1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
|
Titre: Le blocage des sites web attaqué devant le Conseil d'État
Auteur: Benjamin Bayart
Date: Wed 15 Apr 2015 20:05:00 +0200
Lien: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat
FDN, la Quadrature du Net, et la fédération FDN ont déposé il y a quelques
jours un recours devant le Conseil d'État contre le décret d'application de la
loi anti-terrorisme et de la LOPPSI. Ce décret est celui qui organise le
blocage des sites web sur décision administrative sans passer par la case
justice.
Nous publions aujourd'hui le texte de notre recours[1]. C'est un document assez
complet, de 48 pages. Parfois un peu rude à lire pour les non-juristes. Les
explications ci-dessous peuvent aider à s'y retrouver.
La structure du document
Comme le précédent recours que nous avions publié (celui contre le décret
d'application de l'article 20 de la LPM[2], il est structuré en 4 parties. La
première sur les faits, qui explique quelle décision nous attaquons. La seconde
sur notre intérêt à agir^[1[3]]. La troisième sur les défauts de légalité
externe^[2[4]]. Et la quatrième est celle sur les défauts de légalité interne^[
3[5]].
Cette approche est relativement logique, d'un point de vue de juriste. Mais
elle ne l'est pas forcément pour expliquer le fond du dossier. La même
disposition peut par exemple relever à la fois de la légalité interne et de la
légalité externe. Par exemple, une disposition qui ne relève pas du pouvoir
réglementaire, et donc ne peut apparaître que dans une loi. Il faut une loi
pour la mettre en place. Essayer de la mettre en place dans un décret est une
faute qui relève de la légalité externe (pas la bonne procédure, excès de
pouvoir). Mais cette disposition peut aussi être contraire à un texte de loi
pré-existant. Et ça, c'est une faute de légalité interne.
Du coup, pour expliquer un peu le contenu du document, on va plutôt se
concentrer sur les dispositions qui ne vont pas, sans forcément bien suivre le
rangement du doc.
Une pure faute de procédure
Une circulaire de février 2011 dit qu'il doit y avoir une étude d'impact, et
qu'il faut saisir le commissaire à la simplification^[4[6]] si la nouvelle
disposition réglementaire touche les entreprises, et en particulier les PME.
Comme les 1800 opérateurs déclarés à l'ARCEP sont en majorité des PME, ça
aurait dû être le cas. Et ça ne l'a pas été.
Pas certain que le Conseil d'État considère que la faute soit très grave, mais
il n'y a pas de doute sur le fait que c'est bien une faute.
Le décret n'est pas clair
Plusieurs des dispositions du décret sont rédigées de manières tellement
floues, en particulier sur le sens technique de certaines phrases, qu'il est
virtuellement impossible de dire de manière certaine ce qui sera fait. C'est en
soit un problème, la constitution (et en particulier la Déclaration des droits
de l'Homme de 1789) dit que la loi doit être compréhensible et prévisible. Et
pareil pour les décrets.
Le Conseil d'État peut sauver le décret en nous répondant en gros meuh non,
c'est clair, regardez, ça veut dire ça, et donc en fournissant la clarification
qu'il juge nécessaire. Ou au contraire dire que le texte n'est pas clair, et le
rejeter.
Le blocage sans juge
Cet argument est décliné sous plusieurs formes dans le document, mais il
revient toujours sensiblement au même : nous estimons qu'il est illégal de
bloquer un site web sans la décision d'un juge.
Tel qu'il est rédigé, le décret dit bien que les sites bloqués sont ceux qui
contreviennent à l'article machin du code pénal. Or seule la justice peut
déclarer que quelqu'un commet une infraction. La police administrative ne peut
que prévenir une infraction. Donc il y a viol de la séparation des pouvoirs (la
police, donc l'exécutif, fait quelque chose que seule la justice, donc le
judiciaire, peut faire).
Par ailleurs, une mesure de police administrative doit pouvoir être contestée.
Et la jurisprudence européenne nous dit que pour ça, elle doit être notifiée
aux gens visés, et qu'elle doit être motivée. L'administration doit dire
pourquoi elle te prive de liberté, pour que tu puisses aller voir le juge
administratif et expliquer en quoi elle se trompe. Le simple fait de ne pas
motiver, ou de ne pas assez motiver, est en soi contraire au droit européen. Or
la procédure mise en place par le décret n'impose pas cette notification, ni de
motiver la décision.
Le blocage en lui-même
Une mesure qui prive de liberté doit être prise pour un objectif d'intérêt
général (sauver les bébés chats, faire cesser un trouble, protéger
l'environnement, etc), doit être nécessaire, c'est-à-dire que sans cette mesure
le trouble continue alors qu'avec le trouble cesse, et doit être proportionnée,
c'est-à-dire qu'il n'y avait pas moyen d'atteindre le même but en privant moins
de liberté.
Or le blocage des sites web n'est pas efficace (les sites sont toujours
accessibles facilement, via VPN, via Tor, en changeant de DNS, en changeant de
FAI, etc). Donc la mesure qui prive de liberté ne fait pas cesser le trouble.
Raté pour le nécessaire.
Par ailleurs le blocage d'un site web tel qu'il est prévu a des effets
collatéraux, et donc prive de leur liberté d'expression des gens qui n'ont rien
à voir avec l'histoire, ce qui est un défaut grave de proportionnalité^[5[7]].
Ensuite, il existe des mesures efficaces, qui sont moins privatives de liberté
(faire retirer le contenu, faire fermer les sites, etc). Or ces mesures ne sont
pas prévues, alors qu'elles atteignent mieux l'objectif en touchant moins aux
libertés. Là aussi, ça manque de proportionnalité.
