Le 20 juillet 2021, le gouvernement a déposé une nouvelle loi sécuritaire qui, entre autres choses, autorisera les drones policiers. Ces mêmes drones qui, par la force de nos efforts collectifs, avaient été rejetés à quatre reprises l’an dernier. Le gouvernement s’empresse de saper nos si précieuses victoires obtenues contre sa surveillance policière.

Première victoire, mai 2020

En juillet 2019, la police nationale comptait 30 drones et 23 pilotes. Un an plus tard, ces chiffres ont été multipliés par 7 : 235 drones et 146 pilotes. En avril 2020, un appel d’offre prévoyait l’acquisition de 650 drones de plus.

Au même moment, nous publiions un tour d’horizon des drones déployés en France par la police au prétexte de la crise sanitaire. En mai 2020, nous attaquions ces usages puis obtenions une première victoire décisive devant le Conseil d’État, la plus haute juridiction administrative française : à défaut de texte spécifique pour les autoriser, ces usages sont illégaux.

Deuxième victoire, décembre 2020

Hélas, la police a laissé traîner les choses en continuant d’utiliser illégalement ses drones. Elle a attendu deux mois pour commencer à réfléchir à une manière de contourner l’interdiction posée par le Conseil d’État, prétendant développer un soi-disant système de floutage des images captées. En octobre 2020, nous attaquions de nouveau la police en visant la surveillance des manifestations parisiennes par drones, telle que nous l’avions finement documentée avec votre aide.

En décembre 2020, le Conseil d’État confirmait notre seconde victoire décisive : injonction était faite à la police parisienne d’immobiliser ses machines au sol. Au-delà du rappel qu’aucun texte n’autorisait l’usage de drone, le Conseil d’État pointait un problème juridique encore plus fondamental de cette affaire : « le ministre n’apporte pas d’élément de nature à établir que l’objectif de garantie de la sécurité publique lors de rassemblements de personnes sur la voie publique ne pourrait être atteint pleinement, dans les circonstances actuelles, en l’absence de recours à des drones ».

Troisième victoire, janvier 2021

En janvier 2021, évènement aussi rare que bienvenu, la CNIL venait en renfort pour offrir une troisième victoire contre les drones : elle sanctionnait le ministère de l’intérieur et l’obligeait à cesser tout vol de drone sur l’ensemble du territoire. Ce faisant, la CNIL confirmait aussi l’extension de nos précédentes victoires contre la police parisienne à l’ensemble du territoire français.

Ces trois premiers succès sont intervenus face à un gouvernement bien peu préparé à nos initiatives. Mais à partir d’octobre 2020, il a ouvert une stratégie bien mieux organisée et mûrie et ouvert le véritable débat avec la loi sécurité globale.

Quatrième victoire, mai 2021

Heureusement, grâce à la mobilisation impressionnante et continue d’une large partie de la population contre la loi sécurité globale, des mois durant, le discours du gouvernement sur les drones a pu être méthodiquement déconstruit. En mai 2021, actant la défaite idéologique du gouvernement, le Conseil constitutionnel a censuré les dispositions qui allaient autoriser les drones policiers. C’est la quatrième et plus importante victoire.

La plus importante car elle est idéologique. Elle s’est principalement jouée dans la rue et dans le débat public, plutôt que devant les tribunaux. Elle a permis de s’attaquer au cœur du modèle de société proposé par le gouvernement, de construire un discours populaire contre l’État policier et son monde de distanciation, où la population serait régulée de loin, comme des objets, par des caméras et des robots militarisés, sans contact ni échange humain possible (voir notre manifeste initial dénonçant une loi de surveillance de masse déshumanisée).

Cinquième bataille, maintenant

En juillet 2021, le gouvernement a lancé sa cinquième bataille en déposant un projet de loi fourre-tout qui acte notamment le retour des drones pour la police. Refusant toute remise en question, le gouvernement s’obstine à imposer son monde par la force. Il ne cherche même plus à ouvrir un débat public ni à gagner l’opinion – on le comprend, il a déjà perdu ce débat plusieurs fois. À la place, il a réintroduit ses drones au milieu d’une , la quatrième de l’année de 2021 (après la loi sécurité globale, la loi séparatisme et la loi renseignement).

Le député rapporteur de la loi sur la partie surveillance est Jean-Michel Mis, qui a prouvé être l’un des plus fiers et fidèles défenseurs de la surveillance de masse (voir notre portait). La loi est en lecture accélérée alors qu’elle contient une large série de dispositions qui n’ont rien à voir les unes avec les autres – une sorte de loi voiture balai sécuritaire pour finir le mandat Macron – bien que particulièrement complexes (amendes forfaitaires pour vol à l’étalage, fichage des mineurs étrangers, caméras en garde à vue, évolution de la CNIL) ou polémiques (en lien avec l’affaire Halimi).

Nous retrouvons le même contexte qui avait empêché le Parlement de débattre des drones dans la loi sécurité globale : une disposition noyée au cœur d’un texte fourre-tout, une procédure accélérée, un débordement législatif sécuritaire, un rapporteur aux ordres de la Technopolice…

Comment s’organiser ?

L’an dernier, l’article 24 de la loi sécurité globale (concernant la diffusion d’images de policiers) avait mis le feu aux poudres et permis d’ouvrir en dehors du Parlement un débat qui y était impossible. Pouvons-nous répéter cet exploit dans un contexte radicalement différent ?

Comme nous avons essayé de le démontrer cet été, le passe sanitaire et les drones sont les outils du même projet technopolicier. L’opposition massive au passe sanitaire pourrait-elle, à son tour, attiser l’opposition aux drones ? Et pour quels objectifs ? En cas de mobilisation populaire massive, doit-on espérer que le Conseil constitutionnel censure une nouvelle fois cette tentative d’autorisation des drones ?

L’hypothèse n’est pas absurde tant le gouvernement échoue à corriger dans son nouveau projet de loi les failles juridiques considérables de sa précédente loi (nécessité des drones non-démontrée au cas par cas, public non-informé, surveillance des lieux privés…). Toutefois, même si le Conseil constitutionnel pourrait une fois de plus se dresser en rempart de circonstance contre les drones, il nous semble imprudent de ne pas aller chercher des protections plus certaines et pérennes ailleurs.

