Décret LPM : La Quadrature du Net dépose un recours devant le Conseil d’État

Posted on


Paris, 18 février 2015 — Aux côtés des fournisseurs d’accès associatifs de la fédération FFDN, La Quadrature du Net vient de déposer devant le Conseil d’État un recours contre le décret d’application de la Loi de programmation militaire (LPM) sur l’accès administratif aux données de connexion. À travers cette action contentieuse qui s’appuie sur une récente décision de la Cour de justice de l’Union européenne, c’est toute une partie de l’édifice juridique de la surveillance d’Internet qui est attaquée. Ce recours intervient alors que le gouvernement instrumentalise les événements sanglants du mois dernier pour aggraver les dérives actuelles, avec la présentation prochaine du projet de loi sur le renseignement.

Conseil d'État - Marie-Lan Nguyen - Domaine Public - Wikimedia Commons
Conseil d’État – Marie-Lan Nguyen – Domaine Public – Wikimedia Commons

En décembre 2013, le Parlement français adoptait la Loi de programmation militaire (LPM), et avec elle plusieurs dispositions visant à parachever l’édifice juridique en matière de surveillance extra-judiciaire d’Internet : non seulement le nombre de services de police et de renseignement ayant accès aux données de connexion a été élargi, mais le champs des données concernées a lui aussi été étendu (la loi renvoie à l’ensemble des « informations et documents », « y compris » les métadonnées détenues à la fois par les fournisseurs d’accès et par les hébergeurs). Qui plus est, le dispositif ne s’accompagne d’aucun contrôle préalable de la CNCIS (remplacée par la CNCTR en 2015), l’autorité administrative indépendante dédiée au contrôle des interceptions administratives des communications, par ailleurs largement sous-dotée pour conduire à bien ses missions. Enfin, la LPM prévoit qu’une telle surveillance des communications puisse être conduite en temps réel, « sur sollicitation du réseau » des opérateurs, cette fois avec un contrôle préalable de la CNCIS (maintenant la CNCTR), laissant toutefois craindre une aspiration massive et directe des données.

À l’époque, en plein débat sur les révélations d’Edward Snowden et alors que le gouvernement a toujours refusé de faire la transparence sur les pratiques des services français en la matière, ces dispositions — visant selon les dires de ses promoteurs à consacrer dans la loi des pratiques « alégales » (et donc illégales) — avaient suscité une vive opposition de la société civile. En dépit des appels en ce sens, les parlementaires avaient cependant refusé de saisir le Conseil constitutionnel pour évaluer la conformité de ces dispositions à la Constitution.

Le 24 décembre dernier, le gouvernement adoptait en catimini le décret d’application permettant la mise en œuvre de ces dispositions. La publication de ce décret est l’occasion pour La Quadrature du Net et les fournisseurs d’accès associatifs de la fédération FFDN d’attaquer l’ensemble de l’édifice juridique de la surveillance d’Internet qui s’est développé depuis les attentats du 11 septembre 2001.

Au travers de ce recours, c’est en effet le principe même d’une surveillance généralisée de la population qui est mis en cause. Le régime applicable s’appuie sur l’ensemble des acteurs de l’Internet — fournisseurs d’accès et hébergeurs situés sur le territoire français —, en les obligeant à conserver pendant une durée d’un an l’ensemble des données de connexion des utilisateurs d’Internet.

Ce régime avait été étendu à l’ensemble de l’Union européenne par une directive de 2006 adoptée sous le coup de l’émotion suscitée par les attentats de Madrid et de Londres. Certaines lois nationales de transposition avaient été déclarées anti-constitutionnelles dans plusieurs États membres, dont l’Allemagne où un tel régime est demeuré inappliqué. Et le 8 avril 2014, la Cour de justice de l’Union européenne (CJUE) rendait une décision historique invalidant l’ensemble de la directive de 2006. Dans son arrêt Digital Rights Ireland, la Cour indique clairement qu’un tel mécanisme de conservation des données est contraire aux droits fondamentaux. Selon la Cour :

« La directive 2006/24 concerne de manière globale l’ensemble des personnes faisant usage de services de communications électroniques, sans toutefois que les personnes dont les données sont conservées se trouvent, même indirectement, dans une situation susceptible de donner lieu à des poursuites pénales. Elle s’applique donc même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves. En outre, elle ne prévoit aucune exception, de sorte qu’elle s’applique même à des personnes dont les communications sont soumises, selon les règles du droit national, au secret professionnel. » (§ 58)

Dans cet arrêt, la CJUE rejette le principe d’une surveillance générale de la population, au profit d’une surveillance ciblée des personnes pour lesquelles il existe un intérêt légitime à attenter au droit à la vie privée.

Partout en Europe, dans le contexte du débat public suscité par les révélations d’Edward Snowden sur les dérives sécuritaires de l’après 11 septembre 2001, l’arrêt de la CJUE a déjà conduit à remettre en cause le droit et les pratiques actuelles en matière de surveillance d’Internet. En Autriche, en Roumanie, en Slovaquie et en Slovénie, les cours constitutionnelles ont depuis lors suspendu ou annulé les lois nationales sur conservation des données. En Suède, aux Pays-Bas, au Royaume-Uni, d’importantes controverses sont en cours. Dans le cadre de procédures détachées de l’arrêt de la CJUE, le GCHQ britannique vient également d’être condamné pour ne pas avoir fait la transparence sur les échanges de données avec la NSA. Enfin, un recours dans lequel La Quadrature du Net intervient au côté d’une coalition d’ONG est également porté contre les programmes du GCHQ devant la Cour européenne des droits de l’Homme (CEDH).

En France, le gouvernement a toujours refusé de tirer les leçons des révélations Snowden ou de l’arrêt de la CJUE. Au contraire, ces derniers mois ont vu l’adoption des nouvelles législations d’exception, avec non seulement la LPM mais aussi la loi de novembre 2014 de lutte contre le terrorisme. Alors que les crimes odieux au Moyen-Orient et en Afrique ou les attentats meurtriers des 7 et 9 janvier dernier sont actuellement l’objet d’une honteuse instrumentalisation sécuritaire, avec des appels à l’élargissement de la surveillance et à la criminalisation du chiffrement des communications, il est grand temps qu’en France aussi ce débat puisse avoir lieu, à la fois dans l’espace public et devant les juridictions.

La police et la justice doivent évidemment faire leur travail, mais de manière proportionnée et dans le respect de l’État de droit. C’est le sens de ce recours conjoint déposé aujourd’hui devant le Conseil d’État — le premier porté directement par La Quadrature du Net, dont les statuts prévoient depuis 2013 qu’elle peut agir en justice pour défendre les droits fondamentaux des citoyens dans l’espace numérique. À terme, ce recours permettra non seulement de saisir le Conseil constitutionnel, puisque la LPM n’a fait l’objet d’aucun contrôle de constitutionnalité, mais également de confronter le droit français existant à la jurisprudence européenne du 8 avril 2014, ainsi qu’à celle de la CEDH.