La CNIL a mis publiquement en demeure Facebook suite à une longue série de manquements à la législation sur les données personnelles. Le réseau risque une sanction de 150 000 euros, voire 1,5 million d’euros en justice, sauf à colmater ces problèmes d’ici trois mois. [...]

Puisque Facebook a un établissement en France, au sens de la décision Weltimmo, la CNIL estime que la loi de 1978 est indéniablement applicable au réseau social. Dès mars 2015, elle effectue donc plusieurs contrôles sur place dans les locaux de Facebook France. Vérifications doublées par des contrôles en ligne, comme le lui autorise une disposition de la loi Hamon. Qu’est-ce que la CNIL a relevé ? Tout simplement une pluie de manquements à lui faire saigner les yeux. [...]

Au jour de son constat, la CNIL a remarqué que Facebook s’abritait toujours derrière le Safe Harbor pour justifier du transfert de données personnelles des Européens, vers ses serveurs aux États-Unis. Le réseau social estime ainsi que la décision de la CJUE qui a annulé le Safe Harbor compte pour du beurre, du vide, du rien, n’existe pas. La CNIL est limpide : « dans la mesure où cette décision a été invalidée, il n’est désormais plus possible pour la société de procéder à un transfert de données personnelles vers les États-Unis sur la base du Safe Harbor ». [...]

http://www.nextinpact.com/news/98449-donnees-personnelles-pourquoi-cnil-...

Paris, le 12 février 2016 — Le Conseil d'État vient de rendre une décision très attendue sur la validité de l'accès administratif aux données de connexion. La Quadrature du Net, French Data Network et la Fédération FDN remettaient en cause la loi de programmation militaire et son décret d'application, qui organise les modalités d'accès aux données de connexion par l'administration en dehors de tout contrôle judiciaire. En refusant d'abroger le décret et de transmettre la question à la Cour de justice de l'Union européenne, le Conseil d'État fuit tout débat juridique et isole la France au sein de la jurisprudence de l'Union européenne.

Le Conseil d'État se livre dans cet arrêt à une esquive piteuse, en évitant soigneusement de trancher la question centrale que nous lui posions, à savoir celle de la conformité du droit français en matière d'accès aux données de connexion au regard de la jurisprudence de la Cour de justice de l'Union européenne (CJUE) telle qu'elle s'est exprimée dans les arrêts Digital Rights et Schrems en 2014 et 2015.

Depuis ces arrêts, toutes les juridictions nationales de l'Union européenne qui ont eu à traiter de la conformité des lois sur la conservation ou l'accès aux données de connexion ont choisi soit d'abroger les lois, soit de renvoyer à la CJUE. Seule la France, par la décision de ce jour, refuse de se conformer aux standards européens en matière de protection de la vie privée des individus. Afin de ne pas rester sur une esquive française, nous avons choisi de déposer un second recours, plus ciblé et portant sur le refus que nous avait opposé le gouvernement lorsque nous lui avions demandé, au printemps dernier, d'abroger les dispositions sur la conservation généralisée. Ce recours est déjà en cours d'instruction au Palais Royal. Le Conseil d'État sera donc obligé de trancher dans les mois qui viennent, soit en mettant fin à ce régime de surveillance massive des communications, soit en saisissant la CJUE pour lui demander de le faire à sa place1.

En attendant, après la controversée loi sur le renseignement, les annonces de dérogation à la Convention européenne des droits de l'homme pendant l'état d'urgence, et en dépit des mises en garde des rapporteurs de l'ONU ou du Conseil de l'Europe sur le danger qui pèse actuellement sur les droits de l'Homme en France, la décision du Conseil d'État d'aujourd'hui entraîne encore plus la France dans un isolationnisme inquiétant vis-à-vis de l'Europe et des garanties juridiques apportées aux droits fondamentaux.

Pour plus d'informations, voir l'analyse publiée sur ce point et l'ensemble des recours initiés par La Quadrature du Net, FDN et Fédération FDN.

