path: root/Recours_contre_le_dcret_dapplication_de_larticle_20_de_la_LPM.txt

Titre: Recours contre le décret d'application de l'article 20 de la LPM
Auteur: Benjamin Bayart
Date: Wed 18 Feb 2015 21:57:00 +0100
Lien: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576

FDN, La Quadrature du Net, et la Fédération FDN ont envoyé au greffe du Conseil
d'État, aujourd'hui, un recours contre le décret d'application de l'article 20 
de la loi de programmation militaire (LPM). Ce recours vise à faire annuler le 
décret pour des raisons de forme, mais surtout, pour appliquer en droit 
français la décision du mois d'avril de la Cour de Justice de l'Union 
Européenne qui a cassé la directive sur la rétention de données de connexion 
par les FAIs et les hébergeurs.

La question de la rétention des données de connexion et des conditions de leur 
consultation par les pouvoirs publics fait partie des plus vieux dossiers 
autour d'Internet. Elle est devenue prépondérante à la suite des attentats du 
11 septembre 2001, mais apparaissait déjà avant.

Contexte historique

Les données de connexion, ce qu'on appelle de nos jours les méta-données, sont 
l'enjeu d'un combat depuis une quinzaine d'années. Ces données, chez votre 
fournisseur d'accès, ce sont les informations indiquant à quelle heure vous 
vous êtes connectés, depuis où, avec quels identifiants, et quelle adresse IP 
vous a été attribuée à ce moment-là. Chez tous les hébergeurs de sites web ou 
fournisseurs de services, ce sont les informations qui précisent qui a écrit 
tel commentaire, quel est son compte utilisateur sur le site, depuis quelle 
adresse IP il a écrit le commentaire, etc. En fait, ce sont des données qui 
permettent de vous tracer en permanence.

Il y a deux grands volets dans ces questions. D'une part, quelle quantité de 
données doit être conservée par les opérateurs : quelles informations, si elles
doivent avoir été vérifiées, pendant combien de temps elles doivent être 
conservées, etc. Et d'autre part, qui peut y accéder et comment : la police 
municipale en a-t-elle le droit pour un stationnement gênant ? Et la police des
transports ? Ou encore la douane ? Quelle procédure ? Est-ce que ça doit passer
par un juge ou pas ?

La phase la plus active du combat était autour de 2005, quand se préparait une 
directive européenne (la directive 2006/24) fixant les règles du jeu. La 
campagne était alors en grande partie menée par XS4all, derrière le slogan data
retention is no solution. Notre position sur le sujet était simple : les 
données sont conservées très peu de temps, quelques semaines, et ne sont 
accessibles que sous un contrôle strict, normalement dans le cadre d'une 
procédure judiciaire. La raison est simple : l'intrusion dans la vie privée de 
la personne est absolument majeure. Regarder ce que quelqu'un fait en ligne, 
c'est comme filmer dans son logement, c'est hyper intrusif. On ne peut pas 
faire ça à la légère sans un contrôle très sérieux.

Ce combat fait partie de ceux que nous avions largement perdu. Nous avions 
réussi à faire entendre qu'il devait y avoir une durée maximale de 
conservation, mais elle est trop longue. Nous avions réussi à faire entendre 
que la règle devait être de rendre anonymes toutes les données immédiatement, 
mais il y a tellement d'exception que la règle ne s'applique à rien. Nous 
avions fait entendre l'idée qu'il fallait un contrôle, mais il a été tellement 
lacunaire, et tellement chaotique que nos politiques ont inventé des mots pour 
ça. Quand la police fait n'importe quoi pour accéder aux données de n'importe 
qui sans suivre la moindre procédure, ils disent que c'est alégal^[1[1]], quand
tout le monde sait que c'est illégal.

Les dérives que nous craignions tant, à l'époque des débats sur la rétention 
des données, se sont toutes produites. La surveillance généralisée de la 
population, nous sommes en plein dedans (voir les révélations d'Edward Snowden,
par exemple). Le mauvais usage fait par les privés pour profiler les gens à 
partir de leurs données, nous sommes en plein dedans.

