Article 13 de la loi de programmation militaire : un débat nécessaire

Depuis quelques jours, les réseaux sociaux relayés par la presse, révèlent une inquiétude à l'égard de l'article 13 de la loi de programmation militaire (LPM), adoptée en seconde lecture par le Sénat le 10 décembre 2013. Ce texte a pour objet de définir le cadre juridique des procédures d'accès des services de renseignement aux données personnelles circulant sur internet. Les uns qualifient le dispositif de "dictature numérique", les autres de "Big Brother à la française".

On peut certes regretter que cette préoccupation soit très tardive, car le projet de loi a été déposé devant le Sénat le 2 août 2013. C'est sans doute la raison pour laquelle l'analyse juridique fait largement défaut. Or, c'est précisément cette étude juridique qui rend évident la nécessité d'un débat largement ouvert sur les données personnelles qui doivent, ou ne doivent pas, être communicables aux services de renseignement.

Que dit l'article 13  ?

Ce désormais célèbre article 13 introduit dans le code de la défense un nouveau chapitre VI intitulé "Accès administratif aux données de connexion". Dans ce chapitre VI, un nouvel article L 246-1 autorise les ministères de la défense, de l'intérieur et de l'économie et des finances à accéder aux "informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques", c'est à dire aux identifiants de connexion, à la localisation des équipements utilisés, ou encore à la liste des numéros appelés et appelant, la date et la durée des communications. De manière très concrète, l'article 13 vise l'utilisation des données personnelles par les services de renseignement, utilisation qui fait l'objet de multiples fantasmes mais d'un encadrement juridique minimaliste.

Ces dispositions doivent figurer dans le code de la défense et il convient de rappeler que la "stratégie de sécurité nationale" comme la "politique de défense" (art. L 111-1 code de la défense cd) incombent au "pouvoir exécutif, dans l'exercice de ses attributions constitutionnelles". Nul n'ignore évidemment que les services de renseignement sont rattachés au ministère de l'intérieur (DCRI) ou de l'intérieur (DGSE pour la sécurité extérieure et DRM et DPSD pour la sécurité militaire).

En revanche, beaucoup de Français ignorent l'importance du rôle du ministère de l'économie dans ce domaine. C'est lui qui est plus spécialement chargé de la défense économique, c'est à dire de la sécurité des infrastructures et des secteurs d'activité d'importance vitale (celles dont le dysfonctionnement provoquerait un arrêt de l'économie du pays), de la protection du patrimoine scientifique et technique des entreprises, de la sécurité des systèmes d'information des organismes publics. C'est ainsi que les agents des douanes participent ainsi à la lutte contre le financement du terrorisme.  C'est ainsi que le ministère de l'économie aide les entreprises à se protéger de certaines menaces, protection fort utile si l'on considère que certains pays comme les Etats Unis n'hésitent pas à utiliser leurs formidables instruments d'espionnage électronique pour permettre à leurs entreprises de gagner des marchés.

Conversation secrète. Francis Ford Coppola. 1974. Gene Hackman

 La loi du 10 juillet 1991

 
Cette intégration du ministère de l'économie dans le dispositif législatif surprend d'autant moins que l'Article 13 reprend, sur ce point comme sur d'autres, les dispositions qui figuraient déjà dans la loi du 10 juillet 1991. Ce texte est intervenu à une époque où l'absence de législation sur les écoutes téléphoniques avait provoqué la condamnation de la France par la Cour européenne des droits de l'homme. Dès 1978, dans son célèbre arrêt Klass et autres c. Allemagne, elle a estimé qu'une écoute constitue une ingérence dans la vie privée au sens de l'article 8 de la Convention. Cette ingérence n'est cependant pas nécessairement illicite si deux conditions sont réunies. D'une part, une loi doit les autoriser et organiser les conditions de leur mise en oeuvre. D’autre part, cette loi doit se révéler nécessaire pour sauvegarder la sécurité nationale, assurer la défense de l’ordre public, et la prévention des infractions pénales. Pour ne pas disposer d'un tel instrument législatif, la France a été condamnée par la Cour dans les arrêts Kruslin et Huvig de 1990 qui portaient, rappelons-le, sur des écoutes judiciaires. 

L'intervention du législateur français était donc nécessaire et la loi de 1991 pose un principe d'interdiction des écoutes, assorti de deux exceptions définies par la loi. Le principe d'interdiction est garanti par l'art. 226-1 du code pénal qui les punit d'une peine d'un an d'emprisonnement et de 45 000 € d'amende. La première exception réside dans les écoutes judiciaires et l'on sait que ces dernières ne peuvent être pratiquées qu'avec l'autorisation du juge d'instruction, ou du juge des libertés et de la détention au stade de l'enquête préliminaire.

Les interceptions de sécurité

Restent évidemment les plus délicates, les écoutes administratives ou plus exactement les "interceptions de sécurité", qui sont définies par la loi de 1991, dans son article 3, comme celles qui ont pour objet de "rechercher des renseignements intéressant la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous (...)".  Le champ d'application de ces écoutes est donc à la fois très vaste et très imprécis. A l'époque, il ne s'appliquait qu'aux écoutes téléphoniques. Il a ensuite été étendu à l'ensemble des communications électroniques par la loi du 23 janvier 2006, mais la finalité des interceptions était alors limitée à la lutte contre le terrorisme. L'article 13 de la présente LPM reprend aujourd'hui ce dispositif, mais en étendant la liste des demandeurs d'interceptions à l'ensemble des services chargés du renseignement. Sur la plan strictement juridique, l'article 13 de la LPM se présente donc comme une sorte de "copier-coller" de dispositions initiées à l'époque du téléphone et désormais étendues à l'ensemble des données circulant sur internet. 

La saisine du Conseil constitutionnel

C'est la raison pour laquelle la saisine du Conseil constitutionnel n'est pas nécessairement une solution. Certains semblent en effet considérer que ce grand protecteur des droits de l'individu et des données personnelles déclarera immédiatement l'article 13 inconstitutionnel. C'est pourtant loin d'être certain, si l'on considère sa jurisprudence. 

Dans une décision du 28 décembre 2000, il affirme ainsi que les dépenses liées interceptions de sécurité en matière téléphonique ne sauraient être imputées aux opérateurs. Et il précise que ces derniers ne font alors qu'apporter leur concours à des "interceptions justifiées par les nécessités de la sécurité publique, dans l'intérêt général de la population". Autant dire que le principe même des écoutes administratives n'est pas considéré, en soi, comme portant atteinte à des normes constitutionnelles. Exerçant son contrôle de proportionnalité, la CNIL pourrait-elle considérer que l'ingérence dans la vie privée est excessive,  lorsqu'elle concerne les données circulant sur internet ? Peut-être, mais le résultat du recours demeure néanmoins aléatoire.

Force est donc de constater que ces interceptions ne sont pas nécessairement inconstitutionnelles. Mais cette constatation n'a pas pour effet de clore le débat juridique.

Incertitude du champ d'application

Au regard de son champ d'application, l'article 13 de la LPM se caractérise par une grande incertitude, liée à sa définition téléologique. Il reprend sur ce point, la formulation de la loi de 1991, les écoutes téléphoniques sont licites lorsqu'elles ont pour finalité de rechercher des "renseignements intéressant la sécurité nationale". Le Conseil constitutionnel ne contribue pas à préciser les choses lorsqu'il invoque la "nécessité publique" ou "l'intérêt général de la population". Autant dire que cette définition téléologique est aussi tautologique : sont finalement communicables les données dont les services de renseignement déclarent avoir besoin, dans le cadre de leur mission.

