« La liberté, ce bien qui fait jouir des autres biens », écrivait Montesquieu. Et Tocqueville : « Qui cherche dans la liberté autre chose qu’elle même est fait pour servir ». Qui s’intéresse aujourd’hui à la liberté ? A celle qui ne se confond pas avec le libéralisme économique, dont on mesure combien il peut être source de prospérité mais aussi d’inégalités et de contraintes sociales ? A celle qui fonde le respect de la vie privée et la participation authentique à la vie publique ? La liberté devrait être au cœur de la démocratie et de l’Etat de droit. En même temps, elle ne peut être maintenue et garantie que par la vigilance et l’action des individus. Ils ne sauraient en être simples bénéficiaires ou rentiers, ils doivent non seulement l’exercer mais encore surveiller attentivement ses conditions d’exercice. Tâche d’autant plus nécessaire dans une période où les atteintes qui lui sont portées sont aussi insidieuses que multiples.


jeudi 24 août 2017

Le vol de données sur un réseau accessible

L'extraction de données d'un réseau privé auquel on a librement accès peut-elle constituer un vol ? A cette question, qui n'est pas nouvelle dans la doctrine, la Chambre criminelle répond positivement dans un arrêt du 28 juin 2017. L'affaire jugée par la Haute Juridiction trouve son origine dans un conflit entre les deux associés d'un cabinet d'avocats. L'un avait en effet récupéré sur le serveur du cabinet différents documents financiers que sa consoeur communiquait à différentes banques et mutuelles. Il en avait fait un tirage qu'il avait communiqué au bâtonnier. Bien entendu, la consoeur avait porté plainte pour vol et il avait été condamné sur ce fondement, condamnation confirmée d'abord en appel puis par la Cour de cassation. 

L'argument essentiel de l'auteur du pourvoi reposait sur l'idée que le serveur de la SCP était protégé par un mot de passe unique. Tous les associés du cabinet pouvaient y pénétrer et prendre connaissance des pièces qui y figuraient. A ses yeux, la soustraction des pièces qu'il avait prélevées ne saurait constituer un vol. C'est précisément ce raisonnement que sanctionne la Cour de cassation.

Aux termes de l'article 311-1 du code pénal, le vol se définit comme "la soustraction frauduleuse de la chose d'autrui". Depuis bien longtemps, le vol peut porter sur des contenus incorporels et l'invention de l'informatique a suscité une évolution en ce sens. Dès 1998, la Cour de cassation punissait le vol du contenu informationnel contenu dans les anciennes disquettes. En 2003, elle évoquait le vol de données informatiques, quel qu'en soit le support, puis, en 2008, le vol de fichiers informatiques. 

Le précédent de Bluetouff


La question du vol commis sur un réseau n'a été posée que plus récemment, dans la célèbre affaire Bluetouff, à l'origine de la décision rendue par la Cour de cassation le 20 mai 2015. Le blogueur condamné avait réussi à pénétrer sur le serveur de l'Agence nationale de sécurité sanitaire de l'alimentation, de l'environnement et du travail (Anses), serveur utilisé par les chercheurs de l'Agence pour stocker et échanger leurs documents. Il avait trouvé et téléchargé une grande quantité de pièces, par l'intermédiaire d'un réseau privé virtuel (VPN) vers une adresse IP située au Panama, ce qui explique que l'opération soit passée inaperçue. C'est seulement lorsque les données piratées ont commencé à apparaître sur le net que l'Anses s'est aperçue de l'importance à la fois quantitative et qualitative des données piratées.

La Cour de cassation avait alors admis le vol, alors même que le blogueur avait profité d'une faille de sécurité du système pour y pénétrer. Cette solution reposait sur la distinction entre trois infractions.

La première est prévue par l'article 323-1 c. pén. et réside dans l'accès frauduleux à un système informatique. Sur ce fondement, Blootouff avait été relaxé. Il avait en effet bénéficié d'une défaillance technique dont il n'était pas responsable. De fait, cette faille de sécurité était à l'origine de l'indexation des données sur les moteurs de recherches.

La seconde infraction, prévue par le même  article, est le maintien dans ce système, une fois que l'on a appris qu'il était de nature privée. La Cour de cassation avait alors confirmé la condamnation, car le blogueur avait reconnu qu'il avait parfaitement compris qu'il était demandé identifiant et mot de passe sur la page d'accueil du site. Il ne pouvait donc ignorer qu'il circulait dans un espace privé, et il aurait donc du partir discrètement.

Enfin, la troisième infraction est constituée par le téléchargement de données extraites d'un site privé. Celui-ci est tout simplement réprimé par l'article 311-1 du code pénal qui punit le vol. Dans l'affaire Bluetouff, le vol est évidemment constitué, car, au moment du téléchargement, l'intéressé ne pouvait ignorer le caractère privé des informations qu'il s'appropriait frauduleusement, à l'insu de leur propriétaire.

Les gens de justice. Honoré Daumier. 1808-1879

Un délit spécifique


L'arrêt du 28 juin 2017 reprend la jurisprudence Bluetouff , en élargissant le vol de données à un réseau purement privé, auquel l'auteur a accédé de manière légitime, en mentionnant un mot de passe qu'il était fondé à utiliser. Observons cependant que cette qualification de vol est un peu gênante. D'une part, les données n'ont pas disparu comme disparaît n'importe quel objet volé. D'autre part, le caractère "frauduleux" doit être appréhendé à travers le détournement de finalité : l'avocat n'a pas extrait les données dans un but de gestion du cabinet mais pour nuire à sa consoeur. Enfin, l'identification de la victime n'est pas toujours aisée. Les données piratées sont les informations financières liées au cabinet. Peut-on réellement apprécier quel associé en est propriétaire ? La réponse à cette question est loin d'être claire. Quoi qu'il en soit, la Cour de cassation se contente de la qualification de vol, faute de mieux, et peut-être parce que le législateur est intervenu ensuite, dis ans après les faits qui ont suscité l'arrêt du 28 juin 2017.

