Comment traduire donc, concrètement, la décision de la CJUE sans mettre en péril toute l’architecture des méthodes d’enquêtes actuelles ? C’est tout le nœud du sujet.
L’argumentation de la CJUE, longue de 85 pages, est ardue. Tellement, que les praticiens sollicités mardi par Le Monde se montraient tous très prudents quant à son interprétation. « Nous prenons acte de cette décision qui est en cours d’examen » , se borne-t-on à indiquer au ministère de la justice. Même tonalité du côté du ministère de l’intérieur où, comme ailleurs, on renvoie la balle au Conseil d’Etat, à qui incombera la transposition en droit français de cette décision.
L’exercice s’annonce acrobatique pour la plus haute juridiction administrative. La décision de la CJUE apparaît en effet comme un savant compromis entre souci affiché de renforcer les libertés publiques et nécessités opérationnelles des services enquêteurs. Même les militants de La Quadrature du Net, l’association française la plus en pointe en matière de défense des libertés sur Internet – dont plusieurs recours ont nourri l’arrêt de la Cour de Luxembourg –, admettaient, mardi, dans un communiqué, le besoin d’une « longue et minutieuse analyse » pour mesurer toutes les conséquences de ce texte.
Justifier d’une menace « réelle »
Au-delà de son opposition générale à la transmission ou à la conservation généralisée des données, la CJUE a en effet laissé la porte ouverte à un certain nombre de dérogations. Notamment en cas de « menace grave pour la sécurité nationale » : une formulation qui intègre le risque terroriste. Dans le même temps, la CJUE a assorti cette dérogation de précautions strictes. Pour permettre la conservation ou l’accès aux données des opérateurs, les autorités devront justifier d’une menace « réelle, et actuelle ou prévisible » . Une gageure dans certaines situations.
Pour tout le reste de la délinquance, qui se traduit aujourd’hui par des réquisitions quotidiennes de la part des services de police ou de justice aux opérateurs de téléphonie, la CJUE a décidé également de limiter la conservation ou la transmission des données aux cas de « criminalité grave » ou de « menaces graves contre la sécurité publique » . Ces données devront, en outre, être restreintes à des zones « géographiques » ou des « catégories de personnes » pour une période définie. Le tout, sans être « discriminatoires ». Sous-entendu, sans cibler plus particulièrement certains territoires ou groupes ethniques.
Enfin, que ce soit en matière de renseignement ou d’affaires judiciaires, la Cour de Luxembourg entend que les nouvelles restrictions qu’elle édicte fassent l’objet d’un contrôle « effectif » , soit par une « entité administrative indépendante » , soit par une « juridiction » . En France, cela pourrait se traduire, en matière de renseignement, par un renforcement des pouvoirs de la Commission nationale de contrôle des techniques de renseignement. Pour les enquêtes judiciaires, en revanche, un nouveau système serait à inventer, avec éventuellement l’intervention d’un juge des libertés en amont de toute réquisition aux opérateurs.
« Matériellement irréaliste »
La CJUE introduit également une disposition qui fait d’ores et déjà planer une certaine incertitude sur nombre de procédures : à terme, la justice devra « écarter » toutes les « informations » , ou les « éléments de preuve » obtenus dans le cadre juridique actuel de conservation généralisée, si les « personnes soupçonnées d’acte de criminalité » ne sont pas « en mesure de commenter efficacement » ces éléments. En clair, la pertinence des preuves recueillies pourra être contestée en justice.
Quelle stratégie l’exécutif adoptera-t-il face à cette décision qui va à l’encontre de tous ses argumentaires déployés auprès de la Cour de Luxembourg depuis quatre ans ? L’arrêt s’inscrit en effet dans un intense plaidoyer développé à tous les niveaux de l’Etat, depuis fin 2016, date d’un précédent arrêt – dit « Tele2 » – qui avait déjà jugé que les Etats membres ne pouvaient pas imposer aux opérateurs de téléphonie ou fournisseurs d’accès à Internet une « obligation généralisée et indifférenciée » de conservation des données. Mais la France, aux côtés d’autres pays, défendait l’idée que la sécurité nationale « reste de la seule responsabilité de chaque Etat membre ».
Parmi les principaux visages de cette ligne française, se trouvait notamment le procureur général près la Cour de cassation et ancien procureur de Paris François Molins, qui a eu à gérer l’essentiel de la vague d’attentats terroristes de 2015 à 2018. Alors qu’il s’exprime rarement en public sur le sujet, il n’avait pas mâché ses mots lors d’une intervention à la Fondation Robert Schuman, en avril 2019 : « La décision Tele2 (…) est fondée sur un raisonnement qui, s’il est juridiquement compréhensible, est matériellement irréaliste » , avait-il notamment déclaré dans une critique à peine voilée de la CJUE.
Mais l’argumentaire français a été définitivement rejeté, mardi, par la Cour de Luxembourg, en s’appuyant notamment sur une directive européenne de 2002, dite « vie privée et communications électroniques » . Selon la CJUE, celle-ci « ne permet pas que la dérogation à l’obligation de principe de garantir la confidentialité des communications électroniques et des données afférentes (…) devienne la règle » . La Cour a aussi fait valoir la cohérence nécessaire, selon elle, avec la charte des droits fondamentaux de l’Union européenne.
Détection de menace par algorithme
Nombre de spécialistes de tous bords, fonctionnaires comme militants des libertés publiques, s’interrogent sur d’autres effets plus paradoxaux, à moyen terme, de l’arrêt de la CJUE. En particulier l’encouragement contenu dans cette décision à développer des méthodes d’enquête – certes encadrées – de plus en plus tournées vers la captation en temps réel, le « prédictif » , et de facto relevant pour beaucoup du domaine du renseignement. Notamment grâce à l’utilisation d’une méthode contestée qui doit faire l’objet, en France, d’un débat parlementaire en 2021 : la détection de menace par algorithme.
Un modèle à l’allemande, où les autorités se sont déjà conformées à l’arrêt de la CJUE. En contrepartie, beaucoup d’investigations ne peuvent voir le jour sans l’échange de renseignements avec des partenaires étrangers, en particulier les Etats-Unis, qui s’appuient sur les puissants moyens de l’Agence nationale de la sécurité (NSA).
Dans les états-majors et les cabinets ministériels, mardi, les réactions hésitaient sur la réponse à apporter aux injonctions de la juridiction européenne : faire profil bas et adapter au minimum la législation actuelle sans mot dire, ou au contraire politiser l’affaire alors que la lutte contre les trafics de stupéfiants et la petite délinquance est aujourd’hui un des axes forts du gouvernement ? En raison de la forte insécurité juridique qu’introduit la décision de la CJUE, le Conseil d’Etat pourrait, quoi qu’il arrive, statuer rapidement. « D’ici quelques mois » , d’après une source sécuritaire.
