Nul n'ignore que les textes réglementaires les plus sensibles sont publiés au Journal officiel le week end du 15 août ou le jour de Noël, au moment où les citoyens ont d'autres préoccupations, vacances ou réveillon. Un nouvel exemple de cette pratique est donné par le
décret du 24 décembre 2014 relatif à l'accès administratif aux données de connexion, texte publié au Journal officiel du 26 décembre et qui entrera en vigueur le 1er janvier 2015.
Ce décret a pour objet l'application de l
'article 20 de la loi de programmation militaire (LPM) du 18 décembre 2013, article qui précise le cadre juridique de la procédure
d'accès des services de renseignement aux données de connexion circulant
sur internet. Au moment du vote de la LPM, ces dispositions avaient suscité une inquiétude, sans pour autant parvenir à une véritable mobilisation. Alors que chacun étale sa vie privée sur Facebook avec un narcissisme non dissimulé, les atteintes qui lui sont portées au nom de la lutte contre le terrorisme sont de plus en plus considérées comme acceptables. Par ailleurs, le simple fait d'offrir un cadre juridique à une pratique qui, auparavant, demeurait ignorée du droit positif a été perçu comme un progrès. La CNIL évalue ainsi à 30 000 le nombre de demandes annuelles de communication de données formulées par les services de renseignement, demandes qui, jusqu'à aujourd'hui étaient dépourvues de réel fondement juridique.
Les données de connexion
Le décret du 24 décembre 2014 crée un chapitre nouveau intitulé "
Accès administratif aux données de connexion" dans la partie réglementaire dans le code de la sécurité intérieure (
art.R 246-1 et s. csi). Ces "données de connexion" sont celles, "
à l'exclusion de toute autre", qui permettent l'identification d'une ou plusieurs personnes, données énumérées dans les
articles R 10-13 et R 10-14 du code des postes et télécommunications électroniques.
La précision est d'importance, et veut affirmer que le décret n'entend pas autoriser les services à effectuer des perquisitions en ligne. Il n'en demeure pas moins que ces derniers peuvent s'appuyer sur les termes de loi, non dépourvus d’ambiguïté (
art. L 246-1 csi). Ils affirment en effet que les données de connexion sont communicables, parmi d'autres "
documents" et "
informations" accessibles sur le même fondement. Qui peut empêcher les service d'invoquer la loi pour obtenir n'importe quel document ou n'importe quelle information conservée sur internet ? Le décret n'offre sur ce point qu'une garantie parfaitement illusoire, garantie qui cède devant la norme supérieure.
OSS 117. Rio ne répond plus. Michel Hazanavicius. 2010. Jean Dujardin
Un régime juridique proche de celui des écoutes téléphoniques
Sur le plan de la procédure de communication, le décret est largement inspiré de la
loi du 10 juillet 1991 relative aux écoutes téléphoniques, loi votée à une époque où internet relevait peu ou prou de la science fiction. Aujourd'hui, le droit positif opère une fusion entre cette procédure ancienne et la procédure nouvelle d'accès aux données de connexion.
Un "groupement interministériel de contrôle" (GIC), service du Premier ministre, est désormais chargé à la fois des interceptions de sécurité et de l'accès administratif aux données de connexion. Les demandes d'accès lui sont adressées par l'intermédiaire d'une "personnalité qualifiée" désignée dans chaque ministère, Défense, Intérieur et Economie. Le GIC les transmet ensuite aux opérateurs concernés. Le secret est donc protégé, puisque ces derniers ignorent quelle autorité leur demande ces informations et pour quel motif. In fine, c'est l'opérateur et lui seul qui procède à la "
sollicitation du réseau", formule employée par l'a
rticle L 246-3 csi. Il s'agit de protéger les individus contre les risques d'une aspiration en masse des données d'identification.
Une absence de contrôle
Le contrôle de l'ensemble de la procédure est pour le moins modeste. Il réside dans l'intervention de la Commission nationale de contrôle des interceptions de sécurité (CNCIS). Aux termes de l'article R 246-8 csi, celle-ci "
dispose d'un accès permanent aux traitements automatisés" mis en oeuvre dans le cadre de ces réquisitions, c'est à dire un traitement recensant les demandes d'accès et un autre les données communiquées, toutes informations conservées pendant une durée maximum de trois ans. Les autorités compétentes sont, quant à elles, tenues de fournir à la Commission "
tous éclaircissements" qu'elle sollicite sur les demandes d'accès. En revanche, aucun texte n'attribue de pouvoir de sanction à la CNCIS, ni même d'ailleurs une quelconque compétence pour transmettre un dossier au parquet. Les bons sentiments ne font pas les contrôles efficaces, d'autant que
le Président de la CNCIS a démissionné en juin 2014 pour protester contre l'absence de moyens affectés à cette fonction de contrôle.
De toute évidence, ce décret s'analyse comme une forme de leurre juridique. Sa fonction n'est pas de renforcer les droits des citoyens mais bien davantage de donner un fondement juridique à l'action des services de renseignement tout en leur laissant une large marge d'autonomie.
Reste à se poser la question de l'avenir de ce décret. Un recours pour excès de pouvoir pourrait-il servir de vecteur à une question prioritaire de constitutionnalité (QPC) ? Peut-être, puisque précisément le Conseil constitutionnel ne s'est pas prononcé sur la LPM. Sur le fond cependant, on peut s'interroger sur les chances de succès d'une telle démarche. Le droit français, comme d'ailleurs la plupart des systèmes juridiques, se satisfait d'un encadrement symbolique de l'activité des services de renseignement, encadrement symbolique qui suscite un contrôle tout aussi symbolique.
Ou peut être un risque d'inconventionalité des dispositions de la loi de programmation militaire (notamment l'article 20) suite à l’arrêt du 8 avril 2014 de la Cour de justice de l’Union européenne (CJUE), rendu donc postérieurement à l'adoption de la loi, qui a invalidé la directive 2006/24/CE dite "Data Retention"...
RépondreSupprimeren Tunisie, on vient de publier au JO un décret datant du 26 décembre 2014 http://ostez.blogspot.com/2015/01/decret-n-2014-4773-du-26-decembre-2014.html (mais rendu public en fin janvier 2015) qui autorise l'accès non restreint aux données auprès des FAI au profit du juge, des autorités sécuritaires et militaires. sauf que chez nous la loi sur les cybercrimes demeure au stade du projet depuis plus d'un an.
RépondreSupprimerconcernant le timing, c'est pareil en Tunisie aussi, le Gouvernement avait publié en plaine crise politique nationale (durant le mois de novembre 2013) un décret n°4506-2013 créant une sorte de Big Brother tunisien ou une sorte de NSA tunisienne (l'agence techniques des télécommunications) http://ostez.blogspot.com/2014/01/le-decret-n4506-2013-relatif-latt-un.html
j'ai déjà attaquer ce décret en excès de pouvoir et je ferai de même pour ce nouveau décret imposant la soumission des FAI aux ordres administratifs militaires et sécuritaires.