La loi du 24 juillet 2015 a en effet introduit dans le code pénal un nouvel article 323-3 qui punit "le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient". Rappelons que la loi du 6 janvier 1978 informatique et libertés impose un critère général de finalité. La simple extraction de données constitue ainsi, en soi, une infraction, dès lors qu'elle repose sur une finalité qui n'est pas celle du traitement automatisé. Ce délit est d'ailleurs est d'ailleurs réprimé sévèrement, d'une peine de 5 ans de prison et de 150 000 € d'amende, peine qui peut être portée à 7 ans de prison et 300 000 € d'amende lorsque le fichier est mis en oeuvre par l'Etat. En l'espèce, ce délit aurait pu être utilisé si les faits ne s'étaient pas déroulés dix ans avant le vote de ce texte. L'avocat avait en effet extrait des données financières, non pas dans le but de gérer le cabinet mais dans celui-ci de nuire à son associée.

D'une manière plus générale, rien ne permet de savoir, pour le moment, comment ce texte sera appliqué.  Un lanceur d'alerte pourrait-il être poursuivi sur ce fondement ? On songe à l'employé de HSBC qui a sorti des fichiers portant sur des listes de titulaires de comptes dans les établissements bancaires suisses. Il a certes extrait des données issues des fichiers clients d'une banque, mais il agissait dans le but de faire connaître des pratiques d'évasion et de fraude fiscales. S'il est normal que le vol de données soit sanctionné, l'infraction nouvelle ne doit tout de même pas devenir un instrument de lutte contre les lanceurs d'alerte.

Sur la protection des données : Chapitre 8 section 5 du manuel de libertés publiques : version e-book, version papier.

 


samedi 19 août 2017

La "police de la sécurité quotidienne", ou le retour de la police de proximité

Gérard Collomb, le ministre de l'intérieur, annonce dans un entretien au Figaro la mise en place dès la fin de l'année 2017 d'une "police de la sécurité quotidienne". La formule est nouvelle, mais renvoie à la police de proximité, notion bien connue et qui alimente les débats sur la sécurité depuis exactement vingt ans. 

Politique publique / Liberté publique


Or la sécurité n'est pas seulement une politique publique. Elle se rattache  aux libertés publiques. Certes, il n'existe pas de droit à la sécurité formellement consacré par une disposition constitutionnelle, contrairement à ce que certains pseudo-criminologues ont parfois prétendu. Le Conseil constitutionnel a toutefois affirmé, dans une décision du 22 juillet 1980, que "la sécurité des personnes et des biens" est un "principe de valeur constitutionnelle". Encore s'agissait-il, à l'époque, de justifier la limitation du droit de grève des personnes travaillant des sites nucléaires, et non pas de garantir un droit à la sécurité. Finalement, c'est la loi, ou plusieurs lois successives, qui sont intervenues depuis 1995 pour affirmer que "la sécurité est un droit fondamental". Cette disposition n'a pas pour conséquence d'attribuer un droit dont pourrait se prévaloir chaque citoyen, mais elle fait peser un devoir sur l'Etat qui doit, autant que possible, assurer la sécurité de sa population.

La loi doit donc garantir l'égalité des citoyens devant la sécurité. Il s'agit en effet d'irriguer l'ensemble du territoire, de s'assurer qu'aucun espace n'est à l'écart de la politique publique de sécurité, soit parce que la délinquance en a fait une zone de non droit abandonnée des pouvoirs publics, soit parce que la faible densité de population a servi à justifier la réduction des personnels, la fermeture des commissariats ou le regroupement des brigades de gendarmerie. Dans tous les cas, il ne s'agit plus de développer un discours sécuritaire de nature dogmatique, mais d'assurer tout simplement la sécurité, préoccupation essentiellement pragmatique.

Origine de la police de proximité


La police de proximité repose sur trois piliers. Le premier réside dans une approche globale de l'ordre public qui comporte une triple démarche préventive, dissuasive et répressive. Le second, dans une intervention au coeur de la population, dans laquelle les forces de police doivent se fondre afin de répondre à ses attentes en matière de sécurité. Le troisième enfin impose une série de coopérations entre l'Etat et les collectivités territoriales, mais aussi entre les collectivités publiques et le secteur associatif, afin de permettre une meilleure mobilisation en faveur de la sécurité. Cette définition, qui a suscité bon nombre d'études et de débats, ne fait finalement que théoriser une pratique déjà bien connue. C'est ainsi que le fonctionnement de la Gendarmerie a toujours reposé sur une connaissance aussi profonde que possible du territoire et une coopération étroite avec les élus locaux. Autrement dit, la Gendarmerie faisait de la police de proximité comme monsieur Jourdain de la prose, sans le savoir.

Si la notion de police de proximité a été initiée dès 1998 par Jean-Pierre Chevènement, alors ministre de l'intérieur du gouvernement Jospin, elle a donné à une expérimentation très progressive, avant d'être généralisée par la loi du 29 août 2002 d'orientation et de programmation pour la sécurité intérieure. Mais elle n'a pas eu le temps de s'installer car Nicolas Sarkozy y a mis fin avant même qu'elle ait pu produire un bilan.


Policiers de proximité. Tintin. Hergé.

Destruction de la police de proximité


D'abord comme ministre de l'intérieur, il a affirmé, lors d'une visite au commissariat de Bellefontaine en février 2003, avec un délicat sens de la nuance qui n'appartient qu'à lui, que "la police n'est pas là pour organiser des tournois sportifs mais pour arrêter des délinquants". La police de proximité a donc été abandonnée, au profit d'une politique dirigée dans deux directions. D'une part, une démarche résolument sécuritaire s'est traduite par le développement considérable des fichiers, du recours à la biométrie et à la vidéosurveillance. D'autre part, un renforcement de la répression pénale a suscité notamment la mise en place des peines planchers, de la rétention de sûreté, de la mise en question de la justice des mineurs.

Comme Président de la République, Nicolas Sarkozy s'est efforcé de rendre impossible tour retour à la police de proximité. Son abandon allait en effet parfaitement dans le sens de la politique de Revue générale des politiques publiques (RGPP), acronyme destiné à cacher de considérables baisses d'effectifs. Les forces de police et de gendarmerie ont alors perdu environ 9000 personnels. Le rapport de la Cour de comptes paru en mars 2013 montre comment les recrutements ont été brutalement interrompus. C'est ainsi qu'en 2011, ils n'atteignaient que le 1/15è de leur niveau de 2006 pour la police nationale. Ceux de la gendarmerie ont, quant à eux, été divisés par deux entre 2006 et 2008, et ensuite maintenus à leur niveau le plus bas jusqu'en 2011. Le recrutement d'adjoints de sécurité et gendarmes adjoints volontaires, plus jeunes et moins expérimentés, n'a pas permis de combler le vide.

