Vendredi, au Conseil d’État, le rapporteur public (RAPU) lira ses conclusions dans un dossier crucial, celui de la conservation des données de connexion. Ultime étape avant le point d’orgue, la décision de la juridiction réunie en Assemblée du contentieux, témoignage de l’importance du dossier. Next INpact a pu lire par avance le sens de ces conclusions.
L'Assemblée du contentieux ? L'une des « formations solennelles du Conseil d’État, où sont jugées les affaires qui présentent une importance remarquable » décrit le Conseil d’État. 17 membres se pencheront d'ici peu sur l’épineux sujet de la conservation des données de connexion.
Pour mémoire, les opérateurs et hébergeurs ont l’obligation de conserver un an l’ensemble des « qui », « quand », « quoi », « d’où », « comment » de toutes les communications. Ce vivier est précieux pour les autorités qui peuvent alors tenter de remonter aux origines et destinations d’un échange électronique, pour « les besoins de la recherche, de la constatation et de la poursuite des infractions pénales », pour la riposte graduée chère à la Hadopi, pour l’ANSSI ou encore les services du renseignement.
Par quatre salves, la Cour de justice a jeté un caillou dans cette mare. Le 8 avril 2014, avec son arrêt « Digital Rights Ireland », elle constatait que cette conservation engageait une ingérence profonde dans la vie privée des citoyens de l’UE, à tel point qu’elle réclamait de solides garanties, des textes clairs et une obligation réservée à la seule lutte contre les infractions graves.
Le 21 décembre 2016, avec son arrêt « Télé2 », elle jugeait tout naturellement contraire « une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ».
Le 6 octobre 2020, l’arrêt « LQDN, FDN, FFDN et autres » et celui dit « Privacy International » enfonçait le clou. La Cour exigeait encore des règles précises, des garanties, tout en définissant plusieurs critères pour justifier la conservation des données (une période limitée, en présence de circonstances suffisamment concrètes pour considérer l’existence d’une menace grave, pour la sécurité nationale, et face à une menace « réelle et actuelle ou prévisible »). Elle prenait soin d’ajouter que « cette conservation ne saurait présenter un caractère systématique ».
Enfin, le 2 mars dernier, elle redit que le droit européen s’oppose aux législations permettant l’accès des autorités publiques aux données de connexion si cette porte n’est pas circonscrite « à des procédures visant à la lutte contre la criminalité grave ou à la prévention de menaces graves contre la sécurité publique ».
Armée du principe d’indépendance, elle ajoute pour l’occasion que les normes en vigueur interdisent les réglementations qui donnent compétence au ministère public d’autoriser ces accès aux données de connexion et la conduite de l’enquête pénale.
LQDN, FFDN mais aussi Free
C’est dans ce contexte que vendredi, plusieurs requêtes seront auscultées devant l’Assemblée du contentieux. Dans cette formation exceptionnelle, la juridiction poursuivra l’examen de ces procédures initiées par FDN, FFDN, la Quadrature du Net, Igwan et Free, seul FAI parmi les mastodontes du secteur, à être monté aux barricades du droit.
Comme révélé dans nos colonnes, le gouvernement a déjà aiguisé une ligne de conduite en réclamant du Conseil d’État de tout simplement ignorer la jurisprudence européenne. Il s’arme de la souveraineté nationale et de l’identité constitutionnelle de la France pour considérer au surplus que la Cour de justice de l’Union avait mal appliqué le droit européen.
Selon l’exécutif, interdire la conservation des données de connexion, comme le voudrait la CJUE, reviendrait finalement à battre en brèche le principe de sauvegarde des intérêts fondamentaux de la nation, l’objectif de prévention, de recherches des auteurs d’infraction pénale, et celui de lutte contre le terrorisme.
Le « RAPU » ne semble pas faire sienne cette ligne, préférant ausculter chacune des requêtes. Ses conclusions devraient être contrastées, aboutissant à un rejet de certaines demandes et à une annulation différée dans le temps de plusieurs textes pris dans le sillage de la loi Renseignement.
Le sens des conclusions du rapporteur public
Vendredi, le rapporteur public donnera son opinion sur ce dossier. Nous serons évidemment à l’audience. En plus du résumé dressé par la Quadrature du Net, Next INpact a déjà pu lire le sens de ses conclusions. Le « RAPU » plaide d’abord pour le rejet de la requête initiée par la Quadrature du Net (et autres) visant à annuler le décret du 28 septembre 2015 « portant désignation des services spécialisés du renseignement ».
Il oppose pour le coup « l’inopérance des moyens tirés de l’inconventionnalité des dispositions législatives critiquées, qui ne constituent pas la base légale du décret n° 2015-1185, lequel n’est pas pris pour leur application ».
