Au Royaume-Uni, une telle interception a été mise en oeuvre par une loi de 2000 portant régulation des pouvoirs d'enquête (Regulation of Investigatory Powers Act), ensuite été modifiée par l'Investigatory Powers Act de 2016. A l'origine du présent recours se trouvent les révélations d'Edward Snowden sur les programmes de surveillance électronique mis en oeuvre par les services de renseignement américains et britanniques. Les associations requérantes, ayant leurs activités dans le domaine des droits de l'homme, pensent que leurs communications ont été soit communiquées aux services britanniques par les services américains qui les avaient interceptées, soit directement obtenues auprès des fournisseurs d'accès par les services britanniques. En tout état de cause, la requête devant la CEDH porte donc sur l'état du droit issu de la loi de 2000. L'intervention d'un nouveau texte en 2016 ne remet cependant pas en cause l'intérêt de la décision de la Cour.
En Suède, c'est une loi de 2009, modifiée à plusieurs reprises, relative au renseignement électronique qui est contestée par une fondation de protection des droits de l'homme. Comme au Royaume-Uni, ce texte permet aux services de renseignement l’interception de toute communication traversant la frontière suédoise par câble ou transmise par voie aérienne. Comme au Royaume-Uni, ces interceptions peuvent être le fruit d'une coopération internationale en matière de renseignement.
Les deux arrêts de la CEDH ont été salués comme une victoire par les associations oeuvrant dans le domaine de la protection des données. Il est vrai que la Cour estime que les régimes d'interception mis en place étaient dépourvus de garanties suffisantes pour protéger les libertés individuelles et les sanctionne donc pour ingérence disproportionnée dans le droit au respect de la vie privée. Il n'empêche que, malgré la sanction, le principe même des interceptions de masse n'est pas contesté.
Interceptions de masse et jurisprudence de la CJUE
Les parties requérantes soutiennent que les interceptions de masse ne sont ni nécessaires ni proportionnées au sens de l'article 8 de la Convention européenne de sauvegarde des droits de l'homme. A leurs yeux, elles ne relèvent donc pas de la marge d'appréciation accordée aux Etats, et constituent, en tant que telles, une ingérence disproportionnée dans la vie privée des personnes.
Leur analyse s'appuie sur la jurisprudence de la Cour de justice de l'Union européenne (CJUE), et plus particulièrement la décision Digital Rights Ireland Ltd du 8 avril 2014. La CJUE avait alors déclaré "invalide" la directive du 15 mars 2006 sur la rétention des donnée, accusée précisément de mettre en oeuvre une "surveillance de masse" par des moyens électroniques. Effectuant un contrôle de proportionnalité, la Cour de justice avait fait observer que la surveillance ne concernait pas seulement les personnes mêlées directement ou indirectement à une affaire pénale, mais aussi et même surtout des citoyens sur lesquels ne pesait aucun soupçon, aucune garantie de nature à protéger les données personnelles n'étant mise en oeuvre.
Par la suite, dans un arrêt rendu le 21 décembre 2016, la CJUE avait jugé non-conforme au droit de l'Union la législation d'un Etat membre imposant aux fournisseurs d'accès à internet et aux réseaux de télécommunications une obligation de "conservation généralisée et indifférenciée des données". La CJUE rappelait alors que le principe du secret des communications imposait que toute dérogation devait nécessairement être limitée, restreinte à ce qui est strictement nécessaire.
Big Brother is watching you. Shepard Fairey. 2006
Menace et interception de masse
La CEDH a refusé de reprendre purement et simplement la jurisprudence de la CJUE. Au contraire, elle rappelle le processus de l'interception de masse. Une première étape consiste ainsi à intercepter en masse les communications (paquets) dont la plupart ne présentent aucun intérêt pour les services de renseignements et peuvent d'ores et déjà être éliminées. La deuxième étape définit des "sélecteurs" appliqués aux paquets par la voie électronique (adresses, requêtes complexes). A ce stade, il est possible qu'un individu soit déjà ciblé. Mais c'est seulement à la troisième étape qu'intervient un analyste et c'est à la quatrième et dernière étape que les services de renseignement utilisent réellement les informations interceptées. Autrement dit, l'ELINT (Electronic Intelligence) cède la place à HUMINT (Human Intelligence) dès la 3è étape, remettant en cause l'idée même d'une surveillance de masse.
