Dans un nouveau texte censé affirmer le bien-fondé du projet de loi Renseignement et de ses boîtes noires qui surveilleront par algorithmes, Bernard Cazeneuve affirme que "les garanties qu’apporte le projet de loi renseignement sont parfaitement conformes à la jurisprudence de la CEDH". Mais il n'apporte aucune référence précise. Or l'étude de jurisprudence tend au contraire à démontrer que le projet de loi n'est pas conforme aux engagements de la France en matière de droits de l'homme.

Pour tenter de convaincre que son projet de loi sur le renseignement n'est pas une loi liberticide et qu'elle est conforme aux principes d'un État de droit, Bernard Cazeneuve avait publié le mois dernier un premier argumentaire juridique, en s'appuyant pour partie sur la jurisprudence de la Cour européenne des droits de l'homme (CEDH). Mais parce que le ministre de l'Intérieur avait cité ses références dans une note de bas de page, Numerama avait pu facilement démontrer que le ministre faisait dire à la CEDH le contraire de ce qu'elle disait.

Bernard Cazeneuve s'est donc montré plus prudent dans un nouvel argumentaire publié vendredi dernier, cette fois-ci concentré sur le rôle de garde-fou que remplirait avec soin la nouvelle Commission nationale de contrôle des techniques de renseignement (CNCTR). "L’ensemble des techniques de renseignement fait l’objet d’autorisations personnalisées, à l’exception d’une technique qui est la surveillance sur données anonymes, qui par définition est une technique de détection", écrit-il en évoquant les boîtes noires, avant d'assurer que "la CEDH admet la possibilité de la mise en place d’une telle surveillance" et que "les garanties qu’apporte le projet de loi renseignement sont parfaitement conformes à la jurisprudence de la CEDH".

Or cette fois-ci, pas de note de bas de page. Chat échaudé craint l'eau froide. Il nous a donc fallu travailler un peu plus longuement pour ré-étudier le droit européen et nous assurer qu'aucune jurisprudence de la Cour ne donnait raison à Bernard Cazeneuve.

Sans vouloir trahir le suspense, nous n'avons rien trouvé qui permette d'affirmer avec Bernard Cazeneuve que les boîtes noires seraient conformes à la jurisprudence de la CEDH (qui ne s'est jamais prononcée sur un tel dispositif de "détection de suspects") et nous avons même trouvé de solides arguments pour affirmer le contraire.

AFFAIRE KLAAS C. ALLEMAGNE (1978) : LA BASE

Tout d'abord, il faut savoir que l'arrêt de référence de la Cour européenne en matière de mises sous surveillance par la police est l'affaire Klaas et autres c. Allemagne, qui remonte à 1978. D'une étonnante actualité près de quarante ans plus tard, cette affaire avait permis à la CEDH d'examiner la légalité de méthodes de renseignement dans un contexte de "progrès techniques réalisés en matière d’espionnage et parallèlement de surveillance (et) en second lieu, le développement du terrorisme en Europe au cours des dernières années". Tout en reconnaissant aux États un "certain pouvoir discrétionnaire" dans l'élaboration des lois sur le renseignement, elle prévenait que les pays adhérant à la Convention européenne "ne disposent pas pour autant d'une latitude illimitée", car elle était "consciente du danger, inhérent à pareille loi, de saper, voire de détruire, la démocratie au motif de la défendre".

Dans cette affaire, la CEDH avait validé la loi de l'Allemagne de l'ouest, après avoir vérifié "l’existence de garanties adéquates et suffisantes contre les abus". Pour juger que la loi allemande était conforme à l'article 8 de la Convention qui protège la vie privée, la Cour avait constaté que la surveillance proposée ne pouvait concerner que :

  • "les seuls cas où des indices permettent de soupçonner quelqu’un de projeter, accomplir ou avoir accompli certaines infractions graves" ;
     
  • "si l’établissement des faits d’une autre manière est voué à l’échec ou considérablement entravé" ;
     
  • "la surveillance ne concerne que le suspect lui-même ou les personnes présumées avoir des contacts avec lui".

Dit autrement, comme la CEDH l'avait elle-même résumé, "la législation incriminée n’autorise pas une surveillance dite exploratoire ou générale".

Or aucune de ces trois conditions n'est réunie par le projet de loi Renseignement français, dont les boîtes noires collecteront les données de tout le monde (au minimum certains services pour établir les traitements statistiques permettant ensuite de dégager plus précisément quelques uns d'entre eux pour une surveillance plus étroite), seront installées même s'il est possible de détecter les suspects par d'autres moyens, et ne viseront bien sûr pas que les suspects ou leurs proches, puisque les boîtes noires visent à les identifier.

Enfin même si elle admettait que la personne surveillée n'en soit pas immédiatement informée même après qu'elle soit mise hors de cause, la CEDH notait tout de même que la loi allemande prévoyait de notifier l'intéressé pour lui permettre d'exercer un recours en abus de pouvoir "dès que la notification peut être donnée sans compromettre le but" de la mise sous surveillance. Or rien de tel n'est prévu par la loi française.

