« La liberté, ce bien qui fait jouir des autres biens », écrivait Montesquieu. Et Tocqueville : « Qui cherche dans la liberté autre chose qu’elle même est fait pour servir ». Qui s’intéresse aujourd’hui à la liberté ? A celle qui ne se confond pas avec le libéralisme économique, dont on mesure combien il peut être source de prospérité mais aussi d’inégalités et de contraintes sociales ? A celle qui fonde le respect de la vie privée et la participation authentique à la vie publique ? La liberté devrait être au cœur de la démocratie et de l’Etat de droit. En même temps, elle ne peut être maintenue et garantie que par la vigilance et l’action des individus. Ils ne sauraient en être simples bénéficiaires ou rentiers, ils doivent non seulement l’exercer mais encore surveiller attentivement ses conditions d’exercice. Tâche d’autant plus nécessaire dans une période où les atteintes qui lui sont portées sont aussi insidieuses que multiples.


dimanche 15 décembre 2013

Article 13 de la loi de programmation militaire : un débat nécessaire

Depuis quelques jours, les réseaux sociaux relayés par la presse, révèlent une inquiétude à l'égard de l'article 13 de la loi de programmation militaire (LPM), adoptée en seconde lecture par le Sénat le 10 décembre 2013. Ce texte a pour objet de définir le cadre juridique des procédures d'accès des services de renseignement aux données personnelles circulant sur internet. Les uns qualifient le dispositif de "dictature numérique", les autres de "Big Brother à la française".

On peut certes regretter que cette préoccupation soit très tardive, car le projet de loi a été déposé devant le Sénat le 2 août 2013. C'est sans doute la raison pour laquelle l'analyse juridique fait largement défaut. Or, c'est précisément cette étude juridique qui rend évident la nécessité d'un débat largement ouvert sur les données personnelles qui doivent, ou ne doivent pas, être communicables aux services de renseignement.

Que dit l'article 13  ?


Ce désormais célèbre article 13 introduit dans le code de la défense un nouveau chapitre VI intitulé "Accès administratif aux données de connexion". Dans ce chapitre VI, un nouvel article L 246-1 autorise les ministères de la défense, de l'intérieur et de l'économie et des finances à accéder aux "informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques", c'est à dire aux identifiants de connexion, à la localisation des équipements utilisés, ou encore à la liste des numéros appelés et appelant, la date et la durée des communications. De manière très concrète, l'article 13 vise l'utilisation des données personnelles par les services de renseignement, utilisation qui fait l'objet de multiples fantasmes mais d'un encadrement juridique minimaliste.

Ces dispositions doivent figurer dans le code de la défense et il convient de rappeler que la "stratégie de sécurité nationale" comme la "politique de défense" (art. L 111-1 code de la défense cd) incombent au "pouvoir exécutif, dans l'exercice de ses attributions constitutionnelles". Nul n'ignore évidemment que les services de renseignement sont rattachés au ministère de l'intérieur (DCRI) ou de l'intérieur (DGSE pour la sécurité extérieure et DRM et DPSD pour la sécurité militaire).

En revanche, beaucoup de Français ignorent l'importance du rôle du ministère de l'économie dans ce domaine. C'est lui qui est plus spécialement chargé de la défense économique, c'est à dire de la sécurité des infrastructures et des secteurs d'activité d'importance vitale (celles dont le dysfonctionnement provoquerait un arrêt de l'économie du pays), de la protection du patrimoine scientifique et technique des entreprises, de la sécurité des systèmes d'information des organismes publics. C'est ainsi que les agents des douanes participent ainsi à la lutte contre le financement du terrorisme.  C'est ainsi que le ministère de l'économie aide les entreprises à se protéger de certaines menaces, protection fort utile si l'on considère que certains pays comme les Etats Unis n'hésitent pas à utiliser leurs formidables instruments d'espionnage électronique pour permettre à leurs entreprises de gagner des marchés.


