diff options
Diffstat (limited to '')
-rw-r--r-- | Recours_contre_le_dcret_dapplication_de_larticle_20_de_la_LPM.txt | 265 |
1 files changed, 265 insertions, 0 deletions
diff --git a/Recours_contre_le_dcret_dapplication_de_larticle_20_de_la_LPM.txt b/Recours_contre_le_dcret_dapplication_de_larticle_20_de_la_LPM.txt new file mode 100644 index 0000000..3aede49 --- /dev/null +++ b/Recours_contre_le_dcret_dapplication_de_larticle_20_de_la_LPM.txt @@ -0,0 +1,265 @@ +Titre: Recours contre le décret d'application de l'article 20 de la LPM +Auteur: Benjamin Bayart +Date: Wed 18 Feb 2015 21:57:00 +0100 +Lien: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576 + +FDN, La Quadrature du Net, et la Fédération FDN ont envoyé au greffe du Conseil +d'État, aujourd'hui, un recours contre le décret d'application de l'article 20 +de la loi de programmation militaire (LPM). Ce recours vise à faire annuler le +décret pour des raisons de forme, mais surtout, pour appliquer en droit +français la décision du mois d'avril de la Cour de Justice de l'Union +Européenne qui a cassé la directive sur la rétention de données de connexion +par les FAIs et les hébergeurs. + +La question de la rétention des données de connexion et des conditions de leur +consultation par les pouvoirs publics fait partie des plus vieux dossiers +autour d'Internet. Elle est devenue prépondérante à la suite des attentats du +11 septembre 2001, mais apparaissait déjà avant. + +Contexte historique + +Les données de connexion, ce qu'on appelle de nos jours les méta-données, sont +l'enjeu d'un combat depuis une quinzaine d'années. Ces données, chez votre +fournisseur d'accès, ce sont les informations indiquant à quelle heure vous +vous êtes connectés, depuis où, avec quels identifiants, et quelle adresse IP +vous a été attribuée à ce moment-là. Chez tous les hébergeurs de sites web ou +fournisseurs de services, ce sont les informations qui précisent qui a écrit +tel commentaire, quel est son compte utilisateur sur le site, depuis quelle +adresse IP il a écrit le commentaire, etc. En fait, ce sont des données qui +permettent de vous tracer en permanence. + +Il y a deux grands volets dans ces questions. D'une part, quelle quantité de +données doit être conservée par les opérateurs : quelles informations, si elles +doivent avoir été vérifiées, pendant combien de temps elles doivent être +conservées, etc. Et d'autre part, qui peut y accéder et comment : la police +municipale en a-t-elle le droit pour un stationnement gênant ? Et la police des +transports ? Ou encore la douane ? Quelle procédure ? Est-ce que ça doit passer +par un juge ou pas ? + +La phase la plus active du combat était autour de 2005, quand se préparait une +directive européenne (la directive 2006/24) fixant les règles du jeu. La +campagne était alors en grande partie menée par XS4all, derrière le slogan data +retention is no solution. Notre position sur le sujet était simple : les +données sont conservées très peu de temps, quelques semaines, et ne sont +accessibles que sous un contrôle strict, normalement dans le cadre d'une +procédure judiciaire. La raison est simple : l'intrusion dans la vie privée de +la personne est absolument majeure. Regarder ce que quelqu'un fait en ligne, +c'est comme filmer dans son logement, c'est hyper intrusif. On ne peut pas +faire ça à la légère sans un contrôle très sérieux. + +Ce combat fait partie de ceux que nous avions largement perdu. Nous avions +réussi à faire entendre qu'il devait y avoir une durée maximale de +conservation, mais elle est trop longue. Nous avions réussi à faire entendre +que la règle devait être de rendre anonymes toutes les données immédiatement, +mais il y a tellement d'exception que la règle ne s'applique à rien. Nous +avions fait entendre l'idée qu'il fallait un contrôle, mais il a été tellement +lacunaire, et tellement chaotique que nos politiques ont inventé des mots pour +ça. Quand la police fait n'importe quoi pour accéder aux données de n'importe +qui sans suivre la moindre procédure, ils disent que c'est alégal^[1[1]], quand +tout le monde sait que c'est illégal. + +Les dérives que nous craignions tant, à l'époque des débats sur la rétention +des données, se sont toutes produites. La surveillance généralisée de la +population, nous sommes en plein dedans (voir les révélations d'Edward Snowden, +par exemple). Le mauvais usage fait par les privés pour profiler les gens à +partir de leurs données, nous sommes en plein dedans. + +Décision de la CJUE en avril + +En avril 2014, dans le contexte des révélations d'Edward Snowden, la Cour de +Justice de l'Union Européenne (CJUE) a rendu une décision capitale sur ce +dossier-là. Cette décision est claire, complète, et argumentée, expliquant que +la surveillance généralisée de la population n'est pas une option valable dans +un système démocratique. Et que donc la rétention des données, et leur collecte +par les pouvoirs publics, ne sont possibles que pour ce qui concerne les +personnes suspectées de quelque chose. + +La décision du 8 avril 2014, dite Digital Rights Ireland, a fermement rappelé +ces principes, mais surtout la solution apportée à la question par la CJUE est +brutale : toute la directive européenne sur la rétention des données (directive +2006/24/CE^[2[2]]) est annulée. Pas un article modifié ou retiré de-ci de-là, +non, toute la directive tombe. + +Et l'argumentation est extrèmement claire : la directive traite tout le monde +de la même manière, qu'on soit l'objet d'une enquête, ou simple quidam. Ce qui +veut dire que, de fait, tout le monde est suspect de tout, dans le doute. Et +c'est précisément ça qui cloche, pour la CJUE. Elle constate que l'ingérence +dans la vie privée créée par l'accès à ces données est majeure. Et que donc, +elle doit être strictement proportionnée, et rigoureusement encadrée. Loger +tout le monde à la même enseigne, ce n'est pas proportionné. Et l'encadrement +de l'accès aux données est au mieux considéré par la CJUE comme défaillant. + +Plusieurs pays ont déjà, suivant différentes procédures, transposé dans leur +droit la décision de la CJUE. En particulier, quand les lois nationales sur la +conservation des données sont une transposition stricte et directe de la +directive européenne, ces lois tombent presque automatiquement : quand elles +sont examinées par les hautes juridictions du pays, elles n'ont plus aucune +chance de survivre, puisque leur principal fondement juridique est tombé. + +En France, ce n'est pas le cas. D'abord par tradition, quand une instance +internationale vient donner des leçons sur les libertés, que ce soit la CJUE ou +la CEDH, la France considère que ça concerne tout le monde sauf elle, vu que la +France est une démocratie irréprochable, voyons. Par ailleurs, le droit +français sur le sujet ne découle pas exclusivement de la directive de 2006. La +France avait fait le choix de surveiller la totalité de sa population bien +avant, tradition oblige. Le droit français s'appuie donc aussi sur la directive +précédente sur le sujet, celle de 2002, ainsi que sur des éléments propres, par +exemple hérités de la loi sur la confiance en l'économie numérique (2004) ou +dans le code des postes et communications électroniques, sur des éléments +hérités des interceptions du courrier ou des écoutes téléphoniques^[3[3]]. + +Du coup, le droit français en la matière, constitué de tas de petits bouts de +lois éparpillés un peu partout, n'est pas considéré comme entièrement caduque. +Bon, il est contraire à la décision de la CJUE, mais tant qu'une haute +juridiction nationale (Conseil d'État, Cour de Cassation ou Conseil +Constitutionnel) n'aura pas fait tomber le texte, il reste applicable. +L'administration appliquant légalement un texte illégal, il faut être juriste +pour comprendre sans s'étrangler. + +Il fallait donc attendre une occasion pour apporter tout ça devant une de ces +hautes juridictions. Par exemple, en attaquant un décret qui parlerait de ça. +Mais un décret, ça doit s'attaquer dans les deux mois suivant sa publication. +Il fallait donc attendre la publication d'un décret tout neuf. + +L'article 20 de la LPM + +L'article en question est celui qui dit comment, et dans quel contexte, quel +service administratif (entendre, de police, en gros) peut accéder à quelles +données, sans passer par un juge. Dans la version précédente des textes +applicables, on disait le service A peut accéder aux données B, et on listait +des services dans différents bouts de loi, disant à chaque fois à quoi il peut +accéder et pour quoi faire. + +La nouvelle version est beaucoup plus large. Elle dit en gros que les services +A, B ou C peuvent accéder aux données D, E ou F, pour l'ensemble des raisons G, +H ou I. Alors au final, c'est un peu curieux, parce qu'on peut très +probablement arriver à des constructions aberrantes (l'anti-terrorisme peut +demander des données sur un pédophile dans une enquête douanière, en gros). +Mais surtout, c'est beaucoup plus large. Et la loi est très floue, elle dit +toute donnée ou tout document, sans qu'on sache bien ce que ça recouvre. + +Et très précisément, la CJUE nous dit qu'en la matière, l'accès aux données est +une atteinte grave à la vie privée, et qu'il faut donc que tout ça soit très +encadré et très bien défini. On en est loin. Nous étions nombreux, parmi les +défenseurs des libertés sur Internet, à avoir réagi en découvrant, un peu par +surprise, un texte sur la police et le numérique au milieu du machin sur la +programmation militaire. Mais peine perdue, les parlementaires ont voté le +texte, et ils n'ont pas osé aller le présenter au Conseil constitutionnel. + +L'article 20 de la LPM prévoit un décret d'application. Pour être exact et +précis, il prévoit un décret qui précisera dans quelles conditions, et avec +quels moyens, la Commission Nationale de Contrôle des Interceptions de Sûreté^[ +4[4]] pourra contrôler tout ça. Or en vrai, le décret publié à Noël^[5[5]] +parle de quelle administration pourra demander quoi dans quelles conditions, +mais très peu des conditions de contrôle, et certainement pas des moyens donnés +à la CNCIS. + +Notre recours + +Quand le décret a été publié, un des juristes proches de FDN et de la +Quadrature a sauté dessus, et est venu discuter du sujet avec nous. En pleines +vacances, pendant le 31c3, le président de FDN^[6[6]] attrape la balle au bond +: oui, c'est intéressant, oui, c'est une opportunité, oui s'il faut quelqu'un +pour porter le recours devant le Conseil d'État, FDN le fera. Ne reste plus +qu'à trouver assez de bonnes volontés parmi nos bénévoles et ceux des +associations amies pour nous aider à rédiger tout ça. Bien entendu, on a invité +La Quadrature à se joindre à nous, ainsi que la Fédération FDN. + +Comme tout recours contre un décret, c'est un recours pour annulation pour +excès de pouvoir, c'est comme ça que ça s'appelle. C'est toujours articulé en +deux volets. + +D'une part, le décret n'est pas pris dans les bonnes formes, on a oublié de +consulter un comité théodule, on a oublié une signature, etc. Dans ce cas +précis, le décret contient des dispositions sans rapport (il doit préciser +comment la CNCIS contrôle, mais en vrai il précise quel service a accès à +quoi), et il n'a pas été transmis à la Commission Européenne alors qu'il aurait +dû. Ce contrôle de forme, c'est ce que les juristes appellent la légalité +externe. + +D'autre part le décret est contraire au droit. Contraire à la constitution, aux +traités européens, à telle ou telle loi, bref, contraire au droit. C'est là +qu'on explique longuement que le décret est contraire à la décision de la CJUE, +et que tant qu'on y est, tout le droit français sur le sujet est contraire à la +décision de la CJUE, et que donc tous les décrets qui en découlent sont +caduques^[7[7]]. C'est ce que les juristes appellent la légalité interne. + +Nous soulevons également quelques autres arguments intéressants, mais voilà +déjà les grandes lignes. + +Suite de la procédure + +Demain matin, si la Poste fait bien son boulot, le greffe du Conseil d'État +recevra le dossier complet, en six exemplaires. Si on n'a rien raté dans les +formes du dépôt du recours, on recevra dans les jours qui suivent