On l’a vu, nos victoires sont encore plus puissantes quand elles se réalisent à la fois devant les tribunaux et dans la rue. Sur le long terme, pour remporter au-delà de quelques batailles, il nous faudra encore multiplier nos voies d’actions – ne pas nous arrêter aux stratégies juridiques, mais gagner aussi le monde des idées et de l’imaginaire. D’abord, il nous faudra regarder comme formant un tout nos diverses luttes contre la dystopie technologique annoncée par nos gouvernants : reconnaissance faciale, drones, passe sanitaire, safe city, analyse comportementale, automatisation et déshumanisation des rapports sociaux…

Une fois bien cerné, nous pourrons prendre ce cauchemar à deux mains, puis le jeter loin de nous, loin de nos esprits qu’il a déjà tant pollués. C’est ainsi libérées que nous pourrons renouveler notre imaginaire collectif pour y fonder un futur enviable, enfin. Un futur qui nous donnera la force de multiplier les façon de nous penser et d’agir. Il y a tant de choses à défaire, puis tant d’autres à construire, saisissons l’opportunité de cette cinquième lutte contre les drones pour bâtir bien au-delà du débat stérile imposé par nos adversaires.

Les critiques du passe sanitaire dénoncent unanimement un « danger autoritaire ». Assez justement, la CNIL elle-même présente ce danger comme « le risque d’accoutumance et de banalisation de tels dispositifs attentatoires à la vie privée et de glissement, à l’avenir, et potentiellement pour d’autres considérations, vers une société où de tels contrôles deviendraient la norme et non l’exception ». Prenons un instant pour détailler ce danger et répondre à la question : de quel type de surveillance le passe sanitaire est-il l’expression ?

Il existe déjà de nombreux « dispositifs attentatoires à la vie privée » contre la généralisation desquels nous luttons depuis des années : écoutes téléphoniques, fichage, caméras, drones, géolocalisation, logiciels espions… Pour comprendre et prévenir les dangers posés par le passe sanitaire, il faut le situer précisément au sein de cet écosystème. Certains outils de surveillance sont plus ou moins faciles à déployer, à plus ou moins grande échelle, de façon plus ou moins visible et avec des conséquences très variables. En comprenant dans quel mouvement technologique et à partir de quels outils pré-existants le passe sanitaire s’est construit, nous espérons lutter plus efficacement contre la banalisation du type de surveillance qu’il permet.

Contrôler pour exclure

Pour prendre du recul, décrivons de façon générale l’action que permet de réaliser le passe sanitaire : exclure de certains emplois, transports et lieux des personnes dont la situation diffère de certains critères fixés par l’État.

Formulé ainsi, ce mode de régulation n’a rien de nouveau. C’est notamment de cette façon que l’État français traite les personnes étrangères : l’accès aux transports vers le territoire national, puis l’accès au séjour et à l’emploi sur le-dit territoire n’est permis que si la situation des personnes étrangères est conforme à des critères fixés par l’État (situation personnelle familiale et économique, pays d’origine, âge…). Le respect des critères est vérifié une première fois en amont puis se traduit par la délivrance d’un titre : visa, cartes de séjour, etc. Ensuite, la police n’a plus qu’à contrôler la possession de ces titres pour contrôler la situation des personnes, puis leur ouvrir ou leur fermer les accès correspondants. En menaçant d’exclure du territoire ou de l’emploi les personnes ne disposant pas du bon titre, l’État déploie une lourde répression – les conséquences pour les personnes exclues sont particulièrement dissuasives.

Toutefois, jusqu’à peu, ce type de répression avait d’importantes limitations pratiques : les titres ne pouvaient être délivrés qu’avec un certain délai et à un certain coût, de nombreux policiers devaient être déployés pour les vérifier et certains policiers devaient même être spécifiquement formés pour en vérifier l’authenticité. Ces limitations expliquent sans doute en partie pourquoi ce type de répression s’est jusqu’ici centré sur des cas précis (tel que le contrôle des personnes étrangères) sans être systématiquement déployé pour gérer n’importe quelle situation que l’État souhaiterait réguler.

Le passe sanitaire est la traduction d’évolutions techniques qui pourraient supprimer ces anciennes limites et permettre à cette forme de répression de s’appliquer à l’ensemble de la population, pour une très large diversité de lieux et d’activités.

Passage à l’échelle technologique

Au cours de la dernière décennie, la majorité de la population française (84% en 2020) s’est équipée en smartphone muni d’un appareil photo et capable de lire des code-barres en 2D, tels que des codes QR. En parallèle, l’administration s’est largement appropriée les outils que sont le code-barre en 2D et la cryptographie afin de sécuriser les documents qu’elle délivre : avis d’imposition, carte d’identité électronique… Le code en 2D rend quasi-nul le coût et la vitesse d’écriture et de lecture d’informations sur un support papier ou numérique, et la cryptographie permet d’assurer l’intégrité et l’authenticité de ces informations (garantir qu’elles n’ont pas été modifiées et qu’elles ont été produites par l’autorité habilitée).

Si ces évolutions ne sont pas particulièrement impressionnantes en elles-même, leur concomitance rend aujourd’hui possible des choses impensables il y a encore quelques années. Elle permet notamment de confier à des dizaines de milliers de personnes non-formées et non-payées par l’État (mais simplement munies d’un smartphone) la mission de contrôler l’ensemble de la population à l’entrée d’innombrables lieux publics, et ce, à un coût extrêmement faible pour l’État puisque l’essentiel de l’infrastructure (les téléphones) a déjà été financée de manière privée par les personnes chargées du contrôle.

Désormais, et soudainement, l’État a les moyens matériels pour réguler l’espace public dans des proportions presque totales.

Une brique de plus à la Technopolice

La crise sanitaire a très certainement facilité ces évolutions, mais son rôle ne doit pas être exagéré. Cet emballement dramatique des pouvoirs de l´État s’inscrit dans un mouvement d’ensemble déjà à l’œuvre depuis plusieurs années, qui n’a pas attendu le coronavirus, et contre lequel nous luttons sous le nom de « Technopolice ». Il s’agit du déploiement de nouvelles technologies visant à transformer les villes en « safe cities » capables de réguler l’ensemble de l’espace public.

La Technopolice est l’expression d’évolutions technologiques qui, comme on l’a vu avec le cas du passe sanitaire, ont permis de rendre totales des formes de régulations qui, jusqu’alors, étaient plus ou moins ciblées. Prenons le cas emblématique des caméras : jusqu’à peu, la police était matériellement limitée à une politique de vidéosurveillance ciblée. Elle ne pouvait exploiter les enregistrements vidéo que pour analyser quelques situations ciblées, à défaut de pouvoir mettre un agent derrière chaque caméra 24 heures sur 24. De même, l’identification d’une personne filmée demandait des efforts importants.

Ces limitations ont depuis volé en éclat. La reconnaissance faciale rend presque triviale l’identification des personnes filmées (voir notre exposé). L’analyse automatisée d’images permet de détecter en continu tous les événements définis comme « anormaux » : faire la manche, être trop statique, courir, former un grand groupe de personnes, dessiner sur un mur… (voir par exemple les projets imaginés à Marseille ou à Valenciennes). Plus besoin de placer un agent derrière chaque caméra pour avoir une vision totale. Qu’il s’agisse du passe sanitaire ou de l’analyse d’image automatisée, dans les deux cas, la technologie a permis à des techniques ciblées de se transformer en outils de contrôle de masse de l’espace public.

