Données de connexion, avocats, journalistes : bras de fer devant le Conseil constitutionnel

Données, c'est voilé 12
En bref
image dediée
Loi
Marc Rees

Un rendez-vous important a eu lieu ce matin au Conseil constitutionnel. En plein examen du projet de loi sur le renseignement, les sages de la Rue de Montpensier ont ausculté la « QPC » soulevée par la Quadrature et le fournisseur d’accès associatif French Data Network. L’enjeu ? Définir enfin le périmètre de la surveillance des réseaux. Derrière, se trame également la question des secrets des avocats et des journalistes.

Cette QPC cible une partie précise d’un texte de loi très critiqué lors de son adoption en 2013. C’est la loi de programmation militaire (ou LPM). Le texte d’origine gouvernementale autorise en effet le ministère de l’Intérieur, de la Défense ou ceux de Bercy à aspirer sur « sollicitation du réseau », tous les « documents » et « informations » dans les serveurs ou les tuyaux des « opérateurs de télécommunication électronique ». C’est l’accès administratif aux données de connexion, rendu possible pour une série de finalités énumérées à l’article L241-2 du Code de sécurité intérieure.

Lors de l'audience ce matin, au Conseil constitutionnel, Me Spinosi, avocat de la Quadrature du Net, de FDN et FFDN, a rappelé que plusieurs décisions de cours suprêmes en Europe ont dézingué la collecte de données, lorsque les garanties manquaient à l’appel. Le cas s’est vu récemment en Belgique ou en Angleterre, dont la High Court a déploré l’absence d’intervention d’un juge ou d’une autorité administrative préalablement à la collecte de ces données.

En France, la LPM est jugée trop floue par ses adversaires

Ce flou porte d’abord sur la signification même de l’expression « informations et documents ». Certes, la loi range la disposition en cause dans un titre intitulé « données de connexion » mais sans apporter la moindre définition. Un tel déficit, c’est évidemment plus de marge accordée au gouvernement. La loi souffrirait ainsi d’incompétence négative, celle-ci n’ayant pas consommé la plénitude de ses attributions, alors que sont en jeu des droits et libertés fondamentaux (lire notre interview du juriste).

Pire encore, selon Me Spinosi, faute de verrou, l’expression litigieuse pourrait même déborder sur le champ des contenus, permettant aux services de savoir ce que cache tel mail, en plus de connaître le qui, quand, comment et où des métadonnées.

code séucirté intérieure

Autre souci, l’expression « opérateurs de télécommunication électronique » souffrirait des mêmes maux. « Nul ne sait ce que c’est » égratigne l’avocat qui se demande si les prestataires de messagerie privée relèvent ou non de cette catégorie. « Sollicitation du réseau » manque elle-aussi de définition, toujours selon lui. Il s’agit du moyen par lequel le renseignement peut aspirer les « informations et documents » sur les infrastructures des « opérateurs de télécommunications électroniques », et donc une potentielle brèche à une aspiration imposante...

En somme, l’avocat considère qu'on ne peut laisser l’administration moissonner tant de données de connexion car « l’accès massif aux données de connexion porte une atteinte d’une extrême gravité au droit à la vie privée des citoyens tel qu’il est garanti par l’article 2 de la déclaration de 1789 » estime-t-il, avant d’assimiler « données de connexion » et « identité virtuelle » soit « une part déterminante de notre individualité ». Et pour bien enfoncer le clou, il cite évidemment l’arrêt Digital Rights du 8 avril 2014, un modèle de pédagogie de la CJUE :

« Ces données permettent, notamment, de savoir quelle est la personne avec laquelle un abonné ou un utilisateur inscrit a communiqué et par quel moyen, tout comme de déterminer le temps de la communication ainsi que l’endroit à partir duquel celle-ci a eu lieu. En outre, elles permettent de connaître la fréquence des communications de l’abonné ou de l’utilisateur inscrit avec certaines personnes pendant une période donnée. Ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci »

Bref, il invite chaudement le Conseil constitutionnel à censurer ou à tout le moins, émettre des réserves d’interprétation afin que « ne soient pas dévoyées ces notions » (lire en ce sens notre interview de Benjamin Bayart)

Une loi limpide selon le gouvernement

En face, le gouvernement l’assure : « le régime de l’accès aux données de connexion ne peut pas porter sur le contenu des correspondances, mais exclusivement sur le contenant. Seul le régime des interceptions de sécurité peut accéder aux contenus ». La QPC examinée fait donc fausse route, et la prétendue imprécision des textes n’est que mauvaise grille de lecture.

Pour preuve, l’article L246-1 du Code de la sécurité intérieure, ici en cause, ne concerne que les données « traités ou conservés par leurs réseaux ou services de communications électroniques ». Or, « aucune disposition légale ne permet à ces personnes d’enregistrer et de conserver le contenu des correspondances ».

Au contraire, plusieurs dispositions punissent l'atteinte aux contenus. Par exemple, l’article 226-15 du Code pénal réprime les atteintes au secret des correspondances. Le VI de l’article L34-1 du Code des postes prévient que « les données conservées et traitées (…) portent exclusivement sur l'identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux. Elles ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications ».

De même, le II de l’article 6 de la loi sur la confiance dans l’économie numérique (LCEN) dit que FAI et hébergeur « détiennent et conservent les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires ».

Conclusions gouvernementales : « le législateur a clairement exclu que l’accès administratif aux données de connexion puisse porter sur le contenu des correspondances ». Enfin, l’expression « sollicitation du réseau » n’a qu’un sens technique : permettre de localiser en temps réel une personne. « Il ne signifie pas une demande », demande qui pourrait donc mener à une surveillance de masse, par exemple. Concrètement, « cette sollicitation consiste pour l’opérateur à envoyer depuis son réseau des signaux vers les terminaux mobiles des personnes à seule fin de rechercher la station de base la plus proche d’un terminal donné, station de base par laquelle ce terminal accède au réseau ». Ni plus, ni moins.

Le secret des avocats et des journalistes

La Quadrature, FDN et FFDN estiment encore que le droit au secret des sources des journalistes et celui des avocats sont menacés. « La décision que vous rendrez, détaille Me Spinosi, vous offre l’opportunité de consacrer au niveau constitutionnel deux droits fondamentaux que vous n’avez fait jusqu’à présent qu’effleurer ».

Quel est le souci ? Lorsque les services vont aspirer les « informations et documents », nécessairement tomberont dans leur filet les données sensibles des avocats et des journalistes. Il sera dès lors simple pour le renseignement français de mettre la main sur des informations par définition très sensibles.

L’analyse a été partagée au Conseil d’État par le rapporteur public, un cran avant l’examen du Conseil constitutionnel : il est possible de « porter directement atteinte à la confidentialité des échanges entre un avocat et son client ou un de ses confrères – notamment en révélant l’existence, la fréquence, la durée et même la localisation des échanges téléphoniques et numériques entre ces derniers ». Et pour les journalistes, « le risque de révélation de leurs sources par le recours aux données techniques de connexion est cette fois parfaitement direct » (voir notre compte rendu).

Pour le gouvernement, cependant, « le grief manque en fait ». Pourquoi ? Car la loi de programmation militaire se borne à ouvrir un accès aux données de connexion. « Il ne concerne pas le contenu des correspondances, ou d’aucun autre élément couvert par le secret en application de l’article 66-5 de la loi du 31 décembre 1971. Le secret des correspondances n’est en rien affecté ». Ce secret est une garantie fondamentale pour le respect des droits de la défense, puisqu’il évite qu’une partie adverse puisse s’armer de ces pièces pour espérer une victoire facile devant un tribunal.

Certes, l’article 66-5 dit que toutes les pièces d’un dossier sont couvertes par le secret professionnel, mais le gouvernement assure que « l’accès aux données de connexion ne peut conduire à aucune révélation d’aucun propos ou d’aucune note, consultation, correspondance ».  Positions repoussées par Me Spinozi : « comme si la détermination de l’identité du client d’un avocat, de la fréquence de leurs relations ou du lieu de leurs échanges, ne ressortaient pas évidemment des informations confidentielles couvertes par le secret professionnel ! ».

Le Conseil constitutionnel sera donc invité à trancher ces interprétations opposées, qui soulèvent également celle du statut des autorités de contrôle chargées d’encadrer le renseignement (CNCIS aujourd’hui, CNCTR demain).

Le secret des sources d’un journaliste

Dernier sujet d’inquiétude : le secret des sources d’un journaliste. Et pour cause, en alpaguant les données de connexion d’une de ces personnes, il est simplissime de connaître ses sources. « Le droit du secret de l’avocat a vocation à garantir le libre exercice des droits de la défense, quand celui du journaliste protège le droit du public à l’information et à la vérité » assène Me Spinozi.

Là encore, le gouvernement est aux antipodes. Il se souvient que le Conseil constitutionnel n’a pas soulevé d’office ces problématiques lorsqu’il a validé le précédent régime de l’accès administratif aux données de connexion.

Il concède l'existence d'une menace sur ce secret mais le dispositif est équilibré et présente des garanties suffisantes, d'après lui. Il faut préalablement une atteinte particulièrement grave à l’ordre public ou à la sauvegarde des intérêts fondamentaux de la nation, l’un des motifs justifiant la surveillance. De plus, ces opérations sont contrôlées par une personnalité qualifiée désignée par la CNCIS, sur proposition du premier ministre, etc. Enfin, l’article 2 de la loi de 1881 sur la liberté de la presse prévoit qu’ « Il ne peut être porté atteinte directement ou indirectement au secret des sources que si un impératif prépondérant d'intérêt public le justifie et si les mesures envisagées sont strictement nécessaires et proportionnées au but légitime poursuivi ». Or, ces dispositions générales s’appliqueraient de plein droit en matière de renseignement.

En somme, le législateur n’a pas malmené le secret des sources, puisque les éventuelles atteintes seront par définition proportionnées, et les garanties bien présentes... on peut cependant tiquer sur ces affirmations : comment jauger la proportionnalité de l’atteinte lorsque celle-ci est accidentelle ? En d’autres termes, comment un service saura par avance si telle IP, tel numéro sont attribués à un journaliste ?

Le Conseil constitutionnel rendra sa décision vendredi, à partir de 10 heures. Au même moment est attendue sa décision sur le projet de loi Renseignement qui reprend tous les termes de la LPM, amplifiant plus encore ces mesures de surveillance et donc les doutes soulevés ici.


chargement
Chargement des commentaires...