Certes, l'efficacité de ces services doit être assurée, et ils doivent bénéficier de certaines prérogatives pour assurer leurs missions. Le renseignement demeure un élément indispensable à l'exercice par l'Etat de ses activités de souveraineté. On constate d'ailleurs, non sans intérêt, que la critique la plus virulente de l'article 13 est probablement celle développée par l'Association des sites internet communautaires (ASIC), qui a publié plusieurs communiqués alarmistes sur le sujet. Or l'ASIC compte parmi ses membres toutes les entreprises américaines du secteur, de Facebook à Google, en passant par Skype et DailyMotion. Avouons qu'il est assez étonnant de les voir s'offusquer de la loi française qu'elles dénoncent comme attentatoire à la vie privée alors qu'elles n'hésitent à transmettre leurs données en masse à la NSA. En clair, il convient de collaborer avec les services américains, et de dénoncer les services français.

Pour assurer la légitimité de l'action des services français, il convient sans doute de réfléchir sur les procédures d'accès ces données personnelles. La procédure actuelle, issue de la loi de 1991 reprise purement et simplement par l'article 13 de la LPM, est bien loin d'être satisfaisante. Elle repose sur deux principes. D'abord la centralisation des interceptions qui sont autorisées par une "personnalité qualifiée" placée près du Premier ministre et désignée par la Commission nationale de contrôle des interceptions de sécurité (CNCIS). Le système permet sans doute d'éviter des interceptions intempestives décidées par des agents subalternes, mais il ne constitue pas, en soi, la garantie qu'un équilibre entre l'intérêt de l'Etat et celui de la vie privée des personnes sera effectivement recherché.

La CNCIS, autorité plus administrative qu'indépendante

Ensuite, et c'est sans doute le défaut essentiel de la procédure, la CNCIS qui désigne la "personnalité qualifiée" et qui a pour mission de contrôler les interceptions de sécurité est une autorité administrative indépendante, nettement plus administrative qu'indépendante.

Elle est composée de trois membres, un député, un sénateur, et son président, généralement un conseiller d'Etat. Ce dernier est choisi par le Président de la République sur une liste de quatre noms établie conjointement par le vice président du Conseil d'Etat et le premier président de la Cour de cassation. Quant aux deux parlementaires, chacun d'entre eux est désigné par le Président de leur assemblée et leur mandat n'est pas renouvelable. Le statut d'indépendance des membres n'est donc ni meilleur ni pire que celui des membres d'autres autorités indépendantes.

En revanche, la procédure devant la CNCIS est marquée par une certaine opacité. De sa propre initiative, ou à la demande d'une personne qui craint d'être l'objet d'une écoute, elle peut donner au Premier ministre une "recommandation", demandant l'interruption d'une écoute. Celui-ci n'est évidemment pas tenu de la suivre, et le demandeur est seulement avisé que les vérifications nécessaires ont été effectuées, sans qu'il puisse jamais savoir s'il a été ou non l’objet d’une interception. Si l'on se place du côté de l'intéressé, on imagine sa frustration face à une procédure qui ressemble étrangement au "droit d'accès indirect" qui s'exerce devant la CNIL pour les données personnelles conservées à des fins de sécurité publique. Le demandeur est avisé que des vérifications ont été faites, et il ne saura jamais s'il était fiché et ignorera toujours le contenu des informations conservées sur son compte.

Rouvrir le débat ?

L'article 13 de la LPM se borne finalement à reprendre à son compte un dispositif ancien et imparfait, et aucun débat n'a réellement eu lieu sur le sujet. La CNIL, dans un communiqué du 26 novembre 2013, "déplore" ainsi de ne pas avoir été saisie des dispositions de l'article 13. Observons cependant que cette saisine n'avait rien d'obligatoire, puisqu'en l'espèce il ne s'agit pas de créer des traitements automatisés de données personnelles, mais d'accéder à des données personnelles circulant sur internet. Le gouvernement aurait cependant pu solliciter cet avis,  de nature à éclairer le débat parlementaire, voire à le susciter. 

Le renseignement est désormais au coeur de la stratégie de défense et de sécurité. Dans ce domaine, la présente LPM présente des aspects positifs, notamment par l'approfondissement des moyens de contrôle du parlement dans ce domaine, avec le renforcement des prérogatives de la délégation parlementaire au renseignement (DPR). Il est, dès lors, un peu surprenant, que le socle juridique de l'accès aux données personnelles n'ait pas été discuté, et que le parlement se soit borné à reprendre un dispositif ancien et pour le moins obsolète. De leur côté, les services de renseignement ont tout à gagner d'un débat démocratique dans ce domaine, puisque c'est leur légitimité même qui se trouvera renforcée. Reste à trouver le moyen de reprendre le débat parlementaire. Le Président de la République ne pourrait-il pas s'appuyer sur l'article 10 de la Constitution et demander une nouvelle délibération sur l'article 13 ?

Etat d'urgence et contrôle parlementaire

Un décret n° 2015-1476 du 14 novembre 2015, adopté en conseil des ministres à 00h, déclare l'état d'urgence sur le territoire métropolitain et en Corse. Il a été modifié, quelques heures plus tard, par un décret n° 2015-1478 qui précise les restrictions qui peuvent être apportées aux libertés publiques au nom de cet état d'urgence.

Définition

Avant toutes choses, il convient de définir l'état d'urgence qui ne doit pas être confondu avec des notions voisines. Il se distingue d'abord de l'Article 16 de la Constitution qui confère au Président de la République des pouvoirs exceptionnels "lorsque les institutions de la République, l'indépendance de la Nation, l'intégrité de son territoire ou l'exécution de ses engagements internationaux sont menacés d'une manière grave et immédiate et que le fonctionnement régulier des pouvoirs publics constitutionnels est interrompu". Les constituants de 1958 songeaient surtout au désastre de juin 1940, c'est-à-dire à l'invasion du territoire. Dans le cas des attentats terroristes du 13 novembre, l'intégrité du territoire n'a pas été réellement menacée et le fonctionnement des pouvoirs publics, heureusement, n'a jamais été interrompu.

L'état de siège, quant à lui, figure dans l'article 36 de la Constitution. Décidé par décret en conseil des ministres, il peut être prorogé au-delà de douze jours par le Parlement. Il consiste à donner à l'autorité militaire des pouvoirs très étendus dans le but de rétablir l'ordre et s'analyse comme un transfert du pouvoir civil aux mains des militaires. Il ne peut être utilisé cependant qu'en cas "de péril imminent résultant d'une guerre étrangère ou d'une insurrection à main armée". C'est donc l'hypothèse de la guerre, voire de la guerre civile, qui est visée. De fait, l'état de siège n'a pas été utilisé depuis les deux conflits mondiaux (décrets des 2 août 1914 et 2 septembre 1939). Inutile de dire que même si l'on affirme être en "guerre" contre le terrorisme, cette formulation relève de la communication. La lutte contre le terrorisme n'a rien à voir avec un conflit armé entre Etats ou avec une guerre civile.

L'état d'urgence, quant à lui, est dépourvu de fondement constitutionnel spécifique. Sa base juridique repose sur la loi du 3 avril 1955, votée lors du conflit algérien. Il peut être déclaré par décret en conseil des ministres, soit en cas de "péril imminent résultant d'atteintes graves à l'ordre public", soit en cas d'"évènements présentant par leur nature et leur gravité le caractère de calamités publiques". Sa mise en place entraine l'accroissement des compétences des autorités civiles, et notamment des préfets, mais ne modifie en rien celles des autorités militaires.  Il a été utilisé durant la guerre d'Algérie de 1955 à 1963, en Nouvelle Calédonie de décembre 1984 à juin 1985, et enfin en novembre 2005 lors des émeutes qui se sont déroulées dans les banlieues de certaines villes. Ce régime d'exception avait alors été prorogé pendant trois semaines.

