Surveillance par voie hertzienne : la censure minimaliste

Le 21 octobre 2016, le Conseil constitutionnel a rendu, sur question prioritaire de constitutionnalité, (QPC) une décision censurant une disposition de la loi renseignement du 24 juillet 2015.  Il s'agit de l'article L. 811-5 du code de la sécurité intérieure (csi) qui énonce : « Les mesures prises par les pouvoirs publics pour assurer, aux seules fins de défense des intérêts nationaux, la surveillance et le contrôle des transmissions empruntant la voie hertzienne ne sont pas soumises aux dispositions du présent livre, ni à celles de la sous-section 2 de la section 3 du chapitre Ier du titre III du livre Ier du code de procédure pénale ». Autrement dit, les interceptions de communication par la voie hertzienne ne sont soumises, ni au régime établi par la loi renseignement pour les interceptions administratives, ni à celui figurant dans le code pénal pour les interceptions judiciaires. 

Ce statut tout-à-fait particulier fait ainsi échapper les transmissions par voie hertzienne à tout contrôle. Sur ce point, la loi renseignement de 2015 ne fait que reprendre l'ancienne loi du 10 juillet 1991, aujourd'hui abrogée, et qui concernait exclusivement les interceptions téléphoniques. A l'époque, on avait jugé cette exception indispensable, dans la mesure où les communications hertziennes ne concernaient pas, du moins en principe, des particuliers. Elles visaient essentiellement les transmissions radio des sous-marins, des avions, des militaires ou des services de police et de secours. 

Pour les associations requérantes dirigées par La Quadrature du Net, cette disposition s'analyse comme une brèche permettant de rouvrir le contrôle de constitutionnalité de la loi renseignement.  En effet, dans sa décision du 23 juillet 2015, le Conseil constitutionnel, saisi de la loi dans le cadre de son contrôle a priori, ne s'est prononcé que sur les dispositions qui lui ont déférées par le Président de la République et par les parlementaires requérants, parmi lesquelles ne figurait pas l'article L 811-5 csi. 

La procédure de renvoi

Les requérants devaient cependant, et c'était une difficulté, engager un recours susceptible de servir de vecteur à une QPC. Ils ont en fait choisi de contester la légalité des quatre décrets d'application de la loi renseignement et ont donc déposé quatre QPC qui, toutes les quatre, ont été renvoyées devant le Conseil constitutionnel par le Conseil d'Etat.

Parmi ces textes réglementaires, le décret du 28 septembre 2015 pose un problème tout à fait particulier. Il se borne  à énumérer les services de renseignement autorisés à recourir aux techniques d'interception soumises à la procédure prévue par la loi de juillet. Il est donc très probable que les associations requérantes n'ont aucun intérêt à agir contre un acte réglementaire qui ne modifie en rien la situation juridique de leurs membres et que le recours devant le Conseil d'Etat est irrecevable. Mais dans son arrêt de renvoi du 21 octobre 2016, le Conseil d'Etat prend soin d'affirmer qu'il n'est pas tenu de statuer sur la recevabilité du recours avant de se prononcer sur la QPC. Il décide donc de renvoyer aussi cette QPC, sans ignorer que, quel que soit son résultat, elle ne modifiera en rien la décision d'irrecevabilité.

Exemple de communication hertzienne

Y-a-t-il un pilote dans l'avion ?  Jim Abrahams. 1989

Le contrôle de proportionnalité

Dans sa décision de renvoi, le Conseil d'Etat mentionnait l'existence d'un moyen sérieux d'inconstitutionnalité, résidant dans un cas d'incompétence négative, formule employée pour désigner la situation dans laquelle le législateur est demeuré en-deçà de sa compétence. En ne prévoyant aucune garantie ni administrative ni judiciaire en matière d'interception de communications hertziennes, le législateur aurait ainsi porté atteinte aussi bien au droit au respect de la vie privée qu'au droit au recours.

Le Conseil constitutionnel, quant à lui, va au plus simple. Il exerce son contrôle de proportionnalité et il n'est pas bien difficile de considérer que la disposition contestée entraine une atteinte disproportionnée à ces deux droits.

Il affirme d'abord qu'elle autorise les pouvoirs publics à prendre des mesures de surveillance de toute communication par voie hertzienne, sans qu'ils soient parvenus à démontrer, de manière convaincante, que les particuliers n'étaient pas concernés. Il n'est donc pas possible de déduire l'absence d'atteinte au secret des correspondances et au droit au respect de la vie privée.

Le Conseil s'interroge ensuite sur la proportionnalité des motifs invoqués pour justifier ces dispositions dérogatoires au droit commun. La "défense des intérêts nationaux" est certes un motif parfaitement licite, mais il serait plus efficace s'il s'accompagnait d'une interdiction formelle d'utiliser ces interceptions hertziennes à d'autres fins. Aux yeux du Conseil, il ne suffit donc pas de s'appuyer sur de bons motifs, il faut aussi exclure les mauvais.

Enfin, dernier point et sans doute le plus important, le Conseil observe que ces interceptions ne sont soumises à aucune condition de fond, à aucune garantie de procédure, à aucun recours.

En soi, toutes ces conditions de licéité des interceptions n'ont rien de nouveau. Elles figuraient déjà dans la décision du 23 juillet 2015 sur la loi renseignement et dans celle du 26 novembre 2015 sur la loi relative à la surveillance des communications électroniques internationales. Le seul élément surprenant réside dans cette accumulation d'incertitudes qui rendait la déclaration d'inconstitutionnalité extrêmement prévisible. On peut même se demander si le Conseil constitutionnel ne s'est pas réjoui de trouver une disposition aussi manifestement inconstitutionnelle, qui lui permettait de donner satisfaction aux associations de protection des droits de l'homme, sans pour autant entraver sérieusement l'activité des services de renseignement.

Une abrogation différée

En effet, le Conseil constitutionnel ne prononce pas l'abrogation immédiate de l'article déclaré inconstitutionnel, ce qui aurait eu pour conséquence d'empêcher toute interception des communications par voie hertzienne. Il renvoie cette abrogation au 31 décembre 2017, délai de quatorze mois qui laisse largement le temps au législateur de modifier le texte. Il est toutefois précisé que, durant cette période, ce type d'interception devra être soumis, selon les cas, soit aux garanties prévues par le code pénal, soit à celles organisées par la loi renseignement. .

Lorsque les médias saluent la "censure de la loi renseignement" réalisée par cette décision du 21 octobre 2016, ils font plaisir à leurs lecteurs et se présentent comme de grands protecteurs des droits de l'homme. En réalité, la décision a pour effet de réintégrer la surveillance hertzienne dans le droit commun, celui-là même qui est défini par la loi renseignement qu'ils ont combattue avec la plus grande énergie...

Ces effets d'annonce occultent pourtant un problème plus grave. Comment a-t-on pu laisser subsister dans un texte aussi longuement préparé que la loi renseignement une disposition héritée d'un texte ancien et dont il était impossible d'ignorer le risque lié à son inconstitutionnalité ? A une époque où n'importe quelle loi est précédée d'études multiples, y compris celle du Conseil d'Etat intervenant dans sa fonction consultative, une telle erreur peut sembler surprenante. En tout cas, elle au moins permis au Conseil d'Etat, cette fois en formation contentieuse, au Conseil constitutionnel, et aux associations requérantes de montrer leur attachement aux droits de l'homme, à peu de frais.


Sur la loi renseignement : Chapitre 8 section 5 du manuel de libertés publiques sur internet.

Un nouveau projet de loi anti-terroriste, pas si nouveau

Le projet de loi anti-terrorisme relatif à la prévention d'actes de terrorisme et au renseignement est le 35e texte intervenu dans ce domaine depuis la loi du 9 septembre 1986. A l'époque, la loi se voulait une réaction aux attentats qui avaient frappé Paris, issus d'une mouvance islamiste proche du Hezbollah iranien. Aujourd'hui, le projet est présenté, une nouvelle fois, comme une réponse à l'assassinat d'une fonctionnaire de police à Rambouillet, commis par ressortissant tunisien, semble-t-il récemment radicalisé. 