Contrôle permanent des corps

Ce parallèle nous permet d’apporter une précision importante : qu’il s’agisse du passe sanitaire ou de la détection automatique des comportements « anormaux », ces systèmes ne nécessitent pas forcément un contrôle d’identité. Le logiciel d’imagerie qui signale votre comportement « anormal » se moque bien de connaître votre nom. De même, en théorie, le passe sanitaire aussi pourrait fonctionner sans contenir votre nom – c’est d’ailleurs ce que prévoyait la loi initiale sur la sortie de crise ou, plus inquiétant, ce que proposent désormais certaines entreprises en se fondant non plus sur le nom mais le visage. Dans ces situations, tout ce qui compte pour l’État est de diriger nos corps dans l’espace afin de renvoyer aux marges celles et ceux qui – peu importe leurs noms – ne se conforment pas à ses exigences.

Ce contrôle des corps se fait en continu et à tous les niveaux. D’abord pour détecter les corps jugés « anormaux », que ce soit par leur comportement, leur apparence, leur visage, leur statut vaccinal, leur âge… Ensuite pour contraindre les corps et les exclure de la société, que ce soit par la force armée de la police ou par des interdictions d’entrée. Enfin pour habiter les corps et les esprits en nous faisant intérioriser les règles dictées par l’État et en poussant à l’auto-exclusion les personnes qui ne s’y soumettent pas. Tout cela à l’échelle de l’ensemble de la population.

Une accoutumance injustifiée

L’adoption massive du passe sanitaire relève d’une bataille culturelle menée par le gouvernement visant à habituer la population à se soumettre à ce contrôle de masse. Cette accoutumance permettrait à l’État de poursuivre plus facilement sa conquête totale de l’espace public telle qu’il l’a déjà entamée avec la Technopolice.

Pourtant, paradoxalement, dans son format actuel, le passe sanitaire n’apparaît pas comme étant lui-même un outil de régulation très efficace. Il semble difficile d’empêcher les médecins qui le souhaitent de fournir des passes à des personnes qui ne devraient pas en recevoir. Et, quand bien même les passes seraient attribués aux « bonnes personnes », en l’état celles-ci peuvent facilement les partager avec les « mauvaises personnes ». Certes, la police entend réaliser des contrôles d’identité pour lutter contre ces échanges mais, si l’efficacité du système repose au final sur des contrôles de police aléatoires, il n’était pas nécessaire de déployer des mécanismes de surveillance de masse pour aller au-delà ce qui se fait déjà en la matière, par exemple avec les ordonnances manuscrites délivrées par les médecins que la police peut vérifier en cas de soupçons. Cela permettrait au moins de diminuer les risques d’accoutumance à un nouveau système de contrôle de masse.

Hélas, il semble plus sérieux d’envisager le scénario inverse : l’inefficacité du passe sanitaire pourrait servir de prétexte pour le perfectionner, notamment en permettant aux contrôleurs non-policiers de détecter les échanges de passe. Comme vu plus haut, certains proposent déjà un nouveau système affichant le visage des personnes contrôlées. Une telle évolution nous livrerait la version pleinement aboutie et efficace du système de contrôle de masse rêvé par la Technopolice – et la police n’aurait presque plus à travailler pour contrôler les passes.

Obligation de prouver la nécessité

Même dans son format le plus sophistiqué, l’efficacité du passe sur le plan sanitaire resterait toujours à démontrer – il demeure de nombreuses incertitudes, que ce soit sur la valeur des tests au bout de 72 heures, sur le taux de transmission même une fois vacciné, sur le cas des nouveaux variants, sur l’efficacité de la contrainte pour inciter la population à se faire vacciner, ou sur la durée de validité à retenir pour les tests de dépistage.

Au plan juridique et politique, et tel que nous l’avions rappelé pour StopCovid, l’État est soumis à une règle simple mais fondamentale : il a l’obligation de prouver qu’une mesure causant des risques pour les libertés fondamentales est absolument nécessaire avant de la déployer. Dans notre cas, non seulement le gouvernement n’a pas encore démontré l’efficacité du passe sanitaire mais, plus grave, il a refusé de déployer ou de tester l’efficacité de mesures alternatives qui ne causeraient aucun risque pour les libertés (telles que des campagnes de communication bienveillantes, transparentes et non-paternalistes pour inviter à se faire vacciner), ou des mesures complémentaires ambitieuses (tel que le déblocage de financements pour permettre le dédoublement des salles de classe et leur aération, ce que le gouvernement à tout bonnement écarté).

Conclusion

Résumons : le passe sanitaire illustre des évolutions technologiques qui permettent à un mode de répression ancien (la répression par l’exclusion, illustrée notamment par le contrôle des personnes étrangères) de passer d’une échelle relativement restreinte à une échelle presque totale, concernant l’ensemble de la population et de l’espace public, afin de renvoyer à ses marges les personnes qui ne se soumettent pas aux injonctions de l’État.

Si, aujourd’hui, ces injonctions ne sont que d’ordre sanitaire, il faut encore une fois redouter que ce genre d’outil, une fois banalisé, soit mis au service d’injonctions dépassant largement ce cadre. Cette crainte est d’autant plus pesante que ce processus a déjà commencé au sein de la Technopolice, qui esquisse d’ores et déjà un mode de régulation social fondé sur la détection et l’exclusion de toute personne considérée comme déviante ou comme ayant un comportement « anormal » aux yeux de l’État et des entreprises de sécurité qui définissent ensemble et de manière opaque les nouvelles normes de comportement en société.

Dernier rappel stratégique : si le gouvernement français se permet d’imposer de tels outils de détection et d’exclusion des personnes qu’il juge indésirables, c’est notamment car il peut reprendre à son compte, et redynamiser à son tour, les obsessions que l’extrême droite est parvenue à banaliser dans le débat public ces dernières années afin de traquer, de contrôler et d’exclure une certaine partie de la population. La lutte contre les risques autoritaires du passe sanitaire serait vaine si elle ne s’accompagnait pas d’une lutte contre les idées d’extrême droite qui en ont été les prémices. La lutte contre le passe sanitaire ne doit pas se faire avec, mais contre l’extrême droite et ses obsessions, qu’elles soient dans la rue ou au gouvernement.

Le 16 juillet 2021, l’autorité luxembourgeoise de protection des données personnelles s’est enfin prononcée sur notre plainte collective déposée par 10 000 personnes contre Amazon en mai 2018. Cette décision intervient après trois années de silence qui nous avaient fait craindre le pire (relire nos craintes qui, s’agissant du cas d’Amazon, sont donc aujourd’hui caduques).

