1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
|
Titre: Recours contre le décret d'application de l'article 20 de la LPM
Auteur: Benjamin Bayart
Date: Wed 18 Feb 2015 21:57:00 +0100
Lien: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576
FDN, La Quadrature du Net, et la Fédération FDN ont envoyé au greffe du Conseil
d'État, aujourd'hui, un recours contre le décret d'application de l'article 20
de la loi de programmation militaire (LPM). Ce recours vise à faire annuler le
décret pour des raisons de forme, mais surtout, pour appliquer en droit
français la décision du mois d'avril de la Cour de Justice de l'Union
Européenne qui a cassé la directive sur la rétention de données de connexion
par les FAIs et les hébergeurs.
La question de la rétention des données de connexion et des conditions de leur
consultation par les pouvoirs publics fait partie des plus vieux dossiers
autour d'Internet. Elle est devenue prépondérante à la suite des attentats du
11 septembre 2001, mais apparaissait déjà avant.
Contexte historique
Les données de connexion, ce qu'on appelle de nos jours les méta-données, sont
l'enjeu d'un combat depuis une quinzaine d'années. Ces données, chez votre
fournisseur d'accès, ce sont les informations indiquant à quelle heure vous
vous êtes connectés, depuis où, avec quels identifiants, et quelle adresse IP
vous a été attribuée à ce moment-là. Chez tous les hébergeurs de sites web ou
fournisseurs de services, ce sont les informations qui précisent qui a écrit
tel commentaire, quel est son compte utilisateur sur le site, depuis quelle
adresse IP il a écrit le commentaire, etc. En fait, ce sont des données qui
permettent de vous tracer en permanence.
Il y a deux grands volets dans ces questions. D'une part, quelle quantité de
données doit être conservée par les opérateurs : quelles informations, si elles
doivent avoir été vérifiées, pendant combien de temps elles doivent être
conservées, etc. Et d'autre part, qui peut y accéder et comment : la police
municipale en a-t-elle le droit pour un stationnement gênant ? Et la police des
transports ? Ou encore la douane ? Quelle procédure ? Est-ce que ça doit passer
par un juge ou pas ?
La phase la plus active du combat était autour de 2005, quand se préparait une
directive européenne (la directive 2006/24) fixant les règles du jeu. La
campagne était alors en grande partie menée par XS4all, derrière le slogan data
retention is no solution. Notre position sur le sujet était simple : les
données sont conservées très peu de temps, quelques semaines, et ne sont
accessibles que sous un contrôle strict, normalement dans le cadre d'une
procédure judiciaire. La raison est simple : l'intrusion dans la vie privée de
la personne est absolument majeure. Regarder ce que quelqu'un fait en ligne,
c'est comme filmer dans son logement, c'est hyper intrusif. On ne peut pas
faire ça à la légère sans un contrôle très sérieux.
Ce combat fait partie de ceux que nous avions largement perdu. Nous avions
réussi à faire entendre qu'il devait y avoir une durée maximale de
conservation, mais elle est trop longue. Nous avions réussi à faire entendre
que la règle devait être de rendre anonymes toutes les données immédiatement,
mais il y a tellement d'exception que la règle ne s'applique à rien. Nous
avions fait entendre l'idée qu'il fallait un contrôle, mais il a été tellement
lacunaire, et tellement chaotique que nos politiques ont inventé des mots pour
ça. Quand la police fait n'importe quoi pour accéder aux données de n'importe
qui sans suivre la moindre procédure, ils disent que c'est alégal^[1[1]], quand
tout le monde sait que c'est illégal.
Les dérives que nous craignions tant, à l'époque des débats sur la rétention
des données, se sont toutes produites. La surveillance généralisée de la
population, nous sommes en plein dedans (voir les révélations d'Edward Snowden,
par exemple). Le mauvais usage fait par les privés pour profiler les gens à
partir de leurs données, nous sommes en plein dedans.
Décision de la CJUE en avril
En avril 2014, dans le contexte des révélations d'Edward Snowden, la Cour de
Justice de l'Union Européenne (CJUE) a rendu une décision capitale sur ce
dossier-là. Cette décision est claire, complète, et argumentée, expliquant que
la surveillance généralisée de la population n'est pas une option valable dans
un système démocratique. Et que donc la rétention des données, et leur collecte
par les pouvoirs publics, ne sont possibles que pour ce qui concerne les
personnes suspectées de quelque chose.
La décision du 8 avril 2014, dite Digital Rights Ireland, a fermement rappelé
ces principes, mais surtout la solution apportée à la question par la CJUE est
brutale : toute la directive européenne sur la rétention des données (directive
2006/24/CE^[2[2]]) est annulée. Pas un article modifié ou retiré de-ci de-là,
non, toute la directive tombe.
