Par Benjamin Bayart le mercredi 18 février 2015, 21:57 - DÉCRET LPM - Lien permanent

La question de la rétention des données de connexion et des conditions de leur consultation par les pouvoirs publics fait partie des plus vieux dossiers autour d'Internet. Elle est devenue prépondérante à la suite des attentats du 11 septembre 2001, mais apparaissait déjà avant.

FDN, La Quadrature du Net, et la Fédération FDN ont envoyé au greffe du Conseil d'État, aujourd'hui, un recours contre le décret d'application de l'article 20 de la loi de programmation militaire (LPM). Ce recours vise à faire annuler le décret pour des raisons de forme, mais surtout, pour appliquer en droit français la décision du mois d'avril de la Cour de Justice de l'Union Européenne qui a cassé la directive sur la rétention de données de connexion par les FAIs et les hébergeurs.

Contexte historique

Les données de connexion, ce qu'on appelle de nos jours les méta-données , sont l'enjeu d'un combat depuis une quinzaine d'années. Ces données, chez votre fournisseur d'accès, ce sont les informations indiquant à quelle heure vous vous êtes connectés, depuis où, avec quels identifiants, et quelle adresse IP vous a été attribuée à ce moment-là. Chez tous les hébergeurs de sites web ou fournisseurs de services, ce sont les informations qui précisent qui a écrit tel commentaire, quel est son compte utilisateur sur le site, depuis quelle adresse IP il a écrit le commentaire, etc. En fait, ce sont des données qui permettent de vous tracer en permanence.

Il y a deux grands volets dans ces questions. D'une part, quelle quantité de données doit être conservée par les opérateurs : quelles informations, si elles doivent avoir été vérifiées, pendant combien de temps elles doivent être conservées, etc. Et d'autre part, qui peut y accéder et comment : la police municipale en a-t-elle le droit pour un stationnement gênant ? Et la police des transports ? Ou encore la douane ? Quelle procédure ? Est-ce que ça doit passer par un juge ou pas ?

La phase la plus active du combat était autour de 2005, quand se préparait une directive européenne (la directive 2006/24) fixant les règles du jeu. La campagne était alors en grande partie menée par XS4all, derrière le slogan data retention is no solution . Notre position sur le sujet était simple : les données sont conservées très peu de temps, quelques semaines, et ne sont accessibles que sous un contrôle strict, normalement dans le cadre d'une procédure judiciaire. La raison est simple : l'intrusion dans la vie privée de la personne est absolument majeure. Regarder ce que quelqu'un fait en ligne, c'est comme filmer dans son logement, c'est hyper intrusif. On ne peut pas faire ça à la légère sans un contrôle très sérieux.

Ce combat fait partie de ceux que nous avions largement perdu. Nous avions réussi à faire entendre qu'il devait y avoir une durée maximale de conservation, mais elle est trop longue. Nous avions réussi à faire entendre que la règle devait être de rendre anonymes toutes les données immédiatement, mais il y a tellement d'exception que la règle ne s'applique à rien. Nous avions fait entendre l'idée qu'il fallait un contrôle, mais il a été tellement lacunaire, et tellement chaotique que nos politiques ont inventé des mots pour ça. Quand la police fait n'importe quoi pour accéder aux données de n'importe qui sans suivre la moindre procédure, ils disent que c'est alégal [1], quand tout le monde sait que c'est illégal.

Les dérives que nous craignions tant, à l'époque des débats sur la rétention des données, se sont toutes produites. La surveillance généralisée de la population, nous sommes en plein dedans (voir les révélations d'Edward Snowden, par exemple). Le mauvais usage fait par les privés pour profiler les gens à partir de leurs données, nous sommes en plein dedans.

Décision de la CJUE en avril

En avril 2014, dans le contexte des révélations d'Edward Snowden, la Cour de Justice de l'Union Européenne (CJUE) a rendu une décision capitale sur ce dossier-là. Cette décision est claire, complète, et argumentée, expliquant que la surveillance généralisée de la population n'est pas une option valable dans un système démocratique. Et que donc la rétention des données, et leur collecte par les pouvoirs publics, ne sont possibles que pour ce qui concerne les personnes suspectées de quelque chose.