Le Conseil constitutionnel, dans une décision du 25 janvier 1985 portant précisément sur l'état d'urgence en Nouvelle Calédonie, a affirmé la compétence législative pour sa prorogation. Il rappelle que le législateur a reçu compétence, par l'article 34 de la Constitution, pour fixer les règles relatives aux libertés publiques. Il lui appartient donc d'"opérer la conciliation nécessaire entre le respect des libertés et la sauvegarde de l'ordre public". Alors même que la Constitution ne mentionne pas l'état d'urgence, le Conseil constitutionnel confirme la valeur constitutionnelle du principe de la compétence législative pour en décider la prorogation. Dans les jours qui viennent, le conseil des ministres va donc adopter un projet de loi décidant une telle prorogation au-delà des douze jours initiaux.

Les prérogatives conférées par l'état d'urgence

Le contenu des prérogatives autorisées par l'état d'urgence est, en quelque sorte, à géométrie variable.

Sur la plan géographique tout d'abord, puisque la loi de 1955 permet de délimiter des zones territoriales à l'intérieur desquelles certaines libertés peuvent faire l'objet de restrictions. En l'espèce, les décrets de 2015, reprenant la formulation quelque peu désuète de la loi de 1955, affirment que l'état d'urgence s'applique à l'ensemble du "territoire métropolitain et à la Corse". On se souvient qu'en 2005, l'état d'urgence avait été limité à un certain nombre de ville énumérées dans le décret.

Sur le plan des libertés faisant l'objet de restrictions, les décrets précisent que les mesures susceptibles d'être  prises sont celles visées par les articles 5, 6, 8, 9, 10 et l'alinéa 1 de l'article 11. La formulation n'est guère éclairante. En termes plus simples, les libertés de circulation et de réunion peuvent être réglementées ou interdites, en particulier par une recours à la procédure d'assignation à résidence. Le principe de sûreté est également atteint par la possibilité offerte à l'administration de réaliser des perquisitions, de jour comme de nuit. D'une manière générale, la caractéristique essentielle de ces mesures est de relever du pouvoir discrétionnaire de l'Exécutif, sans intervention préalable du juge.

Il convient de noter que les décrets ne font pas référence à l'article 11 alinéa 2 de la loi de 1955 qui autorise les atteintes à la liberté d'expression, y compris par l'interdiction de journaux, de représentations cinématographiques ou théâtrales. L'idée générale est de prendre des dispositions facilement applicables aux individus jugés dangereux, mais de faire en sorte que les libertés de l'écrasante majorité de la population ne soient pas profondément atteintes. La seule exception concerne les restrictions de circulation à proximité de lieux considérés comme d'éventuelles cibles des terroristes mais, à dire vrai, elles pouvaient déjà être décidées en dehors de tout état d'urgence.

S'il n'existe pas d'intervention a priori du juge judiciaire, il existe une intervention a posteriori du juge administratif. Les mesures prises sur le fondement de l'état d'urgence sont susceptibles de recours dans les conditions du droit commun. Les décrets de 2015 écartent ainsi la procédure prévue par l'article 7 de la loi de 1955 qui permettait d'organiser une procédure préalable devant une simple commission consultative.

Si le contrôle contentieux a le mérite d'exister, il ne permet pas un contrôle global de la mise en oeuvre de l'état d'urgence.

Or, le risque de l'état d'urgence pour les libertés réside dans sa pratique générale, dans l'éventuelle installation d'une routine qui conduit à utiliser la procédure d'exception quand on peut utiliser celle du droit commun. L'état d'urgence n'est donc concevable que pour une durée par définition limitée, les conditions de son utilisation devant être réunies à chaque prorogation. Il appartiendra au Parlement, compétent pour décider de la prorogation, de s'assurer que le péril terroriste demeure "imminent". Les questions essentielles sont donc celles de l'information et du contrôle parlementaire sur l'état d'urgence.

Etat d'urgence. Bernard Lavilliers. 1983

L'intervention du Parlement

Le problème actuel est que le Parlement est compétent pour proroger l'état d'urgence, mais qu'il n'est pas nécessairement très bien armé pour en assurer le contrôle. Observons que les lois du 25 janvier 1985 et du 18 novembre 2005 prorogeant l'état d'urgence en Nouvelle Calédonie et dans les banlieues de certaines villes présentent comme caractéristique d'être extrêmement sommaires.  Elles se bornent à se prononcer sur le principe de la prorogation, sans se prononcer sur les mesures susceptibles d'être prises. Or, on ne voit pas ce qui justifie juridiquement cette abstention. Rien n'interdit au parlement de présenter des amendements et, le cas échéant, de débattre de l'étendue des restrictions envisagées. 

De la même manière, le Parlement dispose du pouvoir essentiel de fixer la durée de la prorogation, même si celle-ci figure dans le projet de loi. Il peut imposer une durée lui permettant de "revoir" la situation à un rythme qu'il peut définir. En 2005, lors de la crise des banlieues, le Parlement avait ainsi prononcé une prorogation de trois mois, précisant qu'il serait possible à l'Exécutif de mettre fin à l'état d'urgence par décret avant l'expiration de ce délai de trois mois. Finalement, ce fut chose faite le 4 janvier 2005, soit deux mois environ après l'entrée en vigueur de la loi de prorogation.

Cette maîtrise de la durée dont dispose le Parlement n'est cependant réellement efficace que s'il dispose d'une réelle possibilité de contrôler la mise en oeuvre de l'état d'urgence.

Le contrôle parlementaire

Le Président de la République va utiliser la procédure créée par la révision constitutionnelle de 2008, qui lui permet de prendre la parole devant le Congrès (art. 18 al. 2 de la Constitution). On ne doute pas qu'il expliquera les motifs qui l'ont conduit à recourir à l'état d'urgence, et l'étendue des mesures envisagées. Mais il s'agit là d'une information destinée autant à l'opinion qu'au Parlement. Il s'agit aussi d'une information préalable à la mise en oeuvre de l'état d'urgence, qui n'emporte donc aucune conséquence sur l'information ultérieure des parlementaires.

L'information spécifique du Parlement ne peut donc intervenir qu'à sa propre initiative. La Commission des lois qui sera saisie du projet de loi de prorogation pourra sans doute exercer, dans toute son étendue, les prérogatives attribuées aux commissions parlementaires par l'article 145 du règlement de l'Assemblée nationale. Ce texte précise en effet qu'elles "assurent l'information de l'Assemblée pour lui permettre d'exercer son contrôle sur la politique du gouvernement". Elles peuvent donc créer des missions d'information qui peuvent demander des informations et entendre les principaux intéressés.

En l'espèce, le plus efficace serait sans doute de créer une mission d'information temporaire (art. 145 al. 2 du règlement de l'Assemblée nationale) portant sur les conditions d'application de la loi de prorogation. Sa durée serait alignée sur celle de la prorogation, ce qui permettrait au Parlement d'obtenir une information plus complète d'un Exécutif soucieux d'obtenir, le cas échéant, une seconde prorogation de l'état d'urgence. Surtout, cette formule permet d'ouvrir la commission temporaire aux membres des autres Commissions permanentes, en particulier celles de la Défense et des affaires étrangères.

Le problème essentiel n'est cependant peut-être pas dans l'organe chargé de l'information du Parlement, mais plutôt dans l'étendue de l'information effectivement accessible aux parlementaires.

La question du secret

Il existe un embryon de contrôle parlementaire des services de renseignement. Une loi du 9 octobre 2007 a ainsi créé une délégation parlementaire au renseignement, dont les membres sont habilités à recevoir communication de ce type de données. Mais son activité demeure cantonnée au renseignement et le contrôle de l'état d'urgence dépasse largement cette seule question. S'il n'est pas inutile que certains membres de la Commission des lois, et d'abord son Président, soient également membres de la délégation, l'information du parlement demeure lacunaire. 

Le principe de l'opposabilité du secret de la défense nationale aux parlementaires n'est, en effet, pas remis en cause de manière substantielle. Les commissions d'enquête ne peuvent ainsi obtenir la communication de pièces couvertes par le secret (ordonnance du 17 novembre 1958), prohibition confirmée par le Conseil constitutionnel, dans sa décision du 27 décembre 2001.    