Derrière cet aspect conjoncturel se cache un texte prévu de longue date, destiné d'abord à compléter la loi relative à la sécurité intérieure et à la lutte contre le terrorisme (SILT) du 30 octobre 2017, qui avait elle-même pour objet de pérenniser le droit issu de l'état d'urgence, ensuite à toiletter la loi renseignement du 24 juillet 2015. Derrière cette double préoccupation en apparaît une troisième, évidemment moins clairement formulée. Le but est en effet de contourner une jurisprudence parfois très dérangeante du Conseil constitutionnel, démarche qui n'a pas échappé au Conseil d'État qui a rendu son avis sur le texte le 21 avril 2021. 

 

Pérenniser les dispositions de la loi SILT

 

Lors des débats sur la loi SILT, le gouvernement avait limité l'application des dispositions relatives à la prévention du terrorisme à la période s'étendant jusqu'au 31 décembre 2020. Par la suite, la loi du 24 décembre 2020 en a prorogé l'application au 31 juillet 2021. L'actuel projet de loi se propose tout simplement d'abroger les dispositions de l'article 5 de la loi du 30 octobre 2017, celui-là même qui prévoyait le caractère temporaire des dispositions.

De fait, les dispositions provisoires deviennent définitives. Dans son avis, le Conseil d'État, peut-être avec un brin de malice, ne manque pas d'observer que le caractère temporaire ou non des dispositions est rigoureusement sans influence sur l'étendue du contrôle de constitutionnalité. Le Conseil constitutionnel en a en effet jugé ainsi dans sa décision QPC du 16 février 2018, rendue précisément à propos de l'assignation à résidence issue de la loi du 30 octobre 2017.

Parmi ces dispositions ainsi pérennisées figurent les interdictions administratives de fréquenter certains lieux ou de déclarer son changement de domicile, mesures qui peuvent concerner "toute personne à l'égard de laquelle il existe des raisons sérieuses de penser que son comportement constitue une menace d'une particulière gravité pour la sécurité et l'ordre publics".

L'un des points les plus contestés du projet réside dans l'allongement des "mesures individuelles de contrôle administratif et de surveillance" (MICAS)  créées par la loi du 30 octobre 2017 et qui s'analysent en fait comme des assignations à résidence. Il s'agit de mesures prises, à l'issue de leur peine, à l'encontre des personnes condamnées pour terrorisme à des peines égales ou supérieures à cinq ans, ou trois ans en cas de récidive. Le projet Darmanin propose d'abord, une "mesure judiciaire de réinsertion sociale antiterroriste", prise par le tribunal d'application de Paris et imposant à la fois des obligations de résidence, de contrôle, de soins, voire de formation. Il prévoit en outre un allongement de douze à vingt-quatre mois la durée maximale d'une mesure individuelle de surveillance.

La constitutionnalité de cette disposition est loin d'être acquise et le Conseil d'État, dans son avis, met en garde le gouvernement sur ce point. En effet, dans sa décision QPC du 29 mars 2018, le Conseil constitutionnel prend en considération la durée limitée de la mesure dans son contrôle de proportionnalité. Considérera-t-il comme proportionnée une mesure donc la durée sera doublée ? En tout état de cause, le risque d'inconstitutionnalité n'est pas inexistant.

D'autres dispositions édictées en ce domaine n'ont pas d'autre but que de réécrire certaines dispositions de la loi SILT, à l'époque plutôt mal rédigées. Il en est de la fermeture des lieux de culte, désormais étendue "aux locaux dépendant des lieux de culte, dont il existe des raisons sérieuses de penser qu'ils seraient utilisés aux mêmes fins pour faire échec à l'exécution de la mesure de fermeture (...)". Cette réécriture s'imposait, pour empêcher qu'une fermeture soit vidée de son contenu par le transfert immédiat du lieu de culte dans un autre local. 

Chappatte. International Herald Tribune. 10 mai 2005

 

Toiletter la loi renseignement

Bon nombre de dispositions de la loi visent à toiletter la loi du 24 juillet 2015 relative au renseignement. Pour justifier ces modifications, le gouvernement fait état de deux avis favorables émis par la Commission nationale de contrôle des techniques de renseignement (CNCTR) dans des délibérations du 7 et du 14 avril 2021. A dire vrai, on ignore si la CNCTR donne un avis favorable à l'action du gouvernement, ou si c'est le gouvernement qui s'efforce de donner satisfaction à des demandes formules par les services de renseignement.

Dans sa rédaction actuelle, le projet prévoit d'abord la mise en place de procédures fluidifiant les échanges de renseignement entre les services concernés, y compris les services de police. Sur ce point, le texte n'apporte rien de bien nouveau, et le but est plutôt d'affirmer dans la loi une volonté d'améliorer la circulation de l'information, dans une préoccupation de meilleure efficacité. Cette disposition ne pose pas de difficulté sérieuse, dès lors qu'elle ne modifie pas réellement le droit existant. 

L'extension des interceptions des correspondances à celles échangées par voie satellitaire semble également se borner à intégrer ce mode de communication, sans modifier le principe même de l'interception. En réalité, cette interception pose bon nombre de problèmes car les procédés techniques ne permettent pas réellement de cibler l'échange recherché. Le risque est alors grand d'intercepter toutes les correspondances émises ou reçues par voie satellitaire, pour, ensuite, faire un tri. Le risque d'une collecte de masse des données personnelles est alors important, et il est probable que le débat parlementaire sera vif sur ce point. D'ores et déjà, le Conseil d'État suggère de ne mettre en oeuvre de telles dispositions qu'à titre expérimental, tant que les procédés techniques de captation n'ont pas été améliorés.

Surveillance et algorithmes

L'aspect le plus contesté du projet réside, en matière de renseignement, dans l'inscription dans la loi de l'utilisation des algorithmes à des fins de renseignement. L'idée n'est pas nouvelle et l'article L 851-3 du code de la sécurité intérieure, issu de la loi de 2015, autorise le Premier ministre, après avis de la CNCTR, à imposer aux opérateurs et fournisseurs d'accès la mise en oeuvre d'algorithmes de nature à détecter des connexions susceptibles de révéler une menace terroriste. Ils ne peuvent porter que sur les données de connexion, sans permettre l'identification immédiate des personnes. C'est seulement si la menace est avérée que l'identité de l'intéressé peut être recherchée.

Après une période d'expérimentation, le projet de loi se propose d'améliorer l'efficacité des algorithmes en étant leur usage aux URL, c'est-à-dire aux adresses web complètes. A l'appui de cette mesure, le ministre de l'intérieur invoque le fait que Facebook ou Google utilisent déjà cette technique à des faits de marketing commercial et que l'on ne voit pas sur quel motif elle serait interdite à des services qui ont pour finalité de protéger la sécurité publique. L'argument n'est pas sans valeur, mais il faut aussi noter que cette technique consiste en un large filet dérivant qui traite un nombre considérable de données, dans le but d'identifier une menace. 

Le débat sera certainement vif sur cette question, mais le gouvernement a déjà reçu un appui indirect du Conseil d'État, non pas dans sa formation administrative mais dans sa formation contentieuse. Dans sa décision French Data Networks et autres du 21 avril 2021, il a en effet admis la légalité de plusieurs décrets de 2015 qui imposent aux opérateurs de télécommunication de conserver pendant un an toutes les données de connexion des utilisateurs pour les besoins du renseignement et des enquêtes pénales. De fait, cette décision rend possible l'utilisation des algorithmes et le traitement de ces données. 

Ce type de projet de loi suscite toujours des débats très vifs entre d'un côté un gouvernement qui veut, à tout prix, trouver des moyens de nature à lutter efficacement contre une menace terroriste actuellement très importante, et des de l'autre côté des associations qui ont tendance à rejeter toute collecte de données personnelles à des fins de sécurité. Entre ces deux approches, un équilibre devra être trouvé, recherchant notamment un encadrement juridique de ces techniques. On peut regretter, sur ce point, que le Conseil d'État ne puisse jouer totalement son rôle de conseil du gouvernement et du parlement. En effet, sa formation administrative est, en l'espèce, liée par l'arrêt récent rendu par sa formation contentieuse. A cet égard, la préparation de ce projet de loi illustre parfaitement l'impossibilité de séparer totalement les deux missions remplies par le Conseil d'État.

Sur les fichiers de police : Manuel de Libertés publiques version E-Book et version papier, chapitre 8, section 5 § 3, A.

