La loi de programmation militaire vient d’être promulguée (loi n° 2013-1168 du 18 décembre 2013, dite LPM). Son article 20 renforce les possibilités de contrôle des traces numériques afin de lutter contre la criminalité.
Dans un entretien accordé au Recueil Dalloz et publié le 6 février dernier, je m'exprimais sur ce texte.
Voici l'entretien :
Dans un entretien accordé au Recueil Dalloz et publié le 6 février dernier, je m'exprimais sur ce texte.
Voici l'entretien :
Ce texte a suscité une vive polémique, n’est-ce pas ?
Oui ! Comme il concerne la cybersurveillance des citoyens par certains services de l’État, il touche un point sensible. Les réactions indignées ont fusé : « Big Brother », « société orwellienne », « dictature numérique », « démocrature »… D’importantes associations sont montées au créneau, notamment La Quadrature du Net, l’association des services internet communautaires (ASIC), la fédération Syntec numérique et le think tank Renaissance numérique. La Commission nationale informatique et libertés (CNIL) et le Conseil national du numérique (CNN) ont également exprimé leurs réserves. Il y a même un hashtag #StopArt20 sur Twitter…
Dans ce flot de critiques, certaines attaques sont fantaisistes ou relèvent du fantasme. Mais il y a aussi des arguments sérieux tant sur le texte que sur le contexte. Tout d’abord, le contexte était à lui seul explosif, quelques mois après les révélations de Snowden, sur fond d’affaire Prism. Le scandale provoqué par le fameux programme de surveillance de la NSA est encore dans toutes les têtes. Le timing français paraît donc maladroit. Ensuite, le texte est insuffisamment précis et peut dès lors donner lieu à des interprétations divergentes. Est-ce acceptable pour une disposition qui légalise des pratiques de surveillance portant atteinte à la vie privée des citoyens ? Malheureusement, le Conseil constitutionnel n’a pas été saisi.
Mais justement, quels sont les changements apportés par ce texte ?
Le législateur a souhaité encadrer de nouvelles pratiques de surveillance sur les réseaux, et notamment sur internet, au premier chef la géolocalisation en temps réel ; celle-ci consiste à localiser un objet, smartphone ou ordinateur portable par exemple. Il s’agit aussi d’unifier diverses dispositions éparses.
L’article 20 ajoute un chapitre dans le Code de la sécurité intérieure, intitulé « accès administratif aux données de connexion » (art. L. 246-1 et s., applicables à partir du 1er janvier 2015 ; ces mesures feront l’objet d’un décret soumis à la CNIL). Le titre est important : ce régime juridique spécifique organise l’accès dans un cadre administratif et non pas dans un cadre judiciaire. Les deux questions sont bien distinctes et une loi actuellement en débat régira la géolocalisation dans un cadre judiciaire.
Cet accès administratif concerne donc les « données de connexion », c’est-à-dire les traces d’une connexion ou d’un appel stockées par les opérateurs de télécoms, les fournisseurs d’accès à internet et les hébergeurs : lieu, date, durée, émetteur, récepteur. Malheureusement, la rédaction du texte ne permet pas d’écarter sans hésitation l’accès au contenu, en raison de son étrange formulation (l’« y compris » pose problème). Le seul titre du chapitre suffit-il à limiter le champ ?
Par ailleurs, l’accès administratif a pour particularité d’être réalisé sans le contrôle d’un juge, parce que la sécurité nationale est en jeu. Ainsi fonctionnent le droit public français et ses prérogatives exorbitantes du droit commun… Cela pose question, même si d’autres contrôles sont prévus, car il s’agit de données personnelles. Une personnalité qualifiée placée auprès du premier ministre contrôlera a priori, tandis que la Commission nationale de contrôle des interceptions de sécurité (CNCIS) contrôlera a posteriori. Celle-ci n’est composée que de trois membres, dont M. Urvoas, le député qui a défendu le texte...
La LPM complète ainsi le dispositif existant, qui concernait les écoutes téléphoniques dites « écoutes administratives » (loi 10 juillet 1991) et l’accès administratif aux données de connexion dans le but de « prévenir des actes de terrorisme » (loi du 23 janvier 2006). Il étend l’accès administratif aux données de connexion en dehors de la seule lutte contre le terrorisme, pour rechercher des renseignements intéressant « la sécurité nationale », la sauvegarde du « potentiel scientifique et économique de la France », « la criminalité et la délinquance organisées »… C’est un copier-coller des finalités inscrites dans la loi de 1991 sur les écoutes téléphoniques et c’est large !
