Autoblog de la La quadrature du net

Paris, le 24 janvier 2018 - Hier soir, l'Assemblée nationale a commencé à examiner le projet de loi censé aligner la protection de nos données personnelles sur le droit européen. La rapporteure du texte, Paula Forteza (LREM), et les autres députés ont refusé d'intégrer les nouvelles normes européennes pour corriger la loi renseignement de 2015. Il leur reste deux semaines pour sortir d'une hypocrisie insupportable selon laquelle le droit européen ne devrait être « respecté » que pour détruire nos droits (sociaux, de circulation, etc.), et jamais pour nous protéger de menaces autoritaires.

Des avancées consensuelles

Certes, quelques amendements positifs ont été discutés hier sur ce projet de loi, dont certains que nous proposions. Mme Forteza, MM Bothorel (LREM) et Gosselin (LR) ont proposé de renforcer les actions de groupe contre les entreprises exploitant illégalement nos données personnelles1. M. Brocard (LREM) a proposé de mieux définir la notion de consentement2. M. Bothorel a en outre proposé que les ordinateurs et téléphones ne puissent proposer par défaut des moteurs de recherches surveillant leurs utilisateurs3.

Bien. Mais aborder de tels sujets - finalement assez consensuels pour beaucoup d'entre eux - demandait bien moins de courage que les circonstances ne l'imposaient.

Seule Paula Forteza a commencé à esquisser le véritable débat - celui visant les services de renseignement. Elle a proposé de confier à la CNIL et à la CNCTR4 le contrôle des fichiers tenus par ces services et qui, aujourd'hui, ne peuvent être contrôlés qu'a posteriori ou de façon très parcellaire. Mais le courage de la rapporteure semble s'être rapidement dissipé, celle-ci s'empressant de préciser que ce contrôle ne conduirait, « en aucun cas, à contrôler l’activité des services » ni « à apprécier la pertinence et la réalité de telle ou telle information contenue dans le fichier », mais serait donc purement formel (contrôlant la sécurité et la structure d'ensemble).

De graves incohérences niées

Surtout, ni elle ni aucun député n'a évoqué une seule des nombreuses et graves incohérences que nous leur indiquions entre la loi renseignement de 2015 et la directive européenne 2016/680, que le projet de loi prétend pourtant intégrer en droit français, et qui encadre les traitements de données personnelles mis en œuvre « à des fins de prévention et de détection des infractions pénales, d’enquêtes ou de poursuites en la matière »5.

La lâcheté dont ont fait part les députés a été nourrie dès le début des débats par le gouvernement, qui prétend dans l'exposé des motifs du projet de loi que cette directive ne serait pas « applicable aux traitements intéressant la sûreté de l’État et la défense, qui ne relèvent pas du droit de l’Union européenne ». En plus d'être fausse6, cette affirmation n'a pas grand chose à voir avec le problème, et ne saurait être qu'une piètre excuse pour les députés qui souhaiteraient en couvrir leur couardise.

En effet, la directive 2016/680 encadre les traitements réalisés « à des fins de prévention et de détection des infractions pénales [...], y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ». Or, la loi renseignement de 2015 autorise précisément des traitements afin de « prévenir » et de « détecter » une multitude d'infractions définies comme telles par le code pénal (terrorisme, traffic de stupéfiants, traites d'êtres humains, vol en bande organisée, manifestations illégales, émeutes...). Ce sont exactement les activités visées par la directive, qui encadre donc clairement les traitements réalisés dans le cadre de la loi renseignement7.

En refusant de corriger la loi renseignement, l'Assemblée nationale fait honneur à l'hypocrisie de son gouvernement qui, invoquant le droit de l'Union européenne dès qu'il s'agit de déconstruire nos droits, s'entête à le violer quand il s'agit de respecter notre vie privée8. Dans les dix jours à venir, l'ensemble des députés seront invités à déposer de nouveaux amendements (le texte n'est aujourd'hui examiné qu'en commission des lois). Puissent-ils être guidés par le courage et la cohérence qui ont manqué à la commission hier.

