Dans un article 20 qui avait suscité beaucoup de débats en son temps, ce texte autorise l'accès des services de renseignement aux "informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques", c'est à dire aux identifiants de connexion, à la localisation des équipements utilisés, ou encore à la liste des numéros appelés et appelant, la date et la durée des communications. Cet accès doit reposer notamment sur les impératifs de la lutte contre le terrorisme ou la grande criminalité.
Légalité externe : faiblesse des moyens
Les moyens invoqués à l'appui du recours sont d'un intérêt variable, et même très variable si l'on considère que les associations requérantes, représentées par Maître Spinosi, n'ont pas hésité à invoquer la non conformité du décret à une circulaire du 17 février 2011 dont l'objet est d'organiser le travail gouvernemental. On comprend que le Conseil d'Etat n'ait pas prêté beaucoup d'attention à cette conception particulièrement innovante de la hiérarchie des normes.
Est également écarté, avec la même rapidité, le moyen reposant sur l'absence de notification à la Commission européenne du projet de décret. La directive du 22 juin 1998 n'impose une telle procédure qu'aux textes comportant des règles techniques, notamment celles relatives aux produits industriels ou agricoles.
Seuls les moyens de légalité offrent donc un intérêt réel. Encore sont-ils limités dans leur étendue, car les requérants ne pouvaient sérieusement invoquer une atteinte à une liberté constitutionnellement garantie. Le Conseil constitutionnel a déjà affirmé, en effet, dans une décision du 24 juillet 2015 rendue sur QPC, la constitutionnalité de l'article 20 de la loi de programmation militaire.
L'absence de violation de la Convention européenne de sauvegarde des droits de l'homme
Ne pouvant invoquer l'inconstitutionnalité, les associations requérantes se tournent vers la violation des articles 8 de la Convention européenne de sauvegarde des droits de l'homme et de la Charte des droits fondamentaux de l'Union européenne. Le premier garantit le droit au respect de la vie privée sous toutes ses facettes, le second consacre plus spécifiquement la protection des données.
Le Conseil d'Etat applique alors un contrôle maximum classique. Il observe ainsi que le décret de 2014 n'autorise l'accès aux données que pour des motifs limitativement énumérés, qu'il prévoit leur conservation par les fournisseurs d'accès pendant une année repose sur des règles précises et contraignantes et que seuls peuvent y accéder des agents spécifiquement habilités à cette fin. Enfin, le juge note que les services peuvent conserver ces données, sur un fichier géré par les services du Premier ministre, durant une période pouvant aller jusqu'à trois années. Cette conservation comme les demandes d'accès sont placées sous le contrôle de la Commission nationale de contrôle des interceptions de sécurité (CNCIS) et du juge administratif. Après avoir soigneusement énuméré tous ces éléments, le Conseil d'Etat en déduit donc que le décret de 2014 n'emporte pas une atteinte excessive au droit au respect de la vie privée et à la protection des données personnelles.
L'arrêt Digital Rights écarté par le Conseil d'Etat
Doit-on déduire de tout cela que la décision du Conseil d'Etat n'est jamais que l'un des ces nombreux arrêts qui écartent un recours perdu d'avance ? Tout de même pas, car il faut bien reconnaître que le Conseil d'Etat aurait pu demander à la Cour de justice de l'Union européenne (CJUE) d'apprécier la conformité du décret de 2014 à la Charte des droits fondamentaux de l'Union européenne.
Le Conseil d'Etat écarte donc, mais c'est son droit le plus strict, l'arrêt Digital Rights Ireland Ltd rendu par la CJUE le 8 avril 2014. Sur question préjudicielle posée par les juridictions suprêmes irlandaise et autrichienne, elle déclare "invalide" la directive du 15 mars 2006 sur la rétention des données qui obligeait les opérateurs de télécommunication et les fournisseurs d'accès à internet (FAI) à conserver les données relatives aux communications de leurs abonnées pour une "durée minimale de six mois et maximale de deux ans, (...) afin de garantir "la disponibilité de ces données à des fins de recherche, de détection et de poursuite d'infractions graves". La finalité de lutte contre le terrorisme et la grande criminalité était utilisée comme justification à des programmes de conservation des données de l'ensemble d'une population.
La Cour de justice observe que, en raison du caractère massif de la collecte, les données ainsi conservées sont susceptibles de donner des informations précises sur les habitudes de vie d'une personne, ses lieux de séjour et ses déplacements, ses activités et ses relations à l'étranger. La Cour consacre ainsi la spécificité de cette notion de surveillance de masse, définie comme permettant à la fois le repérage permanent et le profilage d'une personne.
Aux yeux des associations requérantes, le Conseil d'Etat aurait dû annuler le décret de 2014 au motif qu'il imposait une surveillance de masse en violation avec la jurisprudence Digital Rights, ou, au moins, poser une question préjudicielle à la CJUE pour qu'elle apprécie sa conformité au droit de l'Union européenne. Le Conseil d'Etat a refusé l'une et l'autre option.
Force est de constater qu'il en avait parfaitement le droit. Le renvoi en interprétation est en effet une faculté offerte aux juridictions nationales. Il est vrai que, dans son rapport sur les libertés numériques, publié fin 2014, la section du rapport et des études du Conseil d'Etat affirmait que la jurisprudence Digital Rights pose "la question de la conformité au droit de l'Union européenne des législations nationales, telles que la législation française, qui prévoient une telle obligation de conservation générale des données de connexion". Mais nul n'ignore que les travaux de la section du rapport ne sont dotés d'aucune puissance juridique et qu'ils n'ont d'ailleurs que peu d'influence sur les décisions du Conseil d'Etat statuant au contentieux.
De ce refus de poser une question préjudicielle, il convient sans doute de déduire que le Conseil d'Etat demeure attaché au principe selon lequel l'activité des services de renseignement relève naturellement de la souveraineté de l'Etat. Ce n'est donc pas à une juridiction européenne de se prononcer sur de telles questions, surtout lorsque le législateur a déjà défini l'encadrement des pratiques de ces services. C'est, en tout cas, le message que le Conseil d'Etat envoie par cet arrêt.