La loi du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale a quelque peu élargi l’information accessible aux parlementaires en dressant une liste de pièces susceptibles de leur être communiquées. Mais il ne s’agit que de documents d’ordre général et de rapports d’inspection. La loi prend d’ailleurs la précaution d’affirmer que la communication ne peut porter  "ni sur les opérations en cours de ces services, ni sur les instructions données par les pouvoirs publics à cet égard, ni sur les procédures et méthodes opérationnelles, ni sur les échanges avec des services étrangers ou avec des organismes internationaux compétents dans le domaine du renseignement. » Dans l’état actuel du droit, l’information du parlement dans ce domaine demeure donc très lacunaire.

 
Considéré sous cet angle, le débat parlementaire sur la loi prorogeant l'état d'urgence pourrait être l'occasion d'une réflexion de fond sur le contrôle parlementaire. Une loi visant à organiser un régime d'exception, et par là même nécessairement attentatoire aux libertés, ne peut en effet être acceptée que si les représentants du peuple sont associés au contrôle de sa mise en oeuvre. Car la loi est, avant tout, l'expression de la volonté générale et non pas l'expression d'un besoin, même parfaitement justifié, de l'Exécutif.

Sur l'état d'urgence : conclusion du Chapitre 2 du manuel de Libertés publiques sur internet.

Le Conseil d'Etat écarte Digital Rights

Dans un arrêt du 12 février 2016, le Conseil d'Etat rejette le recours déposé par différentes associations dont French Data Network et La Quadrature du net, et dirigé contre le décret du 24 décembre 2014. Relatif à l'accès administratif aux données de connexion, ce texte applique la loi de programmation militaire du 18 décembre 2013.

Dans un article 20 qui avait suscité beaucoup de débats en son temps, ce texte autorise l'accès des services de renseignement aux "informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques", c'est à dire aux identifiants de connexion, à la localisation des équipements utilisés, ou encore à la liste des numéros appelés et appelant, la date et la durée des communications. Cet accès doit reposer notamment sur les impératifs de la lutte contre le terrorisme ou la grande criminalité.

Légalité externe : faiblesse des moyens

Les moyens invoqués à l'appui du recours sont d'un intérêt variable, et même très variable si l'on considère que les associations requérantes, représentées par Maître Spinosi, n'ont pas hésité à invoquer la non conformité du décret à une circulaire du 17 février 2011 dont l'objet est d'organiser le travail gouvernemental. On comprend que le Conseil d'Etat n'ait pas prêté beaucoup d'attention à cette conception particulièrement innovante de la hiérarchie des normes.

Est également écarté, avec la même rapidité, le moyen reposant sur l'absence de notification à la Commission européenne du projet de décret. La directive du 22 juin 1998 n'impose une telle procédure qu'aux textes comportant des règles techniques, notamment celles relatives aux produits industriels ou agricoles. 

Seuls les moyens de légalité offrent donc un intérêt réel. Encore sont-ils limités dans leur étendue, car les requérants ne pouvaient sérieusement invoquer une atteinte à une liberté constitutionnellement garantie. Le Conseil constitutionnel a déjà affirmé, en effet, dans une décision du 24 juillet 2015 rendue sur QPC, la constitutionnalité de l'article 20 de la loi de programmation militaire.

L'absence de violation de la Convention européenne de sauvegarde des droits de l'homme

Ne pouvant invoquer l'inconstitutionnalité, les associations requérantes se tournent vers la violation des articles 8 de la Convention européenne de sauvegarde des droits de l'homme et de la Charte des droits fondamentaux de l'Union européenne. Le premier garantit le droit au respect de la vie privée sous toutes ses facettes, le second consacre plus spécifiquement la protection des données.

Le Conseil d'Etat applique alors un contrôle maximum classique. Il observe ainsi que le décret de 2014 n'autorise l'accès aux données que pour des motifs limitativement énumérés, qu'il prévoit leur conservation par les fournisseurs d'accès pendant une année repose sur des règles précises et contraignantes et que seuls peuvent y accéder des agents spécifiquement habilités à cette fin. Enfin, le juge note que les services peuvent conserver ces données, sur un fichier géré par les services du Premier ministre, durant une période pouvant aller jusqu'à trois années. Cette conservation comme les demandes d'accès sont placées sous le contrôle de la Commission nationale de contrôle des interceptions de sécurité (CNCIS) et du juge administratif. Après avoir soigneusement énuméré tous ces éléments, le Conseil d'Etat en déduit donc que le décret de 2014 n'emporte pas une atteinte excessive au droit au respect de la vie privée et à la protection des données personnelles.

L'arrêt Digital Rights écarté par le Conseil d'Etat

Doit-on déduire de tout cela que la décision du Conseil d'Etat n'est jamais que l'un des ces nombreux arrêts qui écartent un recours perdu d'avance ? Tout de même pas, car il faut bien reconnaître que le Conseil d'Etat aurait pu demander à la Cour de justice de l'Union européenne (CJUE) d'apprécier la conformité du décret de 2014 à la Charte des droits fondamentaux de l'Union européenne.

Le Conseil d'Etat écarte donc, mais c'est son droit le plus strict, l'arrêt Digital Rights Ireland Ltd rendu par la CJUE le 8 avril 2014.  Sur question préjudicielle posée par les juridictions suprêmes irlandaise et autrichienne, elle déclare  "invalide"  la directive du 15 mars 2006 sur la rétention des données qui obligeait les opérateurs de télécommunication et les fournisseurs d'accès à internet (FAI) à conserver les données relatives aux communications de leurs abonnées pour une "durée minimale de six mois et maximale de deux ans, (...) afin de garantir "la disponibilité de ces données à des fins de recherche, de détection et de poursuite d'infractions graves". La finalité de lutte contre le terrorisme et la grande criminalité était utilisée comme justification à des programmes de conservation des données de l'ensemble d'une population.

La Cour de justice observe que, en raison du caractère massif de la collecte, les données ainsi conservées sont susceptibles de donner des informations précises sur les habitudes de vie d'une personne, ses lieux de séjour et ses déplacements, ses activités et ses relations à l'étranger. La Cour consacre ainsi la spécificité de cette notion de surveillance de masse, définie comme permettant à la fois le repérage permanent et le profilage d'une personne.

Aux yeux des associations requérantes, le Conseil d'Etat aurait dû annuler le décret de 2014 au motif qu'il imposait une surveillance de masse en violation avec la jurisprudence Digital Rights, ou, au moins, poser une question préjudicielle à la CJUE pour qu'elle apprécie sa conformité au droit de l'Union européenne. Le Conseil d'Etat a refusé l'une et l'autre option.

Force est de constater qu'il en avait parfaitement le droit. Le renvoi en interprétation est en effet une faculté offerte aux juridictions nationales. Il est vrai que, dans son rapport sur les libertés numériques, publié fin 2014, la section du rapport et des études du Conseil d'Etat affirmait que la jurisprudence Digital Rights pose "la question de la conformité au droit de l'Union européenne des législations nationales, telles que la législation française, qui prévoient une telle obligation de conservation générale des données de connexion". Mais nul n'ignore que les travaux de la section du rapport ne sont dotés d'aucune puissance juridique et qu'ils n'ont d'ailleurs que peu d'influence sur les décisions du Conseil d'Etat statuant au contentieux.

De ce refus de poser une question préjudicielle, il convient sans doute de déduire que le Conseil d'Etat demeure attaché au principe selon lequel l'activité des services de renseignement relève naturellement de la souveraineté de l'Etat. Ce n'est donc pas à une juridiction européenne de se prononcer sur de telles questions, surtout lorsque le législateur a déjà défini l'encadrement des pratiques de ces services. C'est, en tout cas, le message que le Conseil d'Etat envoie par cet arrêt.

Et si le Conseil constitutionnel osait l'Habeas Data ?

La loi sur le renseignement est actuellement devant le Conseil constitutionnel, après une triple saisine du Président de la République, du Président du Sénat et de soixante députés. 

La saisine du Président de la République, inédite sous la Vè République, a quelque peu masqué le débat de fond. On a même vu le Président du Conseil constitutionnel, Jean-Louis Debré, affirmer sur BFM que le Président de la République ne pouvait effectuer une "saisine blanche", c'est-à-dire une saisine dépourvue d'arguments juridiques. Même en cherchant soigneusement dans la Constitution et dans les textes gouvernant le fonctionnement du Conseil, on ne trouve pas le fondement juridique d'une telle affirmation. Au demeurant, lorsque le Conseil est saisi de la conformité d'un traité à la Constitution, il s'agit toujours d'une "saisine blanche", et personne ne s'en est jamais offusqué. Quoi qu'il en soit, les services de l'Elysée ont transmis une saisine qui n'est pas "blanche", mais qui n'est pas non plus très argumentée.

Sur le fond, chacun avance ses arguments. Des mémoires d'"amicus curiae" sont diffusés sur internet, même si chacun sait qu'ils ne peuvent être produits dans le contrôle de constitutionnalité a priori . Ils témoignent de l'intérêt de la société civile pour le projet de loi "renseignement", et de la volonté de s'approprier le débat juridique. Mais ils montrent aussi qu'au fil des années le droit constitutionnel est devenu de plus en plus technique, peut-être trop, et que l'on ne peut plus s'improviser constitutionnaliste. 

Quoi qu'il en soit, les arguments seront certainement très nombreux, mais on peut penser qu'ils seront de trois ordres. 

Intelligibilité et accessibilité de la loi

Le principe d'intelligibilité et d'accessibilité de la loi est souvent invoqué dans les saisines du Conseil constitutionnel, mais il ne donne que rarement lieu à une déclaration d'inconstitutionnalité. En l'espèce, il est vrai qu'un bon nombre de dispositions de la loi cultivent un certain flou. 

C'est ainsi que le nouvel article L 811-3 du code de la sécurité intérieure (csi) énonce que les interceptions de correspondances privées peuvent être justifiés par les "intérêts majeurs de la politique étrangère" ou "les intérêts économiques, industriels et scientifiques majeurs". A partir de quel seuil un intérêt mineur devient-il un intérêt "majeur" ? Qui apprécie ce seuil ? Voilà évidemment des questions auxquelles il est difficile de répondre. 

Il en est de même de la référence aux "informations et documents" auxquels les services de renseignement peuvent avoir accès (art. L 851-1 csi). Cette formulation figurait déjà dans le texte de la loi de programmation militaire du 18 décembre 2013. Dans son communiqué du 20 décembre 2013, puis dans sa délibération du 4 décembre 2014, la CNIL a elle-même dénoncé "le recours à la notion très vague d'"informations et documents". Bien que figurant dans le chapitre du code de la sécurité intérieure relatif à l'accès aux données de connexion, cette formulation semble en effet autoriser la communication de l'ensemble des données personnelles et non plus seulement des données de connexion. Là encore, la démarche manque pour le moins de clarté.

Le Conseil constitutionnel considère le principe d'intelligibilité et d'accessibilité de la loi comme un objectif à valeur constitutionnelle. Il précise que la loi est intelligible et accessible lorsque la norme est précise et non équivoque. Il affirme que ce principe est nécessaire pour protéger les sujets de droit d'une interprétation contraire à la Constitution, voire tout simplement de l'arbitraire administratif. Tout cela n'est guère contestable, mais l'énoncé de ce principe est d'autant plus solennel qu'il n'est presque jamais utilisé dans une déclaration d'inconstitutionnalité. Il est vrai que, dans une décision du 29 décembre 2005, le Conseil sanctionne sur ce fondement une disposition fiscale "qui atteint un niveau de complexité telle qu'elle devient inintelligible". Il en est de même d'une réforme du scrutin sénatorial dans une décision du 24 juillet 2003. La plupart du temps cependant, le Conseil écarte cet argument, et va chercher la clarté qui manque dans les travaux préparatoires de la loi (par exemple, dans sa décision du 18 juillet 2001).

Edgar Allan Poe. La lettre volée. Illustration. 1844

Vie privée et contrôle de proportionnalité

Le second argument qui sera développé devant le Conseil constitutionnel consistera à lui demander d'exercer son contrôle de proportionnalité. La question est alors la suivante : le dispositif de contrôle prévu par la loi porte-t-il une atteinte excessive aux libertés constitutionnelles et plus particulièrement à la vie privée ? 

Là encore, les chances de succès sont assez maigres. Il est vrai que le droit au respect de la vie privée a acquis valeur constitutionnelle, le Conseil l'ayant rattaché à l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789. Dans sa décision du 2 mars 2004, le Conseil affirme qu'il appartient au législateur, sur le fondement de l'Article 34 de la Constitution, d'assurer la conciliation entre la sauvegarde de l'ordre public et le droit au respect de la vie privée.

Le contrôle du Conseil consiste à apprécier les intérêts en cause et il faut bien reconnaître que la lutte contre le terrorisme est considérée comme justifiant des atteintes relativement graves à la vie privée. Dans sa décision du 25 mars 2014, il considère ainsi que le recours à la géolocalisation est licite lorsqu'elle vise à poursuivre les auteurs ou les complices d'actes de terrorisme.

Pour exercer ce contrôle de proportionnalité, il faudrait que le Conseil constitutionnel affirme clairement que la loi renseignement n'est pas une loi antiterroriste. Ce serait la vérité, mais osera-t-il aller directement à l'encontre du discours dominant ?

L'article 66 de la Constitution

Reste à envisager l'argument le plus intéressant, celui reposant sur l'article 66 de la Constitution, qui  énonce que l'autorité judiciaire est "gardienne de la liberté individuelle". Or, le juge judiciaire est totalement absent de la loi renseignement. Pour encadrer les pratiques des services, elle prévoit la création d'une nouvelle autorité administrative indépendante : la Commission nationale de contrôle des techniques de renseignement (CNCTR). Même si trois magistrats de l'ordre judiciaire font partie de ses treize membres, il s'agit d'une autorité purement administrative. Elle n'intervient que pour faire des "recommandations" sur les demandes de captation de données personnelles et le pouvoir de décision appartient au ministre compétent. Et si sa "recommandation" n'est pas suivie, elle peut seulement saisir le Conseil d'Etat. Ce recours est également ouvert à la personne qui pense être l'objet d'une interception. Le Conseil d'Etat fera alors des "vérifications" sans informer l'intéressé du contenu de leur contenu, procédure dont l'intérêt est vraiment très limité. In fine, c'est  la juridiction administrative qui exerce le contrôle, dans une formation spécialisée composée de membres habilités secret-défense. Dans l'hypothèse où une le recours pose une question de droit d'un intérêt particulier, il sera possible néanmoins de saisir la section du contentieux.

Le juge judiciaire est donc écarté au profit d'une autorité administrative et du juge administratif en dernier recours. Le problème est que, depuis la décision rendue par le Conseil constitutionnel le 23 janvier 1987, un tel choix n'est pas inconstitutionnel, à la condition qu'il soit justifié par une préoccupation de "bonne administration de la justice". 

Vers l'Habeas Data ?

Le Conseil constitutionnel effectue son contrôle à partir d'une conception étroite du principe de sûreté, limité à ce que le droit britannique appelle l'"Habeas Corpus". Il désigne seulement la situation de la personne qui n'est ni arrêtée ni détenue. L'article 66 n'est donc utilisé que pour sanctionner une atteinte à la liberté de circulation, par exemple une détention arbitraire (par exemple : décision QPC du 17 décembre 2010). Dans sa décision sur la géolocalisation du 25 mars 2014, le Conseil affirme ainsi que le recours à ce procédé de repérage doit être décidé par le juge judiciaire. Mais cette référence à l'Article 66 s'explique par le fait que la géolocalisation est utilisée dans le cadre d'une enquête judiciaire qui vise à rechercher et à arrêter des auteurs d'infractions graves. On est donc bien loin de l'activité de services de renseignement qui sont des services de nature administrative.

Les chances de succès ne sont pas nulles mais, disons-le franchement, elles sont plutôt faibles.... Sauf si le Conseil constitutionnel décide un élargissement du principe de sûreté. Pourquoi la protection des données personnelles ne deviendrait-elle pas un élément de la sûreté ? Pourquoi l'Habeas Data ne serait-il pas un élément de l'Habeas Corpus ?

La protection de la personne ne se limite pas à son corps, mais à la bulle d'intimité qui l'entoure et qui est un élément de sa personnalité. Aujourd'hui, il est incontestable que les droits de l'homme sont aussi les droits de l'homme "connecté". Le système de protection des libertés devrait en tenir compte. Le Conseil constitutionnel a l'opportunité de prendre, dans les jours qui viennent, une "grande décision". Laissera-t-il passer cette occasion ?

Accès aux données de connexion et secret professionnel des avocats

La décision  French Data Network et autres rendue par le Conseil constitutionnel le 24 juillet 2015 intervient le lendemain de la décision du 23 juillet portant sur la loi renseignement. Elle est donc passée assez largement inaperçue, une modeste réplique après un tremblement de terre. Il s'agit en effet d'une question prioritaire de constitutionnalité (QPC) portant sur des dispositions issues de la loi de programmation militaire (LPM) du 18 décembre 2013. Ce texte autorisait  déjà l'accès administratif aux données de connexion, et il a précisément été modifié par la loi renseignement dont le Conseil a reconnu la veille la constitutionnalité. 

Rappelons que les articles L 246-1 à L 246-5 du code de la sécurité intérieure (CSI) sont toujours en vigueur, jusqu'à l'intervention des décrets d'application de la loi renseignement (art. 26 de la loi du 24 juillet 2015). Ils autorisent les ministères de la défense, de l'intérieur et de l'économie et des finances à accéder aux "informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques". Le champ d'application est plus large que la loi du 24 juillet 2015, limitée aux services de renseignement, mais la finalité est identique : autoriser un accès administratif aux données de connexion.

Les moyens qui ne sont pas invoqués

La décision présente d'abord un intérêt par les moyens invoqués, ou plutôt ceux qui ne sont pas invoqués.

La décision du 23 juillet sur la loi renseignement était issue d'une double saisine du Parlement et du Président de la République. Le Conseil l'étudiait donc dans sa globalité et faisait une sorte de panorama des éventuels cas d'inconstitutionnalité, les écartant dans la plupart des cas.

Dans le cas de la QPC du 24, le Conseil n'examine que les moyens développés par les requérants. Or, les deux procédures étant sensiblement identiques, il aurait été logique que les moyens soulevés soient à peu près les mêmes.  La procédure d'accès aux données de connexion prévue par la LPM du 18 décembre 2013 relevait en effet d'une décision l'autorité administrative, en l'espèce une "personnalité qualifiée" nommée par la Commission nationale de contrôle des interceptions de sécurité (CNCIS) sur une liste de trois noms proposée par le Premier ministre. La procédure de la loi renseignement, quant à elle, prévoit l'intervention d'une autre autorité présentée comme indépendante, la Commission nationale de contrôle des techniques de renseignement (CNCTR), chargée de donner un avis sur les demandes d'accès aux données personnelles formulées par les services de renseignement. Dans les deux cas, le législateur choisit donc de confier le contrôle des demandes d'accès à des autorités administratives et, finalement, au juge administratif. Le juge judiciaire est donc purement et simplement écarté de la procédure.

Dans le cas de la QPC du 24 juillet, les requérants ne semblent pas se plaindre de cette absence d'intervention du juge judiciaire. Ils invoquent pêle-mêle les jurisprudences belge et britannique, celles de la Cour européenne des droits de l'homme et de la Cour de justice de l'Union européenne, moyens parfaitement inopérants devant le Conseil constitutionnel. En revanche, ils n'invoquent pas l'article 66 de la Constitution, selon lequel le juge judiciaire est "gardien des libertés individuelles".

Bien entendu, les requérants sont parfaitement libres de développer les moyens de leur choix. Il n'en demeure pas moins que la comparaison entre les deux décisions est très éclairante sur la différence entre le contrôle a priori et la QPC. Chacun sait que les procédures sont différentes, mais on oublie trop souvent que l'étendue du contrôle du juge est également différente.

Imprécision

Sur le fond, les requérants invoquent d'abord l'imprécision de la loi. Les "informations ou documents" qui sont susceptibles d'être  communiquées leur semblent mal définis, de même que la notion d'"opérateurs de communications électroniques", ou que la notion de "sollicitation" employée pour désigner la procédure concrète d'accès aux données de connexion. A leurs yeux, cette imprécision des termes conduit à une incompétence négative, le législateur renvoyant en quelque sorte à l'autorité administrative le soin de préciser le contenu de ces notions.

Rappelons que l'incompétence négative ne peut être invoquée dans une QPC que si elle provoque une atteinte à une liberté constitutionnellement garantie. En l'espèce, les requérants invoquent l'atteinte à la vie privée. A leurs yeux, l'imprécision des notions employées interdit d'exclure la communication de l'ensemble des communications privées d'une personne.

Il est vrai que le Conseil constitutionnel, dans une décision du 16 décembre 1999, érige le "principe d'accessibilité et d'intelligibilité" en "objectif à valeur constitutionnelle".  Ce principe s'applique de manière particulièrement rigoureuse en matière pénale, dès lors qu'il a pour fonction de garantir le respect du principe de sûreté. Dans les autres cas, rien n'interdit d'expliciter les termes d'une disposition législative par renvoi à d'autres dispositions législatives. C'est ce que fait le Conseil, en mentionnant notamment l'article L 34-1-II du code des postes et communications électroniques (cpce). Celui-ci définit la notion d'opérateur de communications électroniques comme "les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne", définition dont l'origine se trouve dans la loi pour la confiance dans l'économie numérique du 21 juin 2004 (art. 6). De même, la notion d'"informations et documents" peut être définie par l'article L 34-1-VI qui précise que les données accessibles "portent exclusivement sur l'identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux". Elles ne peuvent donc pas porter sur le contenu des correspondances échangées. Pour le Conseil constitutionnel, l'atteinte à la vie privée ne peut donc pas matériellement exister. 

Le raisonnement est juridiquement parfait. On peut cependant se demander si un texte aussi important au regard des atteintes aux libertés qu'il autorité ne devrait pas systématiquement s'accompagner d'une définition législative des notions employées. Pour le moment, il faut reconnaître que la compréhension de la loi relève d'un jeu de pistes législatif dont les seuls juristes peuvent sortir victorieux, ou à peu près victorieux. Le Conseil constitutionnel s'en accommode fort bien, et c'est dommage.

Les deux autres moyens invoqués visent à obtenir la reconnaissance de secrets constitutionnellement protégés, d'une part le secret des sources des journalistes, d'autre part le secret professionnel des avocats. Le Conseil constitutionnel les envisage de manière globale, et il écarte l'argument très rapidement.

Parle plus bas. Dalida. 1972

Les secrets protégés

Le secret des sources des journalistes comme le secret professionnel des avocats ont valeur législative. 

Le premier est consacré par la loi du 4 janvier 2010 qui énonce que "le secret des sources des journalistes est protégé dans l'exercice de leur mission d'information du public". Ce texte trouve son origine directe dans une jurisprudence constante de la Cour européenne des droits de l'homme. Depuis l'arrêt Goodwin c. Royaume-Uni du 27 mars 1996, elle considère que la protection des sources journalistiques est un élément essentiel de la liberté de presse.  

