La CJUE remet en cause la surveillance européenne des réseaux électroniques

La Cour de Justice de l'Union européenne a invalidé le 8 avril 2014 la Directive européenne 2006/24 imposant la conservation des données d'identification sur les réseaux de communications électroniques. Les Etats membres -dont la France- vont devoir repenser leurs législations sur la surveillance des réseaux. En profondeur.

La Cour de Justice de l'Union Européenne (CJUE) a invalidé le 8 avril 2014 la Directive européenne 2006/24 sur la conservation des données de connexion et d’utilisation des réseaux de communications électroniques.
La Cour de Luxembourg estime que ce texte n’apporte pas de garanties effectives de protection des libertés individuelles. Elle définit les conditions qui ont manqué à cette Directive pour être conforme à la Charte des droits fondamentaux de l’Union européenne. Or, ces conditions ne sont pas réunies par de nombreuses lois nationales traitant de la prévention du terrorisme et de la répression du crime organisé.
Les enjeux de cet arrêt sont donc majeurs. D’ores et déjà, certains lui prêtent des conséquences qui se déclineront sur plusieurs années, comme les répliques d’un séisme. D’autres estiment qu’il ne s’agirait que d’une tempête dans un verre d’eau. En l’état, il est évident que les Etats européens vont devoir repenser la manière dont ils organisent la surveillance des réseaux… Et reprendre à leur compte les leçons de Démocratie qu’ils donnent aux Etats-Unis depuis les révélations d’Edward Snowden sur la NSA.

1.  Les origines et objectifs de la Directive 2006/24

La Directive 2006/24, adoptée le 15 mars 2006, avait été élaborée par l’Union européenne après les attentats de Madrid et de Londres en 2004 et 2005.
Elle faisait écho à la Convention du Conseil de l’Europe sur la cybercriminalité, adoptée en novembre 2001, après les attentats du 11 septembre.
L’objectif principal de cette Directive était d'obliger les fournisseurs d’accès à Internet et les opérateurs de télécommunications fixes et mobiles, à conserver les données relatives au trafic et à la localisation des utilisateurs de leurs services. Il revenait aux Etats membres de déterminer la durée de cette conservation, parmi une fourchette de six à vingt-quatre mois, destinée à harmoniser les législations nationales sur ce point. Il leur incombait également de définir des mécanismes garantissant la protection des libertés individuelles et de la vie privée.
La France avait, pour sa part, imposé dès le 15 novembre 2001 la conservation de ces données de trafic pendant une durée d’un an. Malgré de nombreuses -plus de huit !- retouches législatives intervenues en France jusqu’en mars 2014, cette obligation de traçabilité et d’identification durant un an n’a jamais été jugée disproportionnée, y compris par le Conseil constitutionnel.

2.  La leçon de libertés individuelles infligée par la CJUE aux États membres

L’arrêt de la CJUE fait peser dans tous les États membres une menace d’invalidité de nombreuses lois nationales qui ne satisfont pas -pas davantage que la Directive désormais invalidée- les conditions désormais établies par la CJUE.

La Cour admet la légitimité des motifs de sécurité publique qui justifient la conservation des données de trafic et leur accès par des autorités habilités au sein des États membres. Ce faisant, la CJUE formule trois griefs principaux ainsi qu’un commentaire surprenant.

a)  La durée de conservation des données, fixée par la Directive 2006/24 entre six et 24 mois, est jugée « disproportionnée » par la Cour.

b) La finalité des interceptions -surveillance administrative ou procédures judiciaires- des données conservées par les prestataires de l’Internet et les opérateurs de télécommunications, ne serait pas, selon la Cour, suffisamment contrôlée, notamment pas de manière indépendante. Pas davantage que la fréquence des interceptions ni le niveau d’ingérence dans la vie privée des individus, qui devrait, estime la Cour, être gradués selon la finalité des interceptions de données. La Cour estime ainsi que la Directive aurait dû prévoir des garanties et contrôles indépendants permettant de limiter effectivement cette ingérence « au strict nécessaire ».

c)   La Directive aurait dû, selon la Cour, imposer que les données de trafic soient conservées sur le territoire de l’Union européenne, afin de permettre un contrôle effectif de leur accès réservé à des organismes nationaux désignés par chaque Etat membre.

Enfin, selon la Cour, l’absence d’information des personnes sur la conservation et l'utilisation ultérieure des données de trafic et de localisation serait « susceptible de générer dans l'esprit des personnes concernées le sentiment que leur vie privée fait l'objet d'une surveillance constante ». On objectera, sur ce point, qu’il n’est pas évident que l’information des personnes sur la conservation ou l’interception de leurs traces leur donnera le sentiment d’être moins surveillées (sic !).

3. Comment remettre à plat la traçabilité sur les réseaux de communication ?

En l’état, la Cour a formulé des critiques sans fournir de solutions précises. Néanmoins, elle sanctionne l’absence de contrôle effectif des finalités pour lesquelles les Etats pourraient collecter des données de trafic conservées par les prestataires techniques des réseaux de communications.
Il appartiendra donc à l’Union européenne et aux États membres de définir pour quelles missions précises ils peuvent accéder à tel ou tel type de données, d’organiser un contrôle effectif de la finalité desdites missions, de dresser la liste des données conservées et accessibles à raison de telle ou telle finalité et de fixer la (ou les) durée(s) de conservation des données prélevées par les divers services de l’Etat, selon les missions et objectifs poursuivis par ces divers services.
Ces exigences impliquent de déterminer et de contrôler les organismes qui peuvent accéder à des données de trafic et, pour chaque catégorie d’organisme ou de mission régalienne ou judiciaire, de déterminer la période sur laquelle ces accès peuvent porter. Il s’agirait également de déterminer pendant combien de temps les données accédées peuvent ensuite être conservées par les organismes concernés.