La décision, révélée par Bloomberg (mais qui ne nous a pas encore été transmise), semble sans ambiguïté : le système de ciblage publicitaire imposé par Amazon est réalisé sans notre consentement libre, en violation du RGPD. L’entreprise est condamnée à une amende de 746 millions d’euros. Il s’agit du nouveau record européen en matière d’amendes prononcées contre une violation du RGPD (le record précédent était l’amende de 50 millions rendue contre Google par la CNIL, toujours dans le cadre de nos plaintes collectives – relire notre réaction).

En réaction à cette sanction historique, Amazon se plaint auprès de Bloomberg, faisant mine de ne pas comprendre ce qui est visé : « il n’y a aucune fuite de données, aucune donnée client n’a été exposée à des tiers ». Et pour cause : c’est le système-même de la publicité ciblée que nos plaintes comptent balayer dans son ensemble, et non pas quelques failles de sécurité occasionnelles. Cette sanction historique frappe au cœur le système de prédation des GAFAM et doit être applaudie en tant que telle.

En contraste, cette sanction historique rend encore plus flagrante la démission généralisée de l’autorité irlandaise de protection des données qui, en trois ans, n’a été capable de clore aucune des quatre autres plaintes que nous avions engagées contre Facebook, Apple, Microsoft et Google (relire nos critiques qui, sur ces cas, sont plus que jamais d’actualité).

La posture exemplaire de l’autorité luxembourgeoise est aussi une douche froide pour la CNIL en France qui, pendant longtemps, faisait figure en Europe de tête de file pour la protection des données. Aujourd’hui, la CNIL n’est plus que l’ombre d’elle même, alors que nos plaintes collectives, initialement introduites devant elle, lui offraient l’occasion idéale d’être le fer de lance du RGPD contre les violations systémiques des données personnelles au cœur du modèle économique des GAFAM.

Alors que l’enthousiasme de 2018 commençait à nous quitter et que nous craignions que la lutte juridique contre les GAFAM soit devenue impossible, c’est du Luxembourg (qui l’eut cru !) que nous revient notre espoir initial. Le modèle de domination économique fondée sur l’exploitation de notre vie privée et de notre libre arbitre est profondément illégitime et contraire à toutes les valeurs que nos sociétés démocratiques prétendent défendre. Nous continuerons donc à lutter contre cette domination, avec votre aide si vous le voulez !

Vendredi, le Conseil constitutionnel rendra sa décision sur la loi terrorisme et renseignement. Nous lui avons envoyé hier nos arguments.

Le mois dernier, nous avons dénoncé l’extrême rapidité de l’examen par le Parlement de la loi terrorisme et renseignement, et cela malgré le bouleversement dramatique du rapport de force entre le gouvernement et la population qu’elle pourrait représenter (vous pouvez retrouver ici notre analyse des dangers de cette loi).

Déposée le 28 avril 2021, la loi a été débattue en quelques jours à l’Assemblée nationale et au Sénat, souvent la nuit et dans des hémicycles quasi-vides, le tout dans un inquiétant silence médiatique et politique. Elle a été définitivement adoptée par l’Assemblée nationale ce jeudi 22 juillet (voir le texte final).

C’est donc encore au Conseil constitutionnel (institution composée de neuf membres désigné·es et non élu·es) qu’il revient de jouer le rôle de véritable contre-pouvoir et de compenser la démission généralisée du Parlement de ses missions démocratiques. Autre signe de la prédominance du tout-sécuritaire : alors que le Conseil constitutionnel a normalement un mois pour se prononcer sur un texte, le gouvernement a utilisé la procédure d’urgence et a demandé à ce qu’il se prononce en seulement 8 jours.

Cette urgence forcée devant le Conseil constitutionnel empêchant tout véritable débat de fond, nous lui avons adressé hier une contribution extérieure se limitant aux dispositions nous paraissant les plus graves. Le texte de cette contribution est disponible ici – nous recopions ci-dessous nos arguments.

Le Syndicat des Avocats de France (SAF) et le Syndicat de la Magistrature (SM) ont également adressé au Conseil constitutionnel leurs arguments, que vous pouvez retrouver ici.

PARTIE 1. Sur la pérennisation et l’extension du recours aux algorithmes de surveillance ainsi que sur l’extension de la possibilité de recueil en temps réel de certaines données (Articles 14, 15 et 16)

Les articles 14 et 15 du projet de loi organisent la pérennisation et l’extension des dispositions prévues à l’article L. 851-3 du code de la sécurité intérieure encadrant le recours aux algorithmes de surveillance. L’article 16 organise l’extension de la possibilité de recueil en temps réel des données de connexion.

Ces articles constituent une atteinte disproportionnée au droit à la vie privée (a) et au secret des correspondances (b) ainsi qu’à l’article 34 de la Constitution (c).

a) Atteinte disproportionnée au droit à la vie privée

En droit :

Au titre notamment du droit au respect de la vie privée protégé par l’article 2 de la Déclaration de 1789, le Conseil constitutionnel a considéré que la « collecte, l’enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiés par un motif d’intérêt général et mis en œuvre de manière adéquate et proportionnée à cet objectif » (Cons. constit., n°2012-652 DC, 22 mars 2012).

Ce droit au respect de la vie privée est également inscrit aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne, que le Conseil constitutionnel se doit de respecter au titre de l’article 88-1 de la Constitution. De manière générale, si le Conseil constitutionnel n’est pas tenu d’appliquer la jurisprudence de la Cour de Justice de l’Union européenne, il peut cependant utilement s’en inspirer afin de garantir un niveau de protection adapté aux droits et libertés constitutionnellement protégés.

Il est vrai que dans sa décision de 2015 sur la loi « relative au renseignement », le Conseil constitutionnel a considéré que le recours aux algorithmes ne constituait pas une atteinte disproportionnée au droit au respect de la vie privée (Cons. constit., n° n°2015-713 DC, § 60).

Néanmoins, depuis cette décision, la Cour de Justice de l’Union européenne a rendu une décision concernant notamment la compatibilité entre le droit de l’Union européenne et un dispositif de traitement automatisé des données relatives au trafic et des données de localisation (CJUE, C-511/18 et s., 6 octobre 2020). Elle y souligne notamment que le recours à l’analyse automatisée doit être limité « à des situations dans lesquelles un État membre se trouve confronté à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, le recours à cette analyse pouvant faire l’objet d’un contrôle effectif (…) » (CJUE, précité, § 192).

En l’espèce :

En premier lieu, alors que la loi de 2015 « relative au renseignement » ne permettait l’utilisation des algorithmes de surveillance qu’à titre expérimental, la loi examinée par le Conseil constitutionnel prévoit aujourd’hui la pérennisation de ce dispositif. La CNIL rappelle ainsi dans son avis sur le texte que « l’utilisation d’une telle technique porte une atteinte particulièrement forte à la vie privée des individus et au droit à la protection des données à caractère personnel » (CNIL, Délibération n°2021-040 du 8 avril 2021, § 24). Elle a souligné ne pas avoir pu analyser la proportionnalité de l’atteinte à la vie privée constituée par cette pérennisation (CNIL, idem, § 31).

