Article 13 de la loi de programmation militaire : un débat nécessaire

La vie des autres. Florian Henckel von Donnersmarck. 2006. Ulrich Mühe.

Les menaces que fait peser sur la vie privée la loi de programmation militaire sont dénoncées. A juste titre ?

Par Roseline Letteron.

vie privée InternetDepuis quelques jours, les réseaux sociaux relayés par la presse, révèlent une inquiétude à l’égard de l’article 13 de la loi de programmation militaire (LPM), adoptée en seconde lecture par le Sénat le 10 décembre 2013. Ce texte a pour objet de définir le cadre juridique des procédures d’accès des services de renseignement aux données personnelles circulant sur internet. Les uns qualifient le dispositif de « dictature numérique« , les autres de « Big Brother à la française« .On peut certes regretter que cette préoccupation soit très tardive, car le projet de loi a été déposé devant le Sénat le 2 août 2013. C’est sans doute la raison pour laquelle l’analyse juridique fait largement défaut. Or, c’est précisément cette étude juridique qui rend évidente la nécessité d’un débat largement ouvert sur les données personnelles qui doivent, ou ne doivent pas, être communicables aux services de renseignement.

Que dit l’article 13 ?

Ce désormais célèbre article 13 introduit dans le code de la défense un nouveau chapitre VI intitulé « Accès administratif aux données de connexion« . Dans ce chapitre VI, un nouvel article L 246-1 autorise les ministères de la défense, de l’intérieur et de l’économie et des finances à accéder aux « informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques« , c’est à dire aux identifiants de connexion, à la localisation des équipements utilisés, ou encore à la liste des numéros appelés et appelant, la date et la durée des communications. De manière très concrète, l’article 13 vise l’utilisation des données personnelles par les services de renseignement, utilisation qui fait l’objet de multiples fantasmes mais d’un encadrement juridique minimaliste.Ces dispositions doivent figurer dans le code de la défense et il convient de rappeler que la « stratégie de sécurité nationale » comme la « politique de défense » (art. L 111-1 code de la défense cd) incombent au « pouvoir exécutif, dans l’exercice de ses attributions constitutionnelles« . Nul n’ignore évidemment que les services de renseignement sont rattachés au ministère de l’intérieur (DCRI) ou de l’intérieur (DGSE pour la sécurité extérieure et DRM et DPSD pour la sécurité militaire).

En revanche, beaucoup de Français ignorent l’importance du rôle du ministère de l’économie dans ce domaine. C’est lui qui est plus spécialement chargé de la défense économique, c’est à dire de la sécurité des infrastructures et des secteurs d’activité d’importance vitale (celles dont le dysfonctionnement provoquerait un arrêt de l’économie du pays), de la protection du patrimoine scientifique et technique des entreprises, de la sécurité des systèmes d’information des organismes publics. C’est ainsi que les agents des douanes participent ainsi à la lutte contre le financement du terrorisme.  C’est ainsi que le ministère de l’économie aide les entreprises à se protéger de certaines menaces, protection fort utile si l’on considère que certains pays comme les États-Unis n’hésitent pas à utiliser leurs formidables instruments d’espionnage électronique pour permettre à leurs entreprises de gagner des marchés.

La loi du 10 juillet 1991

Cette intégration du ministère de l’économie dans le dispositif législatif surprend d’autant moins que l’Article 13 reprend, sur ce point comme sur d’autres, les dispositions qui figuraient déjà dans la loi du 10 juillet 1991. Ce texte est intervenu à une époque où l’absence de législation sur les écoutes téléphoniques avait provoqué la condamnation de la France par la Cour Européenne des Droits de l’Homme. Dès 1978, dans son célèbre arrêt Klass et autres c. Allemagne, elle a estimé qu’une écoute constitue une ingérence dans la vie privée au sens de l’article 8 de la Convention. Cette ingérence n’est cependant pas nécessairement illicite si deux conditions sont réunies. D’une part, une loi doit les autoriser et organiser les conditions de leur mise en œuvre. D’autre part, cette loi doit se révéler nécessaire pour sauvegarder la sécurité nationale, assurer la défense de l’ordre public, et la prévention des infractions pénales. Pour ne pas disposer d’un tel instrument législatif, la France a été condamnée par la Cour dans les arrêts Kruslinet Huvig de 1990 qui portaient, rappelons-le, sur des écoutes judiciaires.

