette loi. « Cet article, relatif à l’obtention de données personnelles et la surveillance des communications téléphoniques et internet en temps réel par l’administration française, porte gravement atteinte aux droits fondamentaux des citoyens et en particulier à la vie privée, à la liberté d’information et aux secrets des sources » considère-t-elle.

Elle décèle « trois motifs d’inquiétudes », à savoir « l’absence de contrôle du juge tout au long de la procédure de mise sous surveillance, des objectifs justifiant la surveillance trop larges, et un spectre des données recueillies trop étendu ». Ces défauts seraient autant de contrariétés avec la législation française, mais également européenne, dont le secret des sources journalistiques.

Pour mémoire, l'article 20 de la LPM et ce décret permettent aux autorités d’aspirer en temps réel, sur sollicitation du réseau, tous les « documents » et « informations » détenues par les opérateurs au titre des métadonnées (notre actualité détaillée). Il suffit que les autorités justifient de la recherche de renseignements intéressant la sécurité nationale, la prévention du terrorisme, la criminalité et la délinquance organisées ou « la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France ». Des hypothèses qui seraient trop floues selon les détracteurs de ce mécanisme. 

Une violation du droit européen

Sur ce point, RSF considère que Paris n’a fait que trop peu de cas de l’arrêt – fondamental – rendu par la Cour de justice de l’Union européenne le 8 avril 2014 Dans cette décision, dite Digital Rights Ireland, C-293/12, la CJUE a invalidé la directive sur la rétention des données, considérant que ce texte « comporte une ingérence dans [les] droits fondamentaux d’une vaste ampleur et d’une gravité particulière dans l’ordre juridique de l’Union sans qu’une telle ingérence soit précisément encadrée par des dispositions permettant de garantir qu’elle est effectivement limitée au strict nécessaire. »

Où est le respect des sources journalistiques ?

Destinée à harmoniser la collecte et la conservation des données de connexion chez tous les opérateurs européens, le législateur européen avait oublié de prévoir des règles de base pour éviter les abus. Seul détail, ni la LPM ni le décret d’application ne reposent sur cette directive. Cependant, pour RSF, comme pour la Quadrature, FDN et FFDN, cette jurisprudence condamne par défaut toutes les dispositions équivalentes qui ne prévoient pas d’encadrement suffisant des aspirateurs à vie privée. « La directive ne prévoyait pas d’exception concernant les personnes soumises au secret professionnel, rappelle RSF. Or, le décret ne prévoyant pas non plus d’exception pour les personnes soumises au secret professionnel, il permet, sans aucune restriction particulière, d’accéder aux données de connexion des journalistes, et ainsi aux informations permettant d’identifier leurs sources. Il est donc comme la directive contraire au droit de l’UE. »

Un contrôle trop mou, trop tardif et trop secret

Enfin, Reporters sans frontières condamne le manque de contrôle dans les procédures d’accès aux informations de connexion. « Le seul contrôle extérieur à l’administration stricto sensu revient à la Commission nationale de contrôle des interceptions de sécurité (CNCIS), qui n’intervient qu’à posteriori ». Son contrôle n'est pas seulement mince (ce n’est qu’une recommandation faite au premier ministre), il est aussi tardif : il peut intervenir jusqu’à neuf jours après l’atteinte aux secrets des sources journalistiques. Pire, regrette RSF, « à aucun moment l’intéressé n’est informé du fait qu’il fait l’objet d’une procédure de surveillance et que ses données sont collectées. Il n’a donc aucun moyen de contester les décisions prises par l’administration ni devant elle ni devant un juge. Le droit au recours à un juge est donc vicié. »

Dans une consultation ouverte par le Conseil national du numérique, RSF avait également épinglé la largeur du spectre couvert par l'article 20 de la LPM. Un flou particulièrement inquiétant, « notamment dans l’interprétation qui peut être faite des termes de “sécurité nationale” et de “prévention”. En l’absence de juge, la disposition est doublement dangereuse, car elle ne comprend à aucun moment un jugement indépendant sur la cohérence entre la demande, les objectifs prévus par la loi et la proportionnalité des mesures par rapport à cet objectif. »