Initiale releaseHEADmaster

1 files changed, 265 insertions, 0 deletions

diff --git a/Recours_contre_le_dcret_dapplication_de_larticle_20_de_la_LPM.txt b/Recours_contre_le_dcret_dapplication_de_larticle_20_de_la_LPM.txt
new file mode 100644
index 0000000..3aede49
--- /dev/null
+++ b/Recours_contre_le_dcret_dapplication_de_larticle_20_de_la_LPM.txt
@@ -0,0 +1,265 @@
+Titre: Recours contre le décret d'application de l'article 20 de la LPM
+Auteur: Benjamin Bayart
+Date: Wed 18 Feb 2015 21:57:00 +0100
+Lien: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576
+
+FDN, La Quadrature du Net, et la Fédération FDN ont envoyé au greffe du Conseil
+d'État, aujourd'hui, un recours contre le décret d'application de l'article 20 
+de la loi de programmation militaire (LPM). Ce recours vise à faire annuler le 
+décret pour des raisons de forme, mais surtout, pour appliquer en droit 
+français la décision du mois d'avril de la Cour de Justice de l'Union 
+Européenne qui a cassé la directive sur la rétention de données de connexion 
+par les FAIs et les hébergeurs.
+
+La question de la rétention des données de connexion et des conditions de leur 
+consultation par les pouvoirs publics fait partie des plus vieux dossiers 
+autour d'Internet. Elle est devenue prépondérante à la suite des attentats du 
+11 septembre 2001, mais apparaissait déjà avant.
+
+Contexte historique
+
+Les données de connexion, ce qu'on appelle de nos jours les méta-données, sont 
+l'enjeu d'un combat depuis une quinzaine d'années. Ces données, chez votre 
+fournisseur d'accès, ce sont les informations indiquant à quelle heure vous 
+vous êtes connectés, depuis où, avec quels identifiants, et quelle adresse IP 
+vous a été attribuée à ce moment-là. Chez tous les hébergeurs de sites web ou 
+fournisseurs de services, ce sont les informations qui précisent qui a écrit 
+tel commentaire, quel est son compte utilisateur sur le site, depuis quelle 
+adresse IP il a écrit le commentaire, etc. En fait, ce sont des données qui 
+permettent de vous tracer en permanence.
+
+Il y a deux grands volets dans ces questions. D'une part, quelle quantité de 
+données doit être conservée par les opérateurs : quelles informations, si elles
+doivent avoir été vérifiées, pendant combien de temps elles doivent être 
+conservées, etc. Et d'autre part, qui peut y accéder et comment : la police 
+municipale en a-t-elle le droit pour un stationnement gênant ? Et la police des
+transports ? Ou encore la douane ? Quelle procédure ? Est-ce que ça doit passer
+par un juge ou pas ?
+
+La phase la plus active du combat était autour de 2005, quand se préparait une 
+directive européenne (la directive 2006/24) fixant les règles du jeu. La 
+campagne était alors en grande partie menée par XS4all, derrière le slogan data
+retention is no solution. Notre position sur le sujet était simple : les 
+données sont conservées très peu de temps, quelques semaines, et ne sont 
+accessibles que sous un contrôle strict, normalement dans le cadre d'une 
+procédure judiciaire. La raison est simple : l'intrusion dans la vie privée de 
+la personne est absolument majeure. Regarder ce que quelqu'un fait en ligne, 
+c'est comme filmer dans son logement, c'est hyper intrusif. On ne peut pas 
+faire ça à la légère sans un contrôle très sérieux.
+
+Ce combat fait partie de ceux que nous avions largement perdu. Nous avions 
+réussi à faire entendre qu'il devait y avoir une durée maximale de 
+conservation, mais elle est trop longue. Nous avions réussi à faire entendre 
+que la règle devait être de rendre anonymes toutes les données immédiatement, 
+mais il y a tellement d'exception que la règle ne s'applique à rien. Nous 
+avions fait entendre l'idée qu'il fallait un contrôle, mais il a été tellement 
+lacunaire, et tellement chaotique que nos politiques ont inventé des mots pour 
+ça. Quand la police fait n'importe quoi pour accéder aux données de n'importe 
+qui sans suivre la moindre procédure, ils disent que c'est alégal^[1[1]], quand
+tout le monde sait que c'est illégal.