Conversation secrète. Francis Ford Coppola. 1974. Gene Hackman

 La loi du 10 juillet 1991

 
Cette intégration du ministère de l'économie dans le dispositif législatif surprend d'autant moins que l'Article 13 reprend, sur ce point comme sur d'autres, les dispositions qui figuraient déjà dans la loi du 10 juillet 1991. Ce texte est intervenu à une époque où l'absence de législation sur les écoutes téléphoniques avait provoqué la condamnation de la France par la Cour européenne des droits de l'homme. Dès 1978, dans son célèbre arrêt Klass et autres c. Allemagne, elle a estimé qu'une écoute constitue une ingérence dans la vie privée au sens de l'article 8 de la Convention. Cette ingérence n'est cependant pas nécessairement illicite si deux conditions sont réunies. D'une part, une loi doit les autoriser et organiser les conditions de leur mise en oeuvre. D’autre part, cette loi doit se révéler nécessaire pour sauvegarder la sécurité nationale, assurer la défense de l’ordre public, et la prévention des infractions pénales. Pour ne pas disposer d'un tel instrument législatif, la France a été condamnée par la Cour dans les arrêts Kruslin et Huvig de 1990 qui portaient, rappelons-le, sur des écoutes judiciaires. 

L'intervention du législateur français était donc nécessaire et la loi de 1991 pose un principe d'interdiction des écoutes, assorti de deux exceptions définies par la loi. Le principe d'interdiction est garanti par l'art. 226-1 du code pénal qui les punit d'une peine d'un an d'emprisonnement et de 45 000 € d'amende. La première exception réside dans les écoutes judiciaires et l'on sait que ces dernières ne peuvent être pratiquées qu'avec l'autorisation du juge d'instruction, ou du juge des libertés et de la détention au stade de l'enquête préliminaire.


Les interceptions de sécurité


Restent évidemment les plus délicates, les écoutes administratives ou plus exactement les "interceptions de sécurité", qui sont définies par la loi de 1991, dans son article 3, comme celles qui ont pour objet de "rechercher des renseignements intéressant la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous (...)".  Le champ d'application de ces écoutes est donc à la fois très vaste et très imprécis. A l'époque, il ne s'appliquait qu'aux écoutes téléphoniques. Il a ensuite été étendu à l'ensemble des communications électroniques par la loi du 23 janvier 2006, mais la finalité des interceptions était alors limitée à la lutte contre le terrorisme. L'article 13 de la présente LPM reprend aujourd'hui ce dispositif, mais en étendant la liste des demandeurs d'interceptions à l'ensemble des services chargés du renseignement. Sur la plan strictement juridique, l'article 13 de la LPM se présente donc comme une sorte de "copier-coller" de dispositions initiées à l'époque du téléphone et désormais étendues à l'ensemble des données circulant sur internet. 

La saisine du Conseil constitutionnel


C'est la raison pour laquelle la saisine du Conseil constitutionnel n'est pas nécessairement une solution. Certains semblent en effet considérer que ce grand protecteur des droits de l'individu et des données personnelles déclarera immédiatement l'article 13 inconstitutionnel. C'est pourtant loin d'être certain, si l'on considère sa jurisprudence. 

Dans une décision du 28 décembre 2000, il affirme ainsi que les dépenses liées interceptions de sécurité en matière téléphonique ne sauraient être imputées aux opérateurs. Et il précise que ces derniers ne font alors qu'apporter leur concours à des "interceptions justifiées par les nécessités de la sécurité publique, dans l'intérêt général de la population". Autant dire que le principe même des écoutes administratives n'est pas considéré, en soi, comme portant atteinte à des normes constitutionnelles. Exerçant son contrôle de proportionnalité, la CNIL pourrait-elle considérer que l'ingérence dans la vie privée est excessive,  lorsqu'elle concerne les données circulant sur internet ? Peut-être, mais le résultat du recours demeure néanmoins aléatoire.

Force est donc de constater que ces interceptions ne sont pas nécessairement inconstitutionnelles. Mais cette constatation n'a pas pour effet de clore le débat juridique.

Incertitude du champ d'application


Au regard de son champ d'application, l'article 13 de la LPM se caractérise par une grande incertitude, liée à sa définition téléologique. Il reprend sur ce point, la formulation de la loi de 1991, les écoutes téléphoniques sont licites lorsqu'elles ont pour finalité de rechercher des "renseignements intéressant la sécurité nationale". Le Conseil constitutionnel ne contribue pas à préciser les choses lorsqu'il invoque la "nécessité publique" ou "l'intérêt général de la population". Autant dire que cette définition téléologique est aussi tautologique : sont finalement communicables les données dont les services de renseignement déclarent avoir besoin, dans le cadre de leur mission.