L’article 20 ajoute un chapitre dans le Code de la sécurité intérieure, intitulé « accès administratif aux données de connexion » (art. L. 246-1 et s., applicables à partir du 1er janvier 2015 ; ces mesures feront l’objet d’un décret soumis à la CNIL). Le titre est important : ce régime juridique spécifique organise l’accès dans un cadre administratif et non pas dans un cadre judiciaire. Les deux questions sont bien distinctes et une loi actuellement en débat régira la géolocalisation dans un cadre judiciaire.
Cet accès administratif concerne donc les « données de connexion », c’est-à-dire les traces d’une connexion ou d’un appel stockées par les opérateurs de télécoms, les fournisseurs d’accès à internet et les hébergeurs : lieu, date, durée, émetteur, récepteur. Malheureusement, la rédaction du texte ne permet pas d’écarter sans hésitation l’accès au contenu, en raison de son étrange formulation (l’« y compris » pose problème). Le seul titre du chapitre suffit-il à limiter le champ ?
Par ailleurs, l’accès administratif a pour particularité d’être réalisé sans le contrôle d’un juge, parce que la sécurité nationale est en jeu. Ainsi fonctionnent le droit public français et ses prérogatives exorbitantes du droit commun… Cela pose question, même si d’autres contrôles sont prévus, car il s’agit de données personnelles. Une personnalité qualifiée placée auprès du premier ministre contrôlera a priori, tandis que la Commission nationale de contrôle des interceptions de sécurité (CNCIS) contrôlera a posteriori. Celle-ci n’est composée que de trois membres, dont M. Urvoas, le député qui a défendu le texte...
La LPM complète ainsi le dispositif existant, qui concernait les écoutes téléphoniques dites « écoutes administratives » (loi 10 juillet 1991) et l’accès administratif aux données de connexion dans le but de « prévenir des actes de terrorisme » (loi du 23 janvier 2006). Il étend l’accès administratif aux données de connexion en dehors de la seule lutte contre le terrorisme, pour rechercher des renseignements intéressant « la sécurité nationale », la sauvegarde du « potentiel scientifique et économique de la France », « la criminalité et la délinquance organisées »… C’est un copier-coller des finalités inscrites dans la loi de 1991 sur les écoutes téléphoniques et c’est large !
Et cela est-il liberticide ?
Sans aucun doute, puisque le texte permet de faire prévaloir la sécurité sur la liberté. Cela dit, c’est pour la bonne cause… et c’est admissible si les atteintes sont proportionnées au but recherché. Mais le sont-elles ?
Au fond, la question est de savoir si l’on désire aller jusque-là. Elle méritait un débat ouvert à la société civile. On dépasse ici l’analyse purement juridique pour s’interroger sur des choix de politique juridique. Fallait-il légaliser ces pratiques « a-légales » à l’issue d’un raisonnement circulaire qui consiste à entériner ce qui se fait parce que cela se fait et que c’est utile ? C’est sous-entendre que nos services de renseignement, de police ou de gendarmerie… et même le ministère de l’Économie et des Finances – Tracfin – le faisaient sans doute déjà. Pourtant, contrairement à ce que l’on croit, l’accès aux données de connexion n’est pas moins indiscret que l’accès aux contenus. Les métadonnées sont extrêmement parlantes. La surveillance numérique est le nec plus ultra de la surveillance !
- Références : Laure MARINO, "Surveillance du net : un Patriot Act à la française ?", Recueil Dalloz 6 février 2014, n° 5, entretien p. 360.
Vu sur le site de l'ACLU (American Civil Liberties Union) |
Et voici le texte de l'article 20
(j'ai surligné l'un des passages importants) :
I. - Le livre II du même code est ainsi modifié :
1° L'intitulé du titre IV est complété par les mots : « et accès administratif aux données de connexion » ;
2° Il est ajouté un chapitre VI ainsi rédigé :
« CHAPITRE VI
« Accès administratif aux données de connexion
« Art. L. 246-1. - Pour les finalités énumérées à l'article L. 241-2, peut être autorisé le recueil, auprès des opérateurs de communications électroniques et des personnes mentionnées à l'article L. 34-1 du code des postes et des communications électroniques ainsi que des personnes mentionnées aux 1 et 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, des informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques, y compris les données techniques relatives à l'identification des numéros d'abonnement ou de connexion à des services de communications électroniques, au recensement de l'ensemble des numéros d'abonnement ou de connexion d'une personne désignée, à la localisation des équipements terminaux utilisés ainsi qu'aux communications d'un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications.
