• Paris pousse le Conseil d’Etat à défier la justice européenne sur les données de connexion
    https://www.lemonde.fr/societe/article/2021/04/08/paris-pousse-le-conseil-d-etat-a-defier-la-justice-europeenne-sur-les-donnee

    Jusqu’où un Etat peut-il surveiller sa population au nom de la sécurité ? Cette question posée au Conseil d’Etat fait trembler les ministères de l’intérieur, de la justice et des armées depuis l’arrêt rendu le 6 octobre 2020 par la Cour de justice de l’Union européenne (CJUE) sur le suivi de la trace des communications numériques de l’ensemble de la population.

    L’enjeu est de savoir si la France peut légitimement demander aux fournisseurs de services de communications électroniques de conserver de manière généralisée et indifférenciée pendant un an les données de toutes nos communications personnelles ou professionnelles : numéro de téléphone appelé ou appelant, date, heure et durée de la communication, géolocalisation, identification du matériel utilisé, nom et adresse de l’utilisateur du matériel, adresse IP utilisée pour les services Internet, etc. De quoi permettre aux services de renseignement, à la justice et à la police de puiser, sous conditions, dans cette masse d’informations au gré de leurs besoins préventifs ou probatoires. Il s’agit aussi bien de pouvoir surveiller une personne soupçonnée d’amitiés terroristes que de vérifier a posteriori la présence d’une autre sur le lieu d’un cambriolage.

    Logiquement le Conseil d’Etat est censé se conformer au cadre très restrictif fixé par la CJUE, puisque le droit des traités de l’UE s’impose en tant que norme supérieure. Mais, « cette perspective inquiète le gouvernement », reconnaît-on à Matignon. Dans le mémoire déposé au nom du premier ministre Jean Castex devant les juges du Palais-Royal, que Le Monde a pu consulter, Claire Landais, secrétaire générale du gouvernement, souligne que cet arrêt fait « peser des risques majeurs sur l’ensemble des capacités opérationnelles des services de renseignement et des services d’enquête judiciaire ».

    Aller au clash

    Adoptant une position politique très offensive et une analyse juridique inédite, le gouvernement français demande tout bonnement au Conseil d’Etat d’aller au clash sur ce sujet avec les institutions européennes. Pour arbitrer ce dossier ultrasensible, la juridiction administrative suprême a décidé de réunir sa formation la plus solennelle, l’assemblée du contentieux, le 16 avril.

    Pour les juges européens, le stockage généralisé des données de connexion et de localisation est bel et bien contraire à la Charte des droits fondamentaux de l’Union européenne

    Déjà en 2016, dans un arrêt dit « Tele2 », la CJUE avait, au nom du droit à la vie privée, interdit aux Etats d’imposer aux opérateurs une « conservation généralisée et indifférenciée des données ». Saisi par un groupe d’associations de défense des libertés sur Internet emmené par la Quadrature du Net, le Conseil d’Etat a décidé en 2018 de ne pas faire une application de cet arrêt, jugeant qu’il ne répondait pas à tous les cas de figure. Il a préféré, avant de trancher sur le fond, adresser cinq questions préjudicielles à la Cour de Luxembourg sur les marges d’interprétation du droit européen susceptibles de permettre ces intrusions dans la vie privée au nom de la sécurité nationale ou de l’ordre public.

    L’arrêt du 6 octobre 2020 est la réponse extrêmement détaillée à ces questions, également soulevées par la Cour constitutionnelle belge. Pour les juges européens, le stockage généralisé des données de connexion et de localisation est bel et bien contraire à la Charte des droits fondamentaux de l’Union européenne et à la directive « ePrivacy » de 2002 sur la protection de la vie privée sur Internet.

    « Les utilisateurs des moyens de communications électroniques sont en droit de s’attendre, en principe, à ce que leurs communications et les données y afférentes restent, en l’absence de leur consentement, anonymes et ne puissent pas faire l’objet d’un enregistrement », dit la CJUE.