En second lieu, aucune disposition ne vient répondre aux exigences de la Cour de Justice de l’Union européenne sur les limitations à apporter à l’utilisation des algorithmes de surveillance. Ainsi, l’article 14 ne mentionne aucune limitation du dispositif à l’existence d’une « menace grave pour la sécurité nationale » qui serait « actuelle ou prévisible ». Il ne prévoit encore moins aucun « contrôle effectif » d’une telle analyse. Le législateur n’a donc tiré aucune conséquence des récents arrêts de la Cour de Justice sur la question du recours aux algorithmes.

Il est particulièrement significatif que la loi déférée prévoit un régime spécifique pour la conservation des données de connexion, avec décision du Premier ministre relative à l’existence de « motifs tenant à la sauvegarde de la sécurité nationale », mais qu’aucun régime parallèle ne soit prévu pour le recours aux algorithmes.

Il en résulte que la pérennisation et l’extension du recours aux algorithmes prévues aux articles 14 et 15 de la loi déférée sont contraires à l’article 2 de la Déclaration de 1789 et à l’article 88-1 de la Constitution.

b) Atteinte disproportionnée au secret des correspondances

En droit :

Le Conseil constitutionnel a admis la valeur constitutionnelle du droit au secret des correspondances, rattaché aux articles 2 et 4 de la Déclaration de 1789 (Cons. constit., n°2004-492 DC, 2 mars 2004).

Dans sa décision de 2015 concernant la loi « relative au renseignement », il a conditionné la constitutionnalité des dispositions relatives au recours à l’algorithme au fait que, notamment, ces traitements ne pouvaient porter que sur des informations ou documents mentionnés à l’article L. 851-1 du CSI, c’est-à-dire des données dites de « connexion » ou « métadonnées » (Cons. constit., n°2015-713 DC, § 60). Dans cette même décision, le Conseil constitutionnel précise que les données faisant l’objet du traitement « ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit » (Cons. constit., n°2015-713 DC, § 55).

À ce titre, si le Conseil constitutionnel a admis dans sa décision de 2015 certaines techniques de renseignement portant atteinte au secret du contenu des correspondances, il ne l’a fait qu’en raison de leur caractère ciblé, différent d’une surveillance généralisée (voir notamment Cons. constit., n°2015-713 DC, § 25).

En l’espèce :

Les articles 15 et 16 étendent le recours aux algorithmes et la possibilité de recueil en temps réel des données de connexion aux « adresses complètes de ressources utilisées sur internet ».

Comme le rappelle la CNIL dans son avis sur le texte, ce type de données « sont susceptibles de faire apparaître des informations relatives au contenu des éléments consultés ou aux correspondances échangées » (CNIL, Délibération n°2021-040 du 8 avril 2021, § 35). Les « adresses complètes de ressources utilisées sur internet » peuvent, en effet, être extrêmement parlantes sur le contenu consulté par l’utilisateur, et indiquer par exemple le titre d’un article complet.

Dans son rapport sur le projet de loi, la commission des lois du Sénat rappelle ainsi qu’aussi bien la CNIL que la Commission nationale de contrôle des techniques de renseignement (CNCTR) ont, dans leur avis sur le projet de décret relatif aux techniques de renseignement « exclu la possibilité que la technique de l’algorithme puisse permettre un accès complet aux URL » du fait que les URL « constituent des données mixtes, comprenant à la fois des données de connexion, c’est-à-dire des éléments relatifs à l’acheminement de la communication internet, et des données de communication, c’est-à-dire des éléments fournissant des précisions sur l’objet ou le contenu du site internet consulté » (Commission des lois du Sénat, Rapport n°694 sur le projet de loi relatif à la prévention d’actes de terrorisme et au renseignement, 16 juin 2021).

La commission des lois du Sénat y ajoute que, selon la Délégation Parlementaire au Renseignement (ci-après « DPR ») « l’élargissement de la technique de l’algorithme souhaité par les services à l’analyse de la totalité des informations contenues dans les URL reviendrait, de fait, à autoriser un traitement automatisé de données révélant, pour partie, le contenu de communications ». En effet, elle précise que si le Conseil constitutionnel n’interdit pas par principe que des services du renseignement accèdent au contenu des communications, cela n’a été autorisé pour l’instant que pour une collecte individualisée et non pour « un traitement en masse des données de communication » (Commission des lois du Sénat, Rapport sur le projet de loi relatif à la prévention d’actes de terrorisme et au renseignement n° 694, 16 juin 2021).

Il en résulte que les articles 15 et 16 autorisent la surveillance en masse de données portant sur le contenu des correspondances, en contradiction avec le secret des correspondances protégées par la Constitution.

c) Incompétence négative du législateur

En droit :

Il ressort de l’article 34 de la Constitution que la loi fixe les règles concernant les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques.

Dans sa décision de 2015 sur la loi « relative au renseignement », le Conseil constitutionnel a ainsi considéré qu’il y avait eu violation de l’article 34 du fait de l’absence de définition dans la loi des « conditions d’exploitation, de conservation et de destruction des renseignements collectés en application de l’article L. 854-1 » en matière de surveillance internationale. Le législateur n’avait ainsi pas déterminé « les règles concernant les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques » (Cons. constit., n°2015-713 DC, § 78).

En l’espèce :

L’article 15 la loi déférée modifie l’article L851-3 du CSI. Désormais, cet article ne prévoit plus que « peut être imposé aux opérateurs […] la mise en œuvre sur leurs réseaux » du dispositif de détection automatisée, mais que ce dispositif sera désormais directement mis en œuvre par les services de renseignement « sur les données transitant par les réseaux des opérateurs ». Cette modification implique une architecture radicalement différente que la loi échoue entièrement à décrire et à encadrer.

En effet, dans son avis sur le texte, la CNIL précise que « le ministère a retenu une architecture selon laquelle les flux de données ne sont pas analysés au moyen d’algorithmes installés sur les réseaux des opérateurs mais dupliqués puis acheminés au sein d’une infrastructure dépendant de l’État pour être soumis à des dispositifs de détection centralisés ». Elle considère ainsi que cela implique de « dupliquer, au bénéfice d’un service administratif du Premier ministre, l’ensemble de ces données, qui concernent tous les appels téléphoniques et accès internet réalisés sur le territoire français, constitue une évolution particulièrement significative » (CNIL, Délibération n°2021-040 du 8 avril 2021, § 16 et s.).

À ce titre, la CNIL considère donc « indispensable que le texte soit précisé » sur ce sujet et que le principe de cette architecture « devrait (…) figurer dans la loi » (idem).

