Support La Quadrature du Net!

[blog][DebatPublic] Les dangers méconnus de l'article 20

Billet de Philippe Aigrain, cofondateur de La Quadrature du Net, publié sur son blog.

À la fin de la partie de l’émission Ce soir (ou jamais !) du 13 décembre consacrée à l’article 20 de la Loi de programmation militaire etc., Frédéric Taddéi demanda aux intervenants : alors dites-moi, est-ce qu’un policier, un douanier, un inspecteur des impôts pourra accéder à toutes nos données sur internet ? (je cite de mémoire mais l’idée y est). A part Laurent Borredon qui esquissa un « mais non bien sûr », on n’entendit qu’une sorte de bredouillis indistinct, y compris de ma part. C’est que ce n’est pas le problème, en tout cas pas le principal problème.

Bien sûr, il y aura des agents assermentés au sein des administrations de la défense, de l’intérieur, de l’économie et du budget qui pourront accéder à un ensemble très vaste et extensible d’informations et documents concernant des personnes (visées par des autorisations d’une personne qualifiée auprès du Premier ministre nommée par la CNCIS) et tous ceux ou celles qui auront le malheur de les approcher dans l’espace physique ou numérique. Bien sûr cela est en soi très sérieux et il y a tout lieu de douter que le contournement du judiciaire, la maigreur et l’ineffectivité des garanties, le caractère vague et extensible des finalités invoquées respectent la proportionnalité nécessaire à de telles atteintes aux libertés. L’article 20 porte sur des information, documents et activités étendus par rapport aux lois de 1991 et 2006 (cf. par exemple le fameux « y compris ») et dont l’importance dans notre vie personnelle a cru dans des proportions immenses. A mon avis, cela suffirait largement à juger que que cet article mérite d’être censuré.

Mais il y a beaucoup plus grave. La vérité de l’article 20, elle ne se joue pas seulement du côté de l’État, elle se joue tout autant du côté des fournisseurs de services. Car si :

Art. L. 246-3 Pour les finalités énumérées à l’article L. 241-2, les informations ou documents mentionnés à l’article L. 246-1 peuvent être recueillis sur sollicitation du réseau et transmis en temps réel par les opérateurs aux agents mentionnés au I de l’article L. 246-2.

Cela signifie que les opérateurs eux-mêmes sont obligés ou investis du droit (qu’ils ne tarderont pas à considérer comme obligation lorsque cela les arrangera) de concevoir des services rendant ces informations et documents accessibles et transmissibles en temps réel. Les directives (y compris celle de 2006 sur la rétention des données que l’avocat général de la CJUE vient de juger attentatoire aux droits fondamentaux de façon disproportionnée), les lois et les décrets ont d’ailleurs déjà multiplié les informations dont la collecte et la conservation sont obligatoires, y compris les mots de passe1.

Car ce que signifie cette possibilité, c’est que les systèmes mis en place par les opérateurs de service seront conçus de façon à être capables de répondre aux demandes concernant toute personne désignée par une autorisation de la personnalité qualifiée. Et que par conséquent, c’est bel et bien tout un chacun qui sera l’objet d’une surveillance de leur part (et non pas, ou pas toujours des agents de l’État), avec les risques liés. L’un des éléments les plus intéressants de la position de l’avocat général de la CJUE mentionnée plus faut est qu’il souligne les risques majeurs ouverts par le fait que des actions sensibles soient conférés à des acteurs privés, mûs par des intérêts commerciaux ou stratégiques distincts de l’intérêt public et potentiellement soumis à des pressions économiques ou juridiques externes. A l’opposé, l’un des éléments les plus intéressants des réflexions de la CNIL est son insistance sur le fait que les systèmes doivent être conçus d’une manière qui minimise les risques pour la protections des données. Voir par exemple ses avis adressés à la RATP sur le système Navigo soulignant qu’il aurait été possible d’obtenir les mêmes résultats pour la gestion du service sans suivi des parcours individualisés rattachés à des données nominales. L’une des choses qui divise profondément les commentateurs et les politiques sur l’article 20 est que ceux qui comprennent le numérique (voir par exemple l'avis de Laure de la Raudière) ont l’intuition immédiate de l’effet de l’article en matière de surveillance généralisée diffuse, alors que ceux qui ne jugent que les textes juridiques ne voient pas ces effets.

Si l’on prend en compte cet aspect, il y a un véritable scandale à ce que les dispositions détaillant les mécanismes de collecte et d’accès aux informations et documents soient renvoyées à un décret en Conseil d’État, scandale qui n’est en rien diminué par la mention de la consultation de la CNIL. L’article 34 de la Constitution affirme dans son premier alinéa que :

La loi fixe les règles concernant :
– les droits civiques et les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques ; la liberté, le pluralisme et l’indépendance des médias ; les sujétions imposées par la Défense nationale aux citoyens en leur personne et en leurs biens ;

L’article 37 établit que :

Les matières autres que celles qui sont du domaine de la loi ont un caractère réglementaire.

L’impact réel de l’article 20 sur les libertés publiques (en particulier les libertés d’expression, de communication et d’information qui sont étroitement liées à l’absence de surveillance) doit à mon avis être jugé immédiatement inacceptable. Ses défenseurs affirment que le décret établira que non. Dans les deux cas, cela devrait amener le Conseil Constitutionnel à censurer l’article en sa totalité.

Revenons cependant à l’État. Dans mon combat permanent contre la biométrie applicable en masse, j’ai toujours souligné que lorsqu’on met en place un dispositif sécuritaire d’État, il faut juger de sa compatibilité avec les libertés et les droits fondamentaux non pas en fonction de ce que l’État est en droit et idéalement mais en fonction de ce qu’il risque de devenir. Bien sûr il ne s’agit pas de raisonner en permanence sur un État totalitaire. Mais il s’agit de bien prendre en compte, que sur une période de quelques décennies, il n’y a pas d’État qui échappe à des très graves dérives en matière de respect des droits. Et qu’il semble bien que nous ne soyons pas l’abri d’une accentuation prochaine des détériorations. Quand j’entends justifier par la sécurité des atteintes aussi fortes aux libertés que celles de l’article 20, quand je vois la bonne conscience affichée de ceux qui les défendent, je vois se dresser la perspective d’une insécurité future.