    Elle reconnaît toutefois aux Etats le droit d’introduire des exceptions à ce principe dès lors que cela « constitue une mesure nécessaire, appropriée et proportionnée (…) pour sauvegarder la sécurité nationale, la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ». En répétant que rien ne peut justifier que ces dérogations deviennent la règle.
    Le filet français

    Dans le détail, la Cour européenne autorise le stockage général et indifférencié de données au nom de la « sauvegarde de la sécurité nationale » si l’existence de « circonstances suffisamment concrètes permettant de considérer que l’Etat membre concerné fait face à une menace grave, (…) réelle et actuelle ou prévisible ». De plus, la mesure ne peut être ordonnée que pour « une période limitée ». On est loin du filet français qui attrape tout, tout le temps, au cas où…

    En matière de lutte contre la criminalité et de sauvegarde de la sécurité publique, les conditions sont encore plus restrictives. La collecte de données ne peut être décidée qu’à l’encontre de personnes « préalablement identifiées (…) sur la base d’éléments objectifs comme présentant une menace pour la sécurité publique », ou dans une zone géographique donnée face à « une situation caractérisée par un risque élevé de préparation ou de commission d’actes de criminalité grave ». En revanche, sur la conservation des identifiants d’adresses IP ou sur l’analyse des données de connexions en temps réel, les juges de Luxembourg se montrent plus ouverts.

    Les juges français sont liés par cette demande d’interprétation qu’ils ont adressée au juge européen. Mais le gouvernement leur demande de juger nul et non avenu l’arrêt de Luxembourg. Au motif que la Cour de justice de l’UE aurait outrepassé ses compétences, puisque la sécurité nationale reste de la compétence de chaque Etat.

    Mme Landais écrit que « l’exigence constitutionnelle de sauvegarde des intérêts fondamentaux de la nation, l’objectif à valeur constitutionnelle de recherches des auteurs d’infraction pénale et l’objectif de lutte contre le terrorisme, composante de l’objectif à valeur constitutionnelle de protection de l’ordre public (…), impliquent nécessairement cette conservation » des données. Priver la France du droit de conserver ces données porterait atteinte au « fondement de notre ordre constitutionnel ».
    Exploitation devenue banale

    Selon nos informations, Jean-François Ricard, le procureur national antiterroriste, et Rémy Heitz, le procureur de Paris, sont allés le 22 mars plaider leur cause aux côtés des responsables des services de renseignement intérieur et extérieur lors d’une audience d’instruction orale non publique au Conseil d’Etat. Bertrand Dacosta, président de la formation de jugement, cherchait notamment à mesurer concrètement ce qu’il se passerait s’il faisait sienne la position de la CJUE. Une catastrophe, lui ont répondu ses interlocuteurs…

    L’exploitation des données de connexion est devenue banale au point d’être utilisée dans plus de 85 % des enquêtes judiciaires. Le nombre de réquisitions adressées par l’autorité judiciaire aux opérateurs progresse régulièrement de 1,8 million en 2017 à 2,5 millions en 2020. Dans le même temps, les demandes des services de renseignement sont passées de 61 000 à 72 000.

    Paris est donc prêt à donner un coup de canif dans le respect de l’ordre juridique européen, quitte à risquer une procédure pour manquement de la part de la Commission européenne. Une position politique osée à l’heure où Bruxelles cherche à ramener dans le chemin du droit européen des Etats comme la Hongrie.
    Bras de fer juridique

    Au sein du gouvernement, on nourrit l’espoir d’une réaction politique coordonnée de nature à faire évoluer le droit européen sur la conservation des données alors que le bras de fer juridique sur ce sujet dure depuis maintenant près d’une décennie. La position de la Cour constitutionnelle belge, qui devrait être connue à peu près au même moment que la décision du Conseil d’Etat, sera surveillée de près.

    « Dès lors qu’une telle surveillance n’a pas sa place dans le monde matériel, pourquoi serait-elle plus acceptable dans le monde immatériel ? », dénonce Alexis Fitzjean O Cobhthaigh, l’avocat de la Quadrature du Net

    Du côté de la Quadrature du Net, on demande en revanche d’appliquer le droit européen construit pour protéger la liberté et la démocratie. « Ce n’est pas parce que les services de police se sont accoutumés depuis vingt ans à puiser dans ces données que cela légitime la surveillance de masse », explique Me Noémie Levain, avocate bénévole au sein de l’association.