Cette architecture facilite en effet grandement la surveillance réalisée par les services de renseignement et est susceptible d’être dévoyée à d’autres fins que celles définies par le texte, et ce d’autant plus que les dispositifs de l’article 10 de cette même loi permettent de facto de conserver les données analysées par l’algorithme pour la recherche et développement pendant 5 ans. Cela pourrait potentiellement être l’intégralité du trafic internet qui pourrait donc se retrouver dupliqué et mis de côté par les services de renseignement.

La loi déférée n’apporte aucune précision sur les modalités de mise en œuvre de la technique de recours aux algorithmes ni sur l’architecture précise du traitement automatisé. Le législateur n’a donc pas précisé les conditions réelles de collecte, d’exploitation et de conservation des renseignements lié à la particularité de la duplication et de la centralisation des données de connexion concernant potentiellement l’ensemble des personnes vivant en France.

Il en résulte que l’article 15 est en contradiction avec l’article 34 de la Constitution.

PARTIE 2. Sur l’organisation de la conservation des données de connexion par les opérateurs (Article 17)

L’article 17 refond le cadre de conservation généralisée des données de connexion par les opérateurs en réaction à la décision de la Cour de Justice de l’Union européenne du 6 octobre 2020.

Il constitue une atteinte disproportionnée aussi bien au droit à la vie privée protégé par l’article 2 de la Déclaration de 1789 qu’à l’article 88-1 de la Constitution en ce qu’il représente une violation directe du droit de l’Union européenne tel qu’interprété par la Cour de Justice de l’Union européenne.

En droit :

Comme vu précédemment, le Conseil constitutionnel a reconnu que la collecte, l’enregistrement et la conservation de données personnelles étaient constitutives d’une atteinte à la vie privée et devaient donc être justifiées par un motif d’intérêt général et proportionné à cet objectif (Cons. constit., n°2012-652 DC, 22 mars 2012).

La Cour de justice de l’Union européenne rappelle de façon constante que [les données de connexion] « sont susceptibles de révéler des informations sur un nombre important d’aspects de la vie privée des personnes concernées (…). [qui] peuvent permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées (…). En particulier, ces données fournissent les moyens d’établir le profil des personnes concernées, information tout aussi sensible, au regard du droit au respect de la vie privée, que le contenu même des communications » (Digital Rights, 8 avril 2014, C‑293/12 et C‑594/12, § 27;Tele2, 21 décembre 2016, C‑203/15 et C‑698/15, § 99 ; La Quadrature du Net, 6 octobre 2020, C-511/18 et s., § 117).

Dans sa décision du 6 octobre 2020 « La Quadrature du Net », la Cour de Justice de l’Union européenne définit les limitations et garanties permettant aux régimes de conservation généralisée des données de connexion de se conformer aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne et à l’article 15 paragraphe 1 de la directive 2002/58 (CJUE, C-511/18 et s., 6 octobre 2020). Il convient à ce titre de rappeler que l’article 88-1 de la Constitution impose au législateur de respecter le droit de l’Union européenne.

Dans cette décision, la Cour de Justice de l’Union européenne a réaffirmé sa jurisprudence selon laquelle le droit de l’Union européenne s’opposait « à des mesures législatives prévoyant (…) à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation ».

À titre exceptionnel, et étant mis de côté les cas particuliers des données relatives à l’état civil et des adresses IP, la Cour de Justice a considéré que seul était permis « le recours à une injonction faite aux fournisseurs de services de communications électroniques de procéder à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, dans des situations où l’État membre concerné fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible », précision étant faite que cette décision doit pouvoir faire l’objet d’un contrôle effectif : « soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant (…) » (CJUE, La Quadrature du Net, 6 octobre 2020, § 168). La Cour insiste bien sur le fait que « cette conservation ne saurait présenter un caractère systématique » (même arrêt, § 138).

Il en résulte qu’une conservation généralisée des données de connexion n’est possible qu’à travers une injonction spécifique limitée dans le temps adressée à des opérateurs dans le cas d’une menace grave pour la sécurité nationale d’un État et soumise au contrôle effectif d’une autorité dont la décision est dotée d’un effet contraignant.

En l’espèce :

Il est précisé au 3° du I de l’article 17 que le Premier ministre peut enjoindre « pour des motifs tenant à la sauvegarde de la sécurité nationale », quand il a constaté « une menace grave, actuelle ou prévisible », « par décret aux opérateurs (…) de conserver pendant une durée d’un an » certaines données de connexion.

Ce régime d’organisation de conservation des données de connexion ne respecte aucune des garanties imposées par la Cour de Justice de l’Union européenne, aussi bien sur la nature de l’injonction (1), sur les motifs tenant à la sauvegarde de la sécurité nationale (2) que sur l’absence de contrôle effectif (3).

1. Sur la nature de l’injonction

Le fait que le Premier ministre puisse enjoindre cette conservation des données par un décret ne remplit pas les conditions exigées par la Cour de Justice de l’Union européenne. En effet, un acte administratif réglementaire ne saurait constituer une injonction : cette dernière doit nécessairement être spécifique et ne peut prendre la forme que d’un acte individuel. De plus, la durée d’un an prévue pour l’application du décret est excessive au regard de la nécessité de circonscrire cette collecte au strict nécessaire, d’autant qu’aucune limite du nombre de reconduction n’est prévue dans la loi, permettant alors un caractère systématique de la collecte des données de connexion.

2. Sur les motifs tenant à la sauvegarde de la sécurité nationale

La notion de sécurité nationale telle qu’interprétée par le Conseil d’État et à laquelle renvoie la loi déférée ne correspond en aucun cas à celle, restreinte et devant répondre à un critère d’exception, retenue par la Cour de Justice de l’Union européenne comme pouvant seule légitimer la conservation généralisée et indifférenciée des données de connexion.

En effet, la notion de sécurité nationale telle qu’entendue en droit français doit aujourd’hui, selon le Conseil d’État « être appréciée au regard de l’ensemble des intérêts fondamentaux de la Nation listés à l’article L. 811-3 du code de la sécurité intérieure », notion extrêmement large concernant notamment « les intérêts majeurs de la politique étrangère », les « intérêts économiques, industriels et scientifiques majeurs de la France » ou les risques tenant aux « violences collectives » que le Conseil constitutionnel a notamment rattaché, dans sa décision sur la loi renseignement de 2015, à l’organisation de manifestation non déclarées. Ainsi, dans sa récente décision, le Conseil d’État souligne ainsi que la menace pour la sécurité nationale n’est pas seulement liée au risque terroriste mais aussi au « risque d’espionnage et d’ingérence étrangère », à « l’activité de groupes radicaux » (Conseil d’État, 21 avril 2021, n° 393099 et s., § 44).