+
+Les dérives que nous craignions tant, à l'époque des débats sur la rétention 
+des données, se sont toutes produites. La surveillance généralisée de la 
+population, nous sommes en plein dedans (voir les révélations d'Edward Snowden,
+par exemple). Le mauvais usage fait par les privés pour profiler les gens à 
+partir de leurs données, nous sommes en plein dedans.
+
+Décision de la CJUE en avril
+
+En avril 2014, dans le contexte des révélations d'Edward Snowden, la Cour de 
+Justice de l'Union Européenne (CJUE) a rendu une décision capitale sur ce 
+dossier-là. Cette décision est claire, complète, et argumentée, expliquant que 
+la surveillance généralisée de la population n'est pas une option valable dans 
+un système démocratique. Et que donc la rétention des données, et leur collecte
+par les pouvoirs publics, ne sont possibles que pour ce qui concerne les 
+personnes suspectées de quelque chose.
+
+La décision du 8 avril 2014, dite Digital Rights Ireland, a fermement rappelé 
+ces principes, mais surtout la solution apportée à la question par la CJUE est 
+brutale : toute la directive européenne sur la rétention des données (directive
+2006/24/CE^[2[2]]) est annulée. Pas un article modifié ou retiré de-ci de-là, 
+non, toute la directive tombe.
+
+Et l'argumentation est extrèmement claire : la directive traite tout le monde 
+de la même manière, qu'on soit l'objet d'une enquête, ou simple quidam. Ce qui 
+veut dire que, de fait, tout le monde est suspect de tout, dans le doute. Et 
+c'est précisément ça qui cloche, pour la CJUE. Elle constate que l'ingérence 
+dans la vie privée créée par l'accès à ces données est majeure. Et que donc, 
+elle doit être strictement proportionnée, et rigoureusement encadrée. Loger 
+tout le monde à la même enseigne, ce n'est pas proportionné. Et l'encadrement 
+de l'accès aux données est au mieux considéré par la CJUE comme défaillant.
+
+Plusieurs pays ont déjà, suivant différentes procédures, transposé dans leur 
+droit la décision de la CJUE. En particulier, quand les lois nationales sur la 
+conservation des données sont une transposition stricte et directe de la 
+directive européenne, ces lois tombent presque automatiquement : quand elles 
+sont examinées par les hautes juridictions du pays, elles n'ont plus aucune 
+chance de survivre, puisque leur principal fondement juridique est tombé.
+
+En France, ce n'est pas le cas. D'abord par tradition, quand une instance 
+internationale vient donner des leçons sur les libertés, que ce soit la CJUE ou
+la CEDH, la France considère que ça concerne tout le monde sauf elle, vu que la
+France est une démocratie irréprochable, voyons. Par ailleurs, le droit 
+français sur le sujet ne découle pas exclusivement de la directive de 2006. La 
+France avait fait le choix de surveiller la totalité de sa population bien 
+avant, tradition oblige. Le droit français s'appuie donc aussi sur la directive
+précédente sur le sujet, celle de 2002, ainsi que sur des éléments propres, par
+exemple hérités de la loi sur la confiance en l'économie numérique (2004) ou 
+dans le code des postes et communications électroniques, sur des éléments 
+hérités des interceptions du courrier ou des écoutes téléphoniques^[3[3]].
+
+Du coup, le droit français en la matière, constitué de tas de petits bouts de 
+lois éparpillés un peu partout, n'est pas considéré comme entièrement caduque. 
+Bon, il est contraire à la décision de la CJUE, mais tant qu'une haute 
+juridiction nationale (Conseil d'État, Cour de Cassation ou Conseil 
+Constitutionnel) n'aura pas fait tomber le texte, il reste applicable. 
+L'administration appliquant légalement un texte illégal, il faut être juriste 
+pour comprendre sans s'étrangler.
+
+Il fallait donc attendre une occasion pour apporter tout ça devant une de ces 
+hautes juridictions. Par exemple, en attaquant un décret qui parlerait de ça. 
+Mais un décret, ça doit s'attaquer dans les deux mois suivant sa publication. 