Et l'argumentation est extrèmement claire : la directive traite tout le monde
de la même manière, qu'on soit l'objet d'une enquête, ou simple quidam. Ce qui
veut dire que, de fait, tout le monde est suspect de tout, dans le doute. Et
c'est précisément ça qui cloche, pour la CJUE. Elle constate que l'ingérence
dans la vie privée créée par l'accès à ces données est majeure. Et que donc,
elle doit être strictement proportionnée, et rigoureusement encadrée. Loger
tout le monde à la même enseigne, ce n'est pas proportionné. Et l'encadrement
de l'accès aux données est au mieux considéré par la CJUE comme défaillant.
Plusieurs pays ont déjà, suivant différentes procédures, transposé dans leur
droit la décision de la CJUE. En particulier, quand les lois nationales sur la
conservation des données sont une transposition stricte et directe de la
directive européenne, ces lois tombent presque automatiquement : quand elles
sont examinées par les hautes juridictions du pays, elles n'ont plus aucune
chance de survivre, puisque leur principal fondement juridique est tombé.
En France, ce n'est pas le cas. D'abord par tradition, quand une instance
internationale vient donner des leçons sur les libertés, que ce soit la CJUE ou
la CEDH, la France considère que ça concerne tout le monde sauf elle, vu que la
France est une démocratie irréprochable, voyons. Par ailleurs, le droit
français sur le sujet ne découle pas exclusivement de la directive de 2006. La
France avait fait le choix de surveiller la totalité de sa population bien
avant, tradition oblige. Le droit français s'appuie donc aussi sur la directive
précédente sur le sujet, celle de 2002, ainsi que sur des éléments propres, par
exemple hérités de la loi sur la confiance en l'économie numérique (2004) ou
dans le code des postes et communications électroniques, sur des éléments
hérités des interceptions du courrier ou des écoutes téléphoniques^[3[3]].
Du coup, le droit français en la matière, constitué de tas de petits bouts de
lois éparpillés un peu partout, n'est pas considéré comme entièrement caduque.
Bon, il est contraire à la décision de la CJUE, mais tant qu'une haute
juridiction nationale (Conseil d'État, Cour de Cassation ou Conseil
Constitutionnel) n'aura pas fait tomber le texte, il reste applicable.
L'administration appliquant légalement un texte illégal, il faut être juriste
pour comprendre sans s'étrangler.
Il fallait donc attendre une occasion pour apporter tout ça devant une de ces
hautes juridictions. Par exemple, en attaquant un décret qui parlerait de ça.
Mais un décret, ça doit s'attaquer dans les deux mois suivant sa publication.
Il fallait donc attendre la publication d'un décret tout neuf.
L'article 20 de la LPM
L'article en question est celui qui dit comment, et dans quel contexte, quel
service administratif (entendre, de police, en gros) peut accéder à quelles
données, sans passer par un juge. Dans la version précédente des textes
applicables, on disait le service A peut accéder aux données B, et on listait
des services dans différents bouts de loi, disant à chaque fois à quoi il peut
accéder et pour quoi faire.
La nouvelle version est beaucoup plus large. Elle dit en gros que les services
A, B ou C peuvent accéder aux données D, E ou F, pour l'ensemble des raisons G,
H ou I. Alors au final, c'est un peu curieux, parce qu'on peut très
probablement arriver à des constructions aberrantes (l'anti-terrorisme peut
demander des données sur un pédophile dans une enquête douanière, en gros).
Mais surtout, c'est beaucoup plus large. Et la loi est très floue, elle dit
toute donnée ou tout document, sans qu'on sache bien ce que ça recouvre.
Et très précisément, la CJUE nous dit qu'en la matière, l'accès aux données est
une atteinte grave à la vie privée, et qu'il faut donc que tout ça soit très
encadré et très bien défini. On en est loin. Nous étions nombreux, parmi les
défenseurs des libertés sur Internet, à avoir réagi en découvrant, un peu par
surprise, un texte sur la police et le numérique au milieu du machin sur la
programmation militaire. Mais peine perdue, les parlementaires ont voté le
texte, et ils n'ont pas osé aller le présenter au Conseil constitutionnel.
L'article 20 de la LPM prévoit un décret d'application. Pour être exact et
précis, il prévoit un décret qui précisera dans quelles conditions, et avec
quels moyens, la Commission Nationale de Contrôle des Interceptions de Sûreté^[
4[4]] pourra contrôler tout ça. Or en vrai, le décret publié à Noël^[5[5]]
parle de quelle administration pourra demander quoi dans quelles conditions,
mais très peu des conditions de contrôle, et certainement pas des moyens donnés
à la CNCIS.
Notre recours
Quand le décret a été publié, un des juristes proches de FDN et de la
Quadrature a sauté dessus, et est venu discuter du sujet avec nous. En pleines
vacances, pendant le 31c3, le président de FDN^[6[6]] attrape la balle au bond
: oui, c'est intéressant, oui, c'est une opportunité, oui s'il faut quelqu'un
pour porter le recours devant le Conseil d'État, FDN le fera. Ne reste plus
qu'à trouver assez de bonnes volontés parmi nos bénévoles et ceux des
associations amies pour nous aider à rédiger tout ça. Bien entendu, on a invité
La Quadrature à se joindre à nous, ainsi que la Fédération FDN.
