La nouvelle loi « militaire » relance le débat entre sécurité renforcée et liberté sur Internet

La loi de programmation militaire, promulguée le 19 décembre 2013 sans avis
de la Cnil, élargit considérablement – voire trop – le périmètre d’accès aux données numériques. Mais les interceptions des communications sur les réseaux, par les autorités publiques et judiciaires, ne datent pas d’hier.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

L’article 20 de la loi du 18 décembre 2013 relative à la programmation militaire (LPM (1)) intitulé « Accès administratif aux données de connexion » a, à lui seul, suscité une polémique largement relayée par les médias et les réseaux. Selon eux, cet article – qui prendra effet à compter du 1er janvier 2015, en élargissant le régime et les modalités d’accès des services de renseignement de l’Etat aux informations ou documents ainsi qu’aux données de connexion et de géolocalisation – instituerait un contrôle des pouvoirs publics sans précédent, augmentant ainsi les risques d’atteintes aux libertés individuelles.

Vers un « Big Brother » étatique ?
Au nombre des indices troublants, il y a l’absence de consultation de la Commission nationale de l’informatique et des libertés (Cnil) en principe interrogée sur tout projet
de loi ou de décret relatif à la protection des personnes à l’égard des traitements automatisés (article 11, al. 4 de la loi du 6 janvier 1978 modifiée). La Cnil a publiquement déploré cette situation, un peu plus de trois semaines avant la promulgation le 19 décembre 2013 de cette loi (2), précisant qu’elle entendait se prononcer sur les actes réglementaires créant les traitements de données personnelles envisagés et opérer des « contrôles sur place inopinés ». De leur côté, de nombreuses associations de protection et défense des droits des internautes ainsi que plusieurs acteurs du Net ont réagi vivement, dénonçant la mise en place d’un Big Brother étatique d’envergure.
En fait, il faut d’abord constater que la législation préexistante à la LPM permettait déjà aux autorités publiques et judiciaires d’accéder aux communications électroniques et aux données de connexion. Le code de procédure pénale consacre en effet plusieurs dispositions permettant d’ordonner l’interception, l’enregistrement et la transcription des correspondances sous certaines conditions dans le cas d’une instruction (art. 100),
d’une enquête de flagrance (art. 60-1) ou préliminaire (art. 77-1-2) et dans certains cas particuliers (par exemple en matière de criminalité organisée). Les interceptions administratives de sécurité ont été quant à elles prévues par la loi du 10 juillet 1991relative au secret des correspondances par la voie des communications électroniques. L’ordonnance du 12 mars 2012 a intégré à droit constant ces dispositions dans le Code de la sécurité intérieure (art. L 241-1 à L 245-3). Ainsi, toute interception
« ayant pour objet de rechercher des renseignements intéressant la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements », peut être autorisée pour une durée de quatre mois, par une décision écrite et motivée du Premier ministre (art L 241-2).
En quelque sorte, pour alimenter les autorités publiques en informations, le législateur
– au plan national et européen – a créé une obligation de conservation de données à la charge de plusieurs intermédiaires techniques sous peine de sanctions prévues par la loi Confiance dans l’économie numérique (LCEN (3)). Sont ainsi directement concernés les opérateurs de communications électroniques et les fournisseurs d’accès à Internet (FAI). Sont également visés « les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit » (CPCE, art. L. 34-1, I, al. 2).

Données de connexion stockées un an
Tous ces acteurs sont tenus de stocker pendant un an les données de connexion,
c’est-à-dire les données d’identification de l’auteur d’un contenu (art. 6-II de la LCEN et décret du 25 février 2011), les données d’identification de l’utilisateur d’un service de communication électronique (art. L 34-1 du CPCE), et les données techniques (décret
du 24 mars 2006 et du 30 juillet 2007). Ils doivent également les rendre accessibles à certaines autorités publiques habilitées depuis la loi du 15 novembre 2001 relative à la sécurité quotidienne, ainsi qu’aux services de la police judiciaire et à certains services
de police administrative depuis la loi du 23 janvier 2006 (art.6) relative à la lutte contre
le terrorisme.