En clair, dans leur camp, les requérants estiment que ce décret met finalement en œuvre l’ensemble de la loi Renseignement, qui elle-même méconnait le principe du droit au respect de la vie privée et le droit au recours effectif. Un effet domino contesté.
Le cœur arrive. Dans la requête n°393099, les FDN, FFDN et LQDN ont attaqué le refus du Premier ministre d’abroger l’article R.10-13 du Code des postes outre le décret « phare » du 25 février 2011, celui relatif « à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne ».
Dans la requête 424717 et 424718 Free Mobile et Free se sont attaqués à la même disposition du code, ou plus exactement au refus là encore du Premier ministre d’avoir abrogé cette disposition.
Ces dispositions obligent finalement les intermédiaires techniques à conserver les données de connexion des internautes, de l’accès à la mise en ligne de contenus.
Le rapporteur public conclut à l’annulation du refus d'abrogation du Premier ministre s’agissant de l’entièreté du R. 10-13 du Code des postes et des communications électroniques, et des points 1° et 2° de l’article 1er du décret du 25 février 2011 « en tant que ces dispositions permettent la conservation généralisée et indifférenciée des données relatives au trafic (hors adresses IP) et des données de localisation pour des finalités autres que la sauvegarde de la sécurité nationale et ne prévoient pas, pour cette finalité, un réexamen périodique de l’existence d’une menace grave pour la sécurité nationale ». (On saura vendredi pourquoi l’adresse IP est préservée).
Il plaide en outre pour que le Conseil d’État enjoigne le Premier ministre de modifier ces dispositions mais seulement dans un confortable délai de six mois, alors que le premier arrêt de la CJUE sur la question remonte à 2014. Soit une jolie modulation dans le temps de l’application du droit de l’UE, en principe immédiate.
Il conclut enfin au rejet des autres conclusions, en particulier celles visant le refus d’abroger les 3° et 4° de l’article 1er du décret de 2011 qui rangent parmi les données de connexion, les documents contractuels, lesquels ne concernent pas les données de trafic ou les données de localisation.
Vers une montée en grade des avis de la CNCTR
Pour les requêtes 397844, l’association Igwan.net a réclamé l’annulation du décret du 11 décembre 2015. C'est celui relatif à la désignation des services autres que les services spécialisés du renseignement, autorisés à recourir aux techniques de surveillance.
Avec la requête 397851 cette fois, la Quadrature du Net, FDN et FFDN ont demandé l'enterrement du décret du 29 janvier 2016 relatif aux techniques de recueil du renseignement.
Les requérantes reprochent finalement à ces dispositions de permettre, en dehors des cas d’urgence dûment justifiée, la mise en œuvre des articles :
- L. 851-1 : relatif à la réquisition administrative des données de connexion et autres « informations et documents » chez les opérateurs, FAI et services de communication,
- L.851-2 : relatif aux sondes directement installées chez ces mêmes personnes pour butiner ces mêmes informations pour la prévention du terrorisme
- L. 851-4 : relatif aux réquisitions sur « sollicitation du réseau »
- Le IV de l’article L. 851-3 : relatif aux procédures d’identification d’une personne détectée par boite noire
... alors que cet accès aux données de connexion s'opère sans contrôle préalable par une autorité administrative indépendante dotée d’un pouvoir contraignant ou par une juridiction. Or, la Cour de justice a par exemple jugé que le recours à un recueil en temps réel des données relatives au trafic et des données de localisation devait toujours être « soumis à un contrôle préalable, effectué, soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant »
Le rapporteur réclame lui-aussi l’annulation de ces dispositions, mais seulement dans le délai de six mois. Dans l’intervalle, ces techniques de renseignement ne pourront être mises en œuvre si elles écopent d’un avis défavorable de la Commission nationale de contrôle des techniques du renseignement (CNCTR), alors que celle-ci ne rend actuellement que des avis simples, que le Premier ministre peut ignorer.
Par contre, il devrait suggérer, comme nous le pressentions, l’application de la jurisprudence AC! qui permet au Conseil d’État de n’annuler que pour l’avenir un acte administratif, alors même que celui-ci est réputé ne jamais avoir existé. Si cette voie est confirmée, ce serait un autre pied de nez adressé à la jurisprudence de la CJUE.
D'où, ce commentaire de la Quadrature du Net qui exhorte la juridiction à ne surtout « pas s’arrêter au demi-compromis proposé par le rapporteur public » mais à appliquer « entièrement la décision de la Cour de justice en garantissant l’anonymat sur Internet et en s’opposant sans délai à toute mesure de surveillance de masse. »
Commentaires (1)
<>
C’est du calcul politique en attendant la mise à la retraite des usufruitiers de ce dispositif.
Il y en a donc des plus égaux que les autres… CQFD