L’accès des services de renseignement aux données de connexion : Big Brother à la française ?

The-Big-Brother-Police-State-Control-Grid

Surveillance du net : le très attendu décret d’application de l’article 20 de la loi de programmation militaire vient d’être publié. Analyse.

Par Roseline Letteron

The-Big-Brother-Police-State-Control-Grid

Nul n’ignore que les textes réglementaires les plus sensibles sont publiés au Journal officiel le week-end du 15 août ou le jour de Noël, au moment où les citoyens ont d’autres préoccupations, vacances ou réveillon. Un nouvel exemple de cette pratique est donné par le décret du 24 décembre 2014 relatif à l’accès administratif aux données de connexion, texte publié au Journal officiel du 26 décembre et qui entrera en vigueur le 1er janvier 2015.

Ce décret a pour objet l’application de l‘article 20 de la loi de programmation militaire (LPM) du 18 décembre 2013, article qui précise le cadre juridique de la procédure d’accès des services de renseignement aux données de connexion circulant sur internet. Au moment du vote de la LPM, ces dispositions avaient suscité une inquiétude, sans pour autant parvenir à une véritable mobilisation. Alors que chacun étale sa vie privée sur Facebook avec un narcissisme non dissimulé, les atteintes qui lui sont portées au nom de la lutte contre le terrorisme sont de plus en plus considérées comme acceptables. Par ailleurs, le simple fait d’offrir un cadre juridique à une pratique qui, auparavant, demeurait ignorée du droit positif a été perçu comme un progrès. La CNIL évalue ainsi à 30.000 le nombre de demandes annuelles de communication de données formulées par les services de renseignement, demandes qui, jusqu’à aujourd’hui, étaient dépourvues de réel fondement juridique.

Le décret définit donc un cadre juridique à cette communication, cadre juridique qui a donné lieu à un avis consultatif rendu par la Commission nationale de l’informatique et des libertés (CNIL) le 4 décembre 2014 et publié en même temps que le décret. Ce cadre juridique demeure cependant extrêmement souple, avec un champ d’application imprécis et une procédure d’accès dépourvue de réel contrôle.

Les données de connexion

Le décret du 24 décembre 2014 crée un chapitre nouveau intitulé « Accès administratif aux données de connexion » dans la partie réglementaire dans le code de la sécurité intérieure (art.R 246-1 et s. csi). Ces « données de connexion » sont celles, « à l’exclusion de toute autre », qui permettent l’identification d’une ou plusieurs personnes, données énumérées dans les articles R 10-13 et R 10-14 du code des postes et télécommunications électroniques.

La précision est d’importance, et veut affirmer que le décret n’entend pas autoriser les services à effectuer des perquisitions en ligne. Il n’en demeure pas moins que ces derniers peuvent s’appuyer sur les termes de loi, non dépourvus d’ambiguïté (art. L 246-1 csi). Ils affirment en effet que les données de connexion sont communicables, parmi d’autres « documents » et « informations » accessibles sur le même fondement. Qui peut empêcher les services d’invoquer la loi pour obtenir n’importe quel document ou n’importe quelle information conservée sur internet ? Le décret n’offre sur ce point qu’une garantie parfaitement illusoire, garantie qui cède devant la norme supérieure.

Un régime juridique proche de celui des écoutes téléphoniques

Sur le plan de la procédure de communication, le décret est largement inspiré de la loi du 10 juillet 1991 relative aux écoutes téléphoniques, loi votée à une époque où internet relevait peu ou prou de la science fiction. Aujourd’hui, le droit positif opère une fusion entre cette procédure ancienne et la procédure nouvelle d’accès aux données de connexion.

Un « groupement interministériel de contrôle » (GIC), service du Premier ministre, est désormais chargé à la fois des interceptions de sécurité et de l’accès administratif aux données de connexion. Les demandes d’accès lui sont adressées par l’intermédiaire d’une « personnalité qualifiée » désignée dans chaque ministère, Défense, Intérieur et Économie. Le GIC les transmet ensuite aux opérateurs concernés. Le secret est donc protégé, puisque ces derniers ignorent quelle autorité leur demande ces informations et pour quel motif. In fine, c’est l’opérateur et lui seul qui procède à la « sollicitation du réseau », formule employée par l’article L 246-3 csi. Il s’agit de protéger les individus contre les risques d’une aspiration en masse des données d’identification.

Une absence de contrôle

Le contrôle de l’ensemble de la procédure est pour le moins modeste. Il réside dans l’intervention de la Commission nationale de contrôle des interceptions de sécurité (CNCIS). Aux termes de l’article R 246-8 csi, celle-ci « dispose d’un accès permanent aux traitements automatisés » mis en œuvre dans le cadre de ces réquisitions, c’est-à-dire un traitement recensant les demandes d’accès et un autre les données communiquées, toutes informations conservées pendant une durée maximum de trois ans. Les autorités compétentes sont, quant à elles, tenues de fournir à la Commission « tous éclaircissements » qu’elle sollicite sur les demandes d’accès. En revanche, aucun texte n’attribue de pouvoir de sanction à la CNCIS, ni même d’ailleurs une quelconque compétence pour transmettre un dossier au parquet. Les bons sentiments ne font pas les contrôles efficaces, d’autant que le Président de la CNCIS a démissionné en juin 2014 pour protester contre l’absence de moyens affectés à cette fonction de contrôle.

De toute évidence, ce décret s’analyse comme une forme de leurre juridique. Sa fonction n’est pas de renforcer les droits des citoyens mais bien davantage de donner un fondement juridique à l’action des services de renseignement tout en leur laissant une large marge d’autonomie.

Reste à se poser la question de l’avenir de ce décret. Un recours pour excès de pouvoir pourrait-il servir de vecteur à une question prioritaire de constitutionnalité (QPC) ? Peut-être, puisque précisément le Conseil constitutionnel ne s’est pas prononcé sur la LPM. Sur le fond cependant, on peut s’interroger sur les chances de succès d’une telle démarche. Le droit français, comme d’ailleurs la plupart des systèmes juridiques, se satisfait d’un encadrement symbolique de l’activité des services de renseignement, encadrement symbolique qui suscite un contrôle tout aussi symbolique.


Sur le web.