Dans le cadre de la loi de programmation militaire, l’accès aux données de connexion par le renseignement ne pose pas problème au Conseil d’État. C'est ce qu'il a affirmé aujourd'hui, rejetant le recours de French Data Network, La Quadrature du Net, la Fédération des fournisseurs d'accès à internet associatifs et RSF. Explications.
Ce recours vise le décret du 24 décembre 2014 relatif à l’accès administratif aux données de connexion. Pour faire court, ce texte, publié à la veille de Noël est venu mette en application de la loi de programmation militaire (LPM).
L'article 20 de la LPM permet en effet aux autorités de recueillir en temps réel et sur sollicitation du réseau, tous les « documents » et « informations » détenus par les opérateurs, au titre des métadonnées (notre actualité détaillée). Pour ouvrir les vannes, rien de plus simple, pourrait-on dire. Il suffit préalablement aux services de renseignement de justifier d’impératifs tenant à :
La sécurité nationale,
La sauvegarde des éléments essentiels du potentiel scientifique et économique de la France,
La prévention du terrorisme,
La prévention de la criminalité et la prévention de la délinquance organisée
La prévention de la reconstitution ou du maintien de groupe dissous
Rejoints par Reporters sans frontières, ces représentants de la société civile défendus par Me Spinosi, ont pilonné de critiques ces dispositions.
Sur le terrain de la légalité externe, par exemple, ces dispositions auraient dû, selon eux, être notifiées à Bruxelles. Or sans notification, un tel texte devient inopposable, et donc inapplicable. L’argument est démonté par le juge administratif : les dispositions n’abritent pas de « règles techniques » au sens de la directive de 1998. Elles ne font donc pas partie du spectre des textes devant préalablement glaner l’avis de la Commission européenne.
Sur la légalité interne, ces critiques prennent plus d’épaisseur encore, évoquant de multiples violations de la convention européenne des droits de l’Homme, notamment sur l’autel de la vie privée, et surtout un magnifique télescopage avec l’arrêt Digital Rights de la Cour de justice de l’Union européenne.
L'arrêt Digital Rights de la CJUE
Téléscopage ? En 2014, la CJUE a considéré qu’un accès aux données de connexion non correctement borné est inacceptable en Europe. Pourquoi ? Tout simplement parce « ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ».
Pour faire court, les États membres peuvent évidemment se défendre contre des infractions graves, mais cette quête sécuritaire ne peut mettre à plat la vie privée de personnes sans lien avec ces faits. Dans l’esprit des juges européens, l’accès aux données doit donc être calibré, encadré, accompagné de garantie, soit à l’exact opposé des pratiques de la NSA révélées par Snowden.
Pour les associations françaises requérantes, le régime des réquisitions administratives en France s’éloigne aussi de trop des préceptes européens. Il souffre de nombreux flous, aussi bien quant au type de données pouvant être collectées par les services du renseignement que les conditions de leur collecte.
[...]
Dans son arrêt, la section du contentieux du Conseil d’État a bêtement ignoré les demandes de questions préjudicielles soulevées par les quatre organisations. Dommage, cela aurait justifié l’intervention de la CJUE. Plus cocasse, il a été imperméable aux critiques adressées à la législation française par… la section des études du même Conseil d‘État.
Dans son rapport sur les libertés numériques, publiées fin 2014, celle-ci estimait que l’arrêt de la CJUE Digital Rights du 8 avril 2014 soulève bien « la question de la conformité au droit de l’Union européenne des législations nationales, telles que la législation française, qui prévoient une telle obligation de conservation générale des données de connexion ».
Elle ne prône, certes, évidemment pas de suppression totale de cette législation, mais un encadrement plus solide. Ce nouvel encadrement a justement été l’objet de la loi sur le renseignement et celle sur la surveillance des communications internationales. Toutes les dispositions auscultées par le CE ont été revues, la CNCIS a été remplacée par la Commission nationale de contrôle des techniques du renseignement, et le droit au recours a été davantage ouvert devant les juridictions administratives.
Satisfaisant ? Sans doute ! Sauf si on souligne que ces lois ont aussi démultiplié les services du renseignement ayant accès à ces flux, tout en agrandissant le spectre et la puissance des outils de surveillance, avec à la clef des recherches algorithmiques sur le big data (les « boites noires ») et autres accès en temps réel sans « sollicitation » des opérateurs, FAI et services en ligne...
Face à ces garanties régénérées par la loi renseignement, le Conseil d’État se convaincra peut-être de l'ultime perfection de notre régime, mais des organisations de journalistes et d’avocats doutent et ont fait le choix de trainer ces belles dispositions devant la Cour européenne des droits de l’Homme. Celle-ci examine actuellement les conditions de recevabilité de ces recours. Dans tous les cas, la CEDH donnera raison au Conseil d’État, du moins soit à sa section du contentieux, soit à celle des études.
Télécharger l'arrêt du Conseil d'Etat du 12 février 2016 (PDF)
https://cdn2.nextinpact.com/medias/decision-ce---388-1343-lpm.pdf
=========================================================
https://www.laquadrature.net/fr/recours
https://cdn2.nextinpact.com/medias/ce-lqdn-ffdn-fdn.zip
http://fr.scribd.com/doc/299085397/Decision-CE-388-1343-LPM-LQDN-FDN-FFDN