Après la tempête des débats sur la loi Renseignement, le gouvernement pouvait-il espérer une mer d’huile ? C’est raté. Outre des procédures en cours devant la CEDH, un avis de tempête s’annonce sur le flanc de ce texte aujourd’hui en application.

Avec l'aide du cabinet Spinosi, c’est une pluie de procédures qu’ont décidé de lancer la Quadrature du Net, FDN, FFDN et Igwan, un fournisseur d’accès associatif dans les Antilles, membre de la fédération FDN. Les requêtes publiées ce matin ciblent tout particulièrement les décrets de la loi Renseignement, des textes d’application aujourd’hui (presque) tous entrés en vigueur. De ce tremplin, les requérants sollicitent le Conseil d’État, la saisine de la Cour de justice de l’Union européenne et du Conseil constitutionnel.

Du droit au recours effectif

Quels sont les textes d’application visés ? La première salve s’attaque au décret 2015 - 1211, celui relatif au contentieux de la mise en œuvre des techniques de renseignement. Le deuxième décret attaqué est celui publié le 28 septembre 2015. C’est lui qui dresse la très longue liste des services spécialisés autorisés à utiliser l’un des moyens de surveillance initiés par le législateur. Le troisième est celui du 29 septembre 2015, relatif à l’organisation administrative et financière de la Commission nationale de contrôle des techniques de renseignement (CNCTR), etc.

Pour les requérants, ces textes sont à rebours de plusieurs articles de la Convention européenne des droits de l’Homme, dont le droit au recours effectif.

« Le droit à un recours juridictionnel devant une chambre spéciale du Conseil d’État a été présenté comme une avancée majeure apportée par la loi renseignement, écrivent-ils. Il s’agit en réalité d’un véritable jeu de dupe, qui fait entrer la raison d’État et son secret dans la justice française sans apporter les garanties minimales d’un procès équitable. En effet, l’ensemble des pièces présentées par l’administration resteront secrètes ; le plaignant et son avocat n’y auront pas accès. La jurisprudence du Conseil d’État elle-même restera secrète, et il sera impossible pour un individu de savoir si oui ou non il a été placé sous surveillance. »

Selon eux, un vrai droit au recours impliquerait a minima un mécanisme de notification ou d’alerte a posteriori des personnes surveillées. Pourquoi ? Car c’est cette alerte qui lui permettrait alors de contester utilement une surveillance hors des clous. Inversement : sans elle, le citoyen nage dans l’ignorance la plus vaste.

Cette problématique avait été exposée dans les mêmes termes par un arrêt Roman Zakharov c. Russie de la CJUE. Et le 4 décembre 2015, la Grande Chambre a cité cette obligation de notification comme solution à cette difficulté. En France, un tel mécanisme de notification n’existe pas dans la loi Renseignement, privant de garantie concrète celui qui s’estimerait surveillé. C’est ce que disent ces exégètes dans leurs recours : la loi Renseignement « ne permet aucunement à la personne qui soupçonne qu’une technique de renseignement a été mise en œuvre à son égard d’obtenir ne serait-ce que la confirmation ou l’infirmation d’une telle surveillance ».

L’encadrement filaire, la liberté hertzienne

Une autre procédure frappe cette fois le décret du 11 décembre 2015. Celui-ci dresse la liste impressionnante des services autres que les services spécialisés de renseignement, autorisés à recourir aux techniques de recueil de renseignement.

C’est l’un des points centraux de cette initiative : un article de la loi Renseignement (le L811-5 CSI) prévoit en effet que « les mesures prises par les pouvoirs publics pour assurer, aux seules fins de défense des intérêts nationaux, la surveillance et le contrôle des transmissions empruntant la voie hertzienne ne sont pas soumises aux dispositions du présent livre, ni à celles de la sous-section 2 de la section 3 du chapitre Ier du titre III du livre Ier du code de procédure pénale ».