Décision de la CJUE en avril

En avril 2014, dans le contexte des révélations d'Edward Snowden, la Cour de 
Justice de l'Union Européenne (CJUE) a rendu une décision capitale sur ce 
dossier-là. Cette décision est claire, complète, et argumentée, expliquant que 
la surveillance généralisée de la population n'est pas une option valable dans 
un système démocratique. Et que donc la rétention des données, et leur collecte
par les pouvoirs publics, ne sont possibles que pour ce qui concerne les 
personnes suspectées de quelque chose.

La décision du 8 avril 2014, dite Digital Rights Ireland, a fermement rappelé 
ces principes, mais surtout la solution apportée à la question par la CJUE est 
brutale : toute la directive européenne sur la rétention des données (directive
2006/24/CE^[2[2]]) est annulée. Pas un article modifié ou retiré de-ci de-là, 
non, toute la directive tombe.

Et l'argumentation est extrèmement claire : la directive traite tout le monde 
de la même manière, qu'on soit l'objet d'une enquête, ou simple quidam. Ce qui 
veut dire que, de fait, tout le monde est suspect de tout, dans le doute. Et 
c'est précisément ça qui cloche, pour la CJUE. Elle constate que l'ingérence 
dans la vie privée créée par l'accès à ces données est majeure. Et que donc, 
elle doit être strictement proportionnée, et rigoureusement encadrée. Loger 
tout le monde à la même enseigne, ce n'est pas proportionné. Et l'encadrement 
de l'accès aux données est au mieux considéré par la CJUE comme défaillant.

Plusieurs pays ont déjà, suivant différentes procédures, transposé dans leur 
droit la décision de la CJUE. En particulier, quand les lois nationales sur la 
conservation des données sont une transposition stricte et directe de la 
directive européenne, ces lois tombent presque automatiquement : quand elles 
sont examinées par les hautes juridictions du pays, elles n'ont plus aucune 
chance de survivre, puisque leur principal fondement juridique est tombé.

En France, ce n'est pas le cas. D'abord par tradition, quand une instance 
internationale vient donner des leçons sur les libertés, que ce soit la CJUE ou
la CEDH, la France considère que ça concerne tout le monde sauf elle, vu que la
France est une démocratie irréprochable, voyons. Par ailleurs, le droit 
français sur le sujet ne découle pas exclusivement de la directive de 2006. La 
France avait fait le choix de surveiller la totalité de sa population bien 
avant, tradition oblige. Le droit français s'appuie donc aussi sur la directive
précédente sur le sujet, celle de 2002, ainsi que sur des éléments propres, par
exemple hérités de la loi sur la confiance en l'économie numérique (2004) ou 
dans le code des postes et communications électroniques, sur des éléments 
hérités des interceptions du courrier ou des écoutes téléphoniques^[3[3]].

Du coup, le droit français en la matière, constitué de tas de petits bouts de 
lois éparpillés un peu partout, n'est pas considéré comme entièrement caduque. 
Bon, il est contraire à la décision de la CJUE, mais tant qu'une haute 
juridiction nationale (Conseil d'État, Cour de Cassation ou Conseil 
Constitutionnel) n'aura pas fait tomber le texte, il reste applicable. 
L'administration appliquant légalement un texte illégal, il faut être juriste 
pour comprendre sans s'étrangler.

Il fallait donc attendre une occasion pour apporter tout ça devant une de ces 
hautes juridictions. Par exemple, en attaquant un décret qui parlerait de ça. 
Mais un décret, ça doit s'attaquer dans les deux mois suivant sa publication. 
Il fallait donc attendre la publication d'un décret tout neuf.