La CEDH considère que le respect de la vie privée doit être une préoccupation à chacune de ces quatre étapes, mais l'intensité de l'ingérence augmente au fur et à mesure que se déroule ce processus complexe.
De cette analyse, la CEDH déduit que l'interception de masse de données personnelles n'emporte pas, en soi, une ingérence disproportionnée dans le droit à la vie privée. Au contraire, elle estime que le recours à un tel système est une décision qui relève de la marge d'appréciation des Etats. Et elle ajoute que cette interception peut être admise "compte tenu, d’une part, de la prolifération des menaces que font aujourd’hui peser sur les États des réseaux d’acteurs internationaux qui utilisent Internet à la fois pour communiquer et comme outil et, d’autre part, de l’existence de technologies sophistiquées qui peuvent permettre à ces acteurs d’échapper à la détection". La menace, et plus particulièrement la menace terroriste, justifie donc le recours à ces interceptions de masse.
Les garanties "de bout en bout"
La Cour européenne refuse ainsi de faire un amalgame, souvent réalisé, entre interception de masse et surveillance de masse. Dès la seconde étape des interceptions, telle qu'elle la décrit, l'interception se transforme en surveillance, mais elle devient plus ciblée. Cela ne signifie pas que la Cour laisse aux Etats toute latitude pour définir le régime juridique de cette technique de renseignement électronique.
Au contraire, la CEDH dresse une liste très complète des garanties que doit intégrer ce régime juridique. Il doit ainsi préciser les motifs pour lesquels une interception de masse est autorisée, les circonstances dans lesquelles l'accès aux communications d'une personne peut être autorisé, la procédure d'octroi d'une autorisation à l'autorité chargée de cette mission, les critères et procédures mis en oeuvre pour trier les informations interceptées, les précautions à prendre pour leur partage, les règles d'effacement des données. Il doit aussi prévoir l'intervention d'une autorité indépendante, chargée de contrôler le respect de ces garanties, et c'est sur ce point que les systèmes britanniques et suédois sont sanctionnés.
Le partage des données
Ces garanties "de bout en bout" n'interdisent pas la coopération entre les services de renseignement. Les échanges de données dénoncés par Snowden entre la NSA américaine et les services britanniques ne sont donc pas, en soi, illicites, dès lors que des procédures spécifiques sont prévues pour organiser ce partage. Sur ce point, la décision Big Brother Watch va, une nouvelle fois, à l'encontre de la jurisprudence de la CJUE.
La CEDH affirme en effet que l'État qui transfère les informations doit s'assurer que l'État destinataire a mis en place des garanties destinées à assurer une protection des données personnelles. C'est évidemment présumer que cette protection est équivalente aux États-Unis et au Royaume-Uni. Or on se souvient que la CJUE, dans une affaire Schremms 1 du 6 octobre 2015, avait écarté un premier accord Safe Harbor entre l'Union européenne et les Etats-Unis affirmant que les deux systèmes juridiques offraient un niveau de protection équivalent. Plus récemment, un second accord Privacy Shield reposant sur le même postulat a subi le même sort avec la décision Schremms 2 du 6 juillet 2020. Au contraire de l'Union européenne, la CEDH feint donc de considère que les deux systèmes ont un niveau de protection équivalente.
Il est vrai que le Brexit est passé par là, et que le Royaume-Uni n'est plus lié par les décisions de la CJUE. Il peut donc continuer à partager ses données de renseignement avec les États-Unis et la CEDH ne l'interdit pas. Certes, on pourrait conclure, avec l'opinion partiellement dissidente du juge Pinto de Albuquerque, que la CEDH est moins protectrice que la CJUE, mais pouvait-elle statuer autrement ? Les gouvernements français, des Pays-Bas et de Norvège, comme tiers intervenants, ont tous plaidé en faveur des interceptions de masse et du partage de renseignement. Tous ont invoqué l'intensité de la menace terroriste. L'interdiction de ces interceptions par la Cour n'aurait certainement pas conduit à la disparition de ces interceptions mais plutôt à leur maintien, dans une opacité juridique soigneusement entretenue par les services de renseignement. La CEDH a donc préféré faire preuve de réalisme et tolérer cette pratique, en s'efforçant de lui donner un cadre juridique.