Jusqu’où un Etat peut-il surveiller sa population au nom de la sécurité ? Cette question posée au Conseil d’Etat fait trembler les ministères de l’intérieur, de la justice et des armées depuis l’arrêt rendu le 6 octobre 2020 par la Cour de justice de l’Union européenne (CJUE) sur le suivi de la trace des communications numériques de l’ensemble de la population.
L’enjeu est de savoir si la France peut légitimement demander aux fournisseurs de services de communications électroniques de conserver de manière généralisée et indifférenciée pendant un an les données de toutes nos communications personnelles ou professionnelles : numéro de téléphone appelé ou appelant, date, heure et durée de la communication, géolocalisation, identification du matériel utilisé, nom et adresse de l’utilisateur du matériel, adresse IP utilisée pour les services Internet, etc. De quoi permettre aux services de renseignement, à la justice et à la police de puiser, sous conditions, dans cette masse d’informations au gré de leurs besoins préventifs ou probatoires. Il s’agit aussi bien de pouvoir surveiller une personne soupçonnée d’amitiés terroristes que de vérifier a posteriori la présence d’une autre sur le lieu d’un cambriolage.
Logiquement le Conseil d’Etat est censé se conformer au cadre très restrictif fixé par la CJUE, puisque le droit des traités de l’UE s’impose en tant que norme supérieure. Mais, « cette perspective inquiète le gouvernement », reconnaît-on à Matignon. Dans le mémoire déposé au nom du premier ministre Jean Castex devant les juges du Palais-Royal, que Le Monde a pu consulter, Claire Landais, secrétaire générale du gouvernement, souligne que cet arrêt fait « peser des risques majeurs sur l’ensemble des capacités opérationnelles des services de renseignement et des services d’enquête judiciaire ».
Aller au clash
Adoptant une position politique très offensive et une analyse juridique inédite, le gouvernement français demande tout bonnement au Conseil d’Etat d’aller au clash sur ce sujet avec les institutions européennes. Pour arbitrer ce dossier ultrasensible, la juridiction administrative suprême a décidé de réunir sa formation la plus solennelle, l’assemblée du contentieux, le 16 avril.
Pour les juges européens, le stockage généralisé des données de connexion et de localisation est bel et bien contraire à la Charte des droits fondamentaux de l’Union européenne
Déjà en 2016, dans un arrêt dit « Tele2 », la CJUE avait, au nom du droit à la vie privée, interdit aux Etats d’imposer aux opérateurs une « conservation généralisée et indifférenciée des données ». Saisi par un groupe d’associations de défense des libertés sur Internet emmené par la Quadrature du Net, le Conseil d’Etat a décidé en 2018 de ne pas faire une application de cet arrêt, jugeant qu’il ne répondait pas à tous les cas de figure. Il a préféré, avant de trancher sur le fond, adresser cinq questions préjudicielles à la Cour de Luxembourg sur les marges d’interprétation du droit européen susceptibles de permettre ces intrusions dans la vie privée au nom de la sécurité nationale ou de l’ordre public.
L’arrêt du 6 octobre 2020 est la réponse extrêmement détaillée à ces questions, également soulevées par la Cour constitutionnelle belge. Pour les juges européens, le stockage généralisé des données de connexion et de localisation est bel et bien contraire à la Charte des droits fondamentaux de l’Union européenne et à la directive « ePrivacy » de 2002 sur la protection de la vie privée sur Internet.
« Les utilisateurs des moyens de communications électroniques sont en droit de s’attendre, en principe, à ce que leurs communications et les données y afférentes restent, en l’absence de leur consentement, anonymes et ne puissent pas faire l’objet d’un enregistrement », dit la CJUE.
Elle reconnaît toutefois aux Etats le droit d’introduire des exceptions à ce principe dès lors que cela « constitue une mesure nécessaire, appropriée et proportionnée (…) pour sauvegarder la sécurité nationale, la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ». En répétant que rien ne peut justifier que ces dérogations deviennent la règle.
Le filet français
Dans le détail, la Cour européenne autorise le stockage général et indifférencié de données au nom de la « sauvegarde de la sécurité nationale » si l’existence de « circonstances suffisamment concrètes permettant de considérer que l’Etat membre concerné fait face à une menace grave, (…) réelle et actuelle ou prévisible ». De plus, la mesure ne peut être ordonnée que pour « une période limitée ». On est loin du filet français qui attrape tout, tout le temps, au cas où…
En matière de lutte contre la criminalité et de sauvegarde de la sécurité publique, les conditions sont encore plus restrictives. La collecte de données ne peut être décidée qu’à l’encontre de personnes « préalablement identifiées (…) sur la base d’éléments objectifs comme présentant une menace pour la sécurité publique », ou dans une zone géographique donnée face à « une situation caractérisée par un risque élevé de préparation ou de commission d’actes de criminalité grave ». En revanche, sur la conservation des identifiants d’adresses IP ou sur l’analyse des données de connexions en temps réel, les juges de Luxembourg se montrent plus ouverts.
