path: root/Le_blocage_des_sites_web_attaqu_devant_le_Conseil_dtat.txt

Titre: Le blocage des sites web attaqué devant le Conseil d'État
Auteur: Benjamin Bayart
Date: Wed 15 Apr 2015 20:05:00 +0200
Lien: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat

FDN, la Quadrature du Net, et la fédération FDN ont déposé il y a quelques 
jours un recours devant le Conseil d'État contre le décret d'application de la 
loi anti-terrorisme et de la LOPPSI. Ce décret est celui qui organise le 
blocage des sites web sur décision administrative sans passer par la case 
justice.

Nous publions aujourd'hui le texte de notre recours[1]. C'est un document assez
complet, de 48 pages. Parfois un peu rude à lire pour les non-juristes. Les 
explications ci-dessous peuvent aider à s'y retrouver.

La structure du document

Comme le précédent recours que nous avions publié (celui contre le décret 
d'application de l'article 20 de la LPM[2], il est structuré en 4 parties. La 
première sur les faits, qui explique quelle décision nous attaquons. La seconde
sur notre intérêt à agir^[1[3]]. La troisième sur les défauts de légalité 
externe^[2[4]]. Et la quatrième est celle sur les défauts de légalité interne^[
3[5]].

Cette approche est relativement logique, d'un point de vue de juriste. Mais 
elle ne l'est pas forcément pour expliquer le fond du dossier. La même 
disposition peut par exemple relever à la fois de la légalité interne et de la 
légalité externe. Par exemple, une disposition qui ne relève pas du pouvoir 
réglementaire, et donc ne peut apparaître que dans une loi. Il faut une loi 
pour la mettre en place. Essayer de la mettre en place dans un décret est une 
faute qui relève de la légalité externe (pas la bonne procédure, excès de 
pouvoir). Mais cette disposition peut aussi être contraire à un texte de loi 
pré-existant. Et ça, c'est une faute de légalité interne.

Du coup, pour expliquer un peu le contenu du document, on va plutôt se 
concentrer sur les dispositions qui ne vont pas, sans forcément bien suivre le 
rangement du doc.

Une pure faute de procédure

Une circulaire de février 2011 dit qu'il doit y avoir une étude d'impact, et 
qu'il faut saisir le commissaire à la simplification^[4[6]] si la nouvelle 
disposition réglementaire touche les entreprises, et en particulier les PME. 
Comme les 1800 opérateurs déclarés à l'ARCEP sont en majorité des PME, ça 
aurait dû être le cas. Et ça ne l'a pas été.

Pas certain que le Conseil d'État considère que la faute soit très grave, mais 
il n'y a pas de doute sur le fait que c'est bien une faute.

Le décret n'est pas clair

Plusieurs des dispositions du décret sont rédigées de manières tellement 
floues, en particulier sur le sens technique de certaines phrases, qu'il est 
virtuellement impossible de dire de manière certaine ce qui sera fait. C'est en
soit un problème, la constitution (et en particulier la Déclaration des droits 
de l'Homme de 1789) dit que la loi doit être compréhensible et prévisible. Et 
pareil pour les décrets.

Le Conseil d'État peut sauver le décret en nous répondant en gros meuh non, 
c'est clair, regardez, ça veut dire ça, et donc en fournissant la clarification
qu'il juge nécessaire. Ou au contraire dire que le texte n'est pas clair, et le
rejeter.

Le blocage sans juge

Cet argument est décliné sous plusieurs formes dans le document, mais il 
revient toujours sensiblement au même : nous estimons qu'il est illégal de 
bloquer un site web sans la décision d'un juge.

Tel qu'il est rédigé, le décret dit bien que les sites bloqués sont ceux qui 
contreviennent à l'article machin du code pénal. Or seule la justice peut 
déclarer que quelqu'un commet une infraction. La police administrative ne peut 
que prévenir une infraction. Donc il y a viol de la séparation des pouvoirs (la
police, donc l'exécutif, fait quelque chose que seule la justice, donc le 
judiciaire, peut faire).

Par ailleurs, une mesure de police administrative doit pouvoir être contestée. 
Et la jurisprudence européenne nous dit que pour ça, elle doit être notifiée 
aux gens visés, et qu'elle doit être motivée. L'administration doit dire 
pourquoi elle te prive de liberté, pour que tu puisses aller voir le juge 
administratif et expliquer en quoi elle se trompe. Le simple fait de ne pas 
motiver, ou de ne pas assez motiver, est en soi contraire au droit européen. Or
la procédure mise en place par le décret n'impose pas cette notification, ni de
motiver la décision.

Le blocage en lui-même

Une mesure qui prive de liberté doit être prise pour un objectif d'intérêt 
général (sauver les bébés chats, faire cesser un trouble, protéger 
l'environnement, etc), doit être nécessaire, c'est-à-dire que sans cette mesure
le trouble continue alors qu'avec le trouble cesse, et doit être proportionnée,
c'est-à-dire qu'il n'y avait pas moyen d'atteindre le même but en privant moins
de liberté.

Or le blocage des sites web n'est pas efficace (les sites sont toujours 
accessibles facilement, via VPN, via Tor, en changeant de DNS, en changeant de 
FAI, etc). Donc la mesure qui prive de liberté ne fait pas cesser le trouble. 
Raté pour le nécessaire.

Par ailleurs le blocage d'un site web tel qu'il est prévu a des effets 
collatéraux, et donc prive de leur liberté d'expression des gens qui n'ont rien
à voir avec l'histoire, ce qui est un défaut grave de proportionnalité^[5[7]].

Ensuite, il existe des mesures efficaces, qui sont moins privatives de liberté 
(faire retirer le contenu, faire fermer les sites, etc). Or ces mesures ne sont
pas prévues, alors qu'elles atteignent mieux l'objectif en touchant moins aux 
libertés. Là aussi, ça manque de proportionnalité.