Le problème est que cette situation rendait impossible tout retour à la police de proximité. C'est ainsi que la Gendarmerie, dont le maillage du territoire était un modèle du genre, a dû regrouper ses brigades et se résoudre aux patrouilles motorisées. Son activité en matière de renseignement sur le territoire est devenue quasi-inexistante. L'ensemble des forces de police s'est donc trouvée réorientée vers l'activité traditionnelle de police judiciaire et de maintien de l'ordre.

Certes, depuis le quinquennat catastrophique de Nicolas Sarkozy, les recrutements ont repris, sous l'influence notamment de la menace terroriste. François Hollande avait même évoqué le rétablissement de la police de proximité dans son programme. Il n'a effectué qu'une réforme partielle, concentrant les efforts sur des zones jugées prioritaires en matière de sécurité. La création de ces "zones de sécurité prioritaire" constitue en réalité la négation de la police de proximité. Elle revient en effet à renoncer au maillage de l'ensemble du territoire, le fait de privilégier certaines zones conduisant à en abandonner d'autres.

Que sera la "police de la sécurité quotidienne" annoncée par le ministre de l'intérieur ? S'il s'agit de rétablir la police de proximité, le projet est ambitieux et certainement utile, mais il impose une nouvelle restructuration, notamment en zone Gendarmerie. Car il ne s'agit pas tant d'augmenter les effectifs que de les répartir autrement, en ouvrant commissariats et gendarmeries de proximité, ceux là même qui avaient disparu durant l'ère Sarkozy. Il faut aussi former les personnels à ces méthodes qui ne sont plus pratiquées depuis plusieurs années, assurer des rotations moins fréquentes pour qu'ils puissent s'implanter durablement dans la population etc. Ce n'est pas simple, si l'on considère que l'ensemble des ministres, y compris celui de l'intérieur, sont censés fournir à la rentrée un mémo détaillant le plan d'économies qu'ils entendent imposer à leur administration. On doit donc s'attendre à ce que la sécurité quotidienne ait des fins de mois relativement difficiles, si elle est réellement rétablie. 


mercredi 16 août 2017

Emmanuel Macron et les paparazzi

Emmanuel Macron a porté plainte pour harcèlement et tentative d'atteinte à la vie privée contre un paparazzi qui le suivait sur son lieu de vacances et s'efforçait de pénétrer dans la villa où il réside avec son épouse. Immédiatement, certains médias dénoncent une atteinte intolérable à la liberté de l'information. Dans un article particulièrement réjouissant, VSD publie le témoignage de l'intéressé, "traité comme un criminel pour avoir voulu photographier les Macron". On annonce en gros titre qu'il a été "coffré pour 48 heures", puis en petits caractères qu'il est ressorti au bout d'"environ six heures". Il a été placé en cellule "au milieu des délinquants", atroce promiscuité, et il a même dû, comble de l'humiliation, retirer "ses lacets de chaussure et sa montre".  Ces actes de torture ressemblent étrangement à une garde à vue ordinaire, plutôt brève si l'on considère que la garde à vue est décidée pour une durée de 24 heures, renouvelable une fois. 

Pourquoi tant de bruit ? D'abord parce que les relations entre le Président et la presse sont mauvaises. Durant les quinquennats Sarkozy et Hollande, les présidents avaient installé une relation de connivence avec la presse. Nul n'a oublié la photo de Nicolas Sarkozy en Jordanie, portant sur ses épaules le fils de Carla Bruni, malheureux enfant qui se cachait les yeux, effrayé par la meute des journalistes convoqués par le Président. Nul n'a davantage oublié les malheureuses confidences de François Hollande dans le livre dont le titre aurait dû lui servir d'avertissement : "Un Président ne devrait pas dire ça". Aujourd'hui, le Président Macron entend renouer avec une pratique plus traditionnelle et maitriser sa communication. Autrement dit, ses photos de vacances sont celles qu'il choisit de diffuser et seulement celles-là, choix qui prive de revenus des paparazzi qui vivent de la vente de leurs photos.  Y parviendra-t-il ? Ce n'est pas certain, mais la démarche suffit à rendre les médias frénétiques. En effet, ils ne manipulent plus le Président, c'est lui qui entend les utiliser au profit de sa communication.

Le droit de porter plainte


Quoi qu'il en soit, l'affaire du paparazzi en garde à vue conduit rappeler que le Président de la République est fondé à saisir les tribunaux, comme n'importe quel citoyen. On notera cependant que François Hollande s'y était refusé après la publication d'une photo le montrant sur son scooter en train de se rendre à un rendez-vous privé. Ce refus reposait sur une analyse personnelle de l'article 67 de la Constitution. Celui-ci affirme que le Président "n'est pas responsable des actes accomplis en cette qualité". Jusqu'à la fin de son mandat, il est donc soustrait à tout acte de procédure. François Hollande considérait que ce privilège lui interdisait d'engager des actions pénale contre des tiers, dès lors que l'égalité des armées n'était plus absolue. Ces scrupules l'honoraient sans doute, à moins qu'ils aient caché une volonté de mettre fin rapidement à une affaire un peu trop médiatique. Cette analyse n'est pourtant pas celle de la Cour de cassation qui, le 15 juin 2012, a admis la constitution de partie civile du Président de la République, à l'époque Nicolas Sarkozy, victime d'une fraude sur sa carte de crédit. A l'époque, aucune rupture d'égalité n'avait été invoquée.

Observons ensuite que le Président de la République, citoyen comme un autre, est titulaire du droit au respect de la vie privée. L'article 9 du code civil affirme en effet que "chacun a droit au respect de la vie privée".

L'inviolabilité du domicile


Le principe d'inviolabilité du domicile est l'une des facettes de ce droit et il constitue une exigence constitutionnelle que le législateur doit prendre en compte lorsqu'il vote des dispositions portant atteinte au droit de propriété. Le domicile se définit d'abord comme le lieu où habite une personne, là où elle a "son principal établissement". Mais cette définition, adoptée à l'origine pour déterminer le lieu d'exercice des droits civiques, a été étendue à toute habitation, qu'elle soit permanente ou non, résidence principale ou secondaire. La villa mise à disposition par le préfet est donc le "domicile" du couple Macron, pour la durée des vacances. 