Comme tout recours contre un décret, c'est un recours pour annulation pour
excès de pouvoir, c'est comme ça que ça s'appelle. C'est toujours articulé en
deux volets.
D'une part, le décret n'est pas pris dans les bonnes formes, on a oublié de
consulter un comité théodule, on a oublié une signature, etc. Dans ce cas
précis, le décret contient des dispositions sans rapport (il doit préciser
comment la CNCIS contrôle, mais en vrai il précise quel service a accès à
quoi), et il n'a pas été transmis à la Commission Européenne alors qu'il aurait
dû. Ce contrôle de forme, c'est ce que les juristes appellent la légalité
externe.
D'autre part le décret est contraire au droit. Contraire à la constitution, aux
traités européens, à telle ou telle loi, bref, contraire au droit. C'est là
qu'on explique longuement que le décret est contraire à la décision de la CJUE,
et que tant qu'on y est, tout le droit français sur le sujet est contraire à la
décision de la CJUE, et que donc tous les décrets qui en découlent sont
caduques^[7[7]]. C'est ce que les juristes appellent la légalité interne.
Nous soulevons également quelques autres arguments intéressants, mais voilà
déjà les grandes lignes.
Suite de la procédure
Demain matin, si la Poste fait bien son boulot, le greffe du Conseil d'État
recevra le dossier complet, en six exemplaires. Si on n'a rien raté dans les
formes du dépôt du recours, on recevra dans les jours qui suivent un courrier
avec le numéro de l'affaire, et des identifiants pour suivre la procédure en
ligne. Le dossier sera transmis à la partie adverse, à savoir le gouvernement.
Nous avons, à compter d'aujourd'hui, 3 mois pour produire un second mémoire,
plus complet, qui détaille un peu mieux nos arguments, et qui éventuellement
soulève d'autres points. Nous avons également le temps pour déposer une
question prioritaire de constitutionnalité, pour que le Conseil constitutionnel
nous indique si oui ou non ce texte est conforme à la constitution, vu que les
parlementaires n'ont pas osé demander.
Ensuite, il y aura la procédure habituelle au Conseil d'État, les ministères
répondront à nos arguments, on pourra répondre à leur réponse, et ainsi de
suite. Jusqu'à ce que personne ne réponde plus rien, ou que le magistrat chargé
de l'instruction siffle la fin de la récré. En tout, la procédure devrait
prendre 18 à 24 mois, en gros. On devrait donc avoir une décision du Conseil
d'État entre mi-2016 et fin-2016.
Nous avons prévu de publier le mémoire envoyé ce matin au Conseil d'État. Par
politesse, on le fera une fois que le dossier sera ouvert, et que donc le texte
aura été transmis à la partie adverse.
Notes
[1[8]] Sans rire, c'est le mot utilisé par le gouvernement pour expliquer
pourquoi il était urgent d'introduire ça dans la loi de programmation militaire
qui n'a pas grand chose à voir : pour faire cesser des pratiques alégales.
[2[9]] De son vrai nom poétique complet : Directive 2006/24/CE du Parlement
européen et du Conseil, du 15 mars 2006, sur la conservation de données
générées ou traitées dans le cadre de la fourniture de services de
communications électroniques accessibles au public ou de réseaux publics de
communications, et modifiant la directive 2002/58/CE (JO L 105, p. 54).
[3[10]] Pour les plus jeunes, il y a eu plusieurs tentatives de mettre au
propre la gestion des écoutes téléphoniques. En général une tentative après
chaque fois où on a découvert que tel politique utilisait les capacités
d'écoute des services de renseignement à ses propres fins. La dernière affaire
majeure dans ce domaine étant celle des écoutes dites de l'Élysée, sous
Mitterrand, qui ont menées si ma mémoire est bonne à la création de la CNCIS.
[4[11]] La CNCIS qui surveille déjà les demandes d'écoutes téléphoniques faites
en dehors de procédures judiciaires.
[5[12]] Ça aussi, c'est une tradition, les textes pourris sur les libertés dans
la sphère numérique, on les fait passer à Noël ou le 15 août. Là, le décret il
est daté du 24 décembre.
[6[13]] Pour ceux qui ne suivent pas très attentivement les actualités autour
de FDN, ce n'est plus moi depuis deux ans, le président de FDN.
[7[14]] On ne peut pas demander leur annulation, puisqu'ils ont plus de deux
mois. Mais on peut indiquer au Conseil d'État, et il peut reprendre ça à son
compte, qu'ils sont inapplicables, et donc ne doivent plus être appliqués par
personne, étant illégaux et reconnus comme illégaux. Ça devient du code mort,
si on veut voir ça comme un informaticien.
Liens:
[1]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-1 (lien)
[2]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-2 (lien)
[3]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-3 (lien)
[4]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-4 (lien)
[5]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-5 (lien)
[6]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-6 (lien)
[7]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-7 (lien)
[8]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-1 (lien)
[9]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-2 (lien)
[10]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-3 (lien)
[11]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-4 (lien)
[12]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-5 (lien)
[13]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-6 (lien)
[14]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-7 (lien)
|