• 1. Voir les amendements respectifs de Mme Forteza, MM Bothorel et Gosselin visant à renforcer l'action de groupe : ici, là et là.
• 2. Voir l'amendement de M. Brocard visant à définir la notion de consentement ici.
• 3. Voir l'amendement de M. Bothorel sur les moteurs de recherche ici.
• 4. La Commission nationale de contrôle des techniques de renseignement.
• 5. Contrairement à ce qu'impose la directive 2016/680, le code de la sécurité intérieure échoue à prévoir un recours juridictionnel effectif contre des mesures de surveillances, ne prévoit aucune information des personnes subissant ces mesures, ne donne pas à l'autorité de contrôle les moyens nécessaires pour accomplir sa mission et permet à certaines mesures d'échapper entièrement à toute limite ou contrôle extérieur.
• 6. L'article 23 du RGPD (règlement européen général sur la protection des données) prévoit qu'une loi nationale peut déroger à certaines des obligations prévues par ce règlement dès lors que sont en jeu « la sécurité nationale » ou « la défense nationale », mais à la condition que cette loi « respecte l'essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique » - reprenant ici directement l'article 52 de la Charte des droits fondamentaux de l'Union européenne. Dès lors, les traitements réalisés pour la sécurité/défense nationale doivent respecter certaines conditions générales que le RGPD comme la Charte imposent explicitement, et sans aucune dérogation. Il serait donc parfaitement absurde de considérer, sans aucune nuance, que ces traitements « ne relèvent pas du droit de l'Union européenne », comme le prétend le gouvernement, perdu dans son obsession d'échapper à la jurisprudence de la Cour de justice de l'Union européenne, particulièrement protectrice des droits des individus en la matière.
• 7. L'article L. 811-3 du code de la sécurité intérieure liste les finalités que peuvent poursuivre les services de renseignement. Le Conseil constitutionnel (dans sa décision n° 2015-713 DC, considérant 10) a explicitement défini certaines de ces finalité comme consistant en la prévention d'infractions déjà définies en droit pénal :
  • du terrorisme (infractions définies aux articles 421-1 à 421-6 du code pénal) ;
  • de la criminalité et de la délinquance organisées (infractions énumérées à l'article 706-73 du code de procédure pénale) ;
  • des atteintes à la forme républicaine des institutions (infractions définies aux articles 412-1 à 412-8 du code pénal) ;
  • des violences collectives (infractions définies aux articles 431-1 à 431-10 du code pénal).

  Quand il ne s'agit pas de lutter contre des infractions, l'article L. 811-3 autorise alors généralement des traitements poursuivant des finalités « normales », soumises de façon classique au règlement général sur la protection des données (RGPD) qui prévoit des règles au moins aussi stricte que la directive 2016/680. Ces finalités sont : « les intérêts majeurs de la politique étrangère » ; « l'exécution des engagements européens et internationaux de la France » ; « les intérêts économiques, industriels et scientifiques majeurs de la France ».

  Seules certaines finalités résiduelles visées par la loi renseignement pourraient être débattues comme concernant « la sûreté de l’État et la défense », ce qui ne les ferait d'ailleurs pas entièrement échapper au champ du droit européen pris dans son ensemble. Il s'agit de : « l'indépendance nationale, l'intégrité du territoire et la défense nationale » ; « la prévention de toute forme d'ingérence étrangère ». Or, même à accepter que ces finalités échapperaient au champ de la directive 2016/680, ceci ne justifierait en rien que le reste de la loi renseignement qui, pour la majorité des finalités qu'elle prévoit, reste soumise à la directive, viole cette dernière entièrement.

  Le gouvernement contredit d'ailleurs lui-même l'idée selon laquelle la détection et la prévention des infractions visées par la loi renseignement sortiraient du champ de la directive 2016/680, puisqu'il reconnait que la répression judiciaire des mêmes infractions y entre bien (mentionnant par exemple, dans l'exposé des motifs de son projet, l'encadrement de manifestations et d'émeutes).

• 8. Depuis au moins un an, le gouvernement refuse d'abroger l'obligation imposée aux opérateurs de télécommunications de conserver pendant un an les données de connexion de l'ensemble de leurs utilisateurs, ce que la Cour de justice de l'Union n'a pourtant cessé de déclarer contraire à la Charte des droits fondamentaux.