Le projet de loi renseignement ou l'effet d'aubaine du terrorisme

Le 5 mai 2015, l'Assemblée nationale a adopté en première lecture le projet de loi relatif au renseignement. De ce vote, il est possible de tirer deux enseignements.

D'abord, il faut le reconnaître, le texte a obtenu une très large majorité : 438 députés ont voté pour, 86 contre, et 42 se sont abstenus. Si l'opposition au texte a investi l'espace médiatique avec l'intervention de bon nombre d'ONG et d'experts, l'espace politique, lui, est demeuré globalement favorable au texte.

Ensuite, le vote a montré que les divergences passent à l'intérieur des partis politiques. Entre les "frondeurs" du PS  qui ont voté contre ou se sont abstenus (10 votes contre et 17 abstentions) et les 143 députés UMP qui se sont prononcés pour le texte, l'habituelle bipolarisation de notre vie politique semble quelque peu malmenée. Il n'en demeure pas moins que la classe politique, dans son ensemble, semble plutôt favorable au texte.

Une politique publique du renseignement

Cette forme de consensus mou peut être expliqué par plusieurs facteurs. Certains éléments du texte ont incontestablement un aspect positif. Tel est le cas de l'article 1er qui consacre l'existence d'une "politique publique du renseignement" qui relève de "la compétence exclusive de l'Etat". La formule n'est pas seulement déclaratoire, car elle affirme que l'activité de renseignement ne peut pas être délégué à des personnes privées. Une précision utile à une époque où le développement d'officines spécialisées dans le domaine de l'intelligence économique a parfois conduit à une certaine forme de privatisation du renseignement. De la même manière, il n'est sans doute pas inutile de donner un cadre juridique à l'activité de services qui opéraient jusqu'à aujourd'hui dans une relative opacité juridique.

Un champ d'application extrêmement large

Ce cadre juridique se caractérise cependant par une volonté de laisser à ces services une large autonomie dans leur activité.

Le champ des activités de renseignement est ainsi défini à travers les finalités poursuivies. Le nouvel article 811-3 du code de la sécurité intérieure (csi) y intègre à la fois ce qui touche à la défense et à la sécurité, aux intérêts économiques, industriels et scientifiques majeurs, à la prévention du terrorisme, à celle des atteintes à la forme républicaine des institutions, sans oublier la criminalité organisée et de la prolifération des armes de destruction massive. La référence aux "violences collectives de nature à porter gravement atteinte à la paix publique" a néanmoins été supprimée durant le débat parlementaire, en raison de son imprécision.

Au regard des services concernés, la loi vise les services de renseignement traditionnellement identifiés comme tels : Direction générale de la  sécurité extérieure (DGSE), Direction générale de la  sécurité intérieure (DGSI), Direction du renseignement militaire (DRM), Direction de la protection de la sécurité et de la défense (DPSD). On y trouve aussi les services douaniers (Direction nationale du renseignement et des enquêtes douanières) et Tracfin, chargé de lutter contre les circuits financiers clandestins. En soi, ce n'est pas anormal car la notion de défense englobe aussi bien la sécurité extérieure et intérieure que les intérêts économiques fondamentaux.

Les données accessibles aux services de renseignement sont également largement définies, englobant finalement toutes les données échangées par les utilisateurs connectés et toutes celles susceptibles de les identifier ou de les repérer. Le support utilisé importe peu, ce qui peut aussi être expliqué car la loi doit pouvoir s'adapter aux évolutions technologiques.

Cette recherche d'un fondement et d'un encadrement juridiques est évidemment positive. Le problème est qu'elle ne doit pas se réduire à l'octroi d'un blanc-seing permettant aux services de s'affranchir des procédures les plus élémentaires de l'Etat de droit.

Un débat technique

Les professionnels de l'internet, comme d'ailleurs les associations de défense des droits de l'homme, se sont surtout intéressés aux modalités d'accès à ces données. Elles ont beaucoup débattu de questions techniques, rendant sans doute le débat peu lisible pour le simple quidam, celui qui utilise internet sans trop savoir comment il fonctionne. On a ainsi évoqué les algorithmes des "boîtes noires", formulation évocatrice de catastrophe. Il renvoie à un dispositif qui récupère les données de connexion et les traite dans le but de repérer une menace potentielle. De la même manière, on s'est inquiété des "IMSI catcher", matériel qui ressemble à une antenne-relais mobile, et qui permet d'intercepter toutes les conversations sur téléphones mobiles qui passent par ce relais. Autrement dit, on intercepte à la fois ceux que l'on veut écouter, et ceux dont les conversations passent par là par hasard.

Ces technologies sont certes inquiétantes, mais cette inquiétude même va plutôt dans le sens de la nécessité d'une intervention législative pour définir le cadre juridique de leur utilisation.

En réalité, le débat est passé à côté des questions essentielles. Le projet de loi sur le renseignement est l'étape la plus récente d'un mouvement de fond engagé depuis de longues années et qui se caractérise par deux éléments. D'une part, le juge judiciaire se voit de plus en plus privé de sa mission de protection des libertés individuelles, mission qui lui est pourtant attribuée par l'article 66 de la Constitution, au profit d'autorités indépendantes à l'efficacité incertaine et d'un juge administratif considéré comme plus protecteur de la puissance publique. D'autre part, la menace terroriste devient un élément contextuel qui irrigue l'ensemble du droit positif et sert à justifier des atteintes de plus en plus importantes aux libertés.

Ennemi d'Etat. Tony Scott. 1998. Will Smith et Gene Hackman

Le juge judiciaire, écarté de la protection des libertés

L'article 66 de la Constitution énonce que l'autorité judiciaire est "gardienne de la liberté individuelle". On pouvait donc espérer que le législateur, soucieux de la protection des libertés prévoie l'intervention du juge judiciaire pour autoriser l'accès aux données personnelles. Mais il a préféré, hélas, prévoir des modalités de contrôle qui ont comme caractéristique de l'exclure de l'ensemble du dispositif.

Pour encadrer les pratiques des services de renseignement, le projet prévoit la création d'une nouvelle autorité administrative indépendante : la Commission nationale de contrôle des techniques de renseignement (CNCTR). Elle doit remplacer l'actuelle Commission nationale de contrôle des interceptions de sécurité (CNCIS) créée par la loi du 10 juillet 1991. Elle est composée de treize membres, dont six parlementaires, trois membres du Conseil d'Etat, trois magistrats de la Cour de cassation et une personnalité qualifiée. Les trois magistrats de l'ordre judiciaire sont donc des membres comme les autres d'une autorité administrative.

La CNCTR, autorité administrative

En tout état de cause, le pouvoir de décision de la CNCTR est pour les moins limité. Certes, l'accès aux données personnelles fait désormais l'objet d'une procédure d'autorisation sensiblement identique à celle mise en oeuvre par la loi de 1991 dans le cas des écoutes téléphoniques. Cette autorisation est donnée par le Premier ministre et la CNCTR donne seulement un avis préalable. Il s'agit donc d'une procédure consultative ordinaire et le Premier ministre peut suivre, ou cet avis. Lorsque la procédure est marquée par l'urgence, la CNCTR n'est même pas saisie pour avis mais informée a posteriori. Quoi qu'il en soit, si elle n'est pas d'accord avec une autorisation, elle peut toujours faire au Premier ministre une "recommandation".

Le recours devant le Conseil d'Etat

Et si la "recommandation" n'est pas suivie ? Dans ce cas, la CNCTR peut saisir le Conseil d'Etat, seul habilité à exercer un contrôle contentieux dans ce domaine. Les recours seront traités par une formation spécialisée composée de membres habilités secret-défense. Dans l'hypothèse où une le recours pose une question de droit d'un intérêt particulier, il sera possible néanmoins de saisir la section du contentieux.

Pour la personne qui se pense surveillée, la saisine du Conseil d'Etat ne présente qu'un intérêt symbolique. Comme en matière d'accès aux fichiers de sécurité publique, elle ne dispose que d'un "droit d'accès indirect", notion sans doute inventée par un humoriste, puisque la procédure ne donne aucun accès, ni direct ni indirect, aux données recueillies sur son compte. L'intéressé peut seulement obtenir que des "vérifications" soient effectuées. A l'issue de la procédure, il sait que lesdites "vérifications" ont été effectuées, mais il ne sait toujours pas s'il est surveillé, ou pas.