Barbara. Si la photo est bonne. 1966. Archives INA

Le lieu privé

 

Conçu comme un lieu où l'habitant est fondé à se sentir chez lui, le domicile doit donc être à l'abri des intrusions des personnes privées. Un véritable droit à l'incognito est d'ailleurs formulé par l'article 226-1 du code pénal qui punit d'un an d'emprisonnement et de 45 000 € d'amende le fait de porter atteinte à l'intimité de la vie privée d'autrui (...) en "fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l'image d'une personne se trouvant dans un lieu privé". Le Président porte donc plainte pour tentative de captation de son image dans un lieu privé. 

La presse se fait l'écho à ce propos d'un débat d'une haute importance.. Le Président considère que le paparazzi a pénétré dans la propriété et ce dernier affirme le contraire. Hélas, quand bien même ce serait vrai, ce n'est pas l'intrusion de la personne qui crée le délit, mais la captation de la photo. Autrement dit, il n'est pas nécessaire que le photographe ait été présent sur la propriété, il suffit qu'il a capté, ou tenté de capter, l'image du couple présidentiel à l'intérieur de ce "lieu privé". 

Le lieu privé est défini par deux critères alternatifs. C'est d'abord l'espace dans lequel on ne peut pénétrer sans l'autorisation de celui qui l'occupe. C'est bien le cas d'une villa qui abrite le Président de la République et on peut penser qu'elle est gardée par un service d'ordre qui contrôle que ceux qui y pénètrent ont une autorisation. En termes de sécurité, c'est même une exigence minimum. Mais le lieu privé est aussi celui dans lequel une personne s'estime à l'abri des regards indiscrets. Dans un arrêt du 16 juillet 1982, la Cour de cassation qualifie ainsi de lieu privé le bateau qu'une princesse monégasque utilisait pour prendre des bains de soleil "le buste dénudé", dès lors que cette embarcation n'était pas restée à proximité des plages mais s'était délibérément rendue au large pour échapper aux paparazzi. Là encore, on ignore dans quelle tenue le couple Macron lézarde au bord de la piscine, mais il ne fait guère de doute qu'il a choisi une villa très sécurisée, précisément pour être à l'abri des regards indiscrets. 

Il existe cependant deux exceptions à ce principe de respect de la vie privée, exceptions qui permettent de publier des clichés liés à la vie privée des personnes. 

Le consentement de la personne


La première réside dans le consentement des intéressés. La jurisprudence opère dans ce cas une distinction entre la personne anonyme, le simple quidam et la personne publique ou célèbre. Dans le premier cas, toute captation et diffusion d'image est soumise au consentement exprès de l'intéressé. Dans le second cas, le consentement est présumé lorsque la personne publique est dans l'exercice de ses fonctions. Autrement dit, il est possible de capter l'image d'Emmanuel Macron lorsqu'il participe au défilé du 14 juillet ou va serrer quelques mains. En revanche, il n'est évidemment pas dans l'exercice de ses fonctions lorsqu'il est vacances, et son consentement est alors exigé.

Le débat d'intérêt général


La seconde exception trouve son origine dans la jurisprudence de la Cour européenne des droits de l'homme. Dans un arrêt Von Hannover c. Allemagne du 7 février 2012, elle a ainsi considéré que la photo prise à son insu du prince Rainier de Monaco affaibli par la maladie relevait du débat d'intérêt général, dans la mesure où les citoyens d'une principauté héréditaire avaient le droit d'être informés sur la santé du prince. De même, dans une décision du 10 novembre 2015, Couderc et Hachette Filipacchi associés c. France, la Cour estime que la révélation par Paris-Match d'une photo montrant l'"enfant caché" du Prince Albert "dépasse le cadre de sa vie privée". Dans ce cas, le droit à l'information l'emporte sur la vie privée. 

Sans doute, mais le paparazzi de Marseille n'a pas pu prendre de cliché et ne peut faire état du moindre débat d'intérêt général justifiant sa tentative de captation d'images de la vie privée du Président de la République. Peut-être aurait-il pu le faire si Emmanuel Macron avait reçu la visite de Vladimir Poutine venu batifoler joyeusement dans la piscine en évoquant la situation de l'Ukraine ? Hélas, ce n'est pas le cas.

On ne doute pas que l'affaire du paparazzi sera bientôt oubliée, d'autant qu'elle semble sortie du Gendarme de Saint-Tropez et que d'autres sujets plus sérieux vont reparaître à la rentrée. Elle révèle tout de même une véritable "peopolisation" de l'ensemble de la presse. La vie privée des personnes célèbres, y compris celle du Président de la République, ne concerne plus les seuls magazines spécialisés, ceux que les Anglais appellent les "tabloïds". Elle s'étale maintenant dans tous les journaux et on se souvient que Le Monde a rendu compte du mariage de George Clooney dans sa rubrique "Europe", sans doute parce qu'il s'est déroulé à Venise. Aujourd'hui, la presse d'information défend un paparazzi dont le métier est de porter atteinte à la vie privée des personnes. Si elle a parfaitement le droit de critiquer le Président de la République, doit-elle pour autant se mettre au niveau de la presse people ? A elle de juger.



Sur le droit à l'image : Chapitre 8 section 4 du manuel de libertés publiques sur internet




dimanche 13 août 2017

Google face au Premier Amendement

La firme Google a l'habitude d'alimenter les chroniques de libertés publiques. Le plus souvent, est en cause sa politique de protection des données. Sa finalité principale est d'écarter le droit européen au profit d'une approche contractuelle (Privacy by Design) moins exigeante, dont les contentieux sont jugés par les tribunaux américains. Hélas, l'Union européenne n'entend pas se faire dicter le droit applicable sur le territoire des Etats membres, et Google cède peu à peu devant les pressions et les sanctions émanant de la Commission. 