« Art. L. 246-2. - I. - Les informations ou documents mentionnés à l'article L. 246-1 sont sollicités par les agents individuellement désignés et dûment habilités des services relevant des ministres chargés de la sécurité intérieure, de la défense, de l'économie et du budget, chargés des missions prévues à l'article L. 241-2.
« II. - Les demandes des agents sont motivées et soumises à la décision d'une personnalité qualifiée placée auprès du Premier ministre. Cette personnalité est désignée pour une durée de trois ans renouvelable par la Commission nationale de contrôle des interceptions de sécurité, sur proposition du Premier ministre qui lui présente une liste d'au moins trois noms. Des adjoints pouvant la suppléer sont désignés dans les mêmes conditions. La personnalité qualifiée établit un rapport d'activité annuel adressé à la Commission nationale de contrôle des interceptions de sécurité. Ces décisions, accompagnées de leur motif, font l'objet d'un enregistrement et sont communiquées à la Commission nationale de contrôle des interceptions de sécurité.
« Art. L. 246-3. - Pour les finalités énumérées à l'article L. 241-2, les informations ou documents mentionnés à l'article L. 246-1 peuvent être recueillis sur sollicitation du réseau et transmis en temps réel par les opérateurs aux agents mentionnés au I de l'article L. 246-2.
« L'autorisation de recueil de ces informations ou documents est accordée, sur demande écrite et motivée des ministres de la sécurité intérieure, de la défense, de l'économie et du budget ou des personnes que chacun d'eux a spécialement désignées, par décision écrite du Premier ministre ou des personnes spécialement désignées par lui, pour une durée maximale de trente jours. Elle peut être renouvelée, dans les mêmes conditions de forme et de durée. Elle est communiquée dans un délai de quarante-huit heures au président de la Commission nationale de contrôle des interceptions de sécurité.
« Si celui-ci estime que la légalité de cette autorisation au regard des dispositions du présent titre n'est pas certaine, il réunit la commission, qui statue dans les sept jours suivant la réception par son président de la communication mentionnée au deuxième alinéa.
« Au cas où la commission estime que le recueil d'une donnée de connexion a été autorisé en méconnaissance des dispositions du présent titre, elle adresse au Premier ministre une recommandation tendant à ce qu'il y soit mis fin.
« Elle porte également cette recommandation à la connaissance du ministre ayant proposé le recueil de ces données et du ministre chargé des communications électroniques.
« Art. L. 246-4. - La Commission nationale de contrôle des interceptions de sécurité dispose d'un accès permanent au dispositif de recueil des informations ou documents mis en oeuvre en vertu du présent chapitre, afin de procéder à des contrôles visant à s'assurer du respect des conditions fixées aux articles L. 246-1 à L. 246-3. En cas de manquement, elle adresse une recommandation au Premier ministre. Celui-ci fait connaître à la commission, dans un délai de quinze jours, les mesures prises pour remédier au manquement constaté.
« Les modalités d'application du présent article sont fixées par décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés et de la Commission nationale de contrôle des interceptions de sécurité, qui précise notamment la procédure de suivi des demandes et les conditions et durée de conservation des informations ou documents transmis.
« Art. L. 246-5. - Les surcoûts identifiables et spécifiques éventuellement exposés par les opérateurs et personnes mentionnées à l'article L. 246-1 pour répondre à ces demandes font l'objet d'une compensation financière de la part de l'État. » ;
3° Les articles L. 222-2, L. 222-3 et L. 243-12 sont abrogés ;
4° À la première phrase du premier alinéa de l'article L. 243-7, les mots : « de l'article L. 243-8 et au ministre de l'intérieur en application de l'article L. 34-1-1 du code des postes et des communications électroniques et de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique » sont remplacés par les références : « des articles L. 243-8, L. 246-3 et L. 246-4 » ;
5° À l'article L. 245-3, après le mot : « violation », sont insérées les références : « des articles L. 246-1 à L. 246-3 et ».
II. - L'article L. 34-1-1 du code des postes et des communications électroniques est abrogé.
III. - Le II bis de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique est abrogé.
IV. - Le présent article entre en vigueur le 1er janvier 2015.
Aucun commentaire:
Enregistrer un commentaire
Merci pour votre visite et merci de prendre le temps de laisser un commentaire.