Le législateur a donc choisi de privilégier un contrôle par le juge administratif plutôt que respecter la lettre de l'Article 66 de la Constitution. Depuis la décision rendue par le Conseil constitutionnel le 23 janvier 1987, il est entendu qu'un tel choix peut être réalisé, à la condition qu'il soit justifié par une préoccupation de "bonne administration de la justice". Reste à se demander si le Conseil constitutionnel, saisi par le Président de la République de la loi sur le renseignement, estimera que la compétence du juge administratif en matière de renseignement répond à une telle préoccupation. Ce choix revient en fait à affirmer que le renseignement relève de la puissance publique et doit, à ce titre, échapper au juge judiciaire.

L'effet d'aubaine du terrorisme

Le rapport de J.J. Urvoas précise que le texte "n'est pas un texte antiterroriste", rappelant qu'il s'agit de définir un cadre juridique à l'ensemble des activités de renseignement. Sans doute, mais cela n'empêche pas le Premier ministre, sur son site, de le présenter comme un élément de la lutte contre le terrorisme, article illustré par une belle photo des militaires de Vigipirate patrouillant sous la Tour Eiffel. Soyons clairs : la loi n'a pas pour objet de lutter contre le terrorisme, mais la menace terroriste permet de "faire passer le texte" dans l'opinion. C'est l'effet d'aubaine du terrorisme, formule aujourd'hui largement employée, et dont l'origine se trouve dans un article paru dans l'Annuaire français des relations internationales, en 2008. 

Le projet de loi ne concerne que marginalement la lutte contre le terrorisme. Celui-ci est utilisé comme élément de langage, pour conférer une légitimité à l'action des services de renseignement sans avoir à susciter le débat, tant le terrorisme apparaît comme une justification indiscutable. Au nom du terrorisme, on fait accepter les fichages, les investigations dans la vie privée, les instruments de repérage, la vidéo-surveillance rebaptisée en vidéo-protection, biométrie etc etc..

Elint vs Humint (Electronic Intelligence vs Human Intelligence)

Sur ce plan, le projet de loi est aussi le constat d'un échec. La réforme des services de renseignement réalisée en 2008 à l'initiative de Nicolas Sarkozy a plus ou moins détruit le renseignement humain (Humint) qui constituait le socle de notre système de renseignement. La fusion de la DST (Direction de la surveillance du territoire) et des RG (Renseignements généraux) s'est traduite par un affaiblissement du renseignement sur le territoire. Il n'y avait plus alors d'autre solution que de se tourner vers Elint (renseignement électronique), en mettant en oeuvre un système de surveillance généralisée des réseaux, inspiré du modèle américain. Le projet de loi s'inscrit évidemment dans ce projet visant désormais à privilégier Elint sur Humint.

Etat de droit vs Terrorisme

D'une manière générale, cette évolution conduit à une véritable inversion du rapport entre l'individu et l'Etat. Voici quelques décennies, on protégeait la vie privée des citoyens et on réclamait la transparence des structures étatiques. Aujourd'hui, le rapport s'est inversé : on rétablit le secret pour lutter contre le terrorisme, et on demande de plus en plus de transparence aux individus qui doivent accepter un repérage permanent de leurs activités, au nom d'une approche sécuritaire désormais assumée. Mais ce désir de sécurité doit-il nécessairement conduire à une mise en cause des libertés fondamentales ? La réponse à cette question est essentielle, car accepter un abaissement du niveau des libertés accordées au citoyen revient à donner une victoire inespérée aux terroristes, c'est-à-dire à ceux là mêmes qui veulent détruire l'Etat de droit.

Accès aux données de connexion et secret professionnel des avocats

La décision  French Data Network et autres rendue par le Conseil constitutionnel le 24 juillet 2015 intervient le lendemain de la décision du 23 juillet portant sur la loi renseignement. Elle est donc passée assez largement inaperçue, une modeste réplique après un tremblement de terre. Il s'agit en effet d'une question prioritaire de constitutionnalité (QPC) portant sur des dispositions issues de la loi de programmation militaire (LPM) du 18 décembre 2013. Ce texte autorisait  déjà l'accès administratif aux données de connexion, et il a précisément été modifié par la loi renseignement dont le Conseil a reconnu la veille la constitutionnalité. 

Rappelons que les articles L 246-1 à L 246-5 du code de la sécurité intérieure (CSI) sont toujours en vigueur, jusqu'à l'intervention des décrets d'application de la loi renseignement (art. 26 de la loi du 24 juillet 2015). Ils autorisent les ministères de la défense, de l'intérieur et de l'économie et des finances à accéder aux "informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques". Le champ d'application est plus large que la loi du 24 juillet 2015, limitée aux services de renseignement, mais la finalité est identique : autoriser un accès administratif aux données de connexion.

Les moyens qui ne sont pas invoqués

La décision présente d'abord un intérêt par les moyens invoqués, ou plutôt ceux qui ne sont pas invoqués.

La décision du 23 juillet sur la loi renseignement était issue d'une double saisine du Parlement et du Président de la République. Le Conseil l'étudiait donc dans sa globalité et faisait une sorte de panorama des éventuels cas d'inconstitutionnalité, les écartant dans la plupart des cas.

Dans le cas de la QPC du 24, le Conseil n'examine que les moyens développés par les requérants. Or, les deux procédures étant sensiblement identiques, il aurait été logique que les moyens soulevés soient à peu près les mêmes.  La procédure d'accès aux données de connexion prévue par la LPM du 18 décembre 2013 relevait en effet d'une décision l'autorité administrative, en l'espèce une "personnalité qualifiée" nommée par la Commission nationale de contrôle des interceptions de sécurité (CNCIS) sur une liste de trois noms proposée par le Premier ministre. La procédure de la loi renseignement, quant à elle, prévoit l'intervention d'une autre autorité présentée comme indépendante, la Commission nationale de contrôle des techniques de renseignement (CNCTR), chargée de donner un avis sur les demandes d'accès aux données personnelles formulées par les services de renseignement. Dans les deux cas, le législateur choisit donc de confier le contrôle des demandes d'accès à des autorités administratives et, finalement, au juge administratif. Le juge judiciaire est donc purement et simplement écarté de la procédure.

Dans le cas de la QPC du 24 juillet, les requérants ne semblent pas se plaindre de cette absence d'intervention du juge judiciaire. Ils invoquent pêle-mêle les jurisprudences belge et britannique, celles de la Cour européenne des droits de l'homme et de la Cour de justice de l'Union européenne, moyens parfaitement inopérants devant le Conseil constitutionnel. En revanche, ils n'invoquent pas l'article 66 de la Constitution, selon lequel le juge judiciaire est "gardien des libertés individuelles".

Bien entendu, les requérants sont parfaitement libres de développer les moyens de leur choix. Il n'en demeure pas moins que la comparaison entre les deux décisions est très éclairante sur la différence entre le contrôle a priori et la QPC. Chacun sait que les procédures sont différentes, mais on oublie trop souvent que l'étendue du contrôle du juge est également différente.

Imprécision

Sur le fond, les requérants invoquent d'abord l'imprécision de la loi. Les "informations ou documents" qui sont susceptibles d'être  communiquées leur semblent mal définis, de même que la notion d'"opérateurs de communications électroniques", ou que la notion de "sollicitation" employée pour désigner la procédure concrète d'accès aux données de connexion. A leurs yeux, cette imprécision des termes conduit à une incompétence négative, le législateur renvoyant en quelque sorte à l'autorité administrative le soin de préciser le contenu de ces notions.

Rappelons que l'incompétence négative ne peut être invoquée dans une QPC que si elle provoque une atteinte à une liberté constitutionnellement garantie. En l'espèce, les requérants invoquent l'atteinte à la vie privée. A leurs yeux, l'imprécision des notions employées interdit d'exclure la communication de l'ensemble des communications privées d'une personne.