La décision du 8 avril 2014, dite Digital Rights Ireland , a fermement rappelé ces principes, mais surtout la solution apportée à la question par la CJUE est brutale : toute la directive européenne sur la rétention des données (directive 2006/24/CE[2]) est annulée. Pas un article modifié ou retiré de-ci de-là, non, toute la directive tombe.

Et l'argumentation est extrèmement claire : la directive traite tout le monde de la même manière, qu'on soit l'objet d'une enquête, ou simple quidam. Ce qui veut dire que, de fait, tout le monde est suspect de tout, dans le doute. Et c'est précisément ça qui cloche, pour la CJUE. Elle constate que l'ingérence dans la vie privée créée par l'accès à ces données est majeure. Et que donc, elle doit être strictement proportionnée, et rigoureusement encadrée. Loger tout le monde à la même enseigne, ce n'est pas proportionné. Et l'encadrement de l'accès aux données est au mieux considéré par la CJUE comme défaillant.

Plusieurs pays ont déjà, suivant différentes procédures, transposé dans leur droit la décision de la CJUE. En particulier, quand les lois nationales sur la conservation des données sont une transposition stricte et directe de la directive européenne, ces lois tombent presque automatiquement : quand elles sont examinées par les hautes juridictions du pays, elles n'ont plus aucune chance de survivre, puisque leur principal fondement juridique est tombé.

En France, ce n'est pas le cas. D'abord par tradition, quand une instance internationale vient donner des leçons sur les libertés, que ce soit la CJUE ou la CEDH, la France considère que ça concerne tout le monde sauf elle, vu que la France est une démocratie irréprochable, voyons. Par ailleurs, le droit français sur le sujet ne découle pas exclusivement de la directive de 2006. La France avait fait le choix de surveiller la totalité de sa population bien avant, tradition oblige. Le droit français s'appuie donc aussi sur la directive précédente sur le sujet, celle de 2002, ainsi que sur des éléments propres, par exemple hérités de la loi sur la confiance en l'économie numérique (2004) ou dans le code des postes et communications électroniques, sur des éléments hérités des interceptions du courrier ou des écoutes téléphoniques[3].

Du coup, le droit français en la matière, constitué de tas de petits bouts de lois éparpillés un peu partout, n'est pas considéré comme entièrement caduque. Bon, il est contraire à la décision de la CJUE, mais tant qu'une haute juridiction nationale (Conseil d'État, Cour de Cassation ou Conseil Constitutionnel) n'aura pas fait tomber le texte, il reste applicable. L'administration appliquant légalement un texte illégal, il faut être juriste pour comprendre sans s'étrangler.

Il fallait donc attendre une occasion pour apporter tout ça devant une de ces hautes juridictions. Par exemple, en attaquant un décret qui parlerait de ça. Mais un décret, ça doit s'attaquer dans les deux mois suivant sa publication. Il fallait donc attendre la publication d'un décret tout neuf.

L'article 20 de la LPM

L'article en question est celui qui dit comment, et dans quel contexte, quel service administratif (entendre, de police, en gros) peut accéder à quelles données, sans passer par un juge. Dans la version précédente des textes applicables, on disait le service A peut accéder aux données B , et on listait des services dans différents bouts de loi, disant à chaque fois à quoi il peut accéder et pour quoi faire.

La nouvelle version est beaucoup plus large. Elle dit en gros que les services A, B ou C peuvent accéder aux données D, E ou F, pour l'ensemble des raisons G, H ou I . Alors au final, c'est un peu curieux, parce qu'on peut très probablement arriver à des constructions aberrantes (l'anti-terrorisme peut demander des données sur un pédophile dans une enquête douanière, en gros). Mais surtout, c'est beaucoup plus large. Et la loi est très floue, elle dit toute donnée ou tout document , sans qu'on sache bien ce que ça recouvre.

