Une question prioritaire de constitutionnalité doit être examinée mardi au sujet d’un article de la loi renseignement sur la surveillance électronique des personnes suspectées d’activités terroristes.
Mise à jour : Aujourd’hui, au Conseil d’État, le rapporteur public a conclu à la transmission de cette question prioritaire de constitutionnalité. Il a jugé que les trois critères justifiant cette transmission étaient remplis, à savoir une problématique sérieuse, applicable à la procédure en cours et nouvelle puisque le Conseil constitutionnel ne s’est jamais prononcé sur ces nouvelles dispositions. La réponse du Conseil d’État est attendue dans les prochaines semaines, sachant que celui-ci est libre de suivre ou non cet avis.
e 5 mai prochain, le Conseil d’État examinera la demande de QPC visant la loi renseignement, dans le cadre d’une procédure contre l’un de ses décrets. Dans le viseur, la vaste extension de la surveillance en temps réel pour prévenir les faits de terrorisme votée l’an passée.
Voilà plusieurs mois, French Data Network, la Fédération des fournisseurs d’accès à Internet associatifs et la Quadrature du Net ont demandé l’annulation du décret du 29 janvier 2016. L’une des pierres angulaires de la fameuse loi sur la surveillance. Le texte définit en effet ce que sont les données de connexion susceptibles d’être recueillies par les services.
Il s’agit d’une pierre angulaire puisqu’on touche ici au carburant du moteur de la surveillance en France. Juridiquement, ce texte définit ce que sont les fameux « informations ou documents » qui peuvent être glanés par les services du renseignement chez l’ensemble des prestataires et autres intermédiaires techniques. Derrière l’expression, l’ensemble des données accompagnant les contenus échangés sur les réseaux.
Et la liste est longue :
Les informations permettant d'identifier l'utilisateur, notamment pour les besoins de facturation et de paiement
Les données relatives aux équipements terminaux de communication utilisés
Les caractéristiques techniques, ainsi que la date, l'horaire et la durée de chaque communication
Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs
Les données permettant d'identifier le ou les destinataires de la communication
L'identifiant de la connexion
L'identifiant attribué par ces personnes à l'abonné
L'identifiant du terminal utilisé pour la connexion lorsqu'elles y ont accès
Les dates et heure de début et de fin de la connexion
Les caractéristiques de la ligne de l'abonné
L'identifiant attribué par le système d'information au contenu, objet de l'opération
Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus
La nature de l'opération
Date et heure de l'opération
L'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni
Les nom et prénom ou la raison sociale
Les adresses postales associées
Les pseudonymes utilisés
Les adresses de courrier électronique ou de compte associées
Les numéros de téléphone
Les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour
Le type de paiement utilisé
La référence du paiement
Le montant
La date et l'heure de la transaction
Les données permettant de localiser les équipements terminaux
Les données relatives à l'accès des équipements terminaux aux réseaux ou aux services de communication au public en ligne
Les données relatives à l'acheminement des communications électroniques par les réseaux
Les données relatives à l'identification et à l'authentification d'un utilisateur, d'une connexion, d'un réseau ou d'un service de communication au public en ligne
Les données relatives aux caractéristiques des équipements terminaux et aux données de configuration de leurs logiciels.
Bref, un joli stock où l’accès des services diffère selon la qualité de l’intermédiaire (FAI, opérateur, hébergeur) et le type de recueil (en temps différé ou réel).
En 2016, l’extension de la surveillance en temps réel
La procédure est toujours en cours, mais profitant de cette fenêtre, les trois entités ont soulevé une question prioritaire de constitutionnalité, examinée la semaine prochaine par le Conseil d’État avant possible transmission au Conseil constitutionnel.
Pour en comprendre les ressorts, il faut se plonger cette fois dans la loi du 21 juillet 2016 prorogeant à nouveau l’état d’urgence. Celle-ci a modifié le périmètre de l’accès aux données, spécialement lorsqu'il est réalisé en temps réel aux fins de prévention des actes de terrorisme. Un périmètre défini à l’article L851-2 du Code de la sécurité intérieure.