• 1. Dans cette perspective, il faut souligner ce qui est sans doute le seul point positif de cet arrêt : le fait que, quoique très indirectement, le Conseil d'État reconnaisse que le droit de l'Union européenne, et donc la Charte européenne des droits fondamentaux, s'appliquent bien aux dispositifs français de surveillance.

Paris, le 10 février 2016 — Le 6 octobre 2015, la Cour de justice de l'Union européenne annulait le Safe Harbor, accord conclu en 2000 avec les États-Unis pour donner un cadre légal aux transferts des données des citoyens de l'Union européenne aux États-Unis. Le G29, groupe de travail qui rassemble les autorités nationales de protection des données, avait donné jusque fin janvier à la Commission européenne pour trouver un nouvel accord qui prenne en compte les exigences de la Cour de Justice de l'Union européenne. Cet accord nommé « Privacy Shield » a été annoncé le 2 février, mais ne contient qu'une série de vagues promesses.

Communiqué commun de l'Observatoire des Libertés et du Numérique (OLN)1

L'Observatoire des Libertés et du Numérique s'inquiète de la situation et interpelle Madame Věra Jourová, commissaire européenne à la justice chargée des négociations, afin de lui demander de faire respecter les dispositions du règlement sur les données personnelles et l'arrêt de la Cour de justice de l'Union européenne du 6 octobre ainsi que d'obtenir de réelles garanties sur les données personnelles des citoyens européens.

Madame la Commissaire,

Vous avez annoncé le 2 février avoir conclu un accord politique fixant un nouveau cadre pour le transfert transatlantique des données à caractère personnel de toute personne dont les données sont collectées en Europe. Or en fait de cadre, il ne s'agit que de promesses vagues qui semblent avant tout avoir pour objectif de faire patienter le G29 qui attendait le résultat des négociations fin janvier. Ni le G29, ni les membres du Parlement européen, ni les organisations citoyennes ne sont dupes des risques importants que comporte cette stratégie.

L'arrêt de la Cour de justice de l'Union européenne en date du 6 octobre 2015 a condamné le système actuel de transfert des données personnelles aux États-Unis en dénonçant par ce biais l'inaction de la Commission européenne qui s'était révélée incapable de le revoir par elle-même alors que les révélations d'Edward Snowden prouvaient que les pratiques des États-Unis ne garantissaient pas une protection suffisante. Cet arrêt doit être, par ailleurs, l'occasion de revoir les dispositifs de surveillance de masse qui se développent en Europe, mettant en cause la protection des données personnelles des Européens.

Nous vous demandons de tenir vos engagements et de vous assurer que les engagements américains (en termes de législation) seront contraignants et offriront des garanties suffisantes pour permettre l'adoption d'une décision européenne de reconnaissance du niveau élevé de la protection. Cet accord devra notamment :

• protéger les données personnelles des personnes concernées vis-à-vis des services de renseignement américains et de toutes les pratiques de surveillance ;
• offrir des moyens de recours aux personnes concernées, devant un juge indépendant accessible facilement et disposant de moyens suffisants et adaptés pour effectuer des contrôles aux États-Unis ;
• permettre la mise en œuvre des droits d’accès, de rectification, d’opposition et d'effacement des données qui les concernent ;
• s'assurer que les engagements américains honorent le principe de privacy by design et by default, consacré par le futur règlement européen et par la future directive européenne sur la protection des données personnelles ;
• définir les obligations des entreprises qui cherchent à importer des données aux États-Unis, en matière de protection des données, en particulier de transparence vis-à-vis des personnes concernées ;
• offrir l'assurance que les décisions seront contraignantes pour les États membres de l'UE comme pour les États-Unis.

Or, vous annoncez le « Privacy Shield » (bouclier de confidentialité UE-USA), un accord issu d'un échange de lettres, de promesses sans garantie réelle, vous mettant ainsi dans une position de faiblesse dans les négociations en l'absence d'engagements américains concrets et légalement opposables. Dans trois semaines vous devrez transmettre le texte de l'accord politique au G29. Serez-vous à même d'obtenir réellement les garanties nécessaires dans un délai si court ?

