Dans le cadre de la loi de programmation militaire, l’accès aux données de connexion par le renseignement ne pose pas problème au Conseil d’État. C'est ce qu'il a affirmé aujourd'hui, rejetant le recours de French Data Network, La Quadrature du Net, la Fédération des fournisseurs d'accès à internet associatifs et RSF. Explications.
Ce recours vise le décret du 24 décembre 2014 relatif à l’accès administratif aux données de connexion. Pour faire court, ce texte, publié à la veille de Noël est venu mette en application de la loi de programmation militaire (LPM).
L'article 20 de la LPM permet en effet aux autorités de recueillir en temps réel et sur sollicitation du réseau, tous les « documents » et « informations » détenus par les opérateurs, au titre des métadonnées (notre actualité détaillée). Pour ouvrir les vannes, rien de plus simple, pourrait-on dire. Il suffit préalablement aux services de renseignement de justifier d’impératifs tenant à :
La sécurité nationale,
La sauvegarde des éléments essentiels du potentiel scientifique et économique de la France,
La prévention du terrorisme,
La prévention de la criminalité et la prévention de la délinquance organisée
La prévention de la reconstitution ou du maintien de groupe dissous
Rejoints par Reporters sans frontières, ces représentants de la société civile défendus par Me Spinosi, ont pilonné de critiques ces dispositions.
Sur le terrain de la légalité externe, par exemple, ces dispositions auraient dû, selon eux, être notifiées à Bruxelles. Or sans notification, un tel texte devient inopposable, et donc inapplicable. L’argument est démonté par le juge administratif : les dispositions n’abritent pas de « règles techniques » au sens de la directive de 1998. Elles ne font donc pas partie du spectre des textes devant préalablement glaner l’avis de la Commission européenne.
Sur la légalité interne, ces critiques prennent plus d’épaisseur encore, évoquant de multiples violations de la convention européenne des droits de l’Homme, notamment sur l’autel de la vie privée, et surtout un magnifique télescopage avec l’arrêt Digital Rights de la Cour de justice de l’Union européenne.
L'arrêt Digital Rights de la CJUE
Téléscopage ? En 2014, la CJUE a considéré qu’un accès aux données de connexion non correctement borné est inacceptable en Europe. Pourquoi ? Tout simplement parce « ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ».
Pour faire court, les États membres peuvent évidemment se défendre contre des infractions graves, mais cette quête sécuritaire ne peut mettre à plat la vie privée de personnes sans lien avec ces faits. Dans l’esprit des juges européens, l’accès aux données doit donc être calibré, encadré, accompagné de garantie, soit à l’exact opposé des pratiques de la NSA révélées par Snowden.
Pour les associations françaises requérantes, le régime des réquisitions administratives en France s’éloigne aussi de trop des préceptes européens. Il souffre de nombreux flous, aussi bien quant au type de données pouvant être collectées par les services du renseignement que les conditions de leur collecte.
[...]
Dans son arrêt, la section du contentieux du Conseil d’État a bêtement ignoré les demandes de questions préjudicielles soulevées par les quatre organisations. Dommage, cela aurait justifié l’intervention de la CJUE. Plus cocasse, il a été imperméable aux critiques adressées à la législation française par… la section des études du même Conseil d‘État.
Dans son rapport sur les libertés numériques, publiées fin 2014, celle-ci estimait que l’arrêt de la CJUE Digital Rights du 8 avril 2014 soulève bien « la question de la conformité au droit de l’Union européenne des législations nationales, telles que la législation française, qui prévoient une telle obligation de conservation générale des données de connexion ».
Elle ne prône, certes, évidemment pas de suppression totale de cette législation, mais un encadrement plus solide. Ce nouvel encadrement a justement été l’objet de la loi sur le renseignement et celle sur la surveillance des communications internationales. Toutes les dispositions auscultées par le CE ont été revues, la CNCIS a été remplacée par la Commission nationale de contrôle des techniques du renseignement, et le droit au recours a été davantage ouvert devant les juridictions administratives.
Satisfaisant ? Sans doute ! Sauf si on souligne que ces lois ont aussi démultiplié les services du renseignement ayant accès à ces flux, tout en agrandissant le spectre et la puissance des outils de surveillance, avec à la clef des recherches algorithmiques sur le big data (les « boites noires ») et autres accès en temps réel sans « sollicitation » des opérateurs, FAI et services en ligne...
