« La liberté, ce bien qui fait jouir des autres biens », écrivait Montesquieu. Et Tocqueville : « Qui cherche dans la liberté autre chose qu’elle même est fait pour servir ». Qui s’intéresse aujourd’hui à la liberté ? A celle qui ne se confond pas avec le libéralisme économique, dont on mesure combien il peut être source de prospérité mais aussi d’inégalités et de contraintes sociales ? A celle qui fonde le respect de la vie privée et la participation authentique à la vie publique ? La liberté devrait être au cœur de la démocratie et de l’Etat de droit. En même temps, elle ne peut être maintenue et garantie que par la vigilance et l’action des individus. Ils ne sauraient en être simples bénéficiaires ou rentiers, ils doivent non seulement l’exercer mais encore surveiller attentivement ses conditions d’exercice. Tâche d’autant plus nécessaire dans une période où les atteintes qui lui sont portées sont aussi insidieuses que multiples.


jeudi 10 août 2017

Données de connexion : le Conseil constitutionnel prudent mais déterminé

La décision rendue sur QPC par le conseil constitutionnel le 4 août 2017 précise le régime juridique de l'accès aux données de connexion, clairement considérées comme des données personnelles. Il déclare en effet non conforme à la Constitution l'article L 851-2 du code de la sécurité intérieure qui autorise, "pour les seuls besoins de la prévention du terrorisme", l'accès en temps réel à ces données. Il peut viser aussi bien une "personne préalablement identifiée comme susceptible d'être en lien avec une menace" que son "entourage", dès lors que ce dernier est susceptible de procurer des informations utiles. Cette formulation est issue de la loi du 21 juillet 2016 prorogeant l'état d'urgence. Différentes associations dont La Quadrature du Net ont déposé un recours contre le refus du ministre de l'intérieur d'abroger son décret d'application du 29 janvier 2016.  Cette procédure devant le Conseil d'Etat leur a donné l'occasion de poser la présente question prioritaire de constitutionnalité.

Des données personnelles


Qu'entend-on par "données de connexion" ? Il s'agit des informations techniques recueillies auprès des fournisseurs d'accès, permettant l'identification d'une personne et la localisation des équipements utilisés. Le contenu des conversations échangées par courriel ou par téléphone n'entre pas dans cette catégorie. C'est la raison pour laquelle le Conseil écarte le moyen tiré de la violation du secret des correspondances. On devait s'y attendre, puisque le 21 juillet 2017, c'est à dire moins de trois semaines avant la présente QPC, le Conseil constitutionnel avait déclaré que les données de connexions collectées par les agents de  l'Autorité des marchés financiers (AMF) ne pouvaient être protégées par le secret des correspondances. Cela ne signifie pas qu'elles ne bénéficient d'aucune protection et le Conseil avait admis que leur communication était de nature à porter atteinte au droit au respect de la vie privée de la personne. En d'autres termes, les données de connexion sont des données personnelles au sens de la loi du 6 janvier 1978 informatique et libertés, même si elles ne sont pas couvertes par le secret de la correspondance. Ce choix de privilégier la vie privée plutôt que le secret de la correspondance permet au Conseil d'envisager l'information contenue dans ces données de connexion mais aussi celle qui peut être produite par leur mise en commun et leur articulation.

Cette qualification conduit le Conseil constitutionnel à se livrer à un contrôle de proportionnalité entre d'un côté les nécessités de prévenir les atteintes à l'ordre public et de l'autre côté le droit au respect de la vie privée. Et précisément, dans le cas présent, le Conseil constate une disproportion. 

Voutch. Les joies du monde moderne. 2015

Les précédents de juillet 2015


Par ce contrôle de proportionnalité, le Conseil marque sa volonté d'apprécier chaque texte au regard des garanties qu'il offre à la personne qui fait l'objet d'une intrusion dans ses données de connexion. Il n'existe donc pas un régime juridique unique de cette données, mais différentes procédures d'accès qui donnent lieu à différents types de garanties, chaque système étant évalué de manière autonome. Le Conseil constitutionnel s'est ainsi déjà prononcé sur les données de connexion par deux décisions intervenues, l'une le 23 juillet 2015 et l'autre le lendemain, 24 juillet 2015.

La décision du 23 juillet 2015 porte sur l'accès aux données de connexion sur le fondement de la loi renseignement. L'article L 851-1 du code de la sécurité intérieure prévoit ainsi accès par l'autorité administrative assez semblable à celui contesté dans la présente décision, mais il s'agit d'un accès en temps différé. La différence n'est pas négligeable car l'accès en temps réel est évidemment plus intrusif, d'autant que l'accès peut être prolongé sur une durée de quatre mois, renouvelable. En outre, l'accès ne porte que sur les données d'une personne désignée et n'est pas étendu à son entourage. En l'espèce, le Conseil avait donc alors considéré que cet accès ne portait pas une atteinte excessive à la vie privée des personnes.