Une telle notion est donc très éloignée de la notion de menace grave pour la sécurité nationale telle qu’entendue par la Cour de Justice de l’Union européenne, qui ciblait spécifiquement « des activités de terrorisme », et ce dans les seuls cas où ces activités représenteraient une menace réelle et immédiate. Il revenait donc au législateur de limiter la conservation généralisée des données de connexion à des situations beaucoup plus restreintes, exceptionnelles et proportionnées que celles dégagées par le Conseil d’État autour de son interprétation dévoyée de la notion de sécurité nationale.

3. Sur l’absence de contrôle effectif

Le dispositif tel que prévu par le législateur ne prévoit pas de contrôle effectif répondant aux exigences de la Cour de Justice de l’Union européenne.

Aucun contrôle de la CNCTR n’est prévu sur l’injonction du Premier ministre, alors que cette institution est un des maillons essentiel de la chaîne opérationnelle encadrant le recueil des renseignements. C’est d’ailleurs un des regrets exprimé par la CNIL dans son avis sur le projet de loi qui considère que l’injonction du Premier ministre « devrait être soumis pour avis à la CNCTR » (CNIL, Délibération n° 2021-053, § 16).

Le seul contrôle possible de la conservation généralisée des données de connexion n’est finalement pas dans la loi, mais est dévolu à la potentialité du recours à un juge. Comme le rappelle la commission des lois du Sénat, ce contrôle correspondrait en réalité à la possibilité que le Conseil d’État soit « éventuellement saisi en référé du décret du Premier ministre » (Commission des lois du Sénat, Rapport n°694 sur le projet de loi du « relatif à la prévention d’actes de terrorisme et au renseignement, 16 juin 2021). Il ne s’agit en aucun cas d’un contrôle effectif tel que demandé par la Cour de Justice de l’Union européenne mais d’un contrôle dépendant de la volonté de possible requérants qui ne pourrait être réalisé qu’a posteriori, soit une fois que la mesure portant atteinte à la vie privée ait été réalisée.

Il en résulte que l’article 17 de la loi déférée ne respecte pas les articles 2 de la Déclaration de 1789 et 88-1 de la Constitution.

PARTIE 3. Sur l’extension des obligations de coopération des opérateurs de communications électroniques et des fournisseurs de services (Article 12)

L’article 12 prévoit la coopération forcée des opérateurs et fournisseurs de communications électroniques avec les services de renseignement afin de mettre en œuvre des techniques d’intrusion informatique directement sur des terminaux.

En droit :

Le Conseil constitutionnel censure depuis longtemps l’incompétence négative du législateur (cf. Cons. constit., 26 janv. 1967, Loi organique modifiant l’ordonnance du 22 décembre 1958, 67-31 DC), même d’office lorsque les auteurs de la saisine ne l’ont pas invoqué (cf. Cons. constit., 20 janv. 1984, Loi relative à l’enseignement supérieur, 83-165 DC). Le Conseil constitutionnel analyse ainsi régulièrement la méconnaissance, par le législateur, de l’étendue de sa propre compétence en lien avec le principe de clarté de la loi, d’une part, et l’objectif de valeur constitutionnelle d’intelligibilité et d’accessibilité de la loi, d’autre part (voir notamment Conseil constit., 12 août 2004, Loi relative aux libertés et responsabilités locales, 2004-503 DC, cons. 29).

Précisément, le commentaire autorisé du Conseil constitutionnel sous la décision 2004-503DC, explique que : «le principe de clarté, qui résulte de l’article 34 de la Constitution, et l’objectif de valeur constitutionnelle d’intelligibilité et d’accessibilité de la loi, qui découle des articles4,5,6 et 16 de la Déclaration de 1789 (…), imposent au législateur d’adopter des dispositions suffisamment précises et des formules non équivoques. A défaut, il renverrait à d’autres (administrations, juridictions) des choix que la Constitution lui a confiés en propre ».

De plus, le Conseil constitutionnel a pu censurer des dispositions au regard de leur complexité excessive, qui se traduisait notamment par censurer une disposition sur le fondement du « caractère imbriqué, incompréhensible pour le contribuable, et parfois ambigu pour le professionnel, de ses dispositions, ainsi que par les très nombreux renvois qu’il comporte à d’autres dispositions elles-mêmes imbriquées ; […] les incertitudes qui en résulteraient seraient source d’insécurité juridique, notamment de malentendus, de réclamations et de contentieux » (Décision n° 2005-530 DC du 29 décembre 2005, cons. 84)

Enfin, le Conseil constitutionnel a déjà jugé que ne sont pas conformes à la Constitution en ce qu’elles portent une atteinte manifestement disproportionnée au droit au respect de la vie privée des dispositions prévoyant des mesures de surveillance et de contrôle qui peuvent « être utilisées à des fins plus larges que la seule mise en œuvre » des exigences constitutionnelles et qui ne « définissent pas la nature des mesures de surveillance et de contrôle que les pouvoirs publics sont autorisés à prendre » (cons. 7 et 8, 2016-590 QPC du 21 octobre 2016).

En l’espèce :

Par le jeu de multiples renvois, l’article 12 étend le champ d’application des articles L.871-3 et L.871-6 du Code de sécurité intérieure qui permettent de contraindre les opérateurs et les fournisseurs d’accès à collaborer à la mise en œuvre des mesures de renseignement directement sur les réseaux et terminaux. L’article 12 aboutit ainsi in fine à permettre aux services de renseignement de solliciter ces acteurs pour la mise en œuvre de nouvelles mesures extrêmement intrusives, qui étaient circonscrites auparavant aux seuls acteurs du renseignement.

En premier lieu, le législateur n’a pas pris le soin de viser explicitement le contenu des mesures de surveillance et de contrôle visées par cette extension et s’est contenté de viser, par renvoi, plusieurs articles du code de sécurité intérieure et même des sections entières du code de procédure pénale. En élargissant de façon substantielle le nombre des situations pour lesquelles les services de renseignement peuvent requérir la contribution des fournisseurs et opérateurs et en ne listant pas précisément dans quelle mesures et sous quelles conditions cette contrainte pourrait être justifiée, le législateur a empêché les destinataires et personnes concernées par ces dispositions de comprendre et appréhender les situations concrètes prévues par ces dispositions.

L’analyse réelle de ces dispositions étaient par ailleurs totalement absente de l’exposé des motifs et de l’étude d’impact du Gouvernement ainsi que de l’avis du Conseil d’État et des rapports des différentes commissions.

Par cette absence de précision et par la complexité excessive de la rédaction de cet article, le législateur a incontestablement créé une situation d’insécurité juridique et méconnu l’étendue de sa compétence en manquant à remplir l’objectif de valeur constitutionnelle d’intelligibilité et d’accessibilité de la loi.

