La légalité de l’accès administratif aux données de connexion en question, Valls veut rassurer

Début 2015, le député Lionel Tardy (LR) avait interrogé le ministère de la Défense sur la compatibilité de l’un des décrets d’application de la loi de programmation militaire avec la jurisprudence de la Cour de justice de l’Union européenne. Manuel Valls vient finalement de lui répondre : tout va pour le mieux.

Le décret qui a suscité cette missive parlementaire est celui du 24 décembre 2014. Souvenez-vous : à quelques heures de Noël, le gouvernement mettait en application le pétillant article 20 de la loi de programmation militaire, celui qui permet aux services du renseignement français de se voir transmettre en temps réel, sur sollicitation du réseau, les données de connexion, ou plus juridiquement, les « documents » et les « informations » stockés chez les hébergeurs ou transmis par les opérateurs télécoms, FAI, etc. (voir notre analyse).

Il leur suffit de justifier de la recherche de renseignements touchant à la sécurité nationale, la prévention du terrorisme, la criminalité et la délinquance organisées ou « la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France ».

De la LPM à la loi Renseignement

Le mécanisme a par la suite été revu par la loi Renseignement qui a démultiplié les outils de surveillance. Pour reprendre notre exemple, le droit d’accès en temps réel est désormais direct, non plus sur simple demande, dès lors qu’une personne identifiée est considérée comme une menace terroriste. La loi autorise en effet « la collecte, en temps réel, sur les réseaux des opérateurs, de la totalité des données, informations et documents relatifs aux communications de personnes préalablement identifiées comme des menaces »

Mieux, la toute récente loi sur l’état d’urgence et contre le terrorisme a ouvert davantage les vannes : l’accès direct et en temps réel peut viser aussi une personne simplement « susceptible d'être en lien avec une menace » et même son entourage dès lors qu’il y a de « raisons sérieuses de penser » qu'une ou plusieurs de ces personnes « sont susceptibles de fournir des informations ».

Pour couronner le tout, rappelons que le 29 janvier 2016, un autre décret d’application, relatif « aux techniques de recueil de renseignements », a dépoussiéré la liste de ces fameux « documents » et « informations », sur lesquels les services font leur miel.

Si on résume :

• 18 décembre 2013 : Loi de Programmation Militaire qui organise l’accès en temps réel, sur sollicitation du réseau, aux informations et documents détenus par les intermédiaires
• 24 décembre 2014 : Décret LPM définissant les « informations » et « documents »
• 24 juillet 2015 : Loi Renseignement qui permet un accès en temps réel à ces données pour les personnes identifiées comme une menace
• 29 janvier 2016 : Décret d’application qui redéfinit les notions « d’informations » et « documents »
• 21 juillet 2016 : Loi prorogeant l'état d'urgence et portant des mesures de renforcement de la lutte antiterroriste, qui étend l’accès direct des services aux personnes susceptibles d’être une menace ou d’avoir des informations sur elle.

L’arrêt Digital Rights de la Cour de justice de l’Union européenne

Alors que la France réorganisait la cuisine interne du renseignement, un coup de canon retentissait dans le ciel luxembourgeois pas plus tard que le 8 avril 2014. Avec son important arrêt Digital Rights, la Cour de justice de l’Union européenne a invalidé la directive sur la conservation des données de connexion, épinglant un trop grand nombre de trous et de flous, soit autant de brèches où s’évapore la vie privée de millions de citoyens européens.

Pour la CJUE, en effet « ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ».

Alors certes, les États membres peuvent se défendre contre des infractions graves, mais ils ne peuvent malmener la vie privée de personnes sans aucun lien avec ces faits. La conservation des données doit donc être calibrée, encadrée, accompagnée de solides garanties notamment quant au droit d’accès des administrations.

Des effets de Digital Rights sur la législation française

Le projet de décret LPM en main, la CNIL s’était du coup interrogée  « sur le risque d'inconventionnalité » du droit français, tout comme d’ailleurs la section des études du Conseil d‘État. Dans son rapport sur les libertés numériques, elle estimait que l’arrêt soulève « la question de la conformité au droit de l’Union européenne des législations nationales, telles que la législation française, qui prévoient une (…) obligation de conservation générale des données de connexion ».

C’est dans ce dense et long contexte qu’est donc intervenue la question de Lionel Tardy : 

« M. Lionel Tardy interroge M. le ministre de la Défense sur le décret n° 2014-1576 du 24 décembre 2014 relatif à l'accès administratif aux données de connexion, pris en application de l'article 20 de la loi de programmation militaire. Dans sa délibération n° 2014-484 du 4 décembre portant avis sur le décret précité, la CNIL relève que l'invalidation de la directive n° 2006/24/CE par la Cour de justice de l'Union européenne dans un arrêt en date du 8 avril 2014 (arrêt « digital rights Ireland ») est intervenue depuis la publication de la loi, et que cette invalidation conduit à s'interroger sur le risque d'inconventionalité des dispositions de la loi de programmation militaire concernées. Il souhaite connaître son analyse à ce sujet. »

Pour Manuel Valls, le régime français est CJUE-compatible

Dans sa réponse, Manuel Valls a expliqué combien le régime français était CJUE-compatible aussi bien sur les données concernées, que sur les finalités de leur recueil que s’agissant des autorités pouvant y accéder.

