Triste nouvelle pour nos libertés. Dans une décision rendue le mercredi 21 avril, le Conseil d’État a refusé de remettre en question l’obligation de conservation généralisée et indifférenciée des données de connexion de l’ensemble de la population française qui, selon quatre associations, était contraire aux droits fondamentaux définis par la législation européenne. Un bras de fer de six ans vient de se clore sur cet échec retentissant.
Un contentieux historique pour défendre nos libertés
C’était le contentieux historique de La Quadrature du Net. Depuis 2015, la principale association française de défense des libertés fondamentales dans l’environnement numérique, accompagnée de French Data Network, de la Fédération des fournisseurs d’accès associatifs et du FAI Igwan.net, luttait contre plusieurs ministères, les services de renseignement et la police pour limiter leur droit de contrôler les données de connexion de toute la population française — et d’organiser de ce fait une forme de surveillance de masse.
Très attendue, la décision du Conseil d’État intervient à la suite de « six années de procédure, de dizaines de mémoires et d’innombrables rebondissements », indique La Quadrature.
En juillet 2015, six mois après le terrible attentat perpétré contre Charlie Hebdo et la prise d’otages de l’Hyper Cacher, à Paris, le gouvernement transforme en profondeur le cadre légal des activités des services de renseignement, afin de leur donner davantage de pouvoirs pour démanteler les réseaux terroristes. C’est la loi dite « renseignement ».
Numéros de téléphones appelés ou appelants, messages émis ou reçus, date, heure et durée des échanges, liste des antennes téléphoniques croisées par les téléphones portables, adresses IP, identification du matériel utilisé, nom et adresse de l’utilisateur de ce matériel, coordonnées de paiement…
Cette loi autorise le renseignement ou la police à consulter tout ce qui entoure les connexions et les communications des individus, à l’exclusion du contenu lui-même, encore protégé. Les opérateurs téléphoniques et internet, quant à eux, ont l’obligation de conserver ces données pendant un an.
Ces mesures sont entérinées dans plusieurs codes juridiques — le Code des postes et des communications électroniques pour les opérateurs, le Code de la sécurité intérieure pour le renseignement, etc. — et complétées par une série de décrets gouvernementaux précisant leurs champs d’application.
« Ce sont ces actes réglementaires que nous avons attaqués en excès de pouvoir », nous explique Bastien Le Querrec, membre du groupe « contentieux » de La Quadrature du Net.
Le 1er septembre 2015, l’association engage une première procédure devant le Conseil d’État, espérant que la plus haute juridiction administrative redéfinisse le cadre réglementaire de la surveillance.
La Quadrature possédait alors un argument massue : le 8 avril 2014, la Cour de justice de l’Union européenne (CJUE) avait rendu un arrêt déclarant que la conservation généralisée et indifférenciée des données était contraire au droit européen, en particulier à la Charte des droits fondamentaux.
Pendant que la procédure devant le Conseil d’État avance, la CJUE, au nom du droit à la vie privée et à la liberté d’expression, rend un nouvel arrêt confirmant le premier (« Tele2 », 21 décembre 2016). Il établit un cadre beaucoup plus restrictif à l’accès et à la conservation des données.
La législation européenne étant supérieure, en théorie, au droit national, le Conseil d’État était tenu de s’y conformer et le contentieux semblait donc sur le point d’être gagné par les associations.
Cependant, sous la pression du gouvernement, le Conseil d’État choisit en 2018 de ne pas suivre la voie d’application classique et adresse à la CJUE cinq questions préjudicielles portant sur les marges d’interprétation de la législation européenne.
Il faut attendre encore deux ans, le 6 octobre 2020, pour que la Cour se prononce à propos d’une affaire qui a depuis longtemps dépassé les frontières françaises et concerne désormais la plupart des pays européens.
Dans sa nouvelle décision, la CJUE réaffirme sa position générale, mais reconnaît pour la première fois aux États le droit d’introduire des exceptions, en cas de menaces « graves, réelles et actuelles ou prévisibles » contre la sécurité nationale.
« Le résultat était mitigé, se souvient Bastien Le Querrec. La conservation généralisée et indifférenciée des données était jugée contraire à la jurisprudence européenne, mais la CJUE ouvrait aussi la porte à de nombreuses dérives, une faille dans laquelle le Conseil d’État s’est engouffré. »
Cette « défaite victorieuse », comme l’appelle La Quadrature, signe le retour des quatre associations, avec la même demande, devant le Conseil d’État. On en arrive enfin à la date qui devrait rester dans les annales de la surveillance numérique.
