Par Roseline Letteron
Nul n’ignore que les textes réglementaires les plus sensibles sont publiés au Journal officiel le week-end du 15 août ou le jour de Noël, au moment où les citoyens ont d’autres préoccupations, vacances ou réveillon. Un nouvel exemple de cette pratique est donné par le décret du 24 décembre 2014 relatif à l’accès administratif aux données de connexion, texte publié au Journal officiel du 26 décembre et qui entrera en vigueur le 1er janvier 2015.
Ce décret a pour objet l’application de l‘article 20 de la loi de programmation militaire (LPM) du 18 décembre 2013, article qui précise le cadre juridique de la procédure d’accès des services de renseignement aux données de connexion circulant sur internet. Au moment du vote de la LPM, ces dispositions avaient suscité une inquiétude, sans pour autant parvenir à une véritable mobilisation. Alors que chacun étale sa vie privée sur Facebook avec un narcissisme non dissimulé, les atteintes qui lui sont portées au nom de la lutte contre le terrorisme sont de plus en plus considérées comme acceptables. Par ailleurs, le simple fait d’offrir un cadre juridique à une pratique qui, auparavant, demeurait ignorée du droit positif a été perçu comme un progrès. La CNIL évalue ainsi à 30.000 le nombre de demandes annuelles de communication de données formulées par les services de renseignement, demandes qui, jusqu’à aujourd’hui, étaient dépourvues de réel fondement juridique.
Le décret définit donc un cadre juridique à cette communication, cadre juridique qui a donné lieu à un avis consultatif rendu par la Commission nationale de l’informatique et des libertés (CNIL) le 4 décembre 2014 et publié en même temps que le décret. Ce cadre juridique demeure cependant extrêmement souple, avec un champ d’application imprécis et une procédure d’accès dépourvue de réel contrôle.
Les données de connexion
Le décret du 24 décembre 2014 crée un chapitre nouveau intitulé « Accès administratif aux données de connexion » dans la partie réglementaire dans le code de la sécurité intérieure (art.R 246-1 et s. csi). Ces « données de connexion » sont celles, « à l’exclusion de toute autre », qui permettent l’identification d’une ou plusieurs personnes, données énumérées dans les articles R 10-13 et R 10-14 du code des postes et télécommunications électroniques.
La précision est d’importance, et veut affirmer que le décret n’entend pas autoriser les services à effectuer des perquisitions en ligne. Il n’en demeure pas moins que ces derniers peuvent s’appuyer sur les termes de loi, non dépourvus d’ambiguïté (art. L 246-1 csi). Ils affirment en effet que les données de connexion sont communicables, parmi d’autres « documents » et « informations » accessibles sur le même fondement. Qui peut empêcher les services d’invoquer la loi pour obtenir n’importe quel document ou n’importe quelle information conservée sur internet ? Le décret n’offre sur ce point qu’une garantie parfaitement illusoire, garantie qui cède devant la norme supérieure.
Un régime juridique proche de celui des écoutes téléphoniques
Sur le plan de la procédure de communication, le décret est largement inspiré de la loi du 10 juillet 1991 relative aux écoutes téléphoniques, loi votée à une époque où internet relevait peu ou prou de la science fiction. Aujourd’hui, le droit positif opère une fusion entre cette procédure ancienne et la procédure nouvelle d’accès aux données de connexion.
Un « groupement interministériel de contrôle » (GIC), service du Premier ministre, est désormais chargé à la fois des interceptions de sécurité et de l’accès administratif aux données de connexion. Les demandes d’accès lui sont adressées par l’intermédiaire d’une « personnalité qualifiée » désignée dans chaque ministère, Défense, Intérieur et Économie. Le GIC les transmet ensuite aux opérateurs concernés. Le secret est donc protégé, puisque ces derniers ignorent quelle autorité leur demande ces informations et pour quel motif. In fine, c’est l’opérateur et lui seul qui procède à la « sollicitation du réseau », formule employée par l’article L 246-3 csi. Il s’agit de protéger les individus contre les risques d’une aspiration en masse des données d’identification.
Une absence de contrôle
Le contrôle de l’ensemble de la procédure est pour le moins modeste. Il réside dans l’intervention de la Commission nationale de contrôle des interceptions de sécurité (CNCIS). Aux termes de l’article R 246-8 csi, celle-ci « dispose d’un accès permanent aux traitements automatisés » mis en œuvre dans le cadre de ces réquisitions, c’est-à-dire un traitement recensant les demandes d’accès et un autre les données communiquées, toutes informations conservées pendant une durée maximum de trois ans. Les autorités compétentes sont, quant à elles, tenues de fournir à la Commission « tous éclaircissements » qu’elle sollicite sur les demandes d’accès. En revanche, aucun texte n’attribue de pouvoir de sanction à la CNCIS, ni même d’ailleurs une quelconque compétence pour transmettre un dossier au parquet. Les bons sentiments ne font pas les contrôles efficaces, d’autant que le Président de la CNCIS a démissionné en juin 2014 pour protester contre l’absence de moyens affectés à cette fonction de contrôle.
De toute évidence, ce décret s’analyse comme une forme de leurre juridique. Sa fonction n’est pas de renforcer les droits des citoyens mais bien davantage de donner un fondement juridique à l’action des services de renseignement tout en leur laissant une large marge d’autonomie.