Les juges français sont liés par cette demande d’interprétation qu’ils ont adressée au juge européen. Mais le gouvernement leur demande de juger nul et non avenu l’arrêt de Luxembourg. Au motif que la Cour de justice de l’UE aurait outrepassé ses compétences, puisque la sécurité nationale reste de la compétence de chaque Etat.
Mme Landais écrit que « l’exigence constitutionnelle de sauvegarde des intérêts fondamentaux de la nation, l’objectif à valeur constitutionnelle de recherches des auteurs d’infraction pénale et l’objectif de lutte contre le terrorisme, composante de l’objectif à valeur constitutionnelle de protection de l’ordre public (…), impliquent nécessairement cette conservation » des données. Priver la France du droit de conserver ces données porterait atteinte au « fondement de notre ordre constitutionnel ».
Exploitation devenue banale
Selon nos informations, Jean-François Ricard, le procureur national antiterroriste, et Rémy Heitz, le procureur de Paris, sont allés le 22 mars plaider leur cause aux côtés des responsables des services de renseignement intérieur et extérieur lors d’une audience d’instruction orale non publique au Conseil d’Etat. Bertrand Dacosta, président de la formation de jugement, cherchait notamment à mesurer concrètement ce qu’il se passerait s’il faisait sienne la position de la CJUE. Une catastrophe, lui ont répondu ses interlocuteurs…
L’exploitation des données de connexion est devenue banale au point d’être utilisée dans plus de 85 % des enquêtes judiciaires. Le nombre de réquisitions adressées par l’autorité judiciaire aux opérateurs progresse régulièrement de 1,8 million en 2017 à 2,5 millions en 2020. Dans le même temps, les demandes des services de renseignement sont passées de 61 000 à 72 000.
Paris est donc prêt à donner un coup de canif dans le respect de l’ordre juridique européen, quitte à risquer une procédure pour manquement de la part de la Commission européenne. Une position politique osée à l’heure où Bruxelles cherche à ramener dans le chemin du droit européen des Etats comme la Hongrie.
Bras de fer juridique
Au sein du gouvernement, on nourrit l’espoir d’une réaction politique coordonnée de nature à faire évoluer le droit européen sur la conservation des données alors que le bras de fer juridique sur ce sujet dure depuis maintenant près d’une décennie. La position de la Cour constitutionnelle belge, qui devrait être connue à peu près au même moment que la décision du Conseil d’Etat, sera surveillée de près.
« Dès lors qu’une telle surveillance n’a pas sa place dans le monde matériel, pourquoi serait-elle plus acceptable dans le monde immatériel ? », dénonce Alexis Fitzjean O Cobhthaigh, l’avocat de la Quadrature du Net
Du côté de la Quadrature du Net, on demande en revanche d’appliquer le droit européen construit pour protéger la liberté et la démocratie. « Ce n’est pas parce que les services de police se sont accoutumés depuis vingt ans à puiser dans ces données que cela légitime la surveillance de masse », explique Me Noémie Levain, avocate bénévole au sein de l’association.
Pour illustrer ce qui est en jeu, Alexis Fitzjean O Cobhthaigh, l’avocat de la Quadrature du Net, s’amuse à transposer la conservation généralisée des données de connexion avant l’apparition du téléphone mobile et d’Internet. Selon lui, cela se serait traduit par « un suivi à la trace de l’ensemble de la population, une surveillance de l’ensemble des correspondances écrites, l’établissement d’un registre recensant l’ensemble des courriers et colis échangés, leurs expéditeurs, leurs destinataires, leur poids, leur forme, leur fréquence, etc. Une telle surveillance est l’apanage des régimes autoritaires et n’a pas sa place dans un Etat de droit. Dès lors qu’une telle surveillance n’a pas sa place dans le monde matériel, pourquoi serait-elle plus acceptable dans le monde immatériel ? »
Une chose est sûre, l’arrêt d’assemblée du Conseil d’Etat devrait provoquer un séisme. Soit au détriment des services d’enquête judiciaire, soit au détriment du respect du droit européen.
#écoutes #surveillance #CJUE #LaQuadratureduNet #Conseild'État-FR