    Pour illustrer ce qui est en jeu, Alexis Fitzjean O Cobhthaigh, l’avocat de la Quadrature du Net, s’amuse à transposer la conservation généralisée des données de connexion avant l’apparition du téléphone mobile et d’Internet. Selon lui, cela se serait traduit par « un suivi à la trace de l’ensemble de la population, une surveillance de l’ensemble des correspondances écrites, l’établissement d’un registre recensant l’ensemble des courriers et colis échangés, leurs expéditeurs, leurs destinataires, leur poids, leur forme, leur fréquence, etc. Une telle surveillance est l’apanage des régimes autoritaires et n’a pas sa place dans un Etat de droit. Dès lors qu’une telle surveillance n’a pas sa place dans le monde matériel, pourquoi serait-elle plus acceptable dans le monde immatériel ? »

    Une chose est sûre, l’arrêt d’assemblée du Conseil d’Etat devrait provoquer un séisme. Soit au détriment des services d’enquête judiciaire, soit au détriment du respect du droit européen.

    #écoutes #surveillance #CJUE #LaQuadratureduNet #Conseild'État-FR

  • Doctolib : le chiffrement des données incomplet ?
    https://www.franceinter.fr/justice/doctolib-le-chiffrement-des-donnees-incomplet

    La plateforme de prise de rendez-vous Doctolib assure une sécurisation des données que les patients lui confient. Nous avons procédé à un test pour vérifier comment ces données étaient sécurisées. Verdict : les données ne sont pas chiffrées de bout en bout, ce que la société conteste. Pour prendre rendez-vous avec un médecin, ou pour se faire vacciner, de plus en plus d’utilisateurs ont recours à la plateforme de prise de rendez-vous en ligne Doctolib. Pour ce faire, il faut créer un compte, fournir des (...)

    #Amazon #Doctolib #cryptage #données #CloudComputing #AmazonWebServices-AWS #santé #COVID-19 (...)

    ##santé ##Conseild'État-FR

  • Vaccins : le Conseil d’Etat examine le partenariat entre Santé.fr et Doctolib
    https://www.lemonde.fr/pixels/article/2021/03/08/campagne-de-vaccination-le-conseil-d-etat-appele-a-se-prononcer-sur-le-parte

    Des associations et syndicats s’inquiètent du fait que la plate-forme héberge ses données sur les serveurs de la société américaine Amazon, mais Doctolib assure que les informations médicales des Français sont protégées. Si l’on cherche sur le site gouvernemental Santé.fr où se faire vacciner contre le Covid-19, on peut trouver une liste de centres de vaccination par département, ainsi que des liens pour prendre rendez-vous directement en ligne, en passant par des plates-formes de rendez-vous médicaux (...)

    #Microsoft #Amazon #AmazonWebServices-AWS #Doctolib #cryptage #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) #données #HealthDataHub #santé #COVID-19 #PrivacyShield #CJUE (...)

    ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##santé ##CNIL ##Conseild'État-FR

  • Partage de données : les services de renseignement violent la Constitution
    https://www.laquadrature.net/2021/03/01/partage-de-donnees-les-services-de-renseignement-violent-la-constituti

    La Quadrature du Net vient de demander au Conseil d’État de saisir le Conseil constitutionnel d’une Question prioritaire de constitutionnalité (QPC) contre une disposition de la loi renseignement, l’article L. 863-2 du code de la sécurité intérieure. Comme le révélait le journal Le Monde il y a près de deux ans, un data-center attenant au siège de la DGSE permet aux services de renseignement d’échanger des données collectées dans le cadre de leurs activités de surveillance, et ce en contournant certaines (...)

    #DGSE #données #finance #surveillance #ConseilConstitutionnel-FR #Conseild'État-FR (...)

    ##LaQuadratureduNet

  • En France, anticiper le Digital Services Act, ignorer le droit européen existant
    https://www.nextinpact.com/lebrief/45470/en-france-anticiper-digital-services-act-ignorer-droit-europeen-existant

    Le gouvernement a déposé l’amendement visant à « prétranscrire » dans notre droit les grandes lignes du Digital Services Act. Il reprend sans surprise la version révélée dans les colonnes de Next INpact. La saisine pour avis du Conseil d’État, envisagée un temps, n’a finalement pas été mise en œuvre. Toujours dans le cadre du projet de loi Séparatisme (devenu celui « confortant le respect des principes de la République »), l’amendement a été dupliqué par Laetitia Avia, rapporteure. Au-delà de cette (...)

    #Facebook #législation #modération #LoiAvia #Conseild'État-FR #DigitalServicesAct