Le mémo


Aujourd'hui, le problème est tout autre, et la firme Google a, cette fois, un problème américano-américain. L'un de ses salariés, James Damore, a rédigé un mémorandum critiquant la politique de diversité de l'entreprise. D'abord diffusé en interne, il figure aujourd'hui sur les réseaux sociaux. Son auteur y affirme que si les femmes sont peu nombreuses dans l'entreprise, c'est en raison de "différences biologiques". Celles-ci sont en effet "plus ouvertes aux sentiments et à l'esthétique qu'aux idées (...). Elles ont généralement un intérêt plus fort que les hommes pour les gens, plutôt que pour les objets. Ces différences expliquent en partie pourquoi les femmes préfèrent relativement les métiers des secteurs sociaux ou artistiques". On croit à un canular, à la reproduction facétieuse d'un extrait du Dictionnaire des idées reçues, mais il n'en est rien. L'auteur est sincère, même si l'honnêteté oblige à dire qu'il ne s'agit là que d'un passage dans un texte largement consacré, plus généralement, à la politique de management de Google. L'auteur y dénonce en particulier la politique de discrimination positive et le "politiquement correct" qui domine la culture d'entreprise et conduit à ostraciser les salariés conservateurs, dont il fait partie.

Précisément, ce sont les salariés de Google eux-mêmes qui ont porté le débat sur la place publique, en dénonçant l'auteur sur les réseaux sociaux. Ils ont diffusé son texte et protesté haut et fort contre ses propos sexistes. La Direction a renchéri en affirmant que "des parties de ce memorandum violent notre code de conduite et dépassent les limites en avançant des stéréotypes de genre dangereux". Le soir même James Damore était licencié pour "perpétuation des stéréotypes de genre", comportement qui violerait le "code de conduite" de l'entreprise. 

Observons au passage que, dans ce grand pays protecteur des droits de l'homme, la procédure de licenciement est d'une charmante simplicité. Le salarié qui a déplu est invité à mettre ses affaires personnelles dans un carton et à prendre la porte. Et plus vite que ça. Dans le cas de Damore, on sait qu'il a porté sa cause devant le National Labor Relations Board, agence indépendante fédérale, dont la mission est d'enquêter sur les pratiques illégales dans le monde de l'entreprise. Il est donc probable que l'affaire connaîtra des développements dans le domaine du droit du travail et que l'on saura alors si Damore a, ou non, violé ce "code de conduite" dont on ignore le contenu.

 
Salariée de chez Google à son travail
Moi j'essuie les verres. Michel Labat. Circa 2000. Collection particulière 

Le Premier Amendement


Sous l'angle des libertés publiques, l'affaire est plus intéressante. On voit actuellement se développer un débat à front renversé. D'un côté, la droite américaine soutient Darmore au nom de la liberté d'expression. De l'autre côté, la gauche soutient la multinationale Google et condamne les propos sexistes de Darmore. Le problème est que, dans ce cas précis, la position de Google n'est pas aussi excellente que l'on pourrait le penser. 

Damore s'appuie en effet sur le Premier Amendement : "Congress shall make no law (...) abridging the Freedom of Speech, or the Press".  Dans sa formulation, il implique la non-ingérence du Congrès dans la liberté d'expression dont l'individu est titulaire. A l'origine, il était donc perçu comme une limitation des pouvoirs de l'Union, la liberté d'expression relevant de la compétence des Etats fédérés. Peu à peu cependant, la jurisprudence de la Cour Suprême a imposé une conception très libérale de la liberté d'expression. Elle implique en effet l'abstention de l'Etat qui n'a pas à définir de valeurs et le système juridique protège ainsi tant la diversité des opinions que celle des expressions. 

Le marché des idées


La liberté d'expression s'entend ainsi, aux Etats-Unis, comme un libre accès au marché des idées, quel que soit leur contenu, politique ou non, scandaleux ou non. Il appartient au lecteur, à l'auditeur, au citoyen, de séparer le bon grain de l'ivraie, l'idée originale du bêtisier. En bref, le citoyen est considéré comme doté d'une maturité suffisante pour apprécier lui-même ce qui lui est proposé. Ce n'est pas à l'Etat de définir les "valeurs" justifiant une interdiction de parler. 

C'est ainsi que le droit américain ne connaît pas d'équivalent de la loi Gayssot qui interdit de tenir des propos antisémites ou négationnistes. Au contraire, dans une décision de 1982, la Cour Suprême a jugé inconstitutionnelle la décision du conseil d'administration d'un établissement scolaire new-yorkais ordonnant de retirer de la bibliothèque les ouvrages "anti-américains, anti-chrétiens, antisémites et ceux qui sont seulement orduriers". Le juge Brennan s'exprimait alors en ces termes : "Nous pensons que le conseil d'administration ne peut pas ordonner de retirer des livres des étagères d'une bibliothèques simplement parce qu'il n'aime pas les idées qu'ils contiennent et cherchent, par leur retrait, à décider ce qui doit être orthodoxe en politique, en religion ou tout autre sujet". Il n'existe donc pas, aux Etats Unis d'"ordre moral" permettant d'interdire la circulation de certaines idées. 

Si l'on revient à l'affaire Darmore, il ne fait guère de doute que le Premier Amendement est en cause. Certes, on pourra objecter que pas plus aux Etats-Unis qu'en France, on n'a le droit de dénigrer sa propre entreprise. Mais sur ce point, Google se trouve de nouveau dans une situation délicate. D'une part, l'auteur du mémo s'est borné à le diffuser en interne et ce sont les salariés de Google qui l'ont fait sortir de la communication interne pour le diffuser sur les réseaux sociaux. Darmore n'est donc pas l'auteur de l'éventuel dénigrement. D'autre part,  Sundar Pichai, le Président de Google est lui même intervenu pour affirmer : "Nous défendons avec force le droit des Googlers (le surnom des employés de Google) de s'exprimer, et une grande partie de ce qui était dans ce mémorandum mérite d'être débattu, même si une grande majorité de Googlers ne sont pas d'accord avec lui". Autant dire que le Président de Google se place sur le fondement du Premier Amendement et, dès lors, la décision de licenciement devient pour le moins surprenante.