+Il fallait donc attendre la publication d'un décret tout neuf.
+
+L'article 20 de la LPM
+
+L'article en question est celui qui dit comment, et dans quel contexte, quel 
+service administratif (entendre, de police, en gros) peut accéder à quelles 
+données, sans passer par un juge. Dans la version précédente des textes 
+applicables, on disait le service A peut accéder aux données B, et on listait 
+des services dans différents bouts de loi, disant à chaque fois à quoi il peut 
+accéder et pour quoi faire.
+
+La nouvelle version est beaucoup plus large. Elle dit en gros que les services 
+A, B ou C peuvent accéder aux données D, E ou F, pour l'ensemble des raisons G,
+H ou I. Alors au final, c'est un peu curieux, parce qu'on peut très 
+probablement arriver à des constructions aberrantes (l'anti-terrorisme peut 
+demander des données sur un pédophile dans une enquête douanière, en gros). 
+Mais surtout, c'est beaucoup plus large. Et la loi est très floue, elle dit 
+toute donnée ou tout document, sans qu'on sache bien ce que ça recouvre.
+
+Et très précisément, la CJUE nous dit qu'en la matière, l'accès aux données est
+une atteinte grave à la vie privée, et qu'il faut donc que tout ça soit très 
+encadré et très bien défini. On en est loin. Nous étions nombreux, parmi les 
+défenseurs des libertés sur Internet, à avoir réagi en découvrant, un peu par 
+surprise, un texte sur la police et le numérique au milieu du machin sur la 
+programmation militaire. Mais peine perdue, les parlementaires ont voté le 
+texte, et ils n'ont pas osé aller le présenter au Conseil constitutionnel.
+
+L'article 20 de la LPM prévoit un décret d'application. Pour être exact et 
+précis, il prévoit un décret qui précisera dans quelles conditions, et avec 
+quels moyens, la Commission Nationale de Contrôle des Interceptions de Sûreté^[
+4[4]] pourra contrôler tout ça. Or en vrai, le décret publié à Noël^[5[5]] 
+parle de quelle administration pourra demander quoi dans quelles conditions, 
+mais très peu des conditions de contrôle, et certainement pas des moyens donnés
+à la CNCIS.
+
+Notre recours
+
+Quand le décret a été publié, un des juristes proches de FDN et de la 
+Quadrature a sauté dessus, et est venu discuter du sujet avec nous. En pleines 
+vacances, pendant le 31c3, le président de FDN^[6[6]] attrape la balle au bond 
+: oui, c'est intéressant, oui, c'est une opportunité, oui s'il faut quelqu'un 
+pour porter le recours devant le Conseil d'État, FDN le fera. Ne reste plus 
+qu'à trouver assez de bonnes volontés parmi nos bénévoles et ceux des 
+associations amies pour nous aider à rédiger tout ça. Bien entendu, on a invité
+La Quadrature à se joindre à nous, ainsi que la Fédération FDN.
+
+Comme tout recours contre un décret, c'est un recours pour annulation pour 
+excès de pouvoir, c'est comme ça que ça s'appelle. C'est toujours articulé en 
+deux volets.
+
+D'une part, le décret n'est pas pris dans les bonnes formes, on a oublié de 
+consulter un comité théodule, on a oublié une signature, etc. Dans ce cas 
+précis, le décret contient des dispositions sans rapport (il doit préciser 
+comment la CNCIS contrôle, mais en vrai il précise quel service a accès à 
+quoi), et il n'a pas été transmis à la Commission Européenne alors qu'il aurait
+dû. Ce contrôle de forme, c'est ce que les juristes appellent la légalité 
+externe.
+
+D'autre part le décret est contraire au droit. Contraire à la constitution, aux
+traités européens, à telle ou telle loi, bref, contraire au droit. C'est là 
+qu'on explique longuement que le décret est contraire à la décision de la CJUE,
+et que tant qu'on y est, tout le droit français sur le sujet est contraire à la
+décision de la CJUE, et que donc tous les décrets qui en découlent sont 
+caduques^[7[7]]. C'est ce que les juristes appellent la légalité interne.
+
+Nous soulevons également quelques autres arguments intéressants, mais voilà 
+déjà les grandes lignes.