Nous resterons vigilants sur les résultats de la négociation. Cet arrêt marquant de la Cour de justice de l'Union européenne annulant le Safe Harbor ne doit pas avoir comme effet de brader nos droits et libertés. Un accord au rabais serait très certainement de nouveau annulé à terme par la Cour et aurait des conséquences très négatives sur la confiance des européens mais aussi sur celles des entreprises européennes et américaines qui sont concernées par le « Privacy Shield ». Il en va de la crédibilité de l'Europe dans le monde à l'heure de la mondialisation des transformations par le numérique.

L'Observatoire des Libertés et du Numérique
Creis Terminal
Le Cecil
La Ligue des Droits de l'Homme
La Quadrature du Net
Le Syndicat des Avocats de France
Le Syndicat de la Magistrature

• 1. L'Observatoire des Libertés et du Numérique regroupe le Cecil, Creis-Terminal, la Ligue des droits de l'Homme, le Syndicat de la magistrature, le Syndicat des Avocats de France et La Quadrature du Net.

Paris, le 10 février 2016 — Alors que le Conseil d'État doit rendre ce vendredi une première décision dans ce dossier brûlant1, Privacy International (PI) et le Centre for Democracy and Technology (CDT) ont soumis un mémoire, dans le cadre d'une tierce intervention visant à soutenir les recours initiés par FDN, FFDN et La Quadrature du Net. L'enjeu : obtenir l'abrogation des dispositions imposant la conservation généralisée des métadonnées en France, et permettre à la Cour de justice de l'Union européenne de jouer pleinement son rôle de garante des droits fondamentaux.

Un mot sur le contexte

Dans les semaines qui suivirent les attentats du World Trade Center en septembre 2001, et ceux de Londres et Madrid en 2004 et 2005, plusieurs pays dont la France adoptèrent des lois visant à la conservation généralisée des données de connexion. L'Union européenne de son côté adopta la directive n° 2006/24/CE du 15 mars 2006, imposant le principe de conservation généralisée des données de connexion à l’ensemble des États membres de l’Union, avec une durée de conservation pouvant aller de six mois à deux ans.

Or, dans l'arrêt Digital Rights du 8 avril 2014, la Cour de justice de l'Union européenne (CJUE) a invalidé cette directive, alors que ses atteintes au droit à la vie privée avaient déjà été dénoncées par les juridictions constitutionnelles ou administratives de plusieurs États membres, les juges nationaux estimant que ces dispositions emportaient une ingérence disproportionnée dans la vie privée et la liberté de communication de leurs citoyens. Tel fut le cas de la Roumanie (2009), de l’Allemagne (2010), de la Bulgarie (2010), de Chypre (2011) et de la République Tchèque (2011).

Le 24 décembre 2014, Le Gouvernement français adoptait le décret dit « LPM2 ». C'est contre ce décret que les « exégètes amateurs3 » ont introduit leur premier recours. Par la suite, ils ont initié un autre recours visant cette fois-ci le refus du Gouvernement d'abroger :

• l'article R. 10-13 du code des postes et communications électroniques (CPCE) ;
• le décret n°2011-219 du 25 février 2011, qui modifie les dispositions relatives aux réquisitions judiciaires prévues à l'article 6 de la Loi pour la Confiance dans l'Economie Numérique (LCEN), du 21 juin 2004 (loi n°2004-575).