Certes, il est probable que cet incident sera rapidement oublié, ne serait-ce que parce que Google a largement les moyens de passer un deal avec son ancien salarié, une bonne indemnité contre le silence... Il illustre cependant l'un des problèmes actuels du droit américain, partagé entre une liberté d'expression consacrée comme extrêmement large, et un discours idéologique reposant sur des "valeurs" à défendre, au prix d'un véritable contrôle de l'expression. Espérons donc pour l'Etat de droit que James Damore pourra continuer à exprimer ses préjugés sexistes. Le ridicule même de son propos est bien suffisant pour le disqualifier, et pour faire rire ses lecteurs.


jeudi 10 août 2017

Données de connexion : le Conseil constitutionnel prudent mais déterminé

La décision rendue sur QPC par le conseil constitutionnel le 4 août 2017 précise le régime juridique de l'accès aux données de connexion, clairement considérées comme des données personnelles. Il déclare en effet non conforme à la Constitution l'article L 851-2 du code de la sécurité intérieure qui autorise, "pour les seuls besoins de la prévention du terrorisme", l'accès en temps réel à ces données. Il peut viser aussi bien une "personne préalablement identifiée comme susceptible d'être en lien avec une menace" que son "entourage", dès lors que ce dernier est susceptible de procurer des informations utiles. Cette formulation est issue de la loi du 21 juillet 2016 prorogeant l'état d'urgence. Différentes associations dont La Quadrature du Net ont déposé un recours contre le refus du ministre de l'intérieur d'abroger son décret d'application du 29 janvier 2016.  Cette procédure devant le Conseil d'Etat leur a donné l'occasion de poser la présente question prioritaire de constitutionnalité.

Des données personnelles


Qu'entend-on par "données de connexion" ? Il s'agit des informations techniques recueillies auprès des fournisseurs d'accès, permettant l'identification d'une personne et la localisation des équipements utilisés. Le contenu des conversations échangées par courriel ou par téléphone n'entre pas dans cette catégorie. C'est la raison pour laquelle le Conseil écarte le moyen tiré de la violation du secret des correspondances. On devait s'y attendre, puisque le 21 juillet 2017, c'est à dire moins de trois semaines avant la présente QPC, le Conseil constitutionnel avait déclaré que les données de connexions collectées par les agents de  l'Autorité des marchés financiers (AMF) ne pouvaient être protégées par le secret des correspondances. Cela ne signifie pas qu'elles ne bénéficient d'aucune protection et le Conseil avait admis que leur communication était de nature à porter atteinte au droit au respect de la vie privée de la personne. En d'autres termes, les données de connexion sont des données personnelles au sens de la loi du 6 janvier 1978 informatique et libertés, même si elles ne sont pas couvertes par le secret de la correspondance. Ce choix de privilégier la vie privée plutôt que le secret de la correspondance permet au Conseil d'envisager l'information contenue dans ces données de connexion mais aussi celle qui peut être produite par leur mise en commun et leur articulation.

Cette qualification conduit le Conseil constitutionnel à se livrer à un contrôle de proportionnalité entre d'un côté les nécessités de prévenir les atteintes à l'ordre public et de l'autre côté le droit au respect de la vie privée. Et précisément, dans le cas présent, le Conseil constate une disproportion. 

Voutch. Les joies du monde moderne. 2015

Les précédents de juillet 2015


Par ce contrôle de proportionnalité, le Conseil marque sa volonté d'apprécier chaque texte au regard des garanties qu'il offre à la personne qui fait l'objet d'une intrusion dans ses données de connexion. Il n'existe donc pas un régime juridique unique de cette données, mais différentes procédures d'accès qui donnent lieu à différents types de garanties, chaque système étant évalué de manière autonome. Le Conseil constitutionnel s'est ainsi déjà prononcé sur les données de connexion par deux décisions intervenues, l'une le 23 juillet 2015 et l'autre le lendemain, 24 juillet 2015.

La décision du 23 juillet 2015 porte sur l'accès aux données de connexion sur le fondement de la loi renseignement. L'article L 851-1 du code de la sécurité intérieure prévoit ainsi accès par l'autorité administrative assez semblable à celui contesté dans la présente décision, mais il s'agit d'un accès en temps différé. La différence n'est pas négligeable car l'accès en temps réel est évidemment plus intrusif, d'autant que l'accès peut être prolongé sur une durée de quatre mois, renouvelable. En outre, l'accès ne porte que sur les données d'une personne désignée et n'est pas étendu à son entourage. En l'espèce, le Conseil avait donc alors considéré que cet accès ne portait pas une atteinte excessive à la vie privée des personnes.

Le lendemain, 24 juillet 2015, le Conseil est cette fois saisi d'une QPC portant sur l'ancienne rédaction de l'article L 851-1, rédaction résultant de la loi du 21 juillet 2015 prorogeant déjà l'état d'urgence. Là encore, le Conseil déclare que la conciliation entre l'ordre public et la vie privée des personnes "n'est pas manifestement disproportionnée". C'est évidemment sur ce précédent que s'appuyait le législateur de 2016. Si l'accès aux données de connexion avait été validé une première fois, pourquoi ne pas avoir confiance et espérer une nouvelle déclaration de conformité ? Le problème, pour la décision du 4 août 2017, est que la loi de 2016 est bien différente de celle de 2015. Dans la procédure tout d'abord, puisque la seconde a été votée dans l'urgence, après l'attentat de Nice alors que la première avait été largement débattue. Dans le fond surtout, car l'accès aux données de connexion est autorisé de manière beaucoup plus laxiste.

D'une part, il s'étend sur une durée de quatre mois renouvelable et non plus seulement deux. A dire vrai, ce n'est sans doute pas cet élément qui été déterminant aux yeux du Conseil constitutionnel, car le nombre de renouvellements est indéfini dans l'un et l'autre cas. D'autre part, et cette fois c'est sans doute l'élément qui a cristallisé la position du Conseil, l'accès aux données de connexion peut désormais être étendu à l'"entourage" d'une personne identifiée comme constituant une menace. Or il n'existe aucune définition juridique de la notion d'entourage et la loi est restée dans le flou sur ce point. Est-il constitué par la famille proche, les amis, les fournisseurs ? Suffit-il d'avoir communiqué une fois avec l'intéressé pour faire partie de son entourage ? A ces questions, le législateur n'apporte aucune réponse, offrant aux services la possibilité d'accéder très largement aux données de connexion.