Le lendemain, 24 juillet 2015, le Conseil est cette fois saisi d'une QPC portant sur l'ancienne rédaction de l'article L 851-1, rédaction résultant de la loi du 21 juillet 2015 prorogeant déjà l'état d'urgence. Là encore, le Conseil déclare que la conciliation entre l'ordre public et la vie privée des personnes "n'est pas manifestement disproportionnée". C'est évidemment sur ce précédent que s'appuyait le législateur de 2016. Si l'accès aux données de connexion avait été validé une première fois, pourquoi ne pas avoir confiance et espérer une nouvelle déclaration de conformité ? Le problème, pour la décision du 4 août 2017, est que la loi de 2016 est bien différente de celle de 2015. Dans la procédure tout d'abord, puisque la seconde a été votée dans l'urgence, après l'attentat de Nice alors que la première avait été largement débattue. Dans le fond surtout, car l'accès aux données de connexion est autorisé de manière beaucoup plus laxiste.

D'une part, il s'étend sur une durée de quatre mois renouvelable et non plus seulement deux. A dire vrai, ce n'est sans doute pas cet élément qui été déterminant aux yeux du Conseil constitutionnel, car le nombre de renouvellements est indéfini dans l'un et l'autre cas. D'autre part, et cette fois c'est sans doute l'élément qui a cristallisé la position du Conseil, l'accès aux données de connexion peut désormais être étendu à l'"entourage" d'une personne identifiée comme constituant une menace. Or il n'existe aucune définition juridique de la notion d'entourage et la loi est restée dans le flou sur ce point. Est-il constitué par la famille proche, les amis, les fournisseurs ? Suffit-il d'avoir communiqué une fois avec l'intéressé pour faire partie de son entourage ? A ces questions, le législateur n'apporte aucune réponse, offrant aux services la possibilité d'accéder très largement aux données de connexion.

Le refus de prendre une position de principe


Cette fois, le Conseil constitutionnel estime que le législateur est allé trop loin et il abroge la disposition contestée. Observons toutefois qu'il s'abstient prudemment de toute position de principe. C'est ainsi qu'il refuse, alors que les avocats des associations requérantes l'y incitaient, d'entrer dans la logique de l'arrêt Digital Rights rendue par la Cour de justice de l'Union européenne le 8 avril 2014. Elle avait alors estimé que le stockage de données à des fins de sécurité publique devait être sanctionné lorsqu'il conduisait à une surveillance de masse. Ce refus du Conseil constitutionnel n'est pas surprenant si l'on considère que la notion de surveillance de masse n'est guère plus précise, d'autant qu'elle est souvent confondue avec celle de collecte de masse.

De la même manière, le Conseil constitutionnel n'abroge pas immédiatement la disposition déclarée inconstitutionnelle mais reporte cette abrogation au 1er novembre 2017. Or, à cette date, la future loi sur la sécurité intérieure et la lutte contre le terrorisme aura été votée. Il suffira donc d'introduire de nouvelles dispositions dans ce texte, en tenant compte des observations faites par le Conseil constitutionnel. 

Au-delà du cas particulier de l'accès aux données de connexion, le Conseil constitutionnel révèle dans cette décision sa volonté de lutter contre une tendance du législateur qui consiste à s'appuyer sur une première décision de conformité pour durcir la loi et réduire les garanties offertes à la personne. Et lorsque le Conseil est appelé à apprécier le second texte, on invoque le précédent du premier, en espérant que...ça passera.  Ce n'est pas passé, et le Conseil montre ainsi qu'il entend rester vigilant en appréciant, pour chaque situation qui lui est soumise, la proportionnalité entre les nécessités de la lutte contre le terrorisme et celles de la protection des libertés publiques.

Sur la protection des données personnelles : Chapitre 8 section 5 du manuel de libertés publiques sur internet




2 commentaires:

  1. Décision du Conseil constitutionnel parfaitement disséquée pour notre plus grand bien ! Même si le résultat est globalement satisfaisant du point de vue du citoyen attaché au respect de ses libertés fondamentales, il soulève toujours les mêmes questions: subjectivité du concept de contrôle de proportionnalité qu'on le veuille ou non ; légèreté du pouvoir législatif sur des matières aussi sensibles que la protection des données personnelles qui va de pair avec la "fermeté" normative de l'exécutif; courage limité du Conseil constitutionnel tenant en partie à sa composition trop politisée.

    Comme le souligne un vieux proverbe français : "Nécessité n'a pas de loi"... surtout en matière de lutte contre le terrorisme en une époque où les attentats ont tendance à devenir fréquents (Cf. le dernier à Levallois-Perret à quelques centaines de mètres du siège de la DGSI).

    RépondreSupprimer
  2. (juste une petite erreur au début de l'article, 4 août 2017 et non 2016 :))

    RépondreSupprimer