Le problème de la délation

Le décret indique que les gens qui essayent de consulter le site bloqué sont 
re-dirigés vers une page web du ministère de l'intérieur. Ce faisant, la police
reçoit toutes les informations sur les gens qui ont essayé de visiter les 
pages. Ça crée, pour les opérateurs, non seulement une obligation de bloquer, 
mais aussi une obligation de dénoncer leurs abonnés à la police, en 
transmettant des données à caractère personnel dans l'affaire^[6[8]].

Cette disposition est particulièrement grave. Et est illégale pour plein de 
raisons.

D'abord, elle ne pourrait être prévue que par la loi. Elle organise le 
transfert de données obligatoire entre les opérateurs et la police, ce que 
seule la loi peut faire. Elle ne transfère pas que le trafic web, mais tout le 
trafic à destination du nom de domaine bloqué, y compris les mails et les 
discussions jabber par exemple, et donc organise une interception de 
communications privées. Ce que seule la loi peut prévoir. Enfin, ce simple 
transfert d'informations est un STAD^[7[9]] au sens de la CNIL. Or seule la loi
peut organiser la création de ce type de fichier de police. Tout ça, c'est de 
la légalité externe.

Par ailleurs, il y a des dispositions légales qui interdisent aux opérateurs de
transmettre à qui que ce soit quelque information que ce soit sur ce que font 
les abonnés avec leur accès à Internet. Or le décret, on l'a vu, organise le 
transfert d'une partie de ces informations vers la police. Or un décret ne peut
pas dire le contraire d'une loi (légalité interne).

Un STAD mis en place par les pouvoirs publics doit remplir un certain nombre de
critères définis par la loi de 1978 (informatique et libertés). Or le décret 
crée ce STAD sans vraiment le dire, et sans expliquer pourquoi ni comment. 
C'est contraire à la loi de 1978, là encore un problème de légalité interne. De
même, un arrêté doit autoriser la mise en place de ce STAD, qui en l’occurrence
n'existe pas. Ça, c'est un défaut de légalité externe.

Par ailleurs, le transfert des communications au ministère de l'intérieur est 
une atteinte aux libertés, des FAI d'une part, et des abonnés d'autre part. 
Elle n'est pas nécessaire puisque le même but peut être atteint autrement (les 
FAI peuvent afficher eux-même la page d'information, sans faire suivre le tout 
à la police). Elle est donc illégale parce que non prévue par la loi (légalité 
externe) et parce qu'elle manque de proportionnalité (légalité interne).

Sur tous ces points-là, le droit lu de manière stricte est très protecteur, et 
nous donne raison. Mais le droit est toujours interprétable. La position de la 
CNIL sur le fait qu'une adresse IP est une donnée personnelle, voire une donnée
nominative, n'est pas une loi.

Le Conseil d'État pourrait donc décider de rejeter nos arguments, en expliquant
à chaque fois pourquoi il n'est pas d'accord, en vertu de quel texte il 
considère que nous nous trompons, et éventuellement en détaillant 
l'interprétation du texte en question.

Le Conseil d'État peut aussi décider que c'est bien un STAD, que c'est bien une
délation, qu'un décret ne peut pas organiser tout ça sans une loi qui l'y 
autorise, et que donc cette disposition doit sauter.

Ce sera une vraie décision de droit, forcément. Mais pas seulement. Elle 
comportera forcément une composante politique, comme la décision de la CJUE 
invalidant la conservation systématique des données de connexion.

Notes

[1[10]] Il ne suffit pas que l'administration fasse quelque chose d'illégal 
pour qu'on puisse le contester, il faut que ça nous porte tort. Oui, le concept
est curieux. En droit administratif, si tu vois un truc illégal fait par 
l'administration, si ça ne te porte pas préjudice, tu ne dois rien dire. Ceci 
dit, la notion de préjudice peut être entendue assez largement.

[2[11]] La légalité externe, c'est la forme. Il manque une signature, la 
procédure n'a pas été respectée, etc.

[3[12]] La légalité interne, c'est le fond. Le décret est contraire à une loi, 
il prend une disposition contraire à la constitution ou aux textes européens, 
il va contre une décision de la CJUE, ce genre de choses.

[4[13]] Oui, pour simplifier l'administration on a ajouté un commissaire à la 
simplification.

[5[14]] Un peu comme mettre en prison tout un groupe alors qu'un seul est 
coupable.

[6[15]] Au moins l'adresse IP de l'abonné. Ce que la CNIL considère, depuis 
toujours, comme une donnée personnelle, puisqu'elle permet de remonter à 
l'identité de l'abonné.

[7[16]] Système de Traitement Automatique de Données, ce que la presse appelle 
un fichier.

Liens:
[1]: http://www.fdn.fr/2015-125/recours.pdf (lien)
[2]: http:/http%3A//blog.fdn.fr/?post/2015/04/01/Publication-du-recours-contre-le-decret-LPM/ (lien)
[3]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#pnote-77-1 (lien)
[4]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#pnote-77-2 (lien)
[5]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#pnote-77-3 (lien)
[6]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#pnote-77-4 (lien)
[7]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#pnote-77-5 (lien)
[8]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#pnote-77-6 (lien)
[9]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#pnote-77-7 (lien)
[10]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#rev-pnote-77-1 (lien)
[11]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#rev-pnote-77-2 (lien)
[12]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#rev-pnote-77-3 (lien)
[13]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#rev-pnote-77-4 (lien)
[14]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#rev-pnote-77-5 (lien)
[15]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#rev-pnote-77-6 (lien)
[16]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#rev-pnote-77-7 (lien)