Initialement, dans le marbre de la loi renseignement, le recueil pouvait viser les données de connexion d’ « une personne préalablement identifiée comme présentant une menace » [...]
Comme souligné dans nos colonnes, la nouvelle version de l’article L851-2 du CSI permet de surveiller à peu près n’importe qui, d’autant que les réseaux sociaux ont considérablement réduit les maillons nous séparant de n’importe qui dans le monde. Pour la Quadrature, FDN et FFDN, il est donc impératif que soit examinée la solidité de la V2 du L851-4 du Code de la sécurité intérieure.
Les arguments sont affutés. Lorsqu’il a été amené à examiner la version votée dans la loi Renseignement, le Conseil constitutionnel avait jugé l’article initial dans les clous des normes fondamentales. Il a constaté une conciliation non « manifestement déséquilibrée » entre l’atteinte à la vie privée et la protection de l’ordre public. Et pour cause, le recueil était ciblé :
« Pour les besoins de la prévention du terrorisme »,
« Pour une durée de deux mois renouvelables »,
« Uniquement à l'égard d'une personne préalablement identifiée comme présentant une menace »
« Sans le recours à la procédure d'urgence absolue »
Tout le monde peut être « susceptible de »
Quatre points qui ont permis à cette surveillance en temps réel de ne pas sombrer Rue de Montpensier. Défendus par Me Spinosi, les requérants estiment que la dégénérescence consécutive à la loi du 21 juillet a « élargi considérablement et de façon parfaitement imprécise » le champ de cette surveillance. « En usant de l'expression "susceptible d’être en lien" avec une menace, le législateur a permis aux autorités administratives compétentes de placer des personnes sous surveillance à la faveur de simples soupçons et autres hypothèses. »
Mieux, en visant désormais l’entourage, le dispositif de surveillance en temps réel « peut également viser des personnes dont il n’est même pas établi qu’elles seraient susceptibles d’être elles-mêmes en lien avec une menace ».
Bref, c’est en trop à leur goût. Selon eux, l’équilibre jugé satisfaisant par le Conseil constitutionnel a été rompu. C’est d’autant plus vrai que députés et sénateurs ont également fait sauter la disposition qui limitait la surveillance à 2 mois, sauf autorisation renouvelée signée par le Premier ministre. Désormais, elle s’étend sur 4 mois, délai de « droit commun » en la matière.
FDN, FFDN et LQDN considèrent que ce délai réduit avait aussi été déterminant pour la déclaration de conformité. Dit autrement, « en supprimant cette garantie qui assurait un équilibre entre la prévention des atteintes à l’ordre public et le respect de la vie privée, le législateur a porté une atteinte disproportionnée au droit au respect de la vie privée et au secret des correspondances ».
Le filtre du Conseil d’État avant le Conseil constitutionnel
Si on résume, la loi renseignement permettait aux services de suivre durant deux mois renouvelables une personne préalablement identifiée comme menace terroriste. Depuis la réforme de juillet 2016, les services peuvent tracer en temps réel durant quatre mois renouvelables, le sillage des données d’un nombre indéfini de personnes, du moins celles simplement susceptibles de détenir des informations sur une personne qui serait elle-même susceptible d’être une menace. Des mesures introduites à l'occasion du vote d'une prorogation de l'état d'urgence, mais qui s'appliquent évidemment même en dehors de ces périodes.
Ce faisant, le législateur a fait sauter deux des quatre points cardinaux qui avaient servi au Conseil constitutionnel d’avaliser cette disposition sur l’autel des textes fondateurs (les points 2 et 3 énumérés ci-dessus).
Le Conseil d’État examinera cette demande le 5 mai. Sa décision tombera dans les semaines suivantes. Transmise, la QPC sera examinée dans les trois mois par le Conseil constitutionnel. Les scénarios sont simples : hors très hypothétique réserve d’interprétation, soit celui-ci valide malgré tout la nouvelle version, soit il la censure reportant l’annulation dans le temps, afin de laisser une marge de quelques mois au législateur pour corriger le tir.