Reste à se poser la question de l’avenir de ce décret. Un recours pour excès de pouvoir pourrait-il servir de vecteur à une question prioritaire de constitutionnalité (QPC) ? Peut-être, puisque précisément le Conseil constitutionnel ne s’est pas prononcé sur la LPM. Sur le fond cependant, on peut s’interroger sur les chances de succès d’une telle démarche. Le droit français, comme d’ailleurs la plupart des systèmes juridiques, se satisfait d’un encadrement symbolique de l’activité des services de renseignement, encadrement symbolique qui suscite un contrôle tout aussi symbolique.
—
Sur le web.
Voilà, nous y sommes. La production de normes liberticides en France depuis 30 ans ne pouvait pas mieux s’illustrer que par ce texte de portée générale, imprécis et dangereux. Faut-il quitter la France? C’est maintenant en ces termes que chacun devrait regarder notre pays. Comparez avec nos voisins anglo-saxons, nord-eupéens, et d’autres pays encore où il fait bon vivre. Vous serez surpris de tout ce que vous pouvez y faire et y dire, que vous n’avez plus le droit dans une France qui maintenant espionne ses habitants.
Le problème, c’est qu’un citoyen qui n’aurait pas de smartphone et donc ne serait ni sur google, ni sur twitter, n’aurait pas de carte de crédit etc… deviendrait éminemment suspect et risquerait de finir á Guantanamo…
« le décret n’entend pas autoriser les services à effectuer des perquisitions en ligne. »
Je ne vois pas bien ce que veut dire l’auteur par perquisition en ligne.
Le texte de loi référencé précise bien de quelles données de connexion il s’agit. Le contenu des communications n’en fait pas partie. Il s’agit donc de l’equivalent de la facture détaillée en téléphonie: on sait qui a contacté qui, quand et combien de temps, mais on ne connaît pas la teneur des conversations.
Ce décret donne clairement des moyens d’investigations poussés, mais ce n’est pas encore big brother. A ma connaissance la mise sur écoute ne peut etre demandée que par un juge, ce qui l’encadre nettement plus.
J’ai bien fait de lire ce commentaire avant de terminer l’article ! Merci pour ce résumé.
Fm06 Le texte de loi « précise bien » ???
Soit vous ne l’avez pas lu, soit vous ne savez pas lire.
L’article L.246-1 du code de la sécurité intérieure, précise : « peut être autorisé le recueil, auprès des … , des informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques, y compris les données techniques relatives à l’identification des numéros… »
Je vous ai écourté l’article qui est long et pénible à lire. Maintenant vous pouvez reprendre bêtement la propagande des médias mainstream et nous expliquer qu’il ne s’agit que des données de connexion…
En attendant, il est clairement écrit qu’il s’agit du recueil « d’informations ou documents traités ou conservés » ! Recueil d’informations ou documents ce n’est pas simplement des données de connexion !
Honnêtement, vous ne l’avez pas lu ? Ou vous ne comprenez pas ?
Vous pouvez aller vérifier par vous-même :
http://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=522E09C9696849247537E42F3CD358E3.tpdjo17v_3?cidTexte=LEGITEXT000025503132&idArticle=LEGIARTI000028342288&dateTexte=20141126&categorieLien=cid
Ah oui, j’avais bien lu l’article L246-1 du CSI, mais trop vite… Je reconnais que « des informations ou documents traités ou conservés par leurs réseaux ou services » est très évasif. Il peut couvrir le contenu des e-mails, par exemple.
Bonjour, l’analyse qui précède me paraît erronée, ainsi que la plupart des commentaires. Vous n’avez pas bien lu le texte du décret. Les « données de connexion » y sont définies comme les informations et documents qui « sont ceux énumérés aux articles R. 10-13 et R. 10-14 du code des postes et des communications électroniques et à l’article 1er du décret n° 2011-219 du 25 février 2011 modifié relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne. » La référence à l’art 1er du décret 2011-219 permet d’obtenir un très grand nombre d’informations, notamment « Les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour ». A mon sens il sera facile aux services de police d’accéder aux contenus à partir de ces informations. Il ne s’agit donc pas des seules données techniques de connexion, et on peut considérer que le décret permet des « perquisitions en ligne » sans aucun contrôle du juge.
Du coup, j’ai relu le texte de l’art. 20 de la loi de programmation militaire, qui permet en effet au pouvoir réglementaire d’accéder aux contenus, et donc ce décret est bien légal. La seule question qui se pose est bien la constitutionnalité de l’art. 20. Un recours contre le décret devrait logiquement entraîner une question prioritaire de constitutionnalité. Qui fait le recours ? (le délai est de 2 mois)
Exactement Gilles. Les informations et documents ne sont pas uniquement accessibles aux services de police ! Mais aux services fiscaux également.
La solution: acheter un portable d’occasion, une puce de téléphone prépayé achetée avec un nom aléatoire, pour surfer en 4 g le temps que la puce soit désactivé pour raison de justificatifs non envoyés (quoi que perso il ne me l’on jamais désactivée). Après, d’autres préféreront pirater le wifi de gens (y a tout ce qu’il faut sur le net pour craqué les codes sur le net (gratuit), et par sécurité vous vous installez loin de chez vous, bien au chaud dans votre voiture). Même sans faire de choses répréhensibles, si vous voulez pas laisser de traces, c’est le seul moyen (contrairement à ce qu’ils voudraient nous faire croire avec le dark net).
PARANOÎAQUE, moi? Non, pas du tout….En fait, c’est une blague (MDR!!!).
Les commentaires sont fermés.