Ces deux recours visent au même but, à savoir faire constater la contrariété au droit européen des mesures de surveillance généralisée instituées par le droit français et revenir à un dispositif plus ciblé et donc plus proportionné. Dans leur tierce intervention, les deux ONG analysent la jurisprudence tant de la Cour de justice de l'Union européenne (CJUE) que de la Cour européenne des droits de l'homme (CEDH) et rappellent que, suite à l'arrêt Digital Rights, de nombreux tribunaux à travers l'Europe ont invalidé les dispositions de droit national4. Il revient donc au Conseil d'État de faire de même. À défaut, ce dernier devrait au moins saisir la CJUE pour s'assurer que le droit français en la matière respecte le droit de l'Union européenne. Cela apparaîtrait d'autant plus indispensable que deux renvois préjudiciels visant à préciser l'arrêt Digital Rights sont actuellement pendants devant la CJUE. S'il validait le dispositif de surveillance français, le Conseil d'État s'inscrirait non seulement à contre-courant d'une jurisprudence européenne déclinée par les cours suprêmes de nombreux États en Europe, mais tournerait aussi le dos à deux éléments constituants de l'Union européenne, à savoir: la Charte des droits fondamentaux d'une part et le dialogue des juges d'autre part.

Vers un pied-de-nez à la CJUE ?

Or, une audience a déjà eu lieu le 27 janvier 2016 au Conseil d'État sur le recours contre le décret LPM. À cette occasion, le rapporteur public s'est opposé à ce que le Conseil d'État demande à la CJUE d'évaluer la conformité du droit français à la Charte. Selon lui, cela ne serait pas opportun puisque « en tout état de cause » le dispositif français devrait être validé parce que plus précis que la directive de 2006 invalidée par la CJUE.

Cette argumentation extrêmement politique est d'autant plus choquante qu'elle va à l'encontre de plusieurs décisions de justice dans d'autres pays européens5, d'un rapport du parlement européen, mais aussi des propos tenus dans le rapport annuel 2014 du Conseil d'État lui-même, lequel reconnaissait que l'applicabilité de la Charte ne pouvait être écartée d'un revers de la main !6

Le 12 février prochain à 14 heures, le Conseil d'État doit rendre une première décision sur le recours contre le décret LPM. Si les juges français devaient valider le dispositif français ou s'opposer à la saisine de la CJUE, cela serait non seulement l'expression d'une profonde défiance à l'égard de la CJUE, mais aussi un véritable déni de justice pour les citoyens français.

Alors qu'un débat mondial se tient contre les mesures de surveillance d'Internet et que, partout en Europe, des tribunaux poussent à une refonte des législations nationales pour tenir compte de la jurisprudence de la CJUE, le rejet de l'action introduite par FDN, la FFDN et La Quadrature du Net marquerait un recul historique de plus pour l'État de droit en France. Il s'agirait enfin d'une énième expression de la crise historique que traverse la construction européenne.

Pour plus d'information, vous pouvez retrouver :

• L'annonce officielle de son intervention au recours par CDT ;
• La demande d'abrogation de l'article R. 10-13 du code des postes et communications électroniques (CPCE) et du décret n°2011-219 du 25 février 2011, qui modifie les dispositions relatives aux réquisitions judiciaires prévues à l'article 6 le la Loi pour la Confiance dans l'Economie Numérique (LCEN), du 21 juin 2004 (loi n°2004-575) ;
• Le recours LPM ;
• Pour voir les autres recours des Exégètes Amateurs, c'est ici.
• 1. Le 12 février prochain à 14 heures, le Conseil d'État doit rendre une première décision sur le recours contre le décret LPM
• 2. Décret n° 2014-1576 du 24 décembre 2014 relatif à l'accès administratif aux données de connexion.
• 3. Sobriquet donné par J.J. Urvoas au groupe d'activistes issus des trois associations précitées. Les exégètes se mobilisent contre les abus gouvernementaux attentatoires aux libertés sur internet.
• 4. Quelques exemples :
  • En juin 2014, la Cour constitutionnelle autrichienne a déclaré invalide la majeure partie de la loi nationale. Les opérateurs ont immédiatement cessé de conserver les données concernées ;
  • Le 3 juillet 2014, la Cour constitutionnelle slovène a annulé la décision de conservation des données. Les trois griefs principaux soulevés par la Cour sont la conservation massive et sans discrimination d'une partie significative de la population sans justification, l'absence de motivation de la durée de conservation (8 mois pour les données de connexion à Internet), l'utilisation pour d'autres motifs que les « crimes sérieux » ;
  • En Roumanie, la première loi de transposition nationale avait été invalidée par la Cour constitutionnelle dès 2009. Le gouvernement avait adopté une nouvelle loi en 2012. Le 8 juillet 2014, la Cour constitutionnelle a déclaré que la loi de 2012 était également inconstitutionnelle ;
  • En Bulgarie, la Cour constitutionnelle a déclaré la loi nationale inconstitutionnelle le 12 mars 2015 ;
  • Aux Pays-Bas, la loi néerlandaise imposait une conservation des données pour une durée de 6 à 12 mois, avec des durées différentes selon les types de données. Suite au recours d'une coalition d'ONG, le 11 mars 2015, le tribunal de première instance de La Haye a donné raison à la société civile et a invalidé la loi de 2009 en matière de conservation des données.
  • Enfin, en Belgique, la Cour constitutionnelle a jugé le 12 juin 2015 que la loi de transposition nationale, adoptée en juillet 2013, « par identité de motifs avec ceux qui ont amené la Cour de justice de l’Union européenne à juger la directive “conservation des données” invalide », et en particulier en raison du caractère généralisé et indifférencié de la conservation, le législateur avait violé la Charte des droits fondamentaux et, partant, la Constitution belge.