L’intervention du législateur français était donc nécessaire et la loi de 1991 pose un principe d’interdiction des écoutes, assorti de deux exceptions définies par la loi. Le principe d’interdiction est garanti par l’art. 226-1 du code pénal qui les punit d’une peine d’un an d’emprisonnement et de 45 000 € d’amende. La première exception réside dans les écoutes judiciaires et l’on sait que ces dernières ne peuvent être pratiquées qu’avec l’autorisation du juge d’instruction, ou du juge des libertés et de la détention au stade de l’enquête préliminaire.

Les interceptions de sécurité

Restent évidemment les plus délicates, les écoutes administratives ou plus exactement les « interceptions de sécurité », qui sont définies par la loi de 1991, dans son article 3, comme celles qui ont pour objet de « rechercher des renseignements intéressant la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisés et de la reconstitution ou du maintien de groupements dissous (…)« .  Le champ d’application de ces écoutes est donc à la fois très vaste et très imprécis. A l’époque, il ne s’appliquait qu’aux écoutes téléphoniques. Il a ensuite été étendu à l’ensemble des communications électroniques par la loi du 23 janvier 2006, mais la finalité des interceptions était alors limitée à la lutte contre le terrorisme. L’article 13 de la présente LPM reprend aujourd’hui ce dispositif, mais en étendant la liste des demandeurs d’interceptions à l’ensemble des services chargés du renseignement. Sur la plan strictement juridique, l’article 13 de la LPM se présente donc comme une sorte de « copier-coller » de dispositions initiées à l’époque du téléphone et désormais étendues à l’ensemble des données circulant sur internet.

La saisine du Conseil Constitutionnel

C’est la raison pour laquelle la saisine du Conseil Constitutionnel n’est pas nécessairement une solution. Certains semblent en effet considérer que ce grand protecteur des droits de l’individu et des données personnelles déclarera immédiatement l’article 13 inconstitutionnel. C’est pourtant loin d’être certain, si l’on considère sa jurisprudence.

Dans une décision du 28 décembre 2000, il affirme ainsi que les dépenses liées interceptions de sécurité en matière téléphonique ne sauraient être imputées aux opérateurs. Et il précise que ces derniers ne font alors qu’apporter leur concours à des « interceptions justifiées par les nécessités de la sécurité publique, dans l’intérêt général de la population« . Autant dire que le principe même des écoutes administratives n’est pas considéré, en soi, comme portant atteinte à des normes constitutionnelles. Exerçant son contrôle de proportionnalité, la CNIL pourrait-elle considérer que l’ingérence dans la vie privée est excessive,  lorsqu’elle concerne les données circulant sur internet ? Peut-être, mais le résultat du recours demeure néanmoins aléatoire.

Force est donc de constater que ces interceptions ne sont pas nécessairement inconstitutionnelles. Mais cette constatation n’a pas pour effet de clore le débat juridique.

Incertitude du champ d’application

Au regard de son champ d’application, l’article 13 de la LPM se caractérise par une grande incertitude, liée à sa définition téléologique. Il reprend sur ce point, la formulation de la loi de 1991, les écoutes téléphoniques sont licites lorsqu’elles ont pour finalité de rechercher des « renseignements intéressant la sécurité nationale« . Le Conseil Constitutionnel ne contribue pas à préciser les choses lorsqu’il invoque la « nécessité publique » ou « l’intérêt général de la population« . Autant dire que cette définition téléologique est aussi tautologique : sont finalement communicables les données dont les services de renseignement déclarent avoir besoin, dans le cadre de leur mission.

Certes, l’efficacité de ces services doit être assurée, et ils doivent bénéficier de certaines prérogatives pour assurer leurs missions. Le renseignement demeure un élément indispensable à l’exercice par l’Etat de ses activités de souveraineté. On constate d’ailleurs, non sans intérêt, que la critique la plus virulente de l’article 13 est probablement celle développée par l’Association des sites internet communautaires (ASIC), qui a publié plusieurs communiqués alarmistes sur le sujet. Or l’ASIC compte parmi ses membres toutes les entreprises américaines du secteur, de Facebook à Google, en passant par Skype et DailyMotion. Avouons qu’il est assez étonnant de les voir s’offusquer de la loi française qu’elles dénoncent comme attentatoire à la vie privée alors qu’elles n’hésitent pas à transmettre leurs données en masse à la NSA. En clair, il convient de collaborer avec les services américains, et de dénoncer les services français.