4.  Quelles conséquences possibles en France ?

La prévention des actes liés à une entreprise terroriste implique nécessairement de surveiller, de détecter et d'intervenir avant la commission de l’acte. Cette mission est dévolue à divers services relevant des ministères de l’Intérieur et de la Défense, ainsi que des Finances. Elle devrait, selon la Cour, faire l’objet d’un contrôle effectif et indépendant -fut-il administratif.
La poursuite des crimes et des délits relève, pour sa part, de l’autorité judiciaire et suppose un contrôle par un juge indépendant, garant des libertés individuelles.
Si l'on tient compte du raisonnement suivi par la CJUE, deux lois françaises sont susceptibles de devoir être repensées.

a) La loi 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme, en particulier son article 6, a organisé en France l’accès aux données de trafic à des fins de prévention du terrorisme. Cette disposition et les textes d’application qui en découlent, ne paraissent pas satisfaire les conditions fixées par la Cour relatives au contrôle effectif et à la gradation des finalités, des durées proportionnées de conservation et des durées légitimes d’accès aux données de trafic.

b)    L'article 20 de la « Loi de Programmation Militaire » (LPM) du 19 décembre 2013 entrera en vigueur le 1er janvier 2015. Cette loi fixe un objectif de prévention du terrorisme et comporte deux carences dénoncées par la Cour.

  •   D'une part, elle prévoit la conservation et l'accès de « tout fichier ou document » détenu par les opérateurs télécoms, les fournisseurs d’accès et les hébergeurs, sans aucune restriction ni aucune liste de données.
  • D'autre part, une autorité administrative -la CNCIS (Commission Nationale de Contrôle des Interceptions de Sécurité)- est bien chargée de s'assurer du formalisme des demandes d'interception, mais elle n'a aucun pouvoir contraignant. Cette commission peut simplement avertir le Premier ministre en cas d’illégalité formelle d’une demande d’interception, sans aucune conséquence juridique. En outre, la CNCIS n’a aucun pouvoir sur le fond. Elle ne peut pas contrôler les finalités, l’ampleur ni les durées effectives des interceptions.
  • Enfin, troisième écueil, la liste des organismes qui peuvent effectuer ces interceptions juxtapose des administrations aux fonctions très différentes : celles en charge de la prévention du terrorisme, certains services de l'administration des finances chargés de lutter contre la fraude financière, dont les douanes.

5.  Les prochaines étapes en points d’interrogations

A la suite de l’arrêt de la CJUE du 8 avril 2014, un nouveau projet de Directive devra été élaboré par la Commission européenne dans les mois à venir, sans fébrilité libertaire ni sécuritaire, afin que les équilibres nécessaires entre des objectifs par nature antagonistes puissent être recherchés puis atteints.

Il ne s’agit pas de priver les administrations en charge de la lutte contre le terrorisme des moyens d’accomplir leurs missions. Leurs missions sont légitimes et nécessaires. Leurs objectifs de prévention supposent, par nature, d'identifier des populations réputées « à risque » associées à des entreprises terroristes et portent donc, en théorie, sur des personnes présumées innocentes jusqu’à preuve contraire. Il ne s’agit pas non plus de se méfier des administrations concernées ou de leurs agents. Ni de penser qu’un État de droit peut être fondé sur une confiance aveugle et irresponsable.
Il s’agit de contrôler l’exécution des missions de surveillance administrative, de manière indépendante et efficace, afin d’éviter qu’elles n’aboutissent à la pose sur les réseaux numériques de « filets dérivants » de surveillance qui prélèveraient des données sans discernement.
A cet égard, tout reste encore à écrire. Le futur décret d’application de la LPM ne répondra pas aux questions posées par la CJUE, car le législateur français a drastiquement limité la portée de ce décret et écarté tout contrôle de l’exécution des missions de surveillance.

Les questions suivantes restent entières, entre autres :

  • Quelles données peuvent être prélevées ?
  • A distance ou en s’adressant formellement aux prestataires de l’Internet ?
  • Quelle période réserver à l’analyse des données prélevées ?
  • Quelle obligation de purge des données prélevées qui s’avèrent non pertinentes ?
  • Quelle est la porosité des surveillances administratives et des procédures judiciaires dites « de droit commun » ?
  • Comment garantir le respect des droits de la défense lorsqu’une donnée sans aucun rapport avec une entreprise terroriste, est transmise par une administration à une autorité judiciaire, sans que la personne concernée ne puisse savoir sur la base de quelle information probante elle est poursuivie ?

L'arrêt de la CJUE ne permet plus aujourd'hui de faire l'impasse sur ces questions, qui permettent d’associer l’efficacité des missions de lutte contre le terrorisme et la criminalité au respect des principes d'un État de droit. C'est le défi des démocraties par rapport aux dictatures.

Réseaux