Le second est garanti par l'article 55 de la loi du 31 décembre 1971 et par l'article 226-13 du code pénal. Il faut observer qu'il est présenté comme une contrainte qui pèse sur l'avocat dans l'intérêt de son client, et non pas comme un privilège absolu. De même, l'article 7 du décret du 12 juillet 2005 relatif aux règles de déontologie mentionne le secret professionnel dans le titre consacré aux "Devoirs envers les clients". De cette formulation, on doit déduire que la loi n'interdit pas exactement de porter atteinte au secret professionnel des avocats, dès lors que les droits des clients sont garantis et que l'atteinte répond à un impératif d'ordre public.

Quoi qu'il en soit, et malgré un lobbying important mené depuis bien longtemps par les professions concernées, le Conseil constitutionnel refuse de consacrer le secret des sources et le secret professionnel des avocats comme ayant valeur constitutionnelle. Il se borne à effectuer un contrôle de proportionnalité. En l'espèce, il estime que les données accessibles ne portent pas sur le contenu des correspondances entre le journaliste et sa source, ou l'avocat et son client, et estime donc qu'aucun droit n'est violé, droit de nature législative évidemment.

En voulant obtenir la constitutionnalisation du droit au secret des sources et du secret professionnel des journalistes, les requérants n'ont pas fait avancer leur cause, au contraire. En effet, le Conseil constitutionnel consacre en réalité l'absence de valeur constitutionnelle de ces secrets, et il est probable que sa jurisprudence n'évoluera guère. Par voie de conséquence, l'évolution législative dans ce domaine est rendue plus difficile. Le projet de loi sur le secret des sources déposé à l'Assemblée en juin 2013 sort affaibli de cette décision. Il en est de même du secret professionnel des avocats qui apparaît de plus en plus comme une revendication corporatiste alors qu'il trouve sa pleine justification dans le droit à un juste procès. Doit-on en déduire un effet boomerang des recours déposés dans un but de lobbying ?

L'accès des services de renseignement aux données de connexion : Big Brother à la française ?

Nul n'ignore que les textes réglementaires les plus sensibles sont publiés au Journal officiel le week end du 15 août ou le jour de Noël, au moment où les citoyens ont d'autres préoccupations, vacances ou réveillon. Un nouvel exemple de cette pratique est donné par le décret du 24 décembre 2014 relatif à l'accès administratif aux données de connexion, texte publié au Journal officiel du 26 décembre et qui entrera en vigueur le 1er janvier 2015.

Ce décret a pour objet l'application de l'article 20 de la loi de programmation militaire  (LPM) du 18 décembre 2013, article qui précise le cadre juridique de la procédure d'accès des services de renseignement aux données de connexion circulant sur internet. Au moment du vote de la LPM, ces dispositions avaient suscité une inquiétude, sans pour autant parvenir à une véritable mobilisation. Alors que chacun étale sa vie privée sur Facebook avec un narcissisme non dissimulé, les atteintes qui lui sont portées au nom de la lutte contre le terrorisme sont de plus en plus considérées comme acceptables. Par ailleurs, le simple fait d'offrir un cadre juridique à une pratique qui, auparavant, demeurait ignorée du droit positif a été perçu comme un progrès. La CNIL évalue ainsi à 30 000 le nombre de demandes annuelles de communication de données formulées par les services de renseignement, demandes qui, jusqu'à aujourd'hui étaient dépourvues de réel fondement juridique.

Le décret définit donc un cadre juridique à cette communication, cadre juridique qui a donné lieu à un avis consultatif rendu par la Commission nationale de l'informatique et des libertés (CNIL) le 4 décembre 2014 et publié en même temps que le décret. Ce cadre juridique demeure cependant extrêmement souple, avec un champ d'application imprécis et une procédure d'accès dépourvue de réel contrôle.

Les données de connexion

Le décret du 24 décembre 2014 crée un chapitre nouveau intitulé "Accès administratif aux données de connexion" dans la partie réglementaire dans le code de la sécurité intérieure (art.R 246-1 et s. csi). Ces "données de connexion" sont celles, "à l'exclusion de toute autre", qui permettent l'identification d'une ou plusieurs personnes, données énumérées dans les articles R 10-13 et R 10-14 du code des postes et télécommunications électroniques.

La précision est d'importance, et veut affirmer que le décret n'entend pas autoriser les services à effectuer des perquisitions en ligne. Il n'en demeure pas moins que ces derniers peuvent s'appuyer sur les termes de loi, non dépourvus d’ambiguïté (art. L 246-1 csi). Ils affirment en effet que les données de connexion sont communicables, parmi d'autres "documents" et "informations" accessibles sur le même fondement. Qui peut empêcher les service d'invoquer la loi pour obtenir n'importe quel document ou n'importe quelle information conservée sur internet ? Le décret n'offre sur ce point qu'une garantie parfaitement illusoire, garantie qui cède devant la norme supérieure.

OSS 117. Rio ne répond plus. Michel Hazanavicius. 2010. Jean Dujardin

Un régime juridique proche de celui des écoutes téléphoniques

Sur le plan de la procédure de communication, le décret est largement inspiré de la loi du 10 juillet 1991  relative aux écoutes téléphoniques, loi votée à une époque où internet relevait peu ou prou de la science fiction. Aujourd'hui, le droit positif opère une fusion entre cette procédure ancienne et la procédure nouvelle d'accès aux données de connexion.

Un "groupement interministériel de contrôle" (GIC), service du Premier ministre, est désormais chargé à la fois des interceptions de sécurité et de l'accès administratif aux données de connexion. Les demandes d'accès lui sont adressées par l'intermédiaire d'une "personnalité qualifiée" désignée dans chaque ministère, Défense, Intérieur et Economie. Le GIC les transmet ensuite aux opérateurs concernés. Le secret est donc protégé, puisque ces derniers ignorent quelle autorité leur demande ces informations et pour quel motif. In fine, c'est l'opérateur et lui seul qui procède à la "sollicitation du réseau", formule employée par l'article L 246-3 csi. Il s'agit de protéger les individus contre les risques d'une aspiration en masse des données d'identification.

Une absence de contrôle

Le contrôle de l'ensemble de la procédure est pour le moins modeste. Il réside dans l'intervention de la Commission nationale de contrôle des interceptions de sécurité (CNCIS). Aux termes de l'article R 246-8 csi, celle-ci "dispose d'un accès permanent aux traitements automatisés" mis en oeuvre dans le cadre de ces réquisitions, c'est à dire un traitement recensant les demandes d'accès et un autre les données communiquées, toutes informations conservées pendant une durée maximum de trois ans. Les autorités compétentes sont, quant à elles, tenues de fournir à la Commission "tous éclaircissements" qu'elle sollicite sur les demandes d'accès. En revanche, aucun texte n'attribue de pouvoir de sanction à la CNCIS, ni même d'ailleurs une quelconque compétence pour transmettre un dossier au parquet. Les bons sentiments ne font pas les contrôles efficaces, d'autant que le Président de la CNCIS a démissionné en juin 2014 pour protester contre l'absence de moyens affectés à cette fonction de contrôle.

De toute évidence, ce décret s'analyse comme une forme de leurre juridique. Sa fonction n'est pas de renforcer les droits des citoyens mais bien davantage de donner un fondement juridique à l'action des services de renseignement tout en leur laissant une large marge d'autonomie.

Reste à se poser la question de l'avenir de ce décret. Un recours pour excès de pouvoir pourrait-il servir de vecteur à une question prioritaire de constitutionnalité (QPC) ? Peut-être, puisque précisément le Conseil constitutionnel ne s'est pas prononcé sur la LPM. Sur le fond cependant, on peut s'interroger sur les chances de succès d'une telle démarche. Le droit français, comme d'ailleurs la plupart des systèmes juridiques, se satisfait d'un encadrement symbolique de l'activité des services de renseignement, encadrement symbolique qui suscite un contrôle tout aussi symbolique.

