#PJLTerro : les fragilités constitutionnelles de l’obligation de déclarer ses identifiants
Gérard, clique, c'est gratuit
Le 28 septembre 2017 à 14h00
9 min
Droit
Droit
À l'Assemblée nationale, à l’occasion des débats autour du projet de loi sur la sécurité intérieure et la lutte contre le terrorisme, a été adoptée l’obligation pour les personnes au comportement suspect de déclarer l’ensemble de leurs identifiants. Une telle obligation souffre de plusieurs fragilités constitutionnelles.
Suite à un amendement réintroduit par le gouvernement, les députés ont adopté une nouvelle obligation à l'encontre des personnes à l’égard desquelles il existe « des raisons sérieuses de penser que [leur] comportement constitue une menace d’une particulière gravité pour la sécurité et l’ordre publics ».
Si elles sont en relations habituelles avec d’autres personnes ou organisations « incitant, facilitant ou participant à des actes de terrorisme » ou bien si elles ont elles-mêmes soutenu, diffusé (sur Twitter par exemple) ou adhéré « à des thèses incitant à la commission d’actes de terrorisme ou faisant l’apologie de tels actes », alors elles devront déclarer l’ensemble de leurs identifiants électroniques au ministre de l’Intérieur.
Selon Gérard Collomb, cette mesure est du pain béni : elle permettra aux services du renseignement de suivre ces personnes à la trace, en scrutant au besoin en temps réel, l’ensemble de leurs données de connexion (article L. 851 2 du code de la sécurité intérieure).
Ce mécanisme peut s’entrevoir autrement : plutôt que de mettre en place les boites noires, censées d’ici 2020 détecter de possibles graines de menaces terroristes, ce sont les personnes au comportement suspect qui fourniront les éléments d’attention.
Seulement, plusieurs contraintes constitutionnelles risquent de freiner l’ardeur de cette surveillance auto-alimentée.
Le droit de se taire
Dès sa décision du 2 mars 2004, le Conseil constitutionnel a reconnu que « nul n’est tenu de s’accuser ». Un principe né de l’article 9 de la Déclaration de 1789 (« Tout homme étant présumé innocent jusqu'à ce qu'il ait été déclaré coupable »).
Dans sa décision du 4 novembre 2016, il a ajouté que découle de ce principe « le droit de se taire » dans le cadre d’une procédure pénale visant une personne « à l’encontre de laquelle il existe une ou plusieurs raisons plausibles de soupçonner qu'elle a commis ou tenté de commettre un crime ou un délit puni d'une peine d'emprisonnement ».
Dans l’actuel projet de loi, nous ne sommes pas dans le cadre d’une procédure pénale, mais la fourniture sur un plateau de ses identifiants peut bien entraîner l’engrenage d’une telle action, d’autant que les textes contre le terrorisme ont été démultipliés depuis 2015 s’agissant notamment de l’apologie au terrorisme sur Internet par exemple.
Le principe de proportionnalité
Lorsque l’internaute suspect se voit contraint de remettre aux services de l’Intérieur l’ensemble de ses identifiants électroniques, il aura intérêt à avoir une bonne mémoire. Un identifiant oublié, et le voilà éligible à trois ans d’emprisonnement et 45 000 euros d’amende.
Certes, il sera délicat pour les services de connaître finalement le spectre de ses identifiants, sauf que le projet de loi permet également des mesures de saisies administratives. Lors d’une « visite », l’équivalent des perquisitions sous l’état d’urgence, les agents pourront donc copier l’ensemble des données présentes sur les ordinateurs, tablettes, smartphones voire au besoin saisir ces éléments-là aux fins d’analyse.
Il sera simple du coup de vérifier si la personne-au-comportement-suspect n’a pas finalement oublié de déclarer un identifiant eBay, Paypal, Instagram, etc. ou d’un service plus ancien dont il reste des traces sur les espaces de stockage.
Comment le Conseil constitutionnel appréciera-t-il cette contrainte face au principe de proportionnalité ? Est-il raisonnable d’exiger du principal intéressé une mémoire sans faille portant sur des années d’activités en ligne, et dans le même temps le menacer jusqu’à trois ans de prison et 45 000 d’amende pour le moindre oubli ?
Le principe de nécessité
Dans un amendement de suppression, les députés GDR ont fait état d’un autre problème : cette mesure ne serait pas nécessaire, constitutionnellement parlant, au motif que la loi du 24 juillet 2015 prévoit déjà toute une série de solutions pour « récupérer les identifiants techniques de connexion, sous le contrôle de la Commission nationale de contrôle des techniques de renseignement ou du juge administratif ».
Ils citent l’accès aux données de connexion (article L. 851 - 1 du Code de la Sécurité intérieure) et le recueil en temps réel des données de connexion (article L. 851 - 2 du Code de la Sécurité intérieure).