Le flou autour de la « sécurité nationale »
Le 16 avril 2021, dans leur décision de 39 pages, les juges donnent raison de manière indirecte aux services de renseignement et autorisent la conservation des données dans toutes les situations qui pourraient porter atteinte à la « sécurité nationale ».
Sur le papier, nous indique Bastien Le Querrec, le Conseil d’État se conforme aux conclusions de la CJUE. Dans un délai de six mois, le Premier ministre est enjoint de procéder à l’abrogation de certains décrets attaqués et d’autres sont annulés partiellement.
« Mais parallèlement, le Conseil d’État estime que depuis 2015 au moins, il y a bien une menace réelle et sérieuse contre la sécurité nationale et laisse au gouvernement la possibilité de décider à quel moment s’applique l’exception prévue par la Cour de justice européenne. C’est donc un coup très fourbe que vient d’asséner le Conseil d’État. »
En pratique, le gouvernement doit revoir sa copie. Les actes réglementaires eux-mêmes ne sont pas annulés ou abrogés parce qu’ils imposent une conservation des données de connexion ; il faut simplement mieux les justifier.
Mais la notion de « sécurité nationale » est bel et bien étendue au-delà de la lutte contre le terrorisme et ne recoupe plus la seule criminalité grave : y sont maintenant inclus l’espionnage économique, le trafic de stupéfiant, le délinquance, l’indépendance nationale, les intérêts industriels de la France, l’organisation de manifestations non déclarées ou la prévention des violences collectives, comme lors de manifestations…
Les mouvements sociaux entrent en effet dans la catégorie des menaces « graves, réelles et actuelles ou prévisibles » contre la sécurité nationale, telle que l’envisage le Conseil d’État.
« En 2019, plusieurs centaines de “gilets jaunes” ont fait l’objet de mesures de surveillance de la part des services de renseignement, se souvient le membre du groupe contentieux de La Quadrature. La sécurité nationale est totalement fourre-tout, c’est une formulation trop large, qui permet de faire n’importe quoi. Mais le Conseil d’État l’a validée. »
Déçue par le Conseil d’État, « qui a douché la plupart de nos espoirs », dit Bastien Le Querrec, La Quadrature du Net n’hésite pas à parler d’un « Frexit sécuritaire ».
En contestant de fait la légitimité de la CJUE et en se soustrayant à la hiérarchie des normes, « la France souhaite devenir indépendante de l’Union européenne sans avoir à la quitter formellement », note l’association, qui craint que celle-ci ne devienne « qu’une juxtaposition d’ordres nationaux indépendants les uns des autres ».
Qui empêchera d’autres gouvernements de faire cavaliers seuls, qu’il s’agisse ou non de sécurité nationale ? L’exemple français constitue un précédent inquiétant.
« Le Conseil d’État n’est pas un défenseur des libertés fondamentales, continue Bastien Le Querrec, mais a toujours été une institution protégeant l’État. Or, c’est le seul juge que nous pouvons saisir pour nos sujets. Et ici, qu’une institution chargée de statuer sur le fonctionnement de l’État suppose l’État toujours bon, comme le sous-entendait fortement le rapporteur public dans cette affaire, c’est contradictoire. »
La Quadrature du Net ne compte pas baisser les bras, mais se fait peu d’illusions sur l’avenir. Bien que plusieurs possibilités de contentieux s’ouvrent à elle, comme une plainte en manquement devant la Commission européenne ou un recours devant le comité des droits de l’homme de l’ONU, ces procédures restent aléatoires, extrêmement longues et ne donneraient lieu qu’à des sanctions possiblement peu dissuasives, pas à des décisions contraignant la France à mettre fin à cette surveillance.
« Globalement, c’est perdu, soupire Bastien Le Querrec. Il faut avoir ceci en tête : la faillite massive des institutions françaises, la défaillance des garde-fous institutionnels qui ont laissé seules les associations partir au contentieux, alors qu’ils auraient dû forcer le gouvernement à appliquer le droit en 2015. Il ne reste plus qu’à miser sur le volet politique, en revenant à une forme de plaidoyer. Mais le contentieux est épuisé. »
crédit photo couv : Jérémie Lusseau / Hans Lucas / Hans Lucas via AFP