Face à ces garanties régénérées par la loi renseignement, le Conseil d’État se convaincra peut-être de l'ultime perfection de notre régime, mais des organisations de journalistes et d’avocats doutent et ont fait le choix de trainer ces belles dispositions devant la Cour européenne des droits de l’Homme. Celle-ci examine actuellement les conditions de recevabilité de ces recours. Dans tous les cas, la CEDH donnera raison au Conseil d’État, du moins soit à sa section du contentieux, soit à celle des études.
Télécharger l'arrêt du Conseil d'Etat du 12 février 2016 (PDF)
https://cdn2.nextinpact.com/medias/decision-ce---388-1343-lpm.pdf
=========================================================
https://www.laquadrature.net/fr/recours
https://cdn2.nextinpact.com/medias/ce-lqdn-ffdn-fdn.zip
http://fr.scribd.com/doc/299085397/Decision-CE-388-1343-LPM-LQDN-FDN-FFDN
La prorogation de l’état d’urgence ne peut être la réponse aux attentats du 13 novembre, comme la LDH et de multiples organisations ont déjà pu l’exprimer par un appel unitaire du 25 novembre dernier. De multiples mesures prises sur son fondement, telles des assignations à résidence ou encore des perquisitions, ont déjà démontré les dérives inhérentes à ce régime d’exception.
La LDH, représentée par maître Spinosi, a donc décidé d’introduire un recours pour excès de pouvoir à l’encontre du décret du 14 novembre 2015 et de la circulaire du 25 novembre 2015 organisant l’application de cet état d’urgence. A cette occasion, la LDH proposera à la haute juridiction administrative de transmettre au Conseil constitutionnel trois questions prioritaires de constitutionnalité portant sur la conformité des règles régissant l’assignation à résidence, les perquisitions et les restrictions à la liberté de réunion au regard des graves atteintes portées aux libertés fondamentales constitutionnellement garanties.
Parallèlement, la LDH interviendra volontairement ce vendredi en soutien de sept recours contre des décisions d’assignation à résidence portés devant le Conseil d’Etat statuant en référé.
La LDH se réserve en outre la possibilité, en cas de renouvellement de l’état d’urgence, d’engager toute nouvelle action contentieuse à son encontre.
Paris, le 10 décembre 2015.
« Comme chaque année, La Quadrature du Net et FDN s'associent pour proposer un panorama des questions politiques françaises et européennes relatives au numérique. »
Les Recours:
https://www.laquadrature.net/fr/recours
Les Exégètes sur twitter:
https://twitter.com/lesExegetes
8 recours déposés par les assos jusqu'à aujourd'hui. Tout est dispo en ligne : https://www.laquadrature.net/fr/recours
Les 2 derniers portent sur la surveillance internationale. Sur la loi renseignement, le Conseil constitutionnel a censuré l'article sur la surveillance internationale en argumentant l’incompétence négative du législateur : une telle surveillance s'organise dans la loi et non pas par un décret (acte de l'exécutif, pas du législatif). En parallèle, L'Obs a publié, début juillet, un article expliquant qu'un décret secret d'avril 2008 organise déjà la surveillance internationale. Comme le Conseil constitutionnel a estimé que cette surveillance ne peut pas s'organiser par décret, LQDN/FFDN/FDN ont voulu contester ce décret secret.
Mais, il faut contester tout acte de l'administration dans les deux mois... le décret date de 2008 ! 2 mois après publication... Il n'a jamais été publié.
Recours au fond : prendra entre 12 et 18 mois pour aboutir. Nécessaire pour pouvoir poser un recours en référé-suspension (qui permet la suspension du décret le temps que le jugement ait lieu et apporte donc l'espoir d'un arrêt temporaire mais très improbable des activités de surveillance litigieuses).
Recours en référé-suspension : Conseil d'État pourra se faire communiquer ce décret (sans pour autant le filer aux assos). Précédent : fichier CRISTINA.
Arguments :
- La loi doit prévoir la possibilité d'un décret secret. Un décret public doit même être rédigé qui précise qu'un décret secret doit arriver. Précédent : fichier CRISTINA again.