Ajoutons cette nouvelle obligation va flirter de près avec d’autres instruments présents dans le code pénal, ce qui posera la question de la nécessaire judiciarisation. Un individu dont le « comportement constitue une menace d’une particulière gravité pour la sécurité et l’ordre publics » et qui diffuse « des thèses incitant à la commission d’actes de terrorisme ou faisant l’apologie de tels actes » pourrait très bien tomber dans l’escarcelle du délit d’apologie du terrorisme.
Le fait de « faire publiquement l'apologie de ces actes » est en effet déjà puni par l’article 421-2-5 du Code pénal de cinq ans d'emprisonnement et de 75 000 euros d'amende.
Le sort de données
Le texte réintroduit par le gouvernement pose l'obligation pour le suspect de…
« Déclarer les numéros d’abonnement et identifiants techniques de tout moyen de communication électronique dont elle dispose ou qu’elle utilise, ainsi que tout changement de ces numéros d’abonnement et identifiants ; ces déclarations ne portent pas sur les mots de passe ».
Or, un souci majeur se pose. Si le gouvernement n’a eu de cesse de dire que ce pétrole allait alimenter le moteur du renseignement, il ne l’a pas écrit noir sur blanc dans le projet de loi.
Dit autrement, une fois les numéros d’abonnement et les identifiants déclarés, personne ne sait exactement ce qu’il en adviendra. Seront-ils stockés ? Combien de temps ? Un an ? Cinq ans ? Une éternité ? Sous quelles mesures de sécurité ? Qui d'ailleurs aura droit accès ?
Pour mémoire, le Conseil constitutionnel avait déjà censuré un tel défaut d’encadrement dans sa décision portant sur la surveillance des communications internationales, prévue par la loi Renseignement :
« en ne définissant dans la loi ni les conditions d'exploitation, de conservation et de destruction des renseignements collectés (…), ni celles du contrôle par la commission nationale de contrôle des techniques de renseignement de la légalité des autorisations délivrées en application de ce même article et de leurs conditions de mise en œuvre, le législateur n'a pas déterminé les règles concernant les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ».
Et comme si l’exécutif souffrait de troubles de l’audition, il avait reproduit ces critiques à l’encontre de l’article du Code de la sécurité intérieure relatif aux mesures de surveillance hertzienne : « les dispositions contestées ne définissent pas la nature des mesures de surveillance et de contrôle que les pouvoirs publics sont autorisés à prendre. Elles ne soumettent le recours à ces mesures à aucune condition de fond ni de procédure et n'encadrent leur mise en œuvre d'aucune garantie ».
Sans surprise, on devrait aboutir à la même fin tragique.
Un problème d’intelligibilité de la loi
Un dernier point cependant. La loi en formation oblige à déclarer ses « identifiants techniques de tout moyen de communication électronique ». Qu’est-ce qui se cache derrière cette longue expression ? Manque de chance, le texte ne donne aucune esquisse de définition, pas plus que les travaux parlementaires. On sait juste que les mots de passe sont exclus, mais c'est un peu court pour circonscrire a contrario ce périmètre aux seuls logins.
Selon le CPCE, « on entend par communications électroniques les émissions, transmissions ou réceptions de signes, de signaux, d'écrits, d'images ou de sons, par voie électromagnétique » (article L32).
Si ce seul spectre est déjà large, celui des identifiants techniques nous plonge dans un brouillage complet. Un décret du 25 février 2011 en cite bien sept différents types :
- L'identifiant de la connexion
- L'identifiant attribué par ces personnes à l'abonné
- L'identifiant du terminal utilisé pour la connexion lorsqu'elles y ont accès
- L'identifiant de la connexion à l'origine de la communication
- L'identifiant attribué par le système d'information au contenu, objet de l'opération ;
- L'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni ;
- Au moment de la création du compte chez un FAI ou un hébergeur, l'identifiant de cette connexion
Mais, comble de l'usine à gaz, la liste n’est pas limitative puisqu’elle ne concerne que la conservation et la communication « des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne », nom du décret !
En tout cas, avec une obligation aussi mal bornée, l’utilisateur devrait donc se souvenir non seulement de ses logins, mais aussi de l’ensemble des adresses IP empruntées pour ses échanges électroniques. Si cela n’est pas inenvisageable pour une IP fixe (déjà très rare pour un particulier), imagine-t-on quiconque se rappeler de l’adresse d’un réseau Wi-Fi d’une station essence ou d’un McDo sur lequel il s’est connecté ?
Voté à l'Assemblée, le texte devra ensuite passer en commission mixte paritaire puisque les sénateurs avaient refusé une telle déclaration. Ensuite, il sera prêt pour la course finale vers le Journal officiel, avant une éventuelle saisine du Conseil constitutionnel.