Certes, l'efficacité de ces services doit être assurée, et ils doivent bénéficier de certaines prérogatives pour assurer leurs missions. Le renseignement demeure un élément indispensable à l'exercice par l'Etat de ses activités de souveraineté. On constate d'ailleurs, non sans intérêt, que la critique la plus virulente de l'article 13 est probablement celle développée par l'Association des sites internet communautaires (ASIC), qui a publié plusieurs communiqués alarmistes sur le sujet. Or l'ASIC compte parmi ses membres toutes les entreprises américaines du secteur, de Facebook à Google, en passant par Skype et DailyMotion. Avouons qu'il est assez étonnant de les voir s'offusquer de la loi française qu'elles dénoncent comme attentatoire à la vie privée alors qu'elles n'hésitent à transmettre leurs données en masse à la NSA. En clair, il convient de collaborer avec les services américains, et de dénoncer les services français.

Pour assurer la légitimité de l'action des services français, il convient sans doute de réfléchir sur les procédures d'accès ces données personnelles. La procédure actuelle, issue de la loi de 1991 reprise purement et simplement par l'article 13 de la LPM, est bien loin d'être satisfaisante. Elle repose sur deux principes. D'abord la centralisation des interceptions qui sont autorisées par une "personnalité qualifiée" placée près du Premier ministre et désignée par la Commission nationale de contrôle des interceptions de sécurité (CNCIS). Le système permet sans doute d'éviter des interceptions intempestives décidées par des agents subalternes, mais il ne constitue pas, en soi, la garantie qu'un équilibre entre l'intérêt de l'Etat et celui de la vie privée des personnes sera effectivement recherché.

La CNCIS, autorité plus administrative qu'indépendante


Ensuite, et c'est sans doute le défaut essentiel de la procédure, la CNCIS qui désigne la "personnalité qualifiée" et qui a pour mission de contrôler les interceptions de sécurité est une autorité administrative indépendante, nettement plus administrative qu'indépendante.

Elle est composée de trois membres, un député, un sénateur, et son président, généralement un conseiller d'Etat. Ce dernier est choisi par le Président de la République sur une liste de quatre noms établie conjointement par le vice président du Conseil d'Etat et le premier président de la Cour de cassation. Quant aux deux parlementaires, chacun d'entre eux est désigné par le Président de leur assemblée et leur mandat n'est pas renouvelable. Le statut d'indépendance des membres n'est donc ni meilleur ni pire que celui des membres d'autres autorités indépendantes.

En revanche, la procédure devant la CNCIS est marquée par une certaine opacité. De sa propre initiative, ou à la demande d'une personne qui craint d'être l'objet d'une écoute, elle peut donner au Premier ministre une "recommandation", demandant l'interruption d'une écoute. Celui-ci n'est évidemment pas tenu de la suivre, et le demandeur est seulement avisé que les vérifications nécessaires ont été effectuées, sans qu'il puisse jamais savoir s'il a été ou non l’objet d’une interception. Si l'on se place du côté de l'intéressé, on imagine sa frustration face à une procédure qui ressemble étrangement au "droit d'accès indirect" qui s'exerce devant la CNIL pour les données personnelles conservées à des fins de sécurité publique. Le demandeur est avisé que des vérifications ont été faites, et il ne saura jamais s'il était fiché et ignorera toujours le contenu des informations conservées sur son compte.

Rouvrir le débat ?


L'article 13 de la LPM se borne finalement à reprendre à son compte un dispositif ancien et imparfait, et aucun débat n'a réellement eu lieu sur le sujet. La CNIL, dans un communiqué du 26 novembre 2013, "déplore" ainsi de ne pas avoir été saisie des dispositions de l'article 13. Observons cependant que cette saisine n'avait rien d'obligatoire, puisqu'en l'espèce il ne s'agit pas de créer des traitements automatisés de données personnelles, mais d'accéder à des données personnelles circulant sur internet. Le gouvernement aurait cependant pu solliciter cet avis,  de nature à éclairer le débat parlementaire, voire à le susciter. 