• 5. Demande de décision préjudicielle présentée par la Kammarrätten i Stockholm (Suède) le 4 mai 2015 – Tele2 Sverige AB / Post- och telestyrelsen (Affaire C-203/15) : «  Une obligation générale de conservation de données, relative à toute personne et à tous les moyens de communication électronique et portant sur l’ensemble des données relatives au trafic, sans qu’aucune différenciation, limitation ni exception ne soient opérées en fonction de l’objectif de lutte contre la criminalité [telle que décrite dans la décision de renvoi], est-elle compatible avec l’article 15, paragraphe 1, de la directive 2002/58 1 compte tenu des articles 7, 8 et 52, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne ?
  S’il est répondu par la négative à la première question, une telle obligation de conservation peut-elle néanmoins être admise :
  • si l’accès par les autorités nationales aux données conservées est encadré de la manière précisée [dans la décision de renvoi], et
  • si les exigences de protection et de sécurité des données sont régies de la manière précisée [dans la décision de renvoi], et que
  • toutes les données en question doivent être conservées pendant six mois à compter du jour de l’achèvement de la communication avant d’être effacées, comme il l’est exposé [dans la décision de renvoi] ? »

• 6. RICHARD, Jacky et CYTERMANN, Laurent, 2014. Le numérique et les droits fondamentaux Les rapports du Conseil d’État. S.l. Conseil d’État. [Consulté le 29 mai 2013]. Études du Conseil d’État, p. 200. Disponible ici.

Paris, le 9 février 2016 — Le gouvernement tente, dans un embouteillage législatif confus, de faire prolonger par tous les moyens possibles la suspension de l'État de droit que connaît la France depuis le 13 novembre 2015. Prolongation, extension, constitutionnalisation de l'état d'urgence, loi de réforme pénale et de lutte contre le terrorisme, un arsenal législatif confus et dangereux va être voté dans les jours qui viennent au Sénat et à l'Assemblée nationale. La Quadrature du Net met en garde les parlementaires contre l'emballement législatif, qui installe de plus en plus nettement une situation préoccupante des droits de l'Homme en France.

Madame la députée,
Monsieur le député,
Madame la sénatrice,
Monsieur le sénateur

Depuis le 13 novembre 2015, la France vit sous le régime de l'état d'urgence. Si pour de nombreux citoyens rien n'a changé pour l'instant dans leur vie, pour un certain nombre d'autres le quotidien est devenu plus inquiétant, plus arbitraire, et surtout le socle de nos institutions et du fonctionnement de l'État de droit a été fortement ébranlé. L'état d'urgence a suspendu depuis trois mois une part importante de la séparation des pouvoirs en France, mettant sous l'autorité de la police, des services de renseignement et du ministère de l'Intérieur les perquisitions, assignations à résidence, dissolutions d'associations au détriment du juge judiciaire.

