Métadonnées : de la conservation généralisée à l’accès facilité, à quand le grand nettoyage ?

Deux décisions importantes vont être rendues dans les prochaines semaines par le Conseil constitutionnel. Leur point commun ? L’accès aux données de connexion conservées par les opérateurs et services de communication.

Plus que les contenus, les autorités administratives s’intéressent aujourd’hui de près à la question des données de connexion, soit l’ensemble des informations qui encapsulent le contenu d’une communication.

Schématiquement, il s’agit du qui, quand, où, comment d’un échange électronique. Dans le lot, les différents codes et lois y rangent notamment les données relatives aux équipements terminaux de communication utilisés, les identifiants de connexion, les pseudonymes, les numéros de téléphone, bref une myriade d’éléments. Dans un tel cadre, l’atteinte à la vie privée n’est pas moindre que celle affectant les contenus, elle est juste différente. De ce socle, les autorités peuvent en effet appréhender l’ensemble du graphe social, la cartographie des liens sociaux d’une personne outre ses données de localisation. Bref, un joli stock d’où peuvent être tirées de nombreuses conclusions sur les us et coutumes d’un individu.

Le droit de communication de l’Autorité des marchés financiers

Deux affaires sont actuellement auscultées par le Conseil constitutionnel dans le cadre d’une question prioritaire de constitutionnalité, et donc d’un contrôle a posteriori. La première vise l’Autorité des marchés financiers. L’AMF peut demander une copie des données aux opérateurs et services en ligne pour les besoins d’une enquête tombant dans son périmètre.

Seulement, un individu conteste ce droit de communication afin de faire tomber plusieurs pièces obtenues par ce biais. Il s’inspire d’une précédente décision du Conseil constitutionnel dite « Loi Macron » où les Sages ont déjà épinglé la possibilité pour une autre institution, l’Autorité de la concurrence, de disposer d’un tel droit.

Jaugeant l’équilibre entre droit à la vie privée et la prévention des atteintes à l'ordre public et la recherche des auteurs d'infractions, le CC a constaté un déséquilibre trop manifeste faute de garanties suffisantes : modalités, finalités, motifs, conservation des données, etc. tous ces détails d’importance avaient été oubliés. Or, les pouvoirs de l’Autorité de la concurrence ont été calqués sur ceux de l’AMF. Par contamination, l’article du Code des marchés financiers pourrait donc subir la même censure.

La surveillance en temps réel justifiée par le soupçon

Un autre dossier est sur la rampe de la Rue de Montpensier. Il vise cette fois les capacités des services du renseignement à scruter en temps réel les métadonnées d’une personne dans le cadre de la lutte antiterroriste. La Quadrature, FDN et FFDN, via leur avocat, Me Spinosi, contestent l’extension de ce pouvoir par la loi du 21 juillet 2016. À l’occasion d’une énième prorogation de l’état d’urgence, gouvernement et législateur ont profité de la fenêtre pour aiguiser l’armada du Renseignement, activable donc même en dehors de cette situation exceptionnelle.

Si la loi sur le renseignement permettait de suivre les métadonnées d’une personne « préalablement identifiée comme présentant une menace », celle votée après l’attentat de Nice étend cette surveillance aux personnes « susceptible d'être en lien avec une menace ».

D’une certitude, on glisse sur une potentialité. Sur sa lancée, ce spectre a même été étendu à l’entourage de cet individu, si les personnes qui le composent sont « susceptibles de fournir des informations ».

On en débouche donc sur la possibilité pour le Renseignement de collecter en temps réel les données de connexion des personnes potentiellement en lien avec une menace terroriste, et sur l’entourage de celle-ci, s’il est susceptible d’avoir une information utile. Là encore, le Conseil constitutionnel est appelé à apprécier l’atteinte à la vie privée face à cette surveillance des métadonnées fondée sur le soupçon et l’hypothèse.

En amont, la question de la conservation des données

Dans une tribune publiée dans les colonnes de Libération, les Exégètes, groupe d'action juridique et contentieuse – regroupant FDN (French Data Network), la Quadrature et la Fédération FDN – revient sur les problématiques soulevées par ces questions. Et avant tout, sur la logique même de la conservation des données de connexion, qui rend possible ces accès.

« Depuis 2006, écrivent-ils, les opérateurs télécoms sont obligés de conserver les données de connexion de la totalité de leurs utilisateurs en France. Ainsi, une poignée de grandes entreprises conservent un véritable journal de bord de la population française permettant de revenir jusqu’à un an dans le passé, pour le mettre à disposition des autorités françaises (police judiciaire, mais aussi services de renseignement, régulateurs et autorités administratives comme Hadopi, etc.). Pourquoi cette conservation préventive a-t-elle lieu ? »

Et le collectif de rappeler que la Cour de justice de l’Union européenne voit d’un très mauvais œil cette conservation indifférenciée. En France comme au Royaume-Uni, « cette obsession policière nous conduit dans une impasse : celle d’une politique sécuritaire qui postule que, pour assurer notre sécurité, les gouvernements doivent tous nous considérer comme des suspects potentiels ».

Toujours dans cette missive, le groupe dénonce surtout l’absence de débat sur les moyens de la lutte antiterroriste. « Après l’attaque de Londres, comme après chaque attentat, il a pourtant de nouveau été démontré que ce qu’il manque à l’antiterrorisme, ce sont notamment des moyens humains dédiés à l’analyse des données déjà recueillies dans le cadre de surveillances ciblées, et non pas des puits sans fond de données ».

Les deux décisions du Conseil constitutionnel seront rendues dans les deux prochains mois.