Parmi les 27 articles du texte, les 3 articles censurés sont expurgés du projet de loi. Les auteurs du texte pourront maintenant corriger le tir en tenant compte des critiques du juge, mais il faudra repasser par une autre loi, et donc un nouveau vote et éventuellement un passage devant le même juge. Pour les 24 autres, le gouvernement a pu finaliser la publication du texte au Journal officiel. C’est d’ailleurs ce qu’il a fait samedi. Seulement, tout n’est pas encore joué. D’abord, une ribambelle de décrets d’application sont attendus pour rendre applicable ces dispositions. Il faudra en effet des décret...] La quasi-totalité des articles validés est suspendue à la publication du décret nommant le président de la Commission nationale de contrôle des techniques de renseignement. C’est donc cette désignation qui lancera la grande course à la surveillance 2.0. [...] On en arrive donc à une situation exotique où l’encadrement de la surveillance internationale est inconstitutionnel, mais les services peuvent agir à ce niveau, et même pirater tout et n’importe quoi à cette échelle, même les magistrats, avocats, parlementaires, journalistes. [...] Le Conseil ne s’est pas posé la moindre question sur la capacité effective pour un traitement algorithmique de détecter une menace terroriste, ni de la question des faux positifs. Ce n'est pas sans doute son job de détailler ces questions techniques, mais les risques sont pourtant évidents. [...] En creux, il indique là qu'il n'existe aucun secret particulier pour les journalistes et avocats, ce qu'il consacrera dans la QPC Quadrature du Net et FDN [...] Pour tous ces articles, il n’est donc plus possible de faire une QPC. Heureusement, tout n’est pas perdu pour les opposants, mais la démarche va être nettement plus longue et complexe. Il sera en effet possible d’agir devant la Cour de justice de l’Union européenne ou la Cour européenne des droits de l’Homme. Cependant, ces procédures prendront plusieurs années avant d’aboutir, pour un résultat évidemment... incertain.
Ces derniers jours, le Conseil constitutionnel a rendu son verdict sur le projet de loi relatif au renseignement, ainsi que sur la QPC que nous lui avions soumise (voir billets précédents). Le résultat est très négatif, et le bilan fort sombre pour l'avenir. [...] De notre coté, nous autres FDN, LQDN et FFDN, allons poursuivre nos procédures. Comme Benjamin et moi l'expliquions lors de notre conférence à PSES, l'objectif principal et potentiellement atteignable à court ou moyen terme est celui de la data retention : faire tomber la législation française sur la conservation des données au regard des décisions européennes, par un moyen ou un autre. Notre recours devant le Conseil d'État sur le décret d'application de l'article 20 de la LPM, qui était suspendu pour la durée de l'étude de la QPC, va se poursuivre dans les mois qui viennent. Nous aurons peut-être également l'occasion d'attaquer plus frontalement la data retention dans les semaines à venir. Sans oublier nos deux recours sur les décrets blocage administratif de sites web et déréférencement issus de la loi Cazeneuve, qui poursuivent également leurs cours : le gouvernement a été mis en demeure de produire des observations il y a peu, ça devrait donc bouger bientôt. À plus long terme, l'avenir nous dira si l'on va ou non jouer devant les hautes cours européennes. CEDH, CJUE... Dans tous les cas, pareilles procédures prendraient au bas mot quelques années avant d'aboutir. Bref, nous avons encore du pain sur la planche, et de l'énergie à conserver. [...] À vouloir étouffer les révolutions pacifiques, on rend inévitables les révolutions violentes. (JF Kennedy) Oui, le chiffrement nous donne un peu d'espace pour respirer. Du moins tant qu'il n'est pas interdit. Mais ce n'est pas une solution. Le chiffrement ne rétablira pas la démocratie. Le problème est politique.
A l'occasion de sa défense contre une question prioritaire de constitutionnalité (QPC), le Gouvernement a expliqué mardi au Conseil constitutionnel qu'il niait tout droit de l'avocat au secret des correspondances avec ses clients, en dehors du contenu-même des correspondances. L'avocat ne peut pas cacher l'identité de ses clients, ni la fréquence, l'heure ou le lieu de leurs communications.