Contrôle des techniques de renseignement : premières décisions

Le 19 octobre 2016, la "formation spécialisée" du Conseil d'Etat chargée du contrôle des techniques de renseignement a rendu pas moins de quinze décisions. Ce sont les premières depuis la loi renseignement du 24 juillet 2015 qui met en place cette procédure nouvelle. Elles étaient donc très attendues, même si leur lecture révèle à la fois l'organisation et les limites du contrôle effectué par la formation spécialisée du Conseil d'Etat.

Rappelons que la loi de juillet 2015 fait du renseignement une politique publique et définit un cadre juridique à l'action des services. En même temps, elle constitue le point d'aboutissement d'un mouvement engagé dès le Livre Blanc sur la défense et la sécurité de 2008, visant au resserrement du renseignement autour de l'Exécutif. 

Une police administrative

Cette qualification de politique publique s'est révélée fort utile pour exclure le juge judiciaire de la procédure de contrôle en matière d'interceptions. Dans sa décision du 23 juillet 2015, le Conseil constitutionnel affirme ainsi : "Le législateur s'est fondé sur l'article 21 de la Constitution pour confier au Premier ministre le pouvoir d'autoriser la mise en oeuvre des techniques de recueil de renseignement dans le cadre de la police administrative". Ayant pour objet l'ordre public, le renseignement est donc une police administrative. Par conséquent, les interceptions de sécurité sont autorisées par le Premier ministre, et le contrôle incombe au Conseil d'Etat. 

La procédure d'autorisation ressemble beaucoup à celle qui existait en matière d'écoutes téléphoniques, sur le fondement de l'ancienne loi du 10 juillet 1991. Etendu à l'ensemble des interceptions électroniques, le dispositif repose sur la compétence du Premier ministre qui les autorise pour une durée de quatre mois, à la demande des ministres compétents. L'autorisation est délivrée après un avis purement consultatif de la Commission nationale de contrôle des techniques de renseignement (CNCTR). Le Premier ministre peut donc ne pas suivre cet avis. Il peut même s'en affranchir entièrement en invoquant l'urgence absolue. Dans ce cas, la CNCTR est seulement informée a posteriori de l'autorisation donnée, information accompagnée de quelques éléments de motivation justifiant qu'elle ait été écartée de la procédure.

Contrôle et secret défense

Le contrôle a posteriori est exercé par le Conseil d'Etat. Il peut être saisi par la CNCTR, dans l'hypothèse où la Commission estimerait que son avis n'a pas été suivi d'effet, en particulier lorsque le ministre n'en a pas tenu compte. A dire vrai, cette situation est bien improbable, et les quinze décisions du 19 octobre concernent toutes l'autre mode de saisine ouvert à "toute personne souhaitant vérifier qu'aucune technique de renseignement n'est irrégulièrement mise en oeuvre à son égard". Quinze personnes ont donc développé de tels soupçons et ont saisi le Conseil d'Etat. C'est une "formation spécialisée" qui statue. Elle ressemble à une formation de jugement ordinaire, si ce n'est que ses cinq membres peuvent se faire communiquer toutes les pièces utiles à leur mission, y compris celles couvertes par le secret de la défense nationale. 

Cette habilitation n'a rien de négligeable, si l'on considère qu'elle a toujours été refusée au juge judiciaire. Souvenons-nous d'une époque où la loi de programmation militaire avait même prévu de leur interdire certains lieux protégés, en tant que tels, par le secret défense. Toute perquisition devenait alors imposssible, et le juge d'instruction risquait d'être poursuivi pour compromission du secret de la défense nationale. Certes, le Conseil constitutionnel a annulé ces dispositions dans une décision du 10 novembre 2011, mais le fait même qu'elles aient été votées témoigne d'une réelle méfiance à l'encontre du juge judiciaire. De toute évidence, les conseillers d'Etat semblent bénéficier d'une confiance d'autant plus grande. 

Les conseillers d'Etat, mais pas les requérants. Car il faut observer que ces informations secret défense ne figurent pas dans le dossier qui leur sont transmis, la loi organisant ainsi une dérogation au principe du contradictoire. Elles ne peuvent davantage apparaître durant l'audience ou dans le texte de la décision, ces deux étapes du recours s'analysant ainsi comme deux exercices de langue de bois, d'abord orale puis écrite.

 Secret Défense. Philippe Haïm. 2008

Les recours après vérification de la CNIL

La lecture des décisions du 19 témoigne de cette situation. Douze d'entre elles sont identiques, ou à peu près et sont rendues dans le cadre de la compétence que détient le Conseil d'Etat en tant que juge des recours relatifs à la mise en oeuvre des fichiers intéressant la sûreté de l'Etat.

Le recours vient alors d'un requérant qui pense être fiché par un service de renseignement militaire ou civil et qui demande l'accès aux données le concernant.  Dans un premier temps, il a saisi la CNIL sur le fondement de l'article 41 de la loi du 6 janvier 1978  qui ouvre un"droit d'accès indirect" aux données conservées sur ce type de fichier. Dans ce cas, la CNIL délègue un de ses membres chargés de procéder aux vérifications nécessaires. Il s'assure alors de l'existence du fichage et, le cas échéant, de sa licéité. A l'issue de la procédure, l'intéressé est seulement informé que les vérifications ont été effectuées. Cette procédure ne lui confère donc aucun droit d'accès, même indirect, et il ignore même si le fichage a existé, ou pas.

Cette frustration est à l'origine des recours devant la formation spécialisée du Conseil d'Etat, car le requérant conteste devant le juge le refus opposé par la CNIL de lui donner accès aux données. Les juges de la formation spécialisée vont alors effectuer exactement le même travail que la CNIL : ils vont effectuer les vérifications, sans pour autant donner accès aux données conservées sur les fichiers de renseignement. Dans douze décisions sur quinze, la décision mentionne qu'il "résulte de l'examen par la formation spécialisée que les conclusions du requérant doivent être rejetées".

Les recours après vérification de la CNCTR

Dans les trois autres décisions, le requérant s'est directement adressé à la CNCTR pour qu'elle s'assure qu'aucune technique de renseignement le concernant n'est irrégulièrement mise en oeuvre ou que, si elle est mise en oeuvre, son usage n'est pas illégal. Là encore, la formation spécialisée du Conseil d'Etat se prononce au vu des éléments fournis par la CNCTR qui précise au juge l'ensemble des vérifications auxquelles elle a procédé. Les trois décisions s'achèvent par une conclusion identique : "la vérification a été effectuée et n'appelle aucune autre mesure de la part du Conseil d'Etat".

Dans les deux cas, la frustration du requérant est donc identique. A l'issue de la procédure, il n'en sait pas davantage qu'au début. Il est prié de faire confiance au Conseil d'Etat, dont on lui dit que c'est le gardien le plus efficace des libertés publiques.

Pour le moment, les quinze décisions rendues témoignent certes de l'existence d'un contrôle, même sommaire, des fichiers de sécurité et d'un effort pour concilier le droit au recours et le secret de la défense nationale. En revanche, elles révèlent aussi les limites du droit au recours dans ce domaine, droit au recours bien éloigné du droit commun. On peut comprendre, évidemment, que les services de renseignement doivent travailler dans la confidentialité, mais le recours ainsi organisé repose sur la confiance absolue du requérant à l'égard de la formation spécialisée du Conseil d'Etat. Cette confiance existe-t-elle ? On peut en douter si l'on considère que le juge judiciaire a été exclu du dispositif au profit d'une procédure dominée par le Conseil d'Etat, aussi bien au niveau de la CNCTR qu'à celui du recours contentieux.

Nous devrons attendre d'autres décisions, en espérant qu'un jour la formation spécialisée du Conseil d'Etat constatera une illégalité, annulera une autorisation de recourir à une technique de renseignement, ordonnera la destruction ou la rectification de la fiche concernée et indemnisera un préjudice subi par un tel fichage. Car elle dispose de ces compétences.. Les utilisera-t-elle un jour ?



Sur le fichage par les services de renseignement : Chapitre 8 section 5 du manuel de libertés publiques sur internet.