De l’anti-terrorisme à la « sécurité »
A ces dispositions préexistantes succède donc désormais un régime visant à unifier
et clarifier le droit s’agissant de l’accès « administratif » à ces données. La refonte consacrée par la LPM vise à rapprocher ce cadre juridique avec celui précédemment décrit du régime des interceptions de sécurité prévu par la loi de 1991. Il est indiscutable que la nouvelle loi de programmation militaire élargit considérablement
le périmètre d’accès aux données numériques. Le régime antérieur avait pour finalité première la lutte contre le terrorisme. Désormais, il connaît le même périmètre d’application que pour les interceptions de sécurité (cf. art. L 241-2 précédemment cité). Les catégories de données concernées ne sont plus limitées aux données de connexion et techniques. En effet, sont visées dans une formulation très large les
« informations ou documents traités ou conservés par leurs réseaux ou services
de communications électroniques, y compris les données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communications électroniques, au recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée, à la localisation des équipements terminaux utilisés ainsi qu’aux communications d’un abonné portant sur
la liste des numéros appelés et appelants, la durée et la date des communications » (art. L 246-1 du CSI abrogeant l’art. L. 34-1-1 du CPCE). Sont donc concernées les données de géolocalisation et certains y voient la possibilité d’accéder aux contenus. Point important, les informations et documents pourront être recueillis
« sur sollicitation du réseau et transmis en temps réel » (art. L 246-3 du CSI). Certains considèrent que cela revient à autoriser les agents des services de renseignement à se raccorder directement aux réseaux des opérateurs, un accès direct (dit « back door »)
à l’image du programme américain PRISM (4). Le sénateur PS Jean-Louis Carrère, rapporteur du texte de loi LPM a précisé que cela « viserait uniquement à prendre en compte le cas spécifique de la géolocalisation en temps réel ». Les bénéficiaires du
droit d’accès à ces informations incluent désormais, outre les services de police et de gendarmerie, les agents habilités des services des ministères de la Sécurité intérieure,
de la Défense nationale, de l’Economie et du Budget. Les demandes d’accès doivent être désormais soumises à une autorisation spécifique du Premier ministre (ou des personnes spécialement désignées par lui) et non plus du ministre de l’Intérieur. Si les conditions d’accès aux données peuvent paraître renforcées, l’autorisation reste limitée à un contrôle « administratif » – à l’heure où de nombreuses voix poussent pour la mise en oeuvre d’un contrôle judiciaire a priori. Cette autorisation peut être délivrée pour une durée de 30 jours renouvelable. Un contrôle a posteriori est prévu, chaque décision d’autorisation devant être communiquée au président de la Commission nationale de contrôle des interceptions de sécurité (CNCIS), autorité administrative indépendante (5).

Faut-il pour autant parler de dictature du numérique ? Selon le baromètre Orange/Terrafemina publié le 25 février 2014, 57 % des Français considèrent que
la surveillance des réseaux est « justifiée ». Toutefois, plus de la moitié d’entre eux soutiennent que « une volonté politique forte peut protéger la confidentialité des
échanges privés sur Internet ».
Suite à deux arrêts rendus par la Cour de cassation le 22 octobre 2013, considérant que le recours à la géolocalisation en temps réel lors d’une procédure judiciaire devait être exécutée sous le contrôle d’un juge, un projet de loi a été présenté en procédure accélérée afin d’éviter toute condamnation de la France par la Cour européenne des Droits de l’homme (CEDH). Deux députés avaient alors profité des débats de ce projet
de loi sur la géolocalisation pour revenir sur l’article 20 de la LPM en déposant des amendements afin de limiter explicitement l’accès administratif aux seules « données de connexion ». Ces amendements n’ont pas été acceptés. La loi Géolocalisation (6) vient d’être adoptée le 24 février 2014 en commission mixte paritaire (CMP) et le périmètre d’accès demeure aujourd’hui incertain.

Une loi inconstitutionnelle ?
Les débats ne semblent toutefois pas clos. Suite à la promulgation de la LPM, Laure de La Raudière, députée UMP, a déclaré vouloir présenter une proposition de loi visant à clarifier le champ d’application dudit article 20. Par ailleurs, le Conseil national du numérique (CNNum) s’est saisi de la question : dans son avis du 6 décembre 2013 sur les libertés numériques, il estime que « des réflexions transversales, à la fois au niveau parlementaire et auprès du public » sont nécessaires. Faudra-t-il aller jusqu’à la saisine du Conseil constitutionnel, dans le cadre d’une question prioritaire de constitutionnalité (QPC) ? @