- Décision du Conseil constitutionnel sur loi renseignement : la loi doit dire les modalités de la surveillance et doit garantir les droits et les libertés. + Jurisprudence CEDH de 2008 (Liberty contre UK) portant sur l'interception de communications satellites entre l'Angleterre et l’Irlande : « la procédure applicable à des opérations tels que l'examen, l'utilisation et la conservation des données interceptées doit être décrite de telle manière que le public puisse en prendre connaissance et la contrôler ».
Comment démontrer l'urgence qu'il y a à suspendre ce décret secret au plus vite ? Une surveillance de chacun d'entre nous est possible, tous les jours et elle est caractérisée jour après jour puisqu'il y a des atteintes graves et illégales à la vie privée qui est un droit fondamental.
On comprend donc que la loi renseignement avait au moins l'objectif de blanchir législativement ce décret secret de 2008.
Cette démarche s'inscrit dans d'autres affaires mondiale : 3 affaires sont en cours contre la FISA USA dont le recours de la Wikimedia foundation sur le programme Upstream de la NSA ; plusieurs recours sont en cours en Angleterre contre le programme Tempora du GCHQ ; un recours est porté en Allemagne par le DECIX (point d'échange Internet) contre le BND. Toutes ces législations sont en statu quo : elles estiment qu'il est légitime qu'un régime international soit différent et dérogatoire du régime national alors que ce double régime n'est plus d'actualité et doit être remis en cause à l'heure d'Internet qui est, par défaut, un champ de communications internationales. Sans compter les collaborations entre les agences de renseignement pour contourner les lois nationales contraignantes (la NSA ne peut pas écouter les américains... la DGSE et le GCHQ le peuvent, la surveillance de la DGSI est plus contrôlée donc autant échanger des infos sur les français avec la NSA ou le GCHQ,...).
Le recours en référé a été rejeté par le Conseil d'État. Le recours sur le fond est patché par la proposition de loi relatives aux communications internationales.
Le juge est un élément clé de la défense des libertés fondamentales : des associations vigilantes peuvent encadrer le travail du législateur, voir le neutraliser quand il bafoue les libertés fondamentales. Cette remise en cause de la loi est permise grâce à la montée en puissance de tout un corpus supra-légal (droit de l'UE). Encercler un législateur pour le guider car il est têtu et n'écoute pas la société civile. Faire évoluer la législation et contraindre les administrations peut se faire uniquement via le juge. Temps nouveau.
Le Conseil d'État a rejeté, par une ordonnance de tri, le recours en référé que FDN, La Quadrature, et la Fédération FDN avaient déposé contre le décret secret de 2008 organisant la surveillance des communications internationales, que nous annoncions ici. http://blog.fdn.fr/?post/2015/09/02/Ch%C3%B4mage-technique-%C3%A0-la-DGSE [...] Un point intéressant : la décision est signée Bernard Stirn. C'est tout simplement le président de la section du contentieux, c'est-à-dire le plus haut magistrat de France dans la pyramide du droit administratif. Ce n'est pas un président de sous-section, comme ça arrive sur certaines affaires moins intéressantes. C'est le patron qui signe. [...] Ce que nous dit le Conseil d'État, c'est que nous devrions justifier du fait que le décret a été appliqué à un cas qui nous intéresse. En gros, on ne peut pas prouver qu'une de nos communications[4] a été écoutée en application du décret en question, et que cette écoute nous porte un préjudice certain et urgent. Nous aurions donc dû montrer au Conseil d'État que le décret est appliqué, et que son application crée pour nous une urgence. Or pour montrer que le décret est appliqué, il faudrait en connaître le contenu. Or précisément, ce qui rend ce décret illégal, c'est le fait qu'il est secret[5]. Pour que le Conseil d'État puisse réfléchir à l'urgence de la situation, il faudrait donc que le décret ne soit pas secret. [...] Il faut donc qu'on que nous prouvions qu'en application de ce décret, les communications de l'un·e d'entre nous ont été écoutées, et que cette écoute a créé une urgence particulière, par exemple en mettant en danger la vie de quelqu'un. Il ne faut pas seulement que ça ait lieu, hein, il faut qu'on puisse justifier que c'est en application du décret litigieux qu'il y a danger. La mise à sac de l'État de droit, la surveillance hors d'un contrôle défini par la loi, en contradiction franche avec les règles constitutionnelles et conventionnelles[7], ça n'est pas assez grave pour créer une urgence. Et c'est tellement évident que ça ne vaut même pas le coup qu'on en discute en audience ! C'est beau, la raison d'État, quand c'est manié avec talent.
FDN, la Quadrature du Net, et la fédération FDN ont déposé il y a quelques jours un recours devant le Conseil d'État contre le décret d'application de la loi anti-terrorisme et de la LOPPSI. Ce décret est celui qui organise le blocage des sites web sur décision administrative sans passer par la case justice.
Comme nous l'avions dit dans le billet annonçant le recours, nous publions ici le texte du recours.
http://www.fdn.fr/2014-1576/recours.pdf
En publiant ce texte, nous poursuivons plusieurs buts. D'abord demander de l'aide. Tous ceux qui ont quelques bases suffisantes en droit, qui veulent nous aider, et qui pensent qu'on a oublié un argument clef sont invités à nous le signaler. Ensuite montrer ce que nous faisons, pour l'exemple, pour que les prochaines associations qui voudront se présenter devant le Conseil d'État aient une idée de comment faire. Notre recours est tout sauf parfait, mais il a le mérite d'exister.
Délais et procédures
Ce mémoire a été reçu par le greffe du Conseil d'État le 18 février. Nous avons trois mois pour préparer un "mémoire ampliatif" dans lequel nous reprenons nos arguments, pouvons les développer davantage, et en ajouter d'autres. Nous devons impérativement envoyer ce mémoire ampliatif avant le 19 mai, pour le moment on espère l'avoir terminé plutôt début mai.
Entre temps, devrait être déposée une QPC[1]. Ce qui va rendre la procédure un peu moins lisible sur les délais (suspension, transmission, etc).
Ensuite, on devrait recevoir dans les deux mois[2] après notre mémoire ampliatif les réponses des ministères. Réponses auxquelles nous pourrons répliquer dans les mêmes délais. Les ministères pouvant eux aussi répliquer, etc. Jusqu'à ce que personne ne réponde, ou que le juge d'instruction siffle la fin de la récrée et s'estime suffisamment informé.
Tout le travail de préparation du recours a été mené par des bénévoles, et continuera d'être mené par des bénévoles. Cependant, pour la suite de la procédure nous serons représentés devant le Conseil d'État par un avocat aux Conseils[3], maître Patrice Spinosi qui a proposé de nous aider gracieusement. Son expérience nous sera d'un soutien précieux.
Comment nous aider
Alors, pour les non-juristes, qui ont déjà mal à la tête en ayant lu jusque-là, en nous soutenant. En faisant en sorte que nos associations se portent bien. En prenant grand soin des bénévoles qui font tout ce travail. En faisant que celles de nos associations qui ont besoin de financement pour vivre aient ce financement.
Pour les juristes, en nous aidant à soulever d'autres moyens de droit intéressants, à mieux argumenter tel ou tel passage, en nous signalant une jurisprudence qui a pu nous échapper. Notre groupe de travail est assez ouvert, on ne rechigne pas trop à communiquer nos brouillons aux copains pendant la préparation des documents (même si on n'a pas forcément envie de faire les réunions de travail à 50).
Moyens de droit
Le texte du recours est structuré selon un plan simple de 4 chapitres. Le premier rappelle les faits, en exposant quel acte de l'administration nous attaquons, d'où il sort. Le deuxième chapitre indique à quel titre nous avons intérêt à agir[4]. Le troisième chapitre reprend les arguments qui relèvent de la légalité externe (erreur de procédure, ou décision que l'administration ne peut pas prendre parce que seul le législateur peut en décider, etc). Enfin le dernier chapitre regroupe les arguments qui relèvent de la légalité interne (le décret est contraire à la loi ou à la constitution, ou à une directive européenne, etc).
Légalité externe
Le premier point soulevé est que le décret est prévu en application d'un article (246-4) mais est essentiellement consacré à préciser un article (246-1) qui lui ne prévoit pas de décret. C'est embêtant parce que quand la loi dit "le décret précise X" alors le décret ne peut pas préciser Y, il faudrait que la loi dise "le décret précise X et Y". En donnant des précisions sur un article de loi qui n'a pas prévu de décret d'application, le décret est entaché d'incompétence[5].