Il est vrai que le Conseil constitutionnel, dans une décision du 16 décembre 1999, érige le "principe d'accessibilité et d'intelligibilité" en "objectif à valeur constitutionnelle".  Ce principe s'applique de manière particulièrement rigoureuse en matière pénale, dès lors qu'il a pour fonction de garantir le respect du principe de sûreté. Dans les autres cas, rien n'interdit d'expliciter les termes d'une disposition législative par renvoi à d'autres dispositions législatives. C'est ce que fait le Conseil, en mentionnant notamment l'article L 34-1-II du code des postes et communications électroniques (cpce). Celui-ci définit la notion d'opérateur de communications électroniques comme "les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne", définition dont l'origine se trouve dans la loi pour la confiance dans l'économie numérique du 21 juin 2004 (art. 6). De même, la notion d'"informations et documents" peut être définie par l'article L 34-1-VI qui précise que les données accessibles "portent exclusivement sur l'identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux". Elles ne peuvent donc pas porter sur le contenu des correspondances échangées. Pour le Conseil constitutionnel, l'atteinte à la vie privée ne peut donc pas matériellement exister. 

Le raisonnement est juridiquement parfait. On peut cependant se demander si un texte aussi important au regard des atteintes aux libertés qu'il autorité ne devrait pas systématiquement s'accompagner d'une définition législative des notions employées. Pour le moment, il faut reconnaître que la compréhension de la loi relève d'un jeu de pistes législatif dont les seuls juristes peuvent sortir victorieux, ou à peu près victorieux. Le Conseil constitutionnel s'en accommode fort bien, et c'est dommage.

Les deux autres moyens invoqués visent à obtenir la reconnaissance de secrets constitutionnellement protégés, d'une part le secret des sources des journalistes, d'autre part le secret professionnel des avocats. Le Conseil constitutionnel les envisage de manière globale, et il écarte l'argument très rapidement.

Parle plus bas. Dalida. 1972

Les secrets protégés

Le secret des sources des journalistes comme le secret professionnel des avocats ont valeur législative. 

Le premier est consacré par la loi du 4 janvier 2010 qui énonce que "le secret des sources des journalistes est protégé dans l'exercice de leur mission d'information du public". Ce texte trouve son origine directe dans une jurisprudence constante de la Cour européenne des droits de l'homme. Depuis l'arrêt Goodwin c. Royaume-Uni du 27 mars 1996, elle considère que la protection des sources journalistiques est un élément essentiel de la liberté de presse.  

Le second est garanti par l'article 55 de la loi du 31 décembre 1971 et par l'article 226-13 du code pénal. Il faut observer qu'il est présenté comme une contrainte qui pèse sur l'avocat dans l'intérêt de son client, et non pas comme un privilège absolu. De même, l'article 7 du décret du 12 juillet 2005 relatif aux règles de déontologie mentionne le secret professionnel dans le titre consacré aux "Devoirs envers les clients". De cette formulation, on doit déduire que la loi n'interdit pas exactement de porter atteinte au secret professionnel des avocats, dès lors que les droits des clients sont garantis et que l'atteinte répond à un impératif d'ordre public.

Quoi qu'il en soit, et malgré un lobbying important mené depuis bien longtemps par les professions concernées, le Conseil constitutionnel refuse de consacrer le secret des sources et le secret professionnel des avocats comme ayant valeur constitutionnelle. Il se borne à effectuer un contrôle de proportionnalité. En l'espèce, il estime que les données accessibles ne portent pas sur le contenu des correspondances entre le journaliste et sa source, ou l'avocat et son client, et estime donc qu'aucun droit n'est violé, droit de nature législative évidemment.

En voulant obtenir la constitutionnalisation du droit au secret des sources et du secret professionnel des journalistes, les requérants n'ont pas fait avancer leur cause, au contraire. En effet, le Conseil constitutionnel consacre en réalité l'absence de valeur constitutionnelle de ces secrets, et il est probable que sa jurisprudence n'évoluera guère. Par voie de conséquence, l'évolution législative dans ce domaine est rendue plus difficile. Le projet de loi sur le secret des sources déposé à l'Assemblée en juin 2013 sort affaibli de cette décision. Il en est de même du secret professionnel des avocats qui apparaît de plus en plus comme une revendication corporatiste alors qu'il trouve sa pleine justification dans le droit à un juste procès. Doit-on en déduire un effet boomerang des recours déposés dans un but de lobbying ?

Et si le Conseil constitutionnel osait l'Habeas Data ?

La loi sur le renseignement est actuellement devant le Conseil constitutionnel, après une triple saisine du Président de la République, du Président du Sénat et de soixante députés. 

La saisine du Président de la République, inédite sous la Vè République, a quelque peu masqué le débat de fond. On a même vu le Président du Conseil constitutionnel, Jean-Louis Debré, affirmer sur BFM que le Président de la République ne pouvait effectuer une "saisine blanche", c'est-à-dire une saisine dépourvue d'arguments juridiques. Même en cherchant soigneusement dans la Constitution et dans les textes gouvernant le fonctionnement du Conseil, on ne trouve pas le fondement juridique d'une telle affirmation. Au demeurant, lorsque le Conseil est saisi de la conformité d'un traité à la Constitution, il s'agit toujours d'une "saisine blanche", et personne ne s'en est jamais offusqué. Quoi qu'il en soit, les services de l'Elysée ont transmis une saisine qui n'est pas "blanche", mais qui n'est pas non plus très argumentée.

Sur le fond, chacun avance ses arguments. Des mémoires d'"amicus curiae" sont diffusés sur internet, même si chacun sait qu'ils ne peuvent être produits dans le contrôle de constitutionnalité a priori . Ils témoignent de l'intérêt de la société civile pour le projet de loi "renseignement", et de la volonté de s'approprier le débat juridique. Mais ils montrent aussi qu'au fil des années le droit constitutionnel est devenu de plus en plus technique, peut-être trop, et que l'on ne peut plus s'improviser constitutionnaliste. 

Quoi qu'il en soit, les arguments seront certainement très nombreux, mais on peut penser qu'ils seront de trois ordres. 

Intelligibilité et accessibilité de la loi

Le principe d'intelligibilité et d'accessibilité de la loi est souvent invoqué dans les saisines du Conseil constitutionnel, mais il ne donne que rarement lieu à une déclaration d'inconstitutionnalité. En l'espèce, il est vrai qu'un bon nombre de dispositions de la loi cultivent un certain flou. 

C'est ainsi que le nouvel article L 811-3 du code de la sécurité intérieure (csi) énonce que les interceptions de correspondances privées peuvent être justifiés par les "intérêts majeurs de la politique étrangère" ou "les intérêts économiques, industriels et scientifiques majeurs". A partir de quel seuil un intérêt mineur devient-il un intérêt "majeur" ? Qui apprécie ce seuil ? Voilà évidemment des questions auxquelles il est difficile de répondre. 

Il en est de même de la référence aux "informations et documents" auxquels les services de renseignement peuvent avoir accès (art. L 851-1 csi). Cette formulation figurait déjà dans le texte de la loi de programmation militaire du 18 décembre 2013. Dans son communiqué du 20 décembre 2013, puis dans sa délibération du 4 décembre 2014, la CNIL a elle-même dénoncé "le recours à la notion très vague d'"informations et documents". Bien que figurant dans le chapitre du code de la sécurité intérieure relatif à l'accès aux données de connexion, cette formulation semble en effet autoriser la communication de l'ensemble des données personnelles et non plus seulement des données de connexion. Là encore, la démarche manque pour le moins de clarté.

Le Conseil constitutionnel considère le principe d'intelligibilité et d'accessibilité de la loi comme un objectif à valeur constitutionnelle. Il précise que la loi est intelligible et accessible lorsque la norme est précise et non équivoque. Il affirme que ce principe est nécessaire pour protéger les sujets de droit d'une interprétation contraire à la Constitution, voire tout simplement de l'arbitraire administratif. Tout cela n'est guère contestable, mais l'énoncé de ce principe est d'autant plus solennel qu'il n'est presque jamais utilisé dans une déclaration d'inconstitutionnalité. Il est vrai que, dans une décision du 29 décembre 2005, le Conseil sanctionne sur ce fondement une disposition fiscale "qui atteint un niveau de complexité telle qu'elle devient inintelligible". Il en est de même d'une réforme du scrutin sénatorial dans une décision du 24 juillet 2003. La plupart du temps cependant, le Conseil écarte cet argument, et va chercher la clarté qui manque dans les travaux préparatoires de la loi (par exemple, dans sa décision du 18 juillet 2001).