#PJLTerro : les fragilités constitutionnelles de l’obligation de déclarer ses identifiants
-
Le droit de se taire
-
Le principe de proportionnalité
-
Le principe de nécessité
-
Le sort de données
-
Un problème d’intelligibilité de la loi
Commentaires (16)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 28/09/2017 à 15h44
Le 28/09/2017 à 15h45
… une nouvelle obligation à l’encontre des personnes à l’égard desquelles il existe « des raisons sérieuses de penser que [leur] comportement constitue une menace d’une particulière gravité pour la sécurité et l’ordre publics ».
Plus vague comme définition, c’est pas possible." />" />" />
Le 28/09/2017 à 15h46
non seulement de ses logins, mais aussi de l’ensemble des adresses IP empruntées pour ses échanges électroniques.
Oooooh, on repousse les limites. " />
Le 28/09/2017 à 19h27
Le 28/09/2017 à 21h48
On vous a dit de voter FI pourtant " />
Le 28/09/2017 à 21h56
Plus je regarde toutes ces lois qui tombent à gauche et à droite, plus j’ai l’impression qu’on est occupés à tourner le dos à la démocratie, à l’état de droit, et qu’on finira comme du bétail dans les rouages d’un système digne des pires dystopies.
Le 29/09/2017 à 08h32
Le 29/09/2017 à 08h50
Tu plaisantes un peu, mais du point de vue constitutionnel, je ne sais pas si la différence peut jouer.
Par contre, la CEDH a déjà tranché plusieurs fois sur ce sujet : on a le droit de ne pas fournir des informations qui permettraient plus tard de nous incriminer et le fait de soumettre la non fourniture d’informations à des peines (amendes ou prison) est une pression est doit donc être interdit.
Mais bon, il vaut mieux que le Conseil Constitutionnel tranche favorablement sur ce point, on gagnerait du temps, le recours à la CEDH n’étant possible que quand tous les recours nationaux sont épuisés.
Le 29/09/2017 à 10h19
Tu as oublié un morceau important dans ce que tu as mis en gras : soupçonner.
Ce mot fait toute la différence, on a même pas un début de preuve ou même des preuves minces que la personne a commis ou tenté de commettre, juste un soupçon…
Minority Report n’est pas si loin finalement. Et on aura pas besoin de “précog” pour le réaliser… " />
Le 01/10/2017 à 16h03
Marc a écrit : “Ensuite, il sera prêt pour la course finale vers le Journal officiel, avant une éventuelle saisine du Conseil constitutionnel.”
Ne serait-il pas souhaitable que la saisine du CC se fasse à priori ? On gagnerait du temps et surtout de l’argent à ne pas laisser passer ce … machin.
Je pense qu’il faudrait que j’aille faire un tour sur le site de LQDN … " />
Le 01/10/2017 à 19h56
Il serait souhaitable, oui, mais il y a très peu de chance que ça se produise. Peuvent le saisir :
le Président de la République, le Premier ministre, le Président de l’Assemblée nationale et le Président du Sénat, 60 députés ou 60 sénateurs.
Autant dire que c’est impossible. LR étant favorable à ce genre de mesure. à l’Assemblée, il faudrait que FI, le PCF, le PS, l’unique EELV signent tous et trouvent 2 autres députés pour compléter. Au Sénat le groupe PS est de 76 mais ça m’étonnerait qu’ils soient tous contre cette mesure (j’ai le même doute pour les 30 PS de l’assemblée).
Le 28/09/2017 à 14h04
Rhooo Marc ce sous-titre c’est abusé " /> " />
M’en vais lire l’article maintenant " />
Le 28/09/2017 à 14h09
“La politique autrement” ressemble quand même à l’ancienne " />
Le 28/09/2017 à 14h16
Le premier paragraphe porte un peu à confusion je trouve :
les députés ont adopté l’obligation pour les personnes à l’égard desquelles il existe « des raisons sérieuses de penser que [leur] comportement constitue une menace d’une particulière gravité pour la sécurité et l’ordre publics ».
Ils ont adopté l’obligation de quoi envers ces personnes ? Même si c’est annoncé dans le paragraphe suivant ça laisse un vide.
Le 28/09/2017 à 14h58
Bonjour, si vous êtes militants écologistes, de gauche, de droite, du centre, avec des idées, une culture, ou une nuance épidermique qui pourraient ne pas plaire à votre kommandantur préfecture, un conseil: chiffrez vos données, prévoyez un bon avocat pour vous défendre et ne cédez rien.
On est au moment charnière où la démocratie bascule dans autre-chose.
Ce serait bien au passage d’avoir la liste exacte des crapules qui ont voté pour ce truc.
Le 28/09/2017 à 15h19