Le problème de la délation
Le décret indique que les gens qui essayent de consulter le site bloqué sont
re-dirigés vers une page web du ministère de l'intérieur. Ce faisant, la police
reçoit toutes les informations sur les gens qui ont essayé de visiter les
pages. Ça crée, pour les opérateurs, non seulement une obligation de bloquer,
mais aussi une obligation de dénoncer leurs abonnés à la police, en
transmettant des données à caractère personnel dans l'affaire^[6[8]].
Cette disposition est particulièrement grave. Et est illégale pour plein de
raisons.
D'abord, elle ne pourrait être prévue que par la loi. Elle organise le
transfert de données obligatoire entre les opérateurs et la police, ce que
seule la loi peut faire. Elle ne transfère pas que le trafic web, mais tout le
trafic à destination du nom de domaine bloqué, y compris les mails et les
discussions jabber par exemple, et donc organise une interception de
communications privées. Ce que seule la loi peut prévoir. Enfin, ce simple
transfert d'informations est un STAD^[7[9]] au sens de la CNIL. Or seule la loi
peut organiser la création de ce type de fichier de police. Tout ça, c'est de
la légalité externe.
Par ailleurs, il y a des dispositions légales qui interdisent aux opérateurs de
transmettre à qui que ce soit quelque information que ce soit sur ce que font
les abonnés avec leur accès à Internet. Or le décret, on l'a vu, organise le
transfert d'une partie de ces informations vers la police. Or un décret ne peut
pas dire le contraire d'une loi (légalité interne).
Un STAD mis en place par les pouvoirs publics doit remplir un certain nombre de
critères définis par la loi de 1978 (informatique et libertés). Or le décret
crée ce STAD sans vraiment le dire, et sans expliquer pourquoi ni comment.
C'est contraire à la loi de 1978, là encore un problème de légalité interne. De
même, un arrêté doit autoriser la mise en place de ce STAD, qui en l’occurrence
n'existe pas. Ça, c'est un défaut de légalité externe.
Par ailleurs, le transfert des communications au ministère de l'intérieur est
une atteinte aux libertés, des FAI d'une part, et des abonnés d'autre part.
Elle n'est pas nécessaire puisque le même but peut être atteint autrement (les
FAI peuvent afficher eux-même la page d'information, sans faire suivre le tout
à la police). Elle est donc illégale parce que non prévue par la loi (légalité
externe) et parce qu'elle manque de proportionnalité (légalité interne).
Sur tous ces points-là, le droit lu de manière stricte est très protecteur, et
nous donne raison. Mais le droit est toujours interprétable. La position de la
CNIL sur le fait qu'une adresse IP est une donnée personnelle, voire une donnée
nominative, n'est pas une loi.
Le Conseil d'État pourrait donc décider de rejeter nos arguments, en expliquant
à chaque fois pourquoi il n'est pas d'accord, en vertu de quel texte il
considère que nous nous trompons, et éventuellement en détaillant
l'interprétation du texte en question.
Le Conseil d'État peut aussi décider que c'est bien un STAD, que c'est bien une
délation, qu'un décret ne peut pas organiser tout ça sans une loi qui l'y
autorise, et que donc cette disposition doit sauter.
Ce sera une vraie décision de droit, forcément. Mais pas seulement. Elle
comportera forcément une composante politique, comme la décision de la CJUE
invalidant la conservation systématique des données de connexion.
Notes
[1[10]] Il ne suffit pas que l'administration fasse quelque chose d'illégal
pour qu'on puisse le contester, il faut que ça nous porte tort. Oui, le concept
est curieux. En droit administratif, si tu vois un truc illégal fait par
l'administration, si ça ne te porte pas préjudice, tu ne dois rien dire. Ceci
dit, la notion de préjudice peut être entendue assez largement.
[2[11]] La légalité externe, c'est la forme. Il manque une signature, la
procédure n'a pas été respectée, etc.
[3[12]] La légalité interne, c'est le fond. Le décret est contraire à une loi,
il prend une disposition contraire à la constitution ou aux textes européens,
il va contre une décision de la CJUE, ce genre de choses.
[4[13]] Oui, pour simplifier l'administration on a ajouté un commissaire à la
simplification.
[5[14]] Un peu comme mettre en prison tout un groupe alors qu'un seul est
coupable.
[6[15]] Au moins l'adresse IP de l'abonné. Ce que la CNIL considère, depuis
toujours, comme une donnée personnelle, puisqu'elle permet de remonter à
l'identité de l'abonné.
[7[16]] Système de Traitement Automatique de Données, ce que la presse appelle
un fichier.
Liens:
[1]: http://www.fdn.fr/2015-125/recours.pdf (lien)
[2]: http:/http%3A//blog.fdn.fr/?post/2015/04/01/Publication-du-recours-contre-le-decret-LPM/ (lien)
[3]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#pnote-77-1 (lien)
[4]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#pnote-77-2 (lien)
[5]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#pnote-77-3 (lien)
[6]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#pnote-77-4 (lien)
[7]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#pnote-77-5 (lien)
[8]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#pnote-77-6 (lien)
[9]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#pnote-77-7 (lien)
[10]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#rev-pnote-77-1 (lien)
[11]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#rev-pnote-77-2 (lien)
[12]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#rev-pnote-77-3 (lien)
[13]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#rev-pnote-77-4 (lien)
[14]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#rev-pnote-77-5 (lien)
[15]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#rev-pnote-77-6 (lien)
[16]: http://blog.fdn.fr/?post/2015/04/15/Le-blocage-des-sites-web-attaque-devant-le-Conseil-d-Etat#rev-pnote-77-7 (lien)
|