Edgar Allan Poe. La lettre volée. Illustration. 1844

Vie privée et contrôle de proportionnalité

Le second argument qui sera développé devant le Conseil constitutionnel consistera à lui demander d'exercer son contrôle de proportionnalité. La question est alors la suivante : le dispositif de contrôle prévu par la loi porte-t-il une atteinte excessive aux libertés constitutionnelles et plus particulièrement à la vie privée ? 

Là encore, les chances de succès sont assez maigres. Il est vrai que le droit au respect de la vie privée a acquis valeur constitutionnelle, le Conseil l'ayant rattaché à l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789. Dans sa décision du 2 mars 2004, le Conseil affirme qu'il appartient au législateur, sur le fondement de l'Article 34 de la Constitution, d'assurer la conciliation entre la sauvegarde de l'ordre public et le droit au respect de la vie privée.

Le contrôle du Conseil consiste à apprécier les intérêts en cause et il faut bien reconnaître que la lutte contre le terrorisme est considérée comme justifiant des atteintes relativement graves à la vie privée. Dans sa décision du 25 mars 2014, il considère ainsi que le recours à la géolocalisation est licite lorsqu'elle vise à poursuivre les auteurs ou les complices d'actes de terrorisme.

Pour exercer ce contrôle de proportionnalité, il faudrait que le Conseil constitutionnel affirme clairement que la loi renseignement n'est pas une loi antiterroriste. Ce serait la vérité, mais osera-t-il aller directement à l'encontre du discours dominant ?

L'article 66 de la Constitution

Reste à envisager l'argument le plus intéressant, celui reposant sur l'article 66 de la Constitution, qui  énonce que l'autorité judiciaire est "gardienne de la liberté individuelle". Or, le juge judiciaire est totalement absent de la loi renseignement. Pour encadrer les pratiques des services, elle prévoit la création d'une nouvelle autorité administrative indépendante : la Commission nationale de contrôle des techniques de renseignement (CNCTR). Même si trois magistrats de l'ordre judiciaire font partie de ses treize membres, il s'agit d'une autorité purement administrative. Elle n'intervient que pour faire des "recommandations" sur les demandes de captation de données personnelles et le pouvoir de décision appartient au ministre compétent. Et si sa "recommandation" n'est pas suivie, elle peut seulement saisir le Conseil d'Etat. Ce recours est également ouvert à la personne qui pense être l'objet d'une interception. Le Conseil d'Etat fera alors des "vérifications" sans informer l'intéressé du contenu de leur contenu, procédure dont l'intérêt est vraiment très limité. In fine, c'est  la juridiction administrative qui exerce le contrôle, dans une formation spécialisée composée de membres habilités secret-défense. Dans l'hypothèse où une le recours pose une question de droit d'un intérêt particulier, il sera possible néanmoins de saisir la section du contentieux.

Le juge judiciaire est donc écarté au profit d'une autorité administrative et du juge administratif en dernier recours. Le problème est que, depuis la décision rendue par le Conseil constitutionnel le 23 janvier 1987, un tel choix n'est pas inconstitutionnel, à la condition qu'il soit justifié par une préoccupation de "bonne administration de la justice". 

Vers l'Habeas Data ?

Le Conseil constitutionnel effectue son contrôle à partir d'une conception étroite du principe de sûreté, limité à ce que le droit britannique appelle l'"Habeas Corpus". Il désigne seulement la situation de la personne qui n'est ni arrêtée ni détenue. L'article 66 n'est donc utilisé que pour sanctionner une atteinte à la liberté de circulation, par exemple une détention arbitraire (par exemple : décision QPC du 17 décembre 2010). Dans sa décision sur la géolocalisation du 25 mars 2014, le Conseil affirme ainsi que le recours à ce procédé de repérage doit être décidé par le juge judiciaire. Mais cette référence à l'Article 66 s'explique par le fait que la géolocalisation est utilisée dans le cadre d'une enquête judiciaire qui vise à rechercher et à arrêter des auteurs d'infractions graves. On est donc bien loin de l'activité de services de renseignement qui sont des services de nature administrative.

Les chances de succès ne sont pas nulles mais, disons-le franchement, elles sont plutôt faibles.... Sauf si le Conseil constitutionnel décide un élargissement du principe de sûreté. Pourquoi la protection des données personnelles ne deviendrait-elle pas un élément de la sûreté ? Pourquoi l'Habeas Data ne serait-il pas un élément de l'Habeas Corpus ?

La protection de la personne ne se limite pas à son corps, mais à la bulle d'intimité qui l'entoure et qui est un élément de sa personnalité. Aujourd'hui, il est incontestable que les droits de l'homme sont aussi les droits de l'homme "connecté". Le système de protection des libertés devrait en tenir compte. Le Conseil constitutionnel a l'opportunité de prendre, dans les jours qui viennent, une "grande décision". Laissera-t-il passer cette occasion ?

Le Conseil constitutionnel et l'échange de renseignements

Dans une décision La Quadrature du Net et autres rendue sur question prioritaire de constitutionnalité du 9 juillet 2021, le Conseil constitutionnel censure l'article L. 863-2 du code de la sécurité intérieure, dans sa rédaction résultant de la loi du 21 juillet 2016 prorogeant l'état d'urgence et portant mesures de renforcement de la lutte antiterroriste.

Cette disposition autorisait les échanges d'informations entre les services spécialisés de renseignement et d'autres services désignés par décret en Conseil d'État, dès lors que ces échanges sont "utiles à l'accomplissement de leurs missions". D'une manière très générale, il s'agit de fluidifier la circulation du renseignement, en y associant clairement les services chargés d'une mission de sécurité et ceux qui peuvent y concourir, notamment les collectivités locales, les établissements publics administratifs et autres services gérant un service public administratif. 

Il arrive très souvent que des acteurs de terrain de la sécurité, policiers, gendarmes ou douaniers, voire agents du fisc ou élus locaux, apportent des informations utiles aux services spécialisés et la loi ne fait sur ce point que conférer un fondement juridique à des pratiques déjà en vigueur. De même est-il normal que les services de renseignement informent d'autres services, et parfois les collectivités locales, notamment lorsqu'il s'agit de lutter contre la menace terroriste. Rappelons que la loi du 21 juillet 2016 a précisément été votée quelques mois après les attentats de 2015, pour renforcer les instruments de lutte contre le terrorisme et organiser une coopération institutionnelle.

 

Finalité des échanges de renseignement

 

La finalité de cet échange d'informations est donc légitime, et le Conseil ne manque pas de le rappeler : "Le législateur a entendu organiser et sécuriser le partage d'informations entre les services de renseignement et améliorer leur capacité opérationnelle. Ce faisant, ces dispositions mettent en œuvre les exigences constitutionnelles inhérentes à la sauvegarde des intérêts fondamentaux de la Nation". Il fait également observer que tous les services concernés, renseignement et services chargés d'une mission de sécurité, ont pour point commun de concourir à la défense des intérêts fondamentaux de la Nation. De fait, tous peuvent être autorisés à recourir aux techniques de recueil de renseignements soumises à autorisation, sonorisation, communication des fadettes, interception des communications.

 

 Échanges d'informations entre agents du renseignement

OSS 117, Le Caire nid d'espions. Michel Hazanavicius. 2006

 

L'incompétence négative

 

Mais cet échange d'informations doit être entouré de garanties précisées par le législateur. Et c'est précisément cette absence de garanties que sanctionne le Conseil constitutionnel. En effet, l'article L 863-2 du code de la sécurité intérieure se borne à mentionner que "les modalités et les conditions d'application du présent article sont déterminées par décret en Conseil d'Etat".

L'association requérante s'appuyait donc sur les lacunes de la loi, invoquant un cas d'incompétence négative. Elle notait ainsi qu'aucune disposition n'organisait la protection des données personnelles et le secret de la vie privée. Les types d'informations susceptibles d'être échangées n'étaient pas précisés, pas plus que les personnes habilitées à en connaître. Enfin l'absence de contrôle par la Commission nationale de contrôle des techniques de renseignement était également dénoncée.