Pour assurer la légitimité de l’action des services français, il convient sans doute de réfléchir sur les procédures d’accès à ces données personnelles. La procédure actuelle, issue de la loi de 1991 reprise purement et simplement par l’article 13 de la LPM, est bien loin d’être satisfaisante. Elle repose sur deux principes. D’abord la centralisation des interceptions qui sont autorisées par une « personnalité qualifiée » placée près du Premier ministre et désignée par la Commission Nationale de Contrôle des Interceptions de Sécurité (CNCIS). Le système permet sans doute d’éviter des interceptions intempestives décidées par des agents subalternes, mais il ne constitue pas, en soi, la garantie qu’un équilibre entre l’intérêt de l’État et celui de la vie privée des personnes sera effectivement recherché.

La CNCIS, autorité plus administrative qu’indépendante

Ensuite, et c’est sans doute le défaut essentiel de la procédure, la CNCIS qui désigne la « personnalité qualifiée » et qui a pour mission de contrôler les interceptions de sécurité est une autorité administrative indépendante, nettement plus administrative qu’indépendante.

Elle est composée de trois membres, un député, un sénateur, et son président, généralement un conseiller d’État. Ce dernier est choisi par le Président de la République sur une liste de quatre noms établie conjointement par le vice président du Conseil d’État et le premier président de la Cour de Cassation. Quant aux deux parlementaires, chacun d’entre eux est désigné par le Président de leur assemblée et leur mandat n’est pas renouvelable. Le statut d’indépendance des membres n’est donc ni meilleur ni pire que celui des membres d’autres autorités indépendantes.

En revanche, la procédure devant la CNCIS est marquée par une certaine opacité. De sa propre initiative, ou à la demande d’une personne qui craint d’être l’objet d’une écoute, elle peut donner au Premier ministre une « recommandation« , demandant l’interruption d’une écoute. Celui-ci n’est évidemment pas tenu de la suivre, et le demandeur est seulement avisé que les vérifications nécessaires ont été effectuées, sans qu’il puisse jamais savoir s’il a été ou non l’objet d’une interception. Si l’on se place du côté de l’intéressé, on imagine sa frustration face à une procédure qui ressemble étrangement au « droit d’accès indirect » qui s’exerce devant la CNIL pour les données personnelles conservées à des fins de sécurité publique. Le demandeur est avisé que des vérifications ont été faites, et il ne saura jamais s’il était fiché et ignorera toujours le contenu des informations conservées sur son compte.

Rouvrir le débat ?

L’article 13 de la LPM se borne finalement à reprendre à son compte un dispositif ancien et imparfait, et aucun débat n’a réellement eu lieu sur le sujet. La CNIL, dans un communiqué du 26 novembre 2013, « déplore » ainsi de ne pas avoir été saisie des dispositions de l’article 13. Observons cependant que cette saisine n’avait rien d’obligatoire, puisqu’en l’espèce il ne s’agit pas de créer des traitements automatisés de données personnelles, mais d’accéder à des données personnelles circulant sur internet. Le gouvernement aurait cependant pu solliciter cet avis,  de nature à éclairer le débat parlementaire, voire à le susciter.

Le renseignement est désormais au cœur de la stratégie de défense et de sécurité. Dans ce domaine, la présente LPM présente des aspects positifs, notamment par l’approfondissement des moyens de contrôle du parlement dans ce domaine, avec le renforcement des prérogatives de la délégation parlementaire au renseignement (DPR). Il est, dès lors, un peu surprenant, que le socle juridique de l’accès aux données personnelles n’ait pas été discuté, et que le parlement se soit borné à reprendre un dispositif ancien et pour le moins obsolète. De leur côté, les services de renseignement ont tout à gagner d’un débat démocratique dans ce domaine, puisque c’est leur légitimité même qui se trouvera renforcée. Reste à trouver le moyen de reprendre le débat parlementaire. Le Président de la République ne pourrait-il pas s’appuyer sur l’article 10 de la Constitution et demander une nouvelle délibération sur l’article 13 ?