Du flou dans la notion d’informations et documents ? Pas le moins du monde ! Le droit national, tant celui antérieur issu de la loi de programmation militaire, que celui actuellement en vigueur issu de la loi relative au renseignement « définit précisément les données de connexion que les opérateurs de communications électroniques, les hébergeurs et les fournisseurs de services sur internet doivent conserver ». Comme l’a dit le Conseil constitutionnel, cela exclut les informations consultées (le contenu des mails, des échanges téléphoniques, des messages SMS, ect.). Et concerne deux ou trois éléments qu’a bien voulu préciser le Premier ministre :

« Il s'agit, à l'exclusion du contenu des correspondances échangées ou des informations consultées, des documents énumérés aux articles R. 10-13 et R. 10-14 du code des postes et des communications électroniques et à l'article 1er du décret no 2011-219 du 25 février 2011 modifié relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne), ainsi que celles qui peuvent être transmises en temps réel (L. 851-2) ou utilisées par des traitements automatisés (L. 851-3) : les données techniques permettant de localiser les équipements terminaux, relatives à l'accès des équipements terminaux aux réseaux ou aux services de communication au public en ligne, relatives à l'acheminement des communications électroniques par les réseaux, relatives à l'identification et à l'authentification d'un utilisateur, d'une connexion, d'un réseau ou d'un service de communication au public en ligne, relatives aux caractéristiques des équipements terminaux et aux données de configuration de leurs logiciels »

Bref, pas grand-chose ! De plus, le recueil de ces données, que ce soit en accès direct ou par d’autres biais, doit répondre à l’une des finalités diablement pointues (dans l’esprit du gouvernement), énumérées par le Code de la sécurité intérieure :

1. L’indépendance nationale, l’intégrité du territoire et la défense nationale
2. Les intérêts majeurs de la politique étrangère et la prévention de toute forme d’ingérence étrangère
3. Les intérêts économiques industriels et scientifiques majeurs de la France
4. La prévention du terrorisme
5. La prévention des atteintes à la forme républicaine des institutions, des violences collectives de nature à porter atteinte à la sécurité nationale, de la reconstitution ou d’actions tendant au maintien de groupements dissous en application de l’article L. 212 1
6. La prévention de la criminalité et de la délinquance organisées
7. La prévention de la prolifération des armes de destruction massive

N'est-ce pas d'une précision suisse ?

Mieux encore : «  l'article R. 821-1 du code restreint l'accès aux données de connexion à des agents individuellement désignés et spécialement habilités, au sein des services de l'État chargés des missions évoquées ci-dessus. Ces services sont limitativement énumérés à l'article R. 851-1 et R. 851-1-1 du code et seul le ministre ou le directeur dont relèvent les agents peuvent habiliter ces derniers à présenter des demandes d'accès (article R. 821-1) ».

Il ne s’agit donc pas d’un accès open bar au tout-venant ! Il est vrai qu’en regardant de plus près les éléments résumés dans cette phrase un peu chimique, on trouve d’un côté six services spécialisés qui ont pour mission « en France et à l'étranger, la recherche, la collecte, l'exploitation et la mise à disposition du Gouvernement des renseignements relatifs aux enjeux géopolitiques et stratégiques ainsi qu'aux menaces et aux risques susceptibles d'affecter la vie de la Nation ». De l’autre, 24 services non spécialisés qui peuvent effectuer des opérations de géolocalisation L851-4, installer des sondes L851-1 , des balises L851-5, un IMSI catcher ou appareil assimilé L.851-6, effectuer des interceptions de sécurité L. 852-1 (I), des interceptions de sécurité via IMSI catcher L. 852-1 (II), placer des micros et caméra-espions L853-1, ou des mouchards informatiques L853-2, etc.

Cela fait donc un peu de monde au balcon, mais Valls rappelle que « la mise en œuvre sur le territoire national des techniques de recueil de ces données est soumise à autorisation préalable du Premier ministre, délivrée après avis de la Commission nationale de contrôle des techniques de renseignement, autorité administrative indépendante qui dispose notamment (article R. 851-10) d'un accès permanent, complet, direct et immédiat aux traitements automatisés correspondants ». Il est vrai que le silence gardé par cette autorité 24 heures durant équivaut à autorisation, mais ce petit détail n’est pas rappelé aux oreilles de Lionel Tardy.

Avant comme après, tout va bien 

L’exécutif conclut en affirmant que « le dispositif national d'accès administratif aux données de connexion » ne peut être « assimilé à celui censuré par la Cour dans son arrêt du 8 avril 2014 ». Compte tenu de ces sérieux encadrement, l'accès administratif aux données de connexion, que ce soit dans le droit antérieur ou celui existant, n’est « donc pas contraire aux stipulations de la Charte des droits fondamentaux de l'Union européenne, telle qu'interprétée par la Cour dans son arrêt ».

Une analyse d’ailleurs partagée (très rapidement) par la section du contentieux du Conseil d’État le 12 février dernier lorsqu’elle a rejeté le recours de French Data Network, La Quadrature du Net, la Fédération des fournisseurs d'accès à internet associatifs et RSF.

Cette réponse n’est pas une surprise, évidemment. Déjà, en juin dernier, Jean-Jacques Urvoas avait répondu peu ou prou la même chose. Surtout, la France multiplie ses interventions auprès de la Cour de justice de l’Union européenne pour défendre la conservation généralisée des données par les intermédiaires (et donc l’accès à ces mêmes données par les services).

Il faut dire que dans le camp d’en face, la menace plane : les « Exégètes » (Quadrature , FDN et FFDN) ne restent pas passifs. Ils ont initié des procédures contre la conservation des données, assaisonnée de plusieurs questions préjudicielles, voire d’actions devant la CEDH concernant l’univers du renseignement.