Cet article, qui trouve sa source dans la loi de 1991, avait d’ailleurs déjà été mis en cause dans l’affaire Thierry Solère (voir cet article et celui-ci).

En substance, seul le filaire est encadré par les textes, non le hertzien. Or, la Quadrature, FDN, etc. redoutent une brèche immense : les échanges entre un téléphone portable et une antenne relai, une borne Wi-Fi et un ordinateur, une balise GPS, une puce NFC, un ordinateur portable équipé d’une clé 3G, etc. tous seraient hors de tout contrôle dès lors que les services justifient la défense des intérêts nationaux, soit un objectif pour le moins flou. Sans encadrement, les services peuvent théoriquement faire à peu près tout et n’importe quoi. Aucune autorité de contrôle externe n’est en droit de vérifier le sort des données collectées, leur durée de traitement, leur effacement effectif, etc.

Point amusant : si on relit l’exposé des motifs du projet de loi sur le renseignement, le gouvernement avait tenté d’autoriser les services du renseignement à utiliser des IMSI catcher, ces fausses antennes relais baptisées « dispositif technique de proximité » dans le texte. Sauf qu’en commission des lois, Jean-Jacques Urvoas, rapporteur, avait fait sauter cette mention, préférant la référence à un « appareil » ou « un dispositif technique » dans le sens de l’actuel article 226 - 3 du Code pénal, à savoir tout ce qui permet d’ « ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination » ou « d'en prendre connaissance » ou « d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie électronique ».

Il justifiait ainsi ce remplacement : « Je m’inspire beaucoup de la législation allemande, adoptée après une délibération de la CEDH. L’idée est que la loi doit porter sur des finalités, plutôt que sur des outils, pour ne pas être rendue caduque par l’évolution de la technologie ». En fait, sous ce prétexte, il faisait d’une pierre deux coups : il élargissait les oreilles des services (adieu, la contrainte de « proximité ») tout en évinçant la dichotomie entre outils hertziens (non régulés) et outils filaires (régulés)… 

De multiples questions préjudicielles

Les requérants profitent de l’occasion pour solliciter la transmission d’autres questions préjudicielles à la Cour de justice de l’Union européenne. L’idée est que celle-ci vienne décapiter la loi Renseignement compte tenu du manque de garanties au regard des nombreuses atteintes à la vie privée qu’elle orchestre.

Est épinglé par exemple un manque de précison dans les finalités justifiant ces ingérences : la loi évoque en effet l’atteinte aux intérêts majeurs de la politique étrangère, l’exécution des engagements européens et internationaux de la France, les intérêts économiques, industriels et scientifiques majeurs, les violences collectives et la prévention de la délinquance organisée.

De plus, l’ingérence dans la vie privée est profonde. Est cité cette fois le mécanisme de la boite noire, calibré pour détecter une possible menace terroriste à l’aide d’une analyse algorithmique des données de connexion. La Quadrature et les autres organisations se souviennent là de l’affaire Digital Rights où la CJUE a justement condamné la collecte massive de données de connexion visant même ceux pour lesquels « il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves ». Du coup, ils embrayent sur une nouvelle question préjudicielle : un État membre peut-il être autorisé « à collecter de façon indiscriminée et secrète des données techniques concernant l’ensemble des utilisateurs d’un réseau et pouvant être rattachée à ceux-ci ? »

Autre chose, la loi prévoit la centralisation, la conservation puis l’effacement des données, mais est trop silencieuse à leur goût quant aux conditions d’accès ou de consultation. Or la CJUE s’est là encore montrée pointilleuse sur cette question sensible, exigeant à tout le moins « un critère objectif permettant de délimiter l’accès des autorités publiques ». Le sujet fait lui aussi l’objet d’une question préjudicielle.

Quand la loi sur la surveillance internationale surveille des personnes en France

La loi sur la surveillance des communications internationales en prend également pour son grade. Les requérants anticipent une atteinte sérieuse à la vie privée. Ils s’arment du coup de l’affaire Maximillian Schrems, cet Autrichien qui a fait annuler le Safe Harbor devant la CJUE le 6 octobre 2015.