AFFAIRE HUVIG KRUSLIN C. FRANCE (1990) : LE PRÉCÉDENT GADIN

Autre temps, autres moeurs, diraient aujourd'hui les responsables politiques. Dans cette affaire Kruslin c. France (identique à Huvig c. France rendue le même jour), la Cour européenne avait sanctionné l'absence d'encadrement législatif des écoutes téléphoniques, qui avait permis nombre de dérives. C'est la perspective de cette condamnation inévitable qui avait permis d'adopter très vite, dès 1991, la loi sur l'encadrement des interceptions de sécurité, qui créait la fameuse Commission nationale de contrôle des interceptions de sécurité (CNCIS) que fait disparaître la loi Renseignement au profit de la CNCTR. 

A cette occasion, la CEDH avait énoncé une forme de canevas de ce que devrait au minimum respecter une loi sur les écoutes judiciaires. Sans entrer dans tous les détails (lisez le point 35 de l'arrêt si ça vous intéresse), notons simplement qu'elle exigeait notamment que le juge fixe "une limite à la durée de l’exécution de la mesure". Sur le papier, la loi Renseignement respecte cette préconisation puisqu'elle prévoit que les boîtes noires soient installées pour 4 mois, mais avec des reconductions possibles ad vitam eternam. Dans l'affaire Kruslin, le fait d'imposer une durée limitée visait à poser des bornes à l'écoute d'une personne en particulier, et permettait de dire que si au bout d'un certain nombre de mois toujours aucun élément compromettant ne surgissait des transcriptions des appels, il fallait arrêter l'intrusion dans la vie privée. Mais le mécanisme du projet de loi Renseignement ne vise personne en particulier, et il sera possible de continuer à écouter tout le monde tant qu'au moins un suspect aura été découvert de temps en temps grâce aux algorithmes. Le cadre fixé par Kruslin ne tient plus et le Gouvernement le sait très bien puisqu'il n'avait même pas prévu de durée dans le projet de loi initial. Les boîtes noires seront renouvelées jusqu'au moins fin 2018, date de la clause de revoyure intégrée lors des débats.

AFFAIRE MALONE C. ROYAUME-UNI (1983) : L'EXIGENCE DE CLARTÉ

La CEDH a eu l'occasion dans l'affaire Malone c. Royaume-Uni de rappeler que pour être admissible, une restriction au respect de la vie privée opérée par l'Etat se devait d'être clairement prévue comme telle par la loi. "L’exigence de prévisibilité ne saurait signifier qu’il faille permettre à quelqu’un de prévoir si et quand ses communications risquent d’être interceptées par les autorités, afin qu’il puisse régler son comportement en conséquence. Néanmoins, la loi doit user de termes assez clairs pour indiquer à tous de manière suffisante en quelles circonstances et sous quelles conditions elle habilite la puissance publique à opérer pareille atteinte secrète, et virtuellement dangereuse, au droit au respect de la vie privée et de la correspondance".

A cette occasion la Cour jugeait que le droit anglais et gallois de l'époque était "à tout le moins, assez obscur et sujet à des analyses divergentes".

Qu'en est-il de la loi française projetée, qui nous dit que l'Etat peut exiger des hébergeurs et FAI "la mise en œuvre sur leurs réseaux d’un dispositif destiné à détecter une menace terroriste sur la base de traitements automatisés", à partir des données de connexion ? Est-ce suffisamment clair pour ne pas avoir de craintes de se trouver étroitement surveillé en adoptant un comportement légal mais néanmoins suspicieux aux yeux d'un algorithme ? Rien n'est moins sûr.

A cet égard, notons que dans l'affaire Prado Bugallo c. Espagne (2003) la CEDH a jugé trop imprécise la loi espagnole qui autorisait les mises sous écoutes sur décision d'un juge d'instruction "s’il existe des indices donnant à penser que l’on pourra obtenir par ce moyen la découverte ou la vérification de faits ou circonstances importants pour la procédure".

AFFAIRE S. ET MARPER C. ROYAUME-UNI (2008) : LA COLLECTE DE DONNÉES INUTILISÉES N'EST PAS UNE EXCUSE

Enfin et même si l'on pourrait continuer l'analyse juridique plus loin, citons l'affaire S. et Marper c. Royaume-Uni, en apparence éloignée de notre sujet puisqu'elle concernait la collecte de données biométriques, mais en réalité proche.

La Cour y jugeait en effet que "le simple fait de mémoriser des données relatives à la vie privée d’un individu constitue une ingérence au sens de l’article 8" de la Convention européenne des droits de l'homme, "peu importe que les informations mémorisées soient ou non utilisées par la suite".

Or c'est exactement ce que prévoient les boîtes noires, en collectant l'activité des individus sur internet, sous prétexte que les données seraient "anonymes", ce que même le Gouvernement a reconnu être faux lors des débats. Les données ne sont pas anonymes, elles ne sont simplement pas explicitement reliées à l'identité de l'internaute concerné jusqu'à ce que l'algorithme suggère aux autorités de le faire. Mais comme nous l'avions vu dans notre précédent article sur la jurisprudence européenne, il importe peu à la jurisprudence européenne de savoir que les données soient liées ou non à l'identité de la personne qui fait l'objet d'une surveillance. C'est le principe-même de la collecte des données qui pose problème.

Mais peut-être Bernard Cazeneuve nous fera-t-il l'honneur de nous donner ses propres références jurisprudentielles, qui contrediraient les nôtres ?

une comparateur meilleur vpn numerama

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !