DRIPA : la loi sur la rétention des données fusillée par la justice britannique

Nouveau cataclysme pour les lois de surveillance en Europe. Outre-Manche, la High Court a estimé des dispositions de la Data Retention and Investigatory Powers Act de 2014 (DRIPA) étaient incompatibles avec le droit à la vie privée, et spécialement les articles 7 et 8 de la Charte sur les droits fondamentaux. Le gouvernement va cependant faire appel.

Après l'Irlande, l'Autriche, la Roumanie, la Slovaquie, la Slovénie, les Pays-Bas, la Bulgarie et récemment la Belgique, c’est autour du Royaume-Uni de voir sa législation sur la rétention des données personnelles fusillée par la justice, sur l'autel du droit européen.

Deux critiques majeures sont formulées dans ce jugement qui cible les fameuses métadonnées conservées 12 mois par les opérateurs. D’une part, les dispositions de la DRIPA ne fournissent aucune règle suffisamment précise pour s'assurer que la conservation et l'accès aux données ne visent que des infractions graves. D’autre part, l’accès à ces données n’est nullement encadré par une juridiction ou une autorité administrative indépendante. Selon la Haute cour, une telle entité doit nécessairement intervenir en amont pour s’assurer que les données ne sont exploitées que dans un cadre strictement nécessaire à la poursuite de cet objectif.

Un patch attendu d’ici mars 2016

Cette procédure judiciaire avait été initiée par Tom Watson (Travailliste) et David Davis (Conservateur), deux députés soutenus par Liberty et Open Rights Group. Elle va conduire maintenant à une nouvelle réforme de la toute récente législation relative à la surveillance. La Haute Cour a laissé à l’État un délai de neuf mois, soit jusqu’à mars 2016, pour nettoyer les bugs peu en phase avec le respect de la vie privée. Seulement, le gouvernement de David Cameron a déjà fait savoir qu'il ferait appel...

Du côté des opposants au texte, les réactions pleuvent malgré tout. Pour Open Rights Group, « lorsque le gouvernement a forcé le vote de la DRIPA au Parlement, voilà un an, il a nié aux députés et aux citoyens le droit à un vrai débat sur la manière dont les données personnes devaient être conservées par les acteurs du numériques et rendues accessibles à l’État ». Et le collectif de rappeler qu’à l’époque déjà, il dénonçait l’incompatibilité des mesures avec la jurisprudence européenne sur la conservation des données.

L’encadrement de la rétention des données personnelles

L’important arrêt Digital Rights Ireland Ltd vs Minister for Communications du 8 avril 2014 a en effet annulé la directive sur la rétention des données personnelles (voir notre présentation détaillée de l’arrêt). Pourquoi ? Car les métadonnées « prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci. »

Le texte européen n’avait fixé aucune limite solide, obligeant une conservation indifférenciée, même des données de ceux pour lesquels « il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves ». La directive oubliait par ailleurs d’encadrer l’accès des autorités nationales, à l’instar donc du droit britannique.

En automne prochain, un nouveau projet de loi sur les pouvoirs d’enquête sera présenté au Parlement, l’ORG espère qu’il sera le bon véhicule législatif pour colmater la loi actuelle.

Une procédure parlementaire bâclée enfante une loi bâclée

« Le gouvernement doit maintenant réécrire la loi pour exiger un contrôle juridictionnel ou indépendant avant que les autorités puissent accéder aux données personnelles » constate en ce sens David Davis, qui condamne sans nuance le choix du gouvernement d’avoir fait examiner la loi en urgence : « Tandis que le gouvernement a laissé une journée au Parlement pour examiner la loi, la Cour lui accorde neuf mois ».

C’est ainsi le témoignage qu’une législation de cette importance ne peut se passer d’une procédure parlementaire qui laisse le temps au temps. Le député Tom Watson ne dit pas autre chose. « Le gouvernement avait été averti : précipiter l’examen d’une si importante législation sécuritaire allait nécessairement déboucher sur une loi bâclée. Maintenant, la Haute Cour exige qu’il revienne au Parlement pour faire son travail correctement » a-t-il affirmé.

En France, plusieurs organisations dont le Syndicat de la Magistrature, le Syndicat des Avocats de France, Amnesty International France, la Ligue des Droits de l’Homme, etc. ont eux aussi condamné devant le Conseil constitutionnel le choix de la procédure accélérée décidé par le gouvernement en amont du vote du projet de loi Renseignement . « Le total cumulé du temps d’examen en séance s’élève à 10 jours à peine, pour un texte présenté comme fondateur de l’encadrement des pouvoirs des services secrets ». Les signataires d’un mémoire adressé aux neuf sages considèrent du coup que cette procédure expresse pose problème au regard du principe de clarté et de sincérité du débat parlementaire.