+
+Suite de la procédure
+
+Demain matin, si la Poste fait bien son boulot, le greffe du Conseil d'État 
+recevra le dossier complet, en six exemplaires. Si on n'a rien raté dans les 
+formes du dépôt du recours, on recevra dans les jours qui suivent un courrier 
+avec le numéro de l'affaire, et des identifiants pour suivre la procédure en 
+ligne. Le dossier sera transmis à la partie adverse, à savoir le gouvernement.
+
+Nous avons, à compter d'aujourd'hui, 3 mois pour produire un second mémoire, 
+plus complet, qui détaille un peu mieux nos arguments, et qui éventuellement 
+soulève d'autres points. Nous avons également le temps pour déposer une 
+question prioritaire de constitutionnalité, pour que le Conseil constitutionnel
+nous indique si oui ou non ce texte est conforme à la constitution, vu que les 
+parlementaires n'ont pas osé demander.
+
+Ensuite, il y aura la procédure habituelle au Conseil d'État, les ministères 
+répondront à nos arguments, on pourra répondre à leur réponse, et ainsi de 
+suite. Jusqu'à ce que personne ne réponde plus rien, ou que le magistrat chargé
+de l'instruction siffle la fin de la récré. En tout, la procédure devrait 
+prendre 18 à 24 mois, en gros. On devrait donc avoir une décision du Conseil 
+d'État entre mi-2016 et fin-2016.
+
+Nous avons prévu de publier le mémoire envoyé ce matin au Conseil d'État. Par 
+politesse, on le fera une fois que le dossier sera ouvert, et que donc le texte
+aura été transmis à la partie adverse.
+
+Notes
+
+[1[8]] Sans rire, c'est le mot utilisé par le gouvernement pour expliquer 
+pourquoi il était urgent d'introduire ça dans la loi de programmation militaire
+qui n'a pas grand chose à voir : pour faire cesser des pratiques alégales.
+
+[2[9]] De son vrai nom poétique complet : Directive 2006/24/CE du Parlement 
+européen et du Conseil, du 15 mars 2006, sur la conservation de données 
+générées ou traitées dans le cadre de la fourniture de services de 
+communications électroniques accessibles au public ou de réseaux publics de 
+communications, et modifiant la directive 2002/58/CE (JO L 105, p. 54).
+
+[3[10]] Pour les plus jeunes, il y a eu plusieurs tentatives de mettre au 
+propre la gestion des écoutes téléphoniques. En général une tentative après 
+chaque fois où on a découvert que tel politique utilisait les capacités 
+d'écoute des services de renseignement à ses propres fins. La dernière affaire 
+majeure dans ce domaine étant celle des écoutes dites de l'Élysée, sous 
+Mitterrand, qui ont menées si ma mémoire est bonne à la création de la CNCIS.
+
+[4[11]] La CNCIS qui surveille déjà les demandes d'écoutes téléphoniques faites
+en dehors de procédures judiciaires.
+
+[5[12]] Ça aussi, c'est une tradition, les textes pourris sur les libertés dans
+la sphère numérique, on les fait passer à Noël ou le 15 août. Là, le décret il 
+est daté du 24 décembre.
+
+[6[13]] Pour ceux qui ne suivent pas très attentivement les actualités autour 
+de FDN, ce n'est plus moi depuis deux ans, le président de FDN.
+
+[7[14]] On ne peut pas demander leur annulation, puisqu'ils ont plus de deux 
+mois. Mais on peut indiquer au Conseil d'État, et il peut reprendre ça à son 
+compte, qu'ils sont inapplicables, et donc ne doivent plus être appliqués par 
+personne, étant illégaux et reconnus comme illégaux. Ça devient du code mort, 
+si on veut voir ça comme un informaticien.
+
+Liens:
+[1]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-1 (lien)
+[2]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-2 (lien)
+[3]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-3 (lien)
+[4]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-4 (lien)
+[5]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-5 (lien)
+[6]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-6 (lien)
+[7]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-7 (lien)
+[8]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-1 (lien)
+[9]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-2 (lien)
+[10]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-3 (lien)
+[11]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-4 (lien)
+[12]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-5 (lien)
+[13]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-6 (lien)
+[14]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-7 (lien)