En second lieu, l’élargissement des techniques de renseignement pour lesquelles les opérateurs et fournisseurs peuvent être contraints de collaborer crée une atteinte manifestement disproportionnée au droit au respect de la vie privée.

À titre d’exemple, l’article L.853-2 du code de sécurité intérieure permettrait de contraindre des opérateurs de messagerie ou de téléphonie chiffrée à déployer des failles de sécurité sur des terminaux préalablement identifiés. Will Cathcart, dirigeant de la société Whatsapp, exprimait ces inquiétudes dans le journal Le Monde : « Ce serait une bonne chose que les implications de cet article soient clarifiées. », le journaliste indiquant que « la formulation actuelle évoque la mise en place de mesures de contournement du chiffrement de bout en bout » (Le Monde, « Vie privée, sécurité, e-commerce… Le patron de WhatsApp s’explique », 28 juin 2021).

De la même manière, les opérateurs pourraient être contraint de collaborer aux interceptions de données de connexions et interceptions de correspondances par « IMSI-catching » prévues par les article L. 852-1 et L. 851-6 du code de sécurité intérieure ainsi que par l’article 706-95-20 du code de procédure pénale. Pour rappel, l’IMSI-catcher est un outil permettant de capter toutes les données de communication dans un rayon donné.

De manière pratique, cela peut correspondre aussi à, par exemple, contraindre un opérateur de téléphonie ou d’Internet d’envoyer un SMS contenant un lien vérolé en son nom ou de le contraindre à déployer une mise à jour frauduleuse du code d’une box Internet pour en donner le contrôle aux services de renseignement, ou même encore de profiter de l’action d’un technicien pour conduire une attaque contre un périphérique informatique d’un abonné.

De même, le ministre de l’intérieur expliquait ainsi sur France Inter, avant le dépôt de la loi déféré, que « nous discutons avec les grands majors d’Internet, on leur demande de nous laisser entrer via des failles de sécurité, certains l’acceptent, d’autres pas. Il faut sans doute une loi pour contraindre des services étrangers, elle arrive » (France Inter, 28 avril 2021, L’invité de 8h20). Cherchant à détailler ce point, le ministre a expliqué en hémicycle lors de l’examen de la loi à l’Assemblée nationale le 17 mai 2021 : « Pour ce qui est des messageries cryptées, comme Telegram, WhatsApp ou Signal, elles ont précisément bâti leur modèle économique sur la garantie de ne pas pouvoir être écouté. […] le recueil des données informatiques permettra d’accéder au terminal informatique de la personne qui utilise ces messageries pour recueillir les données qui sont stockées dans ces messageries. »

Si les précédentes possibilités de requérir l’aide de ces acteurs se limitaient à donner accès aux données et contenus déjà produits dans l’utilisation de leurs services et auxquels ils pouvaient accéder, il s’agirait ici de les rendre directement acteurs de la compromissions des outils des utilisateurs de leurs services les mettant en position de conduire ou de participer à une intrusion informatique sur demande des services sans pouvoir s’y opposer.

La modification des dispositions du code de sécurité intérieure change considérablement la nature, l’échelle et les circonstances permettant l’utilisation des techniques visées par l’article 12. Pourtant, le législateur n’a prévu aucune garantie ou limitation supplémentaires spécifiques aux nouvelles situations créées par cette disposition propres à empêcher l’atteinte manifestement disproportionnée au droit à la vie privée générée par cette extension.

Il en résulte que l’article 12 de la loi déférée est contraire aux articles 2 et 34 de la Constitution.

PARTIE 4. Sur la conservation à des fins de recherche – (Article 10)

L’article 10 allonge la durée de conservation des renseignements à des fins de recherche et de développement.

En droit :

Comme vu précédemment, le Conseil constitutionnel a reconnu que la collecte, l’enregistrement et la conservation de données personnelles étaient constitutives d’une atteinte à la vie privée et devaient donc être justifiées par un motif d’intérêt général et proportionné à cet objectif (Cons. constit., n°2012-652 DC, 22 mars 2012).

Par ailleurs, l’article 34 de la Constitution oblige le législateur à fixer les règles concernant les garanties fondamentales accordées au citoyen et, notamment à ce titre, de définir en cas d’atteinte à ces libertés, les conditions d’exploitation, de conservation et de destruction des données collectées. Le Conseil constitutionnel a ainsi considéré que ne sont pas conformes à la Constitution des dispositions prévoyant des mesures de surveillance qui peuvent « être utilisées à des fins plus larges que la seule mise en œuvre [des exigences de sauvegarde des intérêts fondamentaux de la Nation] » (Cons. 7 et 8, 2016-590 QPC du 21 octobre 2016).

Enfin, si le Conseil constitutionnel a admis, notamment dans sa décision de 2015, la légalité de certaines techniques de renseignement conduisant au recueil et à la collecte de certaines données à caractère personnel, il ne l’a admis que pour des finalités précisément détaillées et liées notamment à la sécurité nationale, la prévention du terrorisme ou les intérêts majeurs de la politique étrangère (voir Décision n° 2015-713 du 23 juillet 2015). De la même manière, comme rappelé précédemment, la Cour de Justice a limité la possibilité d’une conservation des données de connexion à l’existence de considérations liées à des menaces graves pouvant porter atteinte à la sécurité nationale d’un État membre (voir CJUE, La Quadrature du Net, 6 octobre 2020, tel que cité précédemment).

En l’espèce :

L’atteinte à la vie privée constituée par ce dispositif est particulièrement grave et disproportionnée.

En premier lieu, l’article 10 concerne l’intégralité des renseignements qui sont obtenus dans le cadre des activités de renseignement (factures téléphoniques détaillées, écoutes téléphoniques, surveillance et analyse du réseau de télécommunication…). Cela pourrait donc être potentiellement la totalité du trafic téléphonique et Internet français (et a minima de très nombreuses données de personnes qui n’ont pas été directement la cible d’une technique de renseignement) qui pourraient être récupérées, par les services dédiés de recherche et développement, et conservées pour une très longue durée. Une fois stockées au prétexte de la recherche et développement, il faut redouter que, par l’autorisation d’une loi future, ces informations puissent être exploitées pour les nombreux et larges objectifs du renseignement (surveillance économique, répression des opposants politiques…).

À ce titre, la conservation de l’ensemble de ces données n’est justifiée que par un objectif de « recherche et de développement en matière de capacités techniques de recueil et d’exploitation des renseignement ». C’est une finalité particulièrement large et libre d’interprétation qui ne correspond en aucun cas aux exigences du Conseil constitutionnel ou à celles édictées par la Cour de Justice de l’Union européenne.

En second lieu, la Défenseure des droits a considéré que la loi manquait de précision sur les conditions exactes de traitement et d’anonymisation des données et que, au minimum, un décret était nécessaire pour préciser l’anonymisation de ces données et les modalités d