Le Conseil ne reprend pas tous ces éléments, mais sanctionne, d'une manière générale, l'absence de garanties légales. Il observe que, potentiellement, un nombre immense de services peut être amené à pratiquer ces échanges d'informations et qu'elles peuvent concerner n'importe quelle catégorie de données, y compris celles relatives à la santé, aux opinions politiques ou aux convictions religieuses, toutes données également considérées comme sensibles. Or, la transmission de données sensibles doit nécessairement s'accompagner de garanties légales, ce qui n'est pas le cas en l'espèce. La disposition est donc considérée comme non conforme à la Constitution.

Le projet de loi relatif à la prévention d'actes de terrorisme et au renseignement

On peut toutefois se demander si l'intérêt essentiel de la décision ne réside pas dans la date différée de l'abrogation de la disposition contestée. Au motif que "l'abrogation immédiate (...) entraînerait des conséquences manifestement excessives", le Conseil la reporte au 31 décembre 2021.

Ces six mois de délai vont donc permettre d'attendre tranquillement le vote de la loi relative à la prévention d'actes de terrorisme et au renseignement, actuellement en nouvelle lecture au parlement après commission mixte paritaire, ce qui signifie que la procédure législative est presque terminée. Or l'article 7 du projet de loi montre que les rédacteurs du projet avaient largement anticipé la censure constitutionnelle. 

Ses dispositions subordonnent les échanges de renseignements à une autorisation préalable du Premier ministre après avis de la Commission nationale de contrôle des techniques de renseignement, lorsque la transmission d'informations poursuit une finalité différente de celle qui en a justifié le recueil, et lorsque les renseignements sont produits par une technique d'interception à laquelle le service destinataire n'aurait pu recourir. De même, le législateur prévoit la destruction de ces renseignements, à la fin de la durée de conservation. 

La nouvelle loi vient ainsi corriger l'inconstitutionnalité de la première. Certes, on imagine mal le retour à un système dans lequel la lutte contre le terrorisme était censée se développer sans aucune synergie entre les services. Les échanges de renseignements sont aujourd'hui une nécessité qui n'est guère contestée. Il est donc préférables d'imposer des garanties légales, même relativement modestes, plutôt que voir proliférer ces échanges en dehors de tout dispositif législatif. Il n'empêche que l'on remarque que le Conseil constitutionnel, dans sa décision du 9 juillet, est d'autant plus prompt à censurer une disposition au nom du respect des libertés qu'il sait que l'abrogation qu'il prononce sera finalement dépourvue d'effet

 Sur la protection des données : Manuel de Libertés publiques version E-Book et version papier, chapitre 8, section 5.

 

Contrôle des techniques de renseignement : premières décisions

Le 19 octobre 2016, la "formation spécialisée" du Conseil d'Etat chargée du contrôle des techniques de renseignement a rendu pas moins de quinze décisions. Ce sont les premières depuis la loi renseignement du 24 juillet 2015 qui met en place cette procédure nouvelle. Elles étaient donc très attendues, même si leur lecture révèle à la fois l'organisation et les limites du contrôle effectué par la formation spécialisée du Conseil d'Etat.

Rappelons que la loi de juillet 2015 fait du renseignement une politique publique et définit un cadre juridique à l'action des services. En même temps, elle constitue le point d'aboutissement d'un mouvement engagé dès le Livre Blanc sur la défense et la sécurité de 2008, visant au resserrement du renseignement autour de l'Exécutif. 

Une police administrative

Cette qualification de politique publique s'est révélée fort utile pour exclure le juge judiciaire de la procédure de contrôle en matière d'interceptions. Dans sa décision du 23 juillet 2015, le Conseil constitutionnel affirme ainsi : "Le législateur s'est fondé sur l'article 21 de la Constitution pour confier au Premier ministre le pouvoir d'autoriser la mise en oeuvre des techniques de recueil de renseignement dans le cadre de la police administrative". Ayant pour objet l'ordre public, le renseignement est donc une police administrative. Par conséquent, les interceptions de sécurité sont autorisées par le Premier ministre, et le contrôle incombe au Conseil d'Etat. 

La procédure d'autorisation ressemble beaucoup à celle qui existait en matière d'écoutes téléphoniques, sur le fondement de l'ancienne loi du 10 juillet 1991. Etendu à l'ensemble des interceptions électroniques, le dispositif repose sur la compétence du Premier ministre qui les autorise pour une durée de quatre mois, à la demande des ministres compétents. L'autorisation est délivrée après un avis purement consultatif de la Commission nationale de contrôle des techniques de renseignement (CNCTR). Le Premier ministre peut donc ne pas suivre cet avis. Il peut même s'en affranchir entièrement en invoquant l'urgence absolue. Dans ce cas, la CNCTR est seulement informée a posteriori de l'autorisation donnée, information accompagnée de quelques éléments de motivation justifiant qu'elle ait été écartée de la procédure.

Contrôle et secret défense

Le contrôle a posteriori est exercé par le Conseil d'Etat. Il peut être saisi par la CNCTR, dans l'hypothèse où la Commission estimerait que son avis n'a pas été suivi d'effet, en particulier lorsque le ministre n'en a pas tenu compte. A dire vrai, cette situation est bien improbable, et les quinze décisions du 19 octobre concernent toutes l'autre mode de saisine ouvert à "toute personne souhaitant vérifier qu'aucune technique de renseignement n'est irrégulièrement mise en oeuvre à son égard". Quinze personnes ont donc développé de tels soupçons et ont saisi le Conseil d'Etat. C'est une "formation spécialisée" qui statue. Elle ressemble à une formation de jugement ordinaire, si ce n'est que ses cinq membres peuvent se faire communiquer toutes les pièces utiles à leur mission, y compris celles couvertes par le secret de la défense nationale. 

Cette habilitation n'a rien de négligeable, si l'on considère qu'elle a toujours été refusée au juge judiciaire. Souvenons-nous d'une époque où la loi de programmation militaire avait même prévu de leur interdire certains lieux protégés, en tant que tels, par le secret défense. Toute perquisition devenait alors imposssible, et le juge d'instruction risquait d'être poursuivi pour compromission du secret de la défense nationale. Certes, le Conseil constitutionnel a annulé ces dispositions dans une décision du 10 novembre 2011, mais le fait même qu'elles aient été votées témoigne d'une réelle méfiance à l'encontre du juge judiciaire. De toute évidence, les conseillers d'Etat semblent bénéficier d'une confiance d'autant plus grande. 

Les conseillers d'Etat, mais pas les requérants. Car il faut observer que ces informations secret défense ne figurent pas dans le dossier qui leur sont transmis, la loi organisant ainsi une dérogation au principe du contradictoire. Elles ne peuvent davantage apparaître durant l'audience ou dans le texte de la décision, ces deux étapes du recours s'analysant ainsi comme deux exercices de langue de bois, d'abord orale puis écrite.

 Secret Défense. Philippe Haïm. 2008

Les recours après vérification de la CNIL

La lecture des décisions du 19 témoigne de cette situation. Douze d'entre elles sont identiques, ou à peu près et sont rendues dans le cadre de la compétence que détient le Conseil d'Etat en tant que juge des recours relatifs à la mise en oeuvre des fichiers intéressant la sûreté de l'Etat.

Le recours vient alors d'un requérant qui pense être fiché par un service de renseignement militaire ou civil et qui demande l'accès aux données le concernant.  Dans un premier temps, il a saisi la CNIL sur le fondement de l'article 41 de la loi du 6 janvier 1978  qui ouvre un"droit d'accès indirect" aux données conservées sur ce type de fichier. Dans ce cas, la CNIL délègue un de ses membres chargés de procéder aux vérifications nécessaires. Il s'assure alors de l'existence du fichage et, le cas échéant, de sa licéité. A l'issue de la procédure, l'intéressé est seulement informé que les vérifications ont été effectuées. Cette procédure ne lui confère donc aucun droit d'accès, même indirect, et il ignore même si le fichage a existé, ou pas.

Cette frustration est à l'origine des recours devant la formation spécialisée du Conseil d'Etat, car le requérant conteste devant le juge le refus opposé par la CNIL de lui donner accès aux données. Les juges de la formation spécialisée vont alors effectuer exactement le même travail que la CNIL : ils vont effectuer les vérifications, sans pour autant donner accès aux données conservées sur les fichiers de renseignement. Dans douze décisions sur quinze, la décision mentionne qu'il "résulte de l'examen par la formation spécialisée que les conclusions du requérant doivent être rejetées".