Le refus de prendre une position de principe


Cette fois, le Conseil constitutionnel estime que le législateur est allé trop loin et il abroge la disposition contestée. Observons toutefois qu'il s'abstient prudemment de toute position de principe. C'est ainsi qu'il refuse, alors que les avocats des associations requérantes l'y incitaient, d'entrer dans la logique de l'arrêt Digital Rights rendue par la Cour de justice de l'Union européenne le 8 avril 2014. Elle avait alors estimé que le stockage de données à des fins de sécurité publique devait être sanctionné lorsqu'il conduisait à une surveillance de masse. Ce refus du Conseil constitutionnel n'est pas surprenant si l'on considère que la notion de surveillance de masse n'est guère plus précise, d'autant qu'elle est souvent confondue avec celle de collecte de masse.

De la même manière, le Conseil constitutionnel n'abroge pas immédiatement la disposition déclarée inconstitutionnelle mais reporte cette abrogation au 1er novembre 2017. Or, à cette date, la future loi sur la sécurité intérieure et la lutte contre le terrorisme aura été votée. Il suffira donc d'introduire de nouvelles dispositions dans ce texte, en tenant compte des observations faites par le Conseil constitutionnel. 

Au-delà du cas particulier de l'accès aux données de connexion, le Conseil constitutionnel révèle dans cette décision sa volonté de lutter contre une tendance du législateur qui consiste à s'appuyer sur une première décision de conformité pour durcir la loi et réduire les garanties offertes à la personne. Et lorsque le Conseil est appelé à apprécier le second texte, on invoque le précédent du premier, en espérant que...ça passera.  Ce n'est pas passé, et le Conseil montre ainsi qu'il entend rester vigilant en appréciant, pour chaque situation qui lui est soumise, la proportionnalité entre les nécessités de la lutte contre le terrorisme et celles de la protection des libertés publiques.

Sur la protection des données personnelles : Chapitre 8 section 5 du manuel de libertés publiques sur internet




samedi 5 août 2017

L'affaire Mercier ou la Constitution maltraitée

Le Parquet national financier a ordonné une enquête préliminaire sur d'éventuels détournements de fonds publics susceptibles d'être commis par le sénateur Michel Mercier lorsqu'il employait sa fille comme collaboratrice parlementaire. Rien que de très banal après le PenelopeGate, l'emploi des filles de Bruno Le Roux, le recours à des assistants parlementaires rémunérés par le Parlement européen pour exercer des fonctions au Modem ou au Front national. Dans tous les cas, les intéressés ont fini, parfois rapidement, parfois dans la douleur, par renoncer, soit à briguer un mandat, soit à exercer une fonction. 

En dehors des faits reprochés à l'ancien Garde des Sceaux, l'affaire Mercier met en lumière deux dérives graves de notre système constitutionnel. D'une part, on observe une tendance à considérer la Constitution comme un ensemble de dispositions "à la carte". On accepte les unes, on écarte les autres, et c'est précisément ce que vient de faire le Président du Sénat en refusant purement et simplement qu'une perquisition soit effectuée dans ses locaux. D'autre part, les conditions de désignation de Michel Mercier au Conseil constitutionnel révèlent les conséquences éventuellement catastrophiques de nominations fondées sur des préférences politiques, et qui ne font l'objet d'aucun contrôle réel. 

La Constitution "à la carte"


Gérard Larcher, nous dit-on, a refusé aux enquêteurs envoyés par le PNF l'autorisation de perquisitionner au Sénat. A l'appui de ce refus, il affirme que le demande était "floue, pas précise". Le seul problème est qu'une perquisition judiciaire n'est pas soumise à l'autorisation du président de l'assemblée parlementaire où elle doit se dérouler. 

La seule compétence dont dispose le Président du Sénat est un pouvoir de police mentionné à l'article 90 du règlement, selon lequel il "veille à la sûreté intérieure et extérieure du Sénat", ajoutant que les forces militaires sont placées sous ses ordres. Derrière l'imprécision d'une telle disposition, on perçoit qu'il s'agit plutôt d'organiser la résistance face à un éventuel coup d'Etat que d'interdire l'entrée à des enquêteurs envoyés par un juge. Certes, ces derniers ont pris l'habitude de demander "l'autorisation" du Président avant de pénétrer dans le Palais du Luxembourg mais il s'agit d'une pure formule de courtoisie, le Président n'ayant aucun titre de compétence pour leur opposer un refus. Les observateurs notent d'ailleurs que, depuis 1958, six perquisitions ont eu lieu à l'Assemblée nationale, de décembre 1976 après l'assassinat de Jean de Broglie au 31 janvier 2017 dans le cadre du PenelopeGate. Dans tous les cas, le Président de l'Assemblée nationale ne s'est jamais opposé à ces procédures. Au Sénat, on se souvient que Gérard Larcher n'a mis aucun obstacle à la perquisition menée le 3 février dans cette même affaire Fillon. Les enquêteurs ont même pu consulter les pièces détenues par les services du Sénat et non pas seulement celles conservées dans le bureau de l'intéressé.

Sur ce point, aucune immunité ne peut être invoquée. Un bâtiment public, qu'il s'agisse ou non d'un Palais national, ne peut, en tant que tel, être soustrait aux investigations judiciaires. La loi de programmation militaire (LPM) du 29 juillet 2009 avait eu l'idée étrange de permettre la classification secret défense de bâtiments entiers, faisant ainsi échec aux perquisitions. Mais le Conseil constitutionnel, dans une décision du 10 novembre 2011 a estimé disproportionnée une disposition qui visait à soustraire une "zone géographique" aux pouvoirs d'investigation de l'autorité judiciaire. Il est donc à peu certain que le fait de considérer que le Sénat comme une zone de non-droit à l'abri des juges est inconstitutionnel. 

Quant à l'immunité de Michel Mercier, elle est encore plus improbable. Rappelons que l'immunité des parlementaires est mentionnée dans la Constitution elle-même, dans son article 26 al 1 : "Aucun membre du Parlement ne peut être poursuivi, recherché, arrêté, détenu ou jugé à l'occasion des opinions ou votes émis par lui dans l'exercice de ses fonctions". S'il existe  bien une irresponsabilité juridique des parlementaires, elle ne concerne que les actes directement rattachés à l'exercice du mandat, et pas ceux qui en sont détachables. Elle concerne dont les propos ou les votes tenus en séance, en commission, ce qui constitue le coeur de la fabrication de la loi. Elle ne saurait donc être invoquée pour s'opposer à des investigations sur d'éventuels détournements de fonds publics. La défense de François Fillon, après avoir invoqué ce moyen de défense, y a d'ailleurs rapidement renoncé. Pour ce qui est de Michel Mercier, l'immunité parlementaire est d'autant plus exclue qu'il a été nommé au Conseil constitutionnel par un décret du 2 août 2017 publié au Journal officiel du lendemain. Or les juges se sont présentés au Sénat le 4 août, c'est-à-dire à un moment où l'intéressé n'est plus membre du parlement mais membre du Conseil constitutionnel. Cette qualité s'apprécie en effet à la date de nomination, quand bien même il n'a pas encore prêté serment ni pris ses fonctions.