La Video de l'audience QPC LQDN FDN FFDN au conseil constitutionnel avec Maître Spinozi à la manoeuvre.
http://www.conseil-constitutionnel.fr/conseil-constitutionnel/root/bank_mm/2015-478_QPC.mp4
=============================================================================================================================
Remise en contexte :
FDN FFDN et LQDN ont saisis le Conseil Constitutionnel , plus de détails ici et chronologiquement :
http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576
http://blog.fdn.fr/?post/2015/04/01/Publication-du-recours-contre-le-decret-LPM
http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat
http://blog.fdn.fr/?post/2015/04/15/Depot-d-une-QPC-sur-l-article-20-de-la-LPM
http://blog.fdn.fr/?post/2015/06/06/Notre-QPC-LPM-transmise-Conseil-Constitutionnel
http://blog.fdn.fr/?post/2015/06/23/Request-for-comments
L'Amicus Curiae déposé est ici : http://www.fdn.fr/pjlr/amicus1.pdf
Le Conseil constitutionnel effectue son contrôle à partir d'une conception étroite du principe de sûreté, limité à ce que le droit britannique appelle l'"Habeas Corpus". Il désigne seulement la situation de la personne qui n'est ni arrêtée ni détenue. L'article 66 n'est donc utilisé que pour sanctionner une atteinte à la liberté de circulation, par exemple une détention arbitraire (par exemple : décision QPC du 17 décembre 2010). Dans sa décision sur la géolocalisation du 25 mars 2014, le Conseil affirme ainsi que le recours à ce procédé de repérage doit être décidé par le juge judiciaire. Mais cette référence à l'Article 66 s'explique par le fait que la géolocalisation est utilisée dans le cadre d'une enquête judiciaire qui vise à rechercher et à arrêter des auteurs d'infractions graves. On est donc bien loin de l'activité de services de renseignement qui sont des services de nature administrative. Les chances de succès ne sont pas nulles mais, disons-le franchement, elles sont plutôt faibles.... Sauf si le Conseil constitutionnel décide un élargissement du principe de sûreté. Pourquoi la protection des données personnelles ne deviendrait-elle pas un élément de la sûreté ? Pourquoi l'Habeas Data ne serait-il pas un élément de l'Habeas Corpus ?
Retour sur les actions en justice initiées par FDN, la quadrature du net, et la fédération FDN. On y parle Conseil d'État, Question Prioritaire de Constitutionnalité, décrets d'application, droit administratif, directives européennes et tout ce genre de choses. Ou comment on emmerde le gouvernement...
Le Recours contre la LPM:
http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576
http://www.fdn.fr/2014-1576/recours.pdf
Le blocage des Sites Web attaqué:
http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat
http://www.fdn.fr/2015-125/recours.pdf
La question prioritaire de constitutionnalité sur l'article 20 de la LPM:
http://blog.fdn.fr/?post/2015/04/15/Depot-d-une-QPC-sur-l-article-20-de-la-LPM
http://www.fdn.fr/2014-1576/qpc.pdf
http://www.fdn.fr/2014-1576/complement1.pdf
Reste à voir quel sera l'avis du Conseil Constitutionnel sur notre question. Il a jusque début septembre pour y répondre, sans doute en joignant ce dossier à celui des saisines gouvernementales et parlementaires sur le projet de loi Renseignement, dont le texte s'appuie fortement sur les éléments de la LPM mis en cause.
Aujourd'hui, le Conseil d’État a donc transmis au Conseil constitutionnel la Question Prioritaire de Constitutionnalité (QPC) déposée par la Quadrature du Net, French Data Network et FFDN. La cible ? Tout simplement l’or noir de la loi de programmation militaire mais aussi du projet de loi Renseignement : les données de connexion, visiblement mal définies par les textes. C’est ce que nous explique Benjamin Bayart, porte-parole de French Data Network.
La décision est courte. Mais ses effets sont explosifs : le Conseil d’État vient à l’instant de valider la demande de Question prioritaire de constitutionnalité soulevée par la Quadrature du Net, French Data Network et FFDN. C’est le cœur de la collecte des données de connexion qui est désormais mis en cause devant les yeux du Conseil constitutionnel.
Cette décision est-elle ou non une bonne nouvelle pour les opposants au projet de loi ?
D’un côté oui, c’est plutôt une bonne nouvelle, puisqu’elle fait passer les chances de voir la loi Renseignement arriver sur le bureau du Conseil de « très minces » (malgré les efforts admirables d’une poignée de députés) à 100%.
Mais d’un autre côté, elle coupe doublement l’herbe sous le pied aux opposants au projet de loi :
- d’abord parce qu’elle sape le travail de recrutement des députés opposés au texte, en risquant de démotiver les parlementaires qui auraient pu se laisser convaincre de signer une saisine par esprit démocratique ;
- ensuite parce que si, comme il est probable, le gouvernement devait demander au Conseil constitutionnel de statuer en urgence, ce dernier n’aurait plus que huit jours pour analyser la loi et relever d’office (surtout en l’absence d’une saisine parlementaire) les violations constitutionnelles qui pourraient y figurer.
Et bien sûr, en sortie, c’est une décision rendue en huit jours et sans contradiction qui bloquera tout dépôt de QPC après promulgation.
La French Data Network (FDN), plus ancien fournisseur d'accès Internet de France, la Fédération FDN, qui regroupe une vingtaine de fournisseurs d'accès à Internet régionaux indépendants, et la Quadrature du Net, association de défense des libertés sur Internet, ont déposé une question prioritaire de constitutionnalité (QPC) sur le très controversé article 20 (anciennement article 13) de la Loi de programmation militaire, a annoncé la FDN, mercredi 16 avril.
Adoptée d'une courte majorité le 20 décembre 2014, cette loi permet « l'accès administratif aux données de connexion », et plus précisément « le recueil, auprès des opérateurs de communications électroniques (...) des informations ou documents traités ou conservés par leurs réseaux ».
Lire : Adoption définitive de la controversée loi de programmation militaire
La FDN dénonce « une atteinte à la vie privée », et l'absence de garanties légales pour le respect du secret de la correspondance, par exemple entre un avocat et son client. Elle pointe également la remise en question de la protection des sources pour les journalistes, les métadonnées de connexion permettant de savoir avec qui ceux-ci échangent des mails. Enfin, elle condamne le flou des termes employés, notamment « informations » et « documents », qui peuvent aussi bien renvoyer au contenu des courriers électroniques et des SMS.
Introduite en 2008, la QPC est un dispositif juridique permettant, sous réserve de recevabilité, de demander au Conseil constitutionnel l'examen d'une disposition législative pouvant porter atteinte aux droits et libertés garantis par la Constitution en vue d'en obtenir l'abrogation.
Comme le précise la FDN, il appartient au Conseil d'Etat de transmettre ou non la QPC au Conseil constitutionnel. S'il est saisi, celui-ci aura alors trois mois pour se prononcer.
Pendant les discussions parlementaires sur la loi de programmation militaire (LPM) quelques trop rares députés indiquaient que l'accès aux données de connexion organisé par l'article 20 était trop large, mal construit, mal formulé, et probablement anti-constitutionnel. Mais il ne s'est pas trouvé 60 braves parmi nos parlementaires (députés ou sénateurs) pour poser le texte sur le bureau du Conseil Constitutionnel. Nous avions annoncé que ça ne nous allait pas. Nous étant FDN, bien sur, mais plus largement les défenseurs des libertés numériques et de la vie privée sur Internet. Nous, FDN, la Quadrature du Net et la Fédération FDN, avons déjà déposé un recours contre le décret d'application de cet article 20 de la LPM. Dans le cadre de cette procédure contre le décret, nous déposons une QPC contre la loi elle-même. C'est le texte de cette QPC que nous publions ici, avec le mémoire complémentaire déposé en même temps devant le Conseil d'État. Si les parlementaires et le gouvernement refusent de faire le contrôle de constitutionnalité de leur texte, les citoyens le feront