Les recours après vérification de la CNCTR

Dans les trois autres décisions, le requérant s'est directement adressé à la CNCTR pour qu'elle s'assure qu'aucune technique de renseignement le concernant n'est irrégulièrement mise en oeuvre ou que, si elle est mise en oeuvre, son usage n'est pas illégal. Là encore, la formation spécialisée du Conseil d'Etat se prononce au vu des éléments fournis par la CNCTR qui précise au juge l'ensemble des vérifications auxquelles elle a procédé. Les trois décisions s'achèvent par une conclusion identique : "la vérification a été effectuée et n'appelle aucune autre mesure de la part du Conseil d'Etat".

Dans les deux cas, la frustration du requérant est donc identique. A l'issue de la procédure, il n'en sait pas davantage qu'au début. Il est prié de faire confiance au Conseil d'Etat, dont on lui dit que c'est le gardien le plus efficace des libertés publiques.

Pour le moment, les quinze décisions rendues témoignent certes de l'existence d'un contrôle, même sommaire, des fichiers de sécurité et d'un effort pour concilier le droit au recours et le secret de la défense nationale. En revanche, elles révèlent aussi les limites du droit au recours dans ce domaine, droit au recours bien éloigné du droit commun. On peut comprendre, évidemment, que les services de renseignement doivent travailler dans la confidentialité, mais le recours ainsi organisé repose sur la confiance absolue du requérant à l'égard de la formation spécialisée du Conseil d'Etat. Cette confiance existe-t-elle ? On peut en douter si l'on considère que le juge judiciaire a été exclu du dispositif au profit d'une procédure dominée par le Conseil d'Etat, aussi bien au niveau de la CNCTR qu'à celui du recours contentieux.

Nous devrons attendre d'autres décisions, en espérant qu'un jour la formation spécialisée du Conseil d'Etat constatera une illégalité, annulera une autorisation de recourir à une technique de renseignement, ordonnera la destruction ou la rectification de la fiche concernée et indemnisera un préjudice subi par un tel fichage. Car elle dispose de ces compétences.. Les utilisera-t-elle un jour ?



Sur le fichage par les services de renseignement : Chapitre 8 section 5 du manuel de libertés publiques sur internet.

Les interceptions liées au renseignement extérieur

Dans un arrêt Centrum för rättvisa c. Suède du 19 juin 2018, la Cour européenne des droits de l'homme estime que l'interception massive de signaux électroniques et leur traitement à des fins de renseignement extérieur n'emportent pas une atteinte excessive au droit à la vie privée des personnes. Le requérant n'est pas une personne victime directe de ces interceptions mais une organisation non gouvernementale qui a dans ses statuts la défense des citoyens suédois en conflit avec l'Etat pour protéger leurs libertés.

Non pertinence de la règle de l'épuisement des recours internes

C'est donc le droit suédois qui est mis en cause, plus précisément la loi relative au renseignement d'origine électromagnétique. Dans ce cas, la CEDH accepte de déroger à la règle de l'épuisement préalable des recours internes, puisque précisément aucun recours n'est offert aux personnes privées. Le moyen unique développé par l'ONG est la violation de l'article 8 de la Convention européenne de sauvegarde des droits de l'homme qui garantit le droit au respect de la vie privée.

Mais une ONG a-t-elle une vie privée à protéger ? Depuis l'arrêt Kennedy c. Royaume-Uni du 18 mai 2010, la CEDH considère qu'il est possible de démontrer une atteinte à l'article 8 sans en avoir été personnellement victime. Dans l'affaire Roman Zakharov c. Russie du 4 décembre 2015, elle définit deux conditions à la recevabilité d'une telle requête. D'abord, le requérant doit être susceptible d'être victime de l'atteinte, même si la menace est purement potentielle. C'est le cas en l'espèce, dès lors que la loi peut s'appliquer à toutes les communications, y compris celles du Centrum. Ensuite, le système juridique lui-même doit limiter le droit au recours des individus. C'est encore le cas, car l'atteinte au secret des correspondances ne s'accompagne d'aucun recours efficace, les interceptions étant elles-mêmes couvertes par le secret. Les individus sont alors potentiellement victimes d'une violation de l'article 8, sans être réellement en mesure de s'en plaindre. L'ONG est, en quelque sorte, leur porte-parole dans un recours qui envisage le droit suédois de manière abstraite.

L'ingérence dans la vie privée

Il ne fait aucun doute que la loi suédoise, par les interceptions qu'elle autorise, entraine une ingérence dans la vie privée des personnes. Mais l'article 8 al. 2 de la Convention européenne précise qu'une telle ingérence peut être licite si elle est prévue par la loi, si elle poursuit un "but légitime" et si elle se révèle "nécessaire dans une société démocratique". Le fondement législatif ne fait aucun doute. Quant au renseignement, il constitue bien un but légitime, la CEDH laissant d'ailleurs aux Etats une très large marge d'appréciation dans un domaine directement lié au principe de souveraineté. Depuis l'arrêt Weber et Saravia c. Allemagne du 29 juin 2006, la Cour rappelle donc régulièrement que les interceptions de sécurité n'entrainent pas, en tant que telles, une violation de l'article 8. 

La Cour ne manque pas d'observer que ces méthodes de renseignement sont directement liées au développement de la menace, menace terroriste certes mais aussi grande criminalité. Alors qu'il devient possible de rendre extrêmement difficile l'identification des communications sur internet, les Etats disposent d'une large marge d'appréciation pour définir le régime d'interception de nature à protéger leur sécurité nationale. Dans l'affaire Zakharov de 2015, la Cour a néanmoins précisé que le droit devait comporter un certain nombre de garanties, parmi lesquelles la définition claire des motifs justifiant les interceptions, une limitation de celles-ci dans le temps, l'indépendance de l'autorité qui les autorise, et enfin les conditions dans lesquelles elles peuvent être supprimées du fichier. Dans sa décision du 19 juin 2018, la Cour examine longuement la loi suédoise à la lumière de ces critères. Elle en déduit que le texte n'est pas disproportionné par rapport au but poursuivi, dès lors que la loi suédoise respecte ces conditions. 

Je vous écoute. Felix Labisse. circa 1940

Exiger ce qu'il est possible d'exiger

Ceux qui pensaient que la législation française pourrait être sanctionnée par la Cour européenne risquent donc d'être déçus par l'arrêt Centrum för rättvisa c. Suède. La loi renseignement du 24 juillet 2015 est en effet assez proche de la loi suédoise. Elle prévoit une liste exhaustive de motifs justifiant des interceptions, une durée d'autorisation de quatre mois, la suppression des informations collectées à l'issue d'une période qui s'échelonne de trente jours à quatre mois. Il est vrai que la Commission nationale de contrôle des techniques de renseignement (CNCTR) n'intervient que par un avis consultatif, l'autorisation demeurant de la compétence exclusive du Premier ministre. En cela le droit français se distingue du droit suédois qui repose sur l'intervention d'un "tribunal pour le renseignement étranger" chargé de donner les autorisations requises à l'administration. Mais la procédure française fait l'objet d'un contrôle par une "formation spécialisée" du Conseil d'Etat spécifiquement créée par la loi. Certes, le système est bien loin d'être parfait et la personne qui soupçonne être l'objet d'interceptions n'obtient finalement qu'une décision laconique lui affirmant que  "la vérification a été effectuée et n'appelle aucune autre mesure de la part du Conseil d'Etat". Mais le contrôle existe et les garanties exigées par la CEDH sont présentes, au moins sur le papier. N'est-ce pas suffisant, dans le cadre d'un contrôle in abstracto ?

A procédure cosmétique contrôle cosmétique, pourrait-on penser. Mais il ne peut guère en être autrement, dans un domaine où la CEDH, si elle imposait des contraintes trop lourdes aux Etats, risquerait de voir ses décisions inappliquées. Entre les exigences constitutionnelles des Etats qui tendent de plus en plus à la consécration d'un droit à la sécurité des personnes, les risques d'échappatoires consistant à mettre en oeuvre des interceptions en dehors de tout fondement juridique, le risque est grand qu'une jurisprudence rigide demeure lettre morte. La CEDH se borne donc à exiger ce qu'il possible d'exiger, remettant l'impossible à plus tard.

Sur la protection des données : Chapitre 8 section 5 § 1 du manuel de libertés publiques : version e-book, version papier.