Le refus opposé par Gérard Larcher s'analyse donc comme une violation de la Constitution par celui-là même qui a pour fonction de la servir, comme autorité constituée. On rappellera à ce propos que le Président de la République "veille au respect de la Constitution", selon son article 5. Peut-être pourrait-il intervenir pour rappeler au Président du Sénat ses obligations constitutionnelles ? Il ne faudrait pas que les rappels à l'ordre ne visent que les militaires qui n'ont commis aucune atteinte à la Constitution. 


Réunion de la Commission des lois du Sénat
Réunion d'amis. Eustache Le Sueur. circa 1640


Le Conseil constitutionnel

 

Michel Mercier est donc membre du Conseil constitutionnel, et c'est, en soi, un problème. Rappelons en effet qu'il a été nommé à l'issue d'une procédure de confirmation dérogatoire par rapport au droit commun de l'article 13 de la Constitution. Selon ces dispositions, la nomination des titulaires des emplois les plus élevés de la fonction publique, dont la liste est fixée par une loi organique, est soumise à un avis public de la commission permanente de chaque assemblée. Le Président de la République ne peut alors procéder à la nomination lorsque l'addition des votes négatifs dans chaque commission, Assemblée et Sénat, représente au moins trois cinquièmes des suffrages exprimés au sein des deux commissions. On peut déjà observer qu'une majorité parlementaire solide peut empêcher toute mise en cause d'une nomination. Mais dans le cas du Conseil constitutionnel, l'avis n'est demandé qu'à la commission des lois de l'Assemblée dont le président est autorité de nomination. Autrement dit, la nomination de Michel Mercier n'a été soumise qu'à la commission des lois du Sénat. 

L'audition fut particulièrement réjouissante, et on se souvient que l'intéressé s'est borné, en propos liminaire, à annoncer qu'il produirait des pièces justifiant le travail de sa fille. Personne n'a relevé ses propos qu'elle exerçait ses fonctions "localement". Travaillait-elle pour le Sénat ou pour une collectivité locale ? Peu importe aux yeux des membres de la commission. Personne n'a suggéré non plus de suspendre le vote jusqu'à la production de ces pièces justificatives. On a parlé d'autre chose et la nomination de l'intéressé a été confirmée par 22 voix contre 7. Il est vrai que la situation n'était pas vraiment compliquée puisque Michel Mercier était lui-même membre de la Commission des lois, le Président Larcher ayant sans doute décidé, une bonne fois pour toutes, qu'il ne pouvait trouver des membres du Conseil constitutionnel ailleurs qu'au Palais du Luxembourg. La procédure de confirmation s'est donc déroulée entre soi, à la satisfaction générale et dans une parfaite connivence.

Le problème est que désormais la protection du Conseil constitutionnel ne peut plus être garantie que par l'institution elle-même. Dans un communiqué extrêmement concis et ne mentionnant jamais le nom de Michel Mercier, le Conseil constitutionnel rappelle les dispositions du décret du 13 novembre 1959. Il énonce que ses membres doivent "s'abstenir de tout ce qui pourrait compromettre l'indépendance et la dignité de leurs fonctions". Nul doute qu'une mise en examen constituerait à l'évidence un évènement de cet ordre. Surtout, le Conseil insiste sur l'article 5 du même décret qui affirme que si un de ses membres a manqué à ses obligations, le Conseil se prononce et peut constater sa démission d'office. La menace est à peine voilée et elle est suffisante. Il n'a pas été nécessaire de mener à terme cette procédure pour pousser Roland Dumas à la démission en février 2000, à l'époque où il était mis en examen dans l'affaire Elf. On observe d'ailleurs que le communiqué du Conseil émane du "Conseil constitutionnel" lui-même et non de son président seul, ce qui signifie qu'il a été délibéré par ses membres.

En dehors du cas particulier de Michel Mercier, l'affaire conduit à s'interroger sur la procédure de désignation des membres du Conseil. Est-il tout-à-fait normal qu'un membre du Conseil constitutionnel soit appelé à délibérer sur la conformité à la Constitution d'un texte qu'il défendait comme sénateur quelques semaines plus tôt ? Sur ce point, l'impartialité de l'intéressé n'est pas en cause, et on peut penser que les membres du Conseil constitutionnel souhaitent exercer leurs fonctions en toute indépendance d'esprit. En revanche, l'impartialité objective de l'institution qu'est le Conseil constitutionnel est posée. Rappelons que, aux yeux de la Cour européenne, le procès équitable suppose une institution qui paraît impartiale et qui, à ce titre, inspire confiance au justiciable.
Certes, on objectera que le Conseil constitutionnel n'est pas une juridiction, au sens français du terme. En droit européen cependant, c'est l'ensemble de la procédure contentieuse qui doit présenter des garanties d'impartialité. Or la QPC constitue désormais une étape essentielle dans une telle procédure, et la Cour européenne a déjà accepté d'apprécier une QPC, dans un arrêt Renard du 25 août 2015. En l'espèce, la contestation ne portait que sur le filtre des juridictions suprêmes, mais rien ne lui interdirait de s'interroger sur l'impartialité objective de l'institution.

On peut se réjouir que la suppression des membres de droit, c'est-à-dire des anciens Présidents de la République soit désormais envisagée mais la question de l'impartialité du Conseil concerne aujourd'hui l'ensemble de sa composition et des conditions de sa nomination. Si le cas de Michel Mercier pouvait conduire à une vraie réforme, il aurait finalement rendu service à l'institution...

Sur le conseil constitutionnel : Chapitre 3 section 2 § 1 du manuel de libertés publiques sur internet