Le renseignement est désormais au coeur de la stratégie de défense et de sécurité. Dans ce domaine, la présente LPM présente des aspects positifs, notamment par l'approfondissement des moyens de contrôle du parlement dans ce domaine, avec le renforcement des prérogatives de la délégation parlementaire au renseignement (DPR). Il est, dès lors, un peu surprenant, que le socle juridique de l'accès aux données personnelles n'ait pas été discuté, et que le parlement se soit borné à reprendre un dispositif ancien et pour le moins obsolète. De leur côté, les services de renseignement ont tout à gagner d'un débat démocratique dans ce domaine, puisque c'est leur légitimité même qui se trouvera renforcée. Reste à trouver le moyen de reprendre le débat parlementaire. Le Président de la République ne pourrait-il pas s'appuyer sur l'article 10 de la Constitution et demander une nouvelle délibération sur l'article 13 ?

2 commentaires:

  1. Peut être serait il utile que vous vous replongiez dans l'ensemble des révélations du Washington Post et du Guardian.
    Contrairement à ce que énoncez dans votre article, les acteurs de l'internet comem Dailymotion, Skype & co n'ont pas "transmis leurs données en masse à la NSA".

    Si vous avez bien lu, vous comprendrez que ces acteurs ont vu leurs données (et plus généralement, l'ensemble des données) être interceptées par les autorités de renseignement au niveau des opérateurs de télécommunications.

    Ces entreprises n'ont pas remis leurs données. Elles n'ont pas offert un accès direct à leurs sytèmes. C'est le renseignement qui s'est branché non pas sur leur système, mais à la sortie, sur les réseaux de télécommunication.

    Donc, au lieu de taper sur les lanceurs d'alertes, peut être demandez vous si c'est normal que les autorités (US, françaises, etc) aient la possibilité de se brancher comme cela sur un réseau de télécommunication et aspirer toutes les données qui y circulent en masse ?

    RépondreSupprimer
  2. Sur la question du champ d'application "matériel" des interceptions, il y a des circonstances dans lesquelles l'accès aux contenu de tel ou tel document transitant sur un réseau peut être utile. La prévention et la poursuite des infractions est l'un de ces motifs légitimes - en tout cas lorsque ces infractions présentent une certains gravité.

    En revanche, ce qui est beaucoup moins légitime, c'est la "sauvegarde du potentiel économique de la France" : comment détermine-t-on les entreprises qui en bénéficient ? Quel est le critère pour déterminer ce qui appartient à ce potentiel ? On devine qu'il s'agit de gros contrats de grosses sociétés, mais quel sens donner à cela en ces temps de mondialisation ? En construisant ses voitures à Valenciennes, Toyota contribue à la richesse économique de la France, alors que c'est une entreprise japonaise, concurrente de Renault, qui construit, elle, à l'étranger ...

    Une idée en passant: avoir une législation qui interdise à l'Etat de mettre son nez dans les données des particuliers (autres les quelques cas légitimes), c'est donner un avantage concurrentiel aux entreprises (notamment du cloud) qui sont situées en France. Ils serait dommage de s'en priver au moment où un plan cloud est lancé ...

    D'un point de vue procédural, il me semble, paradoxalement que cet article représente un progrès: autrefois dans les limbes, ces interceptions sont désormais encadrées: durée limitée, rôle de la personnalité qualifiée et de la CNCIS ... c'est mieux que rien.

    On peut évidemment travailler sur ces garanties pour éviter la mise en place d'une société de la surveillance encore plus poussée. De ce point de vue, je m'étonne, au regard de l'importance des interceptions en question au regard de l'atteinte à la vie privée, qu'il ne soit pas nécessaire de les soumettre au contrôle de l'autorité judiciaire, garante de la liberté individuelle.

    Mais il faut être lucide: le droit se change d'un claquement de doigt; une fois qu'une infrastructure qui permet une telle captation est en place, il suffit d'un changement politique pour qu'elle soit utilisée de manière massive et incontrôlée. Que le régime de Vichy soit apparu après 70 ans de république libérale le prouve. Bref, le droit s'incline ici devant le fait.

    RépondreSupprimer