Et très précisément, la CJUE nous dit qu'en la matière, l'accès aux données est une atteinte grave à la vie privée, et qu'il faut donc que tout ça soit très encadré et très bien défini. On en est loin. Nous étions nombreux, parmi les défenseurs des libertés sur Internet, à avoir réagi en découvrant, un peu par surprise, un texte sur la police et le numérique au milieu du machin sur la programmation militaire. Mais peine perdue, les parlementaires ont voté le texte, et ils n'ont pas osé aller le présenter au Conseil constitutionnel.

L'article 20 de la LPM prévoit un décret d'application. Pour être exact et précis, il prévoit un décret qui précisera dans quelles conditions, et avec quels moyens, la Commission Nationale de Contrôle des Interceptions de Sûreté[4] pourra contrôler tout ça. Or en vrai, le décret publié à Noël[5] parle de quelle administration pourra demander quoi dans quelles conditions, mais très peu des conditions de contrôle, et certainement pas des moyens donnés à la CNCIS.

Notre recours

Quand le décret a été publié, un des juristes proches de FDN et de la Quadrature a sauté dessus, et est venu discuter du sujet avec nous. En pleines vacances, pendant le 31c3, le président de FDN[6] attrape la balle au bond : oui, c'est intéressant, oui, c'est une opportunité, oui s'il faut quelqu'un pour porter le recours devant le Conseil d'État, FDN le fera. Ne reste plus qu'à trouver assez de bonnes volontés parmi nos bénévoles et ceux des associations amies pour nous aider à rédiger tout ça. Bien entendu, on a invité La Quadrature à se joindre à nous, ainsi que la Fédération FDN.

Comme tout recours contre un décret, c'est un recours pour annulation pour excès de pouvoir, c'est comme ça que ça s'appelle. C'est toujours articulé en deux volets.

D'une part, le décret n'est pas pris dans les bonnes formes, on a oublié de consulter un comité théodule, on a oublié une signature, etc. Dans ce cas précis, le décret contient des dispositions sans rapport (il doit préciser comment la CNCIS contrôle, mais en vrai il précise quel service a accès à quoi), et il n'a pas été transmis à la Commission Européenne alors qu'il aurait dû. Ce contrôle de forme, c'est ce que les juristes appellent la légalité externe.

D'autre part le décret est contraire au droit. Contraire à la constitution, aux traités européens, à telle ou telle loi, bref, contraire au droit. C'est là qu'on explique longuement que le décret est contraire à la décision de la CJUE, et que tant qu'on y est, tout le droit français sur le sujet est contraire à la décision de la CJUE, et que donc tous les décrets qui en découlent sont caduques[7]. C'est ce que les juristes appellent la légalité interne.

Nous soulevons également quelques autres arguments intéressants, mais voilà déjà les grandes lignes.

Suite de la procédure

Demain matin, si la Poste fait bien son boulot, le greffe du Conseil d'État recevra le dossier complet, en six exemplaires. Si on n'a rien raté dans les formes du dépôt du recours, on recevra dans les jours qui suivent un courrier avec le numéro de l'affaire, et des identifiants pour suivre la procédure en ligne. Le dossier sera transmis à la partie adverse, à savoir le gouvernement.

Nous avons, à compter d'aujourd'hui, 3 mois pour produire un second mémoire, plus complet, qui détaille un peu mieux nos arguments, et qui éventuellement soulève d'autres points. Nous avons également le temps pour déposer une question prioritaire de constitutionnalité, pour que le Conseil constitutionnel nous indique si oui ou non ce texte est conforme à la constitution, vu que les parlementaires n'ont pas osé demander.

Ensuite, il y aura la procédure habituelle au Conseil d'État, les ministères répondront à nos arguments, on pourra répondre à leur réponse, et ainsi de suite. Jusqu'à ce que personne ne réponde plus rien, ou que le magistrat chargé de l'instruction siffle la fin de la récré. En tout, la procédure devrait prendre 18 à 24 mois, en gros. On devrait donc avoir une décision du Conseil d'État entre mi-2016 et fin-2016.

Nous avons prévu de publier le mémoire envoyé ce matin au Conseil d'État. Par politesse, on le fera une fois que le dossier sera ouvert, et que donc le texte aura été transmis à la partie adverse.