La Cour de Luxembourg avait été claire dans cette affaire : une règlementation qui prévoit que « l’accès aux données conservées par les autorités nationales compétentes n’est pas subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante dont la décision vise à limiter l’accès aux données et leur utilisation à ce qui est strictement nécessaire aux fins d’atteindre l’objectif poursuivi » porte une atteinte disproportionnée à ce droit fondamental.

Là aussi, la loi sur le renseignement en prend pour son grade. D’un, elle fait sauter le maigre contrôle exercé a priori par la CNCTR, qui n’intervient qu’après la surveillance, soit trop tardivement. De deux, le mécanisme de la boite noire a été étendu à l’ensemble des finalités de la loi Renseignement, alors qu’il est limité au seul terrorisme dans les échanges franco-français. De trois, comme expliqué plusieurs fois dans nos colonnes, le champ d’application de la loi sur la surveillance des communications internationales est trompeur. Celle-ci s’applique dès lors qu’une communication est reçue ou émise depuis l’étranger. Or, il suffit que deux Français entrent en contact via un serveur installé au-delà de nos frontières, par exemple Gmail, Facebook, Twitter, etc. pour que cet échange soit qualifié d’étranger. C’est en effet l’adresse IP du serveur qui apparaîtra sur les écrans des services du renseignement.

Ils demandent en conséquence au Conseil d’État de saisir la CJUE pour savoir si on peut considérer comme valide un encadrement différencié selon que les communications sont rattachables à la France ou à un autre pays européen. De même, ils soulèvent une possible atteinte au droit au recours effectif, puisque ce droit n’est pas reconnu aux personnes faisant l’objet d’une surveillance internationale.

L'atteinte à la directive de 2000 sur le e-commerce

Le recours s’intéresse aussi sur la durée de conservation des données collectées, jugée trop longue car non limitée au strict nécessaire, obéissant à un régime généralisé non fondé sur des critères objectifs. Autant de points qui furent épinglés par la CJUE dans sa décision Schrems. Reproches similaires s’agissant du contrôle de la validité des opérations de surveillance, qui n’est soumis non à une autorisation, mais à une simple demande d’avis.

Ce n’est pas tout : dans leur grille de lecture, la loi Renseignement irait aussi l’encontre de la directive de 2000 sur le commerce électronique. Puisque le mécanisme de la boite noire revient à les contraindre à mettre en œuvre un mécanisme de détection des connexions susceptibles de révéler une menace terroriste, cela contreviendrait à la directive qui n'apprécie que moyennement les systèmes de surveillance généralisée.

Cette pluie de procédures a été doublée de plusieurs questions prioritaires de constitutionnalité. Il en va ainsi de l’article L811-5 qui exclut de tout encadrement le contrôle des transmissions hertziennes. Pour les requérants, il doit nécessairement revenir à la loi de fixer les conditions d’exploitation, de conservation et de destruction des renseignements collectés, comme l’avait tambouriné le Conseil constitutionnel le 23 juillet 2015.

Et maintenant ?

Le Conseil d’État devra examiner les demandes de QPC dans un délai de trois mois. S’il décide de transmettre, il devra sursoir à statuer. Le Conseil constitutionnel aura lui aussi un trimestre pour trancher. Les demandes de questions préjudicielles à la CJUE obéissent elles à un temps plus long.

Nul ne peut prophétiser sur les chances de victoire de tels recours. En attendant, le grand intérêt de ces grandes manœuvres sera de contraindre le gouvernement à sortir un peu plus du bois qu’il ne l’avait fait lors des débats parlementaires. Face à un texte d’une complexité aiguë, l’exécutif avait opté pour la procédure d’urgence. Cela a réduit la navette entre Assemblée nationale et Sénat. Un excellent moyen pour limiter les échanges et les questions qui fâchent.