un courrier +avec le numéro de l'affaire, et des identifiants pour suivre la procédure en +ligne. Le dossier sera transmis à la partie adverse, à savoir le gouvernement. + +Nous avons, à compter d'aujourd'hui, 3 mois pour produire un second mémoire, +plus complet, qui détaille un peu mieux nos arguments, et qui éventuellement +soulève d'autres points. Nous avons également le temps pour déposer une +question prioritaire de constitutionnalité, pour que le Conseil constitutionnel +nous indique si oui ou non ce texte est conforme à la constitution, vu que les +parlementaires n'ont pas osé demander. + +Ensuite, il y aura la procédure habituelle au Conseil d'État, les ministères +répondront à nos arguments, on pourra répondre à leur réponse, et ainsi de +suite. Jusqu'à ce que personne ne réponde plus rien, ou que le magistrat chargé +de l'instruction siffle la fin de la récré. En tout, la procédure devrait +prendre 18 à 24 mois, en gros. On devrait donc avoir une décision du Conseil +d'État entre mi-2016 et fin-2016. + +Nous avons prévu de publier le mémoire envoyé ce matin au Conseil d'État. Par +politesse, on le fera une fois que le dossier sera ouvert, et que donc le texte +aura été transmis à la partie adverse. + +Notes + +[1[8]] Sans rire, c'est le mot utilisé par le gouvernement pour expliquer +pourquoi il était urgent d'introduire ça dans la loi de programmation militaire +qui n'a pas grand chose à voir : pour faire cesser des pratiques alégales. + +[2[9]] De son vrai nom poétique complet : Directive 2006/24/CE du Parlement +européen et du Conseil, du 15 mars 2006, sur la conservation de données +générées ou traitées dans le cadre de la fourniture de services de +communications électroniques accessibles au public ou de réseaux publics de +communications, et modifiant la directive 2002/58/CE (JO L 105, p. 54). + +[3[10]] Pour les plus jeunes, il y a eu plusieurs tentatives de mettre au +propre la gestion des écoutes téléphoniques. En général une tentative après +chaque fois où on a découvert que tel politique utilisait les capacités +d'écoute des services de renseignement à ses propres fins. La dernière affaire +majeure dans ce domaine étant celle des écoutes dites de l'Élysée, sous +Mitterrand, qui ont menées si ma mémoire est bonne à la création de la CNCIS. + +[4[11]] La CNCIS qui surveille déjà les demandes d'écoutes téléphoniques faites +en dehors de procédures judiciaires. + +[5[12]] Ça aussi, c'est une tradition, les textes pourris sur les libertés dans +la sphère numérique, on les fait passer à Noël ou le 15 août. Là, le décret il +est daté du 24 décembre. + +[6[13]] Pour ceux qui ne suivent pas très attentivement les actualités autour +de FDN, ce n'est plus moi depuis deux ans, le président de FDN. + +[7[14]] On ne peut pas demander leur annulation, puisqu'ils ont plus de deux +mois. Mais on peut indiquer au Conseil d'État, et il peut reprendre ça à son +compte, qu'ils sont inapplicables, et donc ne doivent plus être appliqués par +personne, étant illégaux et reconnus comme illégaux. Ça devient du code mort, +si on veut voir ça comme un informaticien. + +Liens: +[1]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-1 (lien) +[2]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-2 (lien) +[3]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-3 (lien) +[4]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-4 (lien) +[5]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-5 (lien) +[6]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-6 (lien) +[7]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-7 (lien) +[8]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-1 (lien) +[9]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-2 (lien) +[10]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-3 (lien) +[11]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-4 (lien) +[12]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-5 (lien) +[13]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-6 (lien) +[14]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-7 (lien) |