Le régime de l'état d'urgence et les nombreuses actions qu'il a entrainé mettent en péril la cohésion sociale de la nation, au moment même où le gouvernement fait systématiquement appel à cette union pour faire accepter des mesures liberticides, et où la résistance au danger devrait souder la société autour des valeurs et principes démocratiques les plus fondamentaux.

Le gouvernement vous demande la constitutionnalisation et une prolongation de trois mois de l'état d'urgence, arguant d'un contexte national et international risqué, ce que nul ne saurait contester, mais qui ne risque pas de se résoudre en trois mois. Il veut gagner du temps pour faire passer une réforme pénale et de nouvelles mesures antiterroristes qui, de fait, inscriront dans la loi ordinaire une grande partie des dispositions de l'état d'urgence.

Ces demandes sont dangereuses1 :

• elles accentuent un arsenal de mesures intrusives et dangereuses pour les libertés fondamentales alors que l'empilement récent de lois sur le terrorisme et le renseignement n'ont pas fait leurs preuves et n'ont pas été évaluées publiquement ;
• elles pérennisent les mesures de l'état d'urgence dans la loi ordinaire, faisant basculer l'équilibre fragile des pouvoirs au profit de l'exécutif, de la police, des préfets, du renseignement, ce qui constitue une baisse des garanties apportées aux citoyens ;
• elles persistent à faire croire que c'est en multipliant les mesures intrusives et attentatoires aux libertés que le terrorisme pourra être efficacement combattu, sans prendre en compte le traitement à la racine des nombreux problèmes qui ont amené cette situation ;
• elles ignorent les très nombreuses mises en garde formulées tant par les associations de terrain, de défense des droits, les syndicats de magistrats et d'avocats, les plus hauts représentants de l'ordre judiciaire, les rapporteurs des institutions européennes et internationales spécialisées sur les droits de l'homme etc.

Au delà des mesures concrètes qui feront peser encore sur les citoyens le poids d'une surveillance accrue, perçue comme arbitraire et sans contrôle a priori, l'ensemble des lois que vous allez avoir à voter fait entrer le système juridique français dans une logique où le contrôle judiciaire systématique et effectué a priori par un juge indépendant (seule garantie des libertés) est remplacé par un éventuel contrôle a posteriori fait par une justice administrative fortement liée à la hiérarchie de l'exécutif.

D'ailleurs, les recours contre les mesures prises sur le fondement de « notes blanches » du renseignement sont de plus en plus contestés, et les tribunaux administratifs commencent à casser des décisions, quand ce n'est pas le ministère de l'Intérieur qui fait opportunément cesser une assignation à résidence contestée quelques jours avant l'audience d'un recours, afin de ne pas perdre la face trop souvent.

Cela illustre bien les dangers d'un basculement du contrôle du juge judiciaire vers le contrôle administratif, basculement qui s'accélère depuis quelques années et montre ces derniers mois ses limites et ses dangers.

Vous devez refuser de voter l'ensemble de ces mesures : il n'y a rien de plus dangereux que de faire vaciller le socle des droits fondamentaux en période troublée. Il est tout aussi dangereux de croire et faire croire qu'un durcissement juridique et une banalisation de l'état d'urgence sont les seules solutions pour contrer le risque terroriste. Quel que soit l'apparent soutien populaire mesuré par sondages, il est de votre responsabilité de regarder plus loin et de protéger notre droit et nos principes, pour l'avenir de notre société et pour montrer l'exemple d'une représentation nationale responsable et indépendante d'un gouvernement qui semble aujourd'hui céder à la panique. Encore une fois, avec l'ensemble des organisations, syndicats, personnalités, engagés contre l'état d'urgence, nous demandons au gouvernement de cesser sa fuite en avant sécuritaire, et nous vous demandons d'avoir la sagesse de les stopper.

La Quadrature du Net

• 1. Vous trouverez nos propositions d'amendements sur le projet de loi de réforme pénale, de lutte contre la criminalité et le terrorisme