Le deuxième point soulevé est que le décret, comme tout texte qui touche à l'économie numérique, aurait du être présenté à la Commission Européenne, et qu'il ne l'a pas été. Ça, c'est une faute de procédure assez grossière.
Le dernier point soulevé est que tout texte qui touche des PME doit être accompagné d'une étude d'impact, et que le commissaire à la simplification doit en être saisi. Ce qui n'a pas été le cas. L'idée de ce truc était qu'à chaque fois que l'administration complique les règles (ou en ajoute, ce qui revient au même) elle doit en retirer autant, pour pas que ça déborde.
Légalité interne
Le premier point, qui est le point clef de l'ensemble du recours, est que la CJUE a annulé la directive européenne qui prévoyait la conservation des données. Et que cette directive a été annulée avec une explication de texte, en particulier parce qu'elle prévoyait la conservation des données de tout le monde, suspect ou pas, protégé par le secret[6] ou pas. Or les lois françaises sur le sujet ne respectent pas du tout la décision de la CJUE. Et le décret est pris en application de ces lois. En toute logique le Conseil d'État devrait constater que les lois sont contraires à la décision de la CJUE, donc qu'elles ne sont pas applicables en France, et que donc le décret doit être annulé puisqu'il applique une loi qui ne doit pas l'être.
Si le Conseil d'État a un doute sur le sujet, il peut demander à la CJUE de préciser sa pensée, si tel ou tel passage de la décision n'est pas assez clair. Nous, nous pouvons l'y inviter, en suggérant qu'il faudrait poser une telle question, voire en proposant une formulation de la question.
Le second moyen est que le décret prévoit des intrusions dans la vie privée qui ne sont pas prévues par la loi. Or la Cour européennes des droits de l'Homme (Cour EDH) est formelle sur ce sujet-là: une intrusion dans la vie privée, quel que soit le motif, ne peut être prévue que par une loi, pas par un décret, et doit être prévue de manière précise et prévisible. Or la loi n'est pas précise.
Le troisième moyen est que la loi prévoit la conservation des données permettant l'identification de l'auteur d'un contenu. Or le décret prévoit que soient conservées les informations sur toute personne qui se connecte à Internet. Même si cette personne n'est l'auteur d'aucun contenu. Le décret élargi donc le champ prévu par la loi. Ce qu'il n'a pas le droit de faire.
Le quatrième moyen est que la mesure est excessive, sur pas mal de choses. Trop de données, conservées trop longtemps, accessibles à trop d'administrations, pour trop de raisons différentes, avec un contrôle très faible de ce que fait l'administration, et alors qu'il existe d'autres moyen d'obtenir le même résultat (on en cite quelques uns). Ça, c'est du droit général, une mesure de restriction de liberté doit être nécessaire et proportionnée.
Le cinquième moyen est que l'article 246-4, en application duquel est pris le décret, précise bien que le décret doit préciser certaines informations (procédures de suivi), alors que le décret ne précise pas ces informations. Et donc n'est pas conforme à la loi.
Après le recours intenté contre le régime de surveillance instauré par la Loi de programmation militaire, les fournisseurs d'accès associatifs de la fédération FFDN et La Quadrature du Net s'associent de nouveau pour saisir le Conseil d'État du décret instituant le blocage administratif de sites Internet.
https://www.laquadrature.net/fr/decret-lpm-la-quadrature-du-net-depose-un-recours-devant-le-conseil-detat
https://www.ffdn.org/
https://www.laquadrature.net/fr/la-france-persiste-et-signe-la-censure-administrative-du-net
https://www.laquadrature.net/fr/nextinpact-islamic-newsinfo-bloque-sans-juge-pour-apologie-ou-provocation-au-terrorisme
Aux côtés des fournisseurs d'accès associatifs de la fédération FFDN, La Quadrature du Net vient de déposer devant le Conseil d'État un recours contre le décret d'application de la Loi de programmation militaire (LPM) sur l'accès administratif aux données de connexion. À travers cette action contentieuse qui s'appuie sur une récente décision de la Cour de justice de l'Union européenne, c'est toute une partie de l'édifice juridique de la surveillance d'Internet qui est attaquée. Ce recours intervient alors que le gouvernement instrumentalise les événements sanglants du mois dernier pour aggraver les dérives actuelles, avec la présentation prochaine du projet de loi sur le renseignement.