L'article 20 de la LPM

L'article en question est celui qui dit comment, et dans quel contexte, quel 
service administratif (entendre, de police, en gros) peut accéder à quelles 
données, sans passer par un juge. Dans la version précédente des textes 
applicables, on disait le service A peut accéder aux données B, et on listait 
des services dans différents bouts de loi, disant à chaque fois à quoi il peut 
accéder et pour quoi faire.

La nouvelle version est beaucoup plus large. Elle dit en gros que les services 
A, B ou C peuvent accéder aux données D, E ou F, pour l'ensemble des raisons G,
H ou I. Alors au final, c'est un peu curieux, parce qu'on peut très 
probablement arriver à des constructions aberrantes (l'anti-terrorisme peut 
demander des données sur un pédophile dans une enquête douanière, en gros). 
Mais surtout, c'est beaucoup plus large. Et la loi est très floue, elle dit 
toute donnée ou tout document, sans qu'on sache bien ce que ça recouvre.

Et très précisément, la CJUE nous dit qu'en la matière, l'accès aux données est
une atteinte grave à la vie privée, et qu'il faut donc que tout ça soit très 
encadré et très bien défini. On en est loin. Nous étions nombreux, parmi les 
défenseurs des libertés sur Internet, à avoir réagi en découvrant, un peu par 
surprise, un texte sur la police et le numérique au milieu du machin sur la 
programmation militaire. Mais peine perdue, les parlementaires ont voté le 
texte, et ils n'ont pas osé aller le présenter au Conseil constitutionnel.

L'article 20 de la LPM prévoit un décret d'application. Pour être exact et 
précis, il prévoit un décret qui précisera dans quelles conditions, et avec 
quels moyens, la Commission Nationale de Contrôle des Interceptions de Sûreté^[
4[4]] pourra contrôler tout ça. Or en vrai, le décret publié à Noël^[5[5]] 
parle de quelle administration pourra demander quoi dans quelles conditions, 
mais très peu des conditions de contrôle, et certainement pas des moyens donnés
à la CNCIS.

Notre recours

Quand le décret a été publié, un des juristes proches de FDN et de la 
Quadrature a sauté dessus, et est venu discuter du sujet avec nous. En pleines 
vacances, pendant le 31c3, le président de FDN^[6[6]] attrape la balle au bond 
: oui, c'est intéressant, oui, c'est une opportunité, oui s'il faut quelqu'un 
pour porter le recours devant le Conseil d'État, FDN le fera. Ne reste plus 
qu'à trouver assez de bonnes volontés parmi nos bénévoles et ceux des 
associations amies pour nous aider à rédiger tout ça. Bien entendu, on a invité
La Quadrature à se joindre à nous, ainsi que la Fédération FDN.

Comme tout recours contre un décret, c'est un recours pour annulation pour 
excès de pouvoir, c'est comme ça que ça s'appelle. C'est toujours articulé en 
deux volets.

D'une part, le décret n'est pas pris dans les bonnes formes, on a oublié de 
consulter un comité théodule, on a oublié une signature, etc. Dans ce cas 
précis, le décret contient des dispositions sans rapport (il doit préciser 
comment la CNCIS contrôle, mais en vrai il précise quel service a accès à 
quoi), et il n'a pas été transmis à la Commission Européenne alors qu'il aurait
dû. Ce contrôle de forme, c'est ce que les juristes appellent la légalité 
externe.

D'autre part le décret est contraire au droit. Contraire à la constitution, aux
traités européens, à telle ou telle loi, bref, contraire au droit. C'est là 
qu'on explique longuement que le décret est contraire à la décision de la CJUE,
et que tant qu'on y est, tout le droit français sur le sujet est contraire à la
décision de la CJUE, et que donc tous les décrets qui en découlent sont 
caduques^[7[7]]. C'est ce que les juristes appellent la légalité interne.

Nous soulevons également quelques autres arguments intéressants, mais voilà 
déjà les grandes lignes.

Suite de la procédure

Demain matin, si la Poste fait bien son boulot, le greffe du Conseil d'État 
recevra le dossier complet, en six exemplaires. Si on n'a rien raté dans les 
formes du dépôt du recours, on recevra dans les jours qui suivent un courrier 
avec le numéro de l'affaire, et des identifiants pour suivre la procédure en 
ligne. Le dossier sera transmis à la partie adverse, à savoir le gouvernement.

Nous avons, à compter d'aujourd'hui, 3 mois pour produire un second mémoire, 
plus complet, qui détaille un peu mieux nos arguments, et qui éventuellement 
soulève d'autres points. Nous avons également le temps pour déposer une 
question prioritaire de constitutionnalité, pour que le Conseil constitutionnel
nous indique si oui ou non ce texte est conforme à la constitution, vu que les 
parlementaires n'ont pas osé demander.

Ensuite, il y aura la procédure habituelle au Conseil d'État, les ministères 
répondront à nos arguments, on pourra répondre à leur réponse, et ainsi de 
suite. Jusqu'à ce que personne ne réponde plus rien, ou que le magistrat chargé
de l'instruction siffle la fin de la récré. En tout, la procédure devrait 
prendre 18 à 24 mois, en gros. On devrait donc avoir une décision du Conseil 
d'État entre mi-2016 et fin-2016.

Nous avons prévu de publier le mémoire envoyé ce matin au Conseil d'État. Par 
politesse, on le fera une fois que le dossier sera ouvert, et que donc le texte
aura été transmis à la partie adverse.

Notes

[1[8]] Sans rire, c'est le mot utilisé par le gouvernement pour expliquer 
pourquoi il était urgent d'introduire ça dans la loi de programmation militaire
qui n'a pas grand chose à voir : pour faire cesser des pratiques alégales.

[2[9]] De son vrai nom poétique complet : Directive 2006/24/CE du Parlement 
européen et du Conseil, du 15 mars 2006, sur la conservation de données 
générées ou traitées dans le cadre de la fourniture de services de 
communications électroniques accessibles au public ou de réseaux publics de 
communications, et modifiant la directive 2002/58/CE (JO L 105, p. 54).

[3[10]] Pour les plus jeunes, il y a eu plusieurs tentatives de mettre au 
propre la gestion des écoutes téléphoniques. En général une tentative après 
chaque fois où on a découvert que tel politique utilisait les capacités 
d'écoute des services de renseignement à ses propres fins. La dernière affaire 
majeure dans ce domaine étant celle des écoutes dites de l'Élysée, sous 
Mitterrand, qui ont menées si ma mémoire est bonne à la création de la CNCIS.

[4[11]] La CNCIS qui surveille déjà les demandes d'écoutes téléphoniques faites
en dehors de procédures judiciaires.

[5[12]] Ça aussi, c'est une tradition, les textes pourris sur les libertés dans
la sphère numérique, on les fait passer à Noël ou le 15 août. Là, le décret il 
est daté du 24 décembre.

[6[13]] Pour ceux qui ne suivent pas très attentivement les actualités autour 
de FDN, ce n'est plus moi depuis deux ans, le président de FDN.

[7[14]] On ne peut pas demander leur annulation, puisqu'ils ont plus de deux 
mois. Mais on peut indiquer au Conseil d'État, et il peut reprendre ça à son 
compte, qu'ils sont inapplicables, et donc ne doivent plus être appliqués par 
personne, étant illégaux et reconnus comme illégaux. Ça devient du code mort, 
si on veut voir ça comme un informaticien.

Liens:
[1]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-1 (lien)
[2]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-2 (lien)
[3]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-3 (lien)
[4]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-4 (lien)
[5]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-5 (lien)
[6]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-6 (lien)
[7]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#pnote-74-7 (lien)
[8]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-1 (lien)
[9]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-2 (lien)
[10]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-3 (lien)
[11]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-4 (lien)
[12]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-5 (lien)
[13]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-6 (lien)
[14]: http://blog.fdn.fr/?post/2015/02/18/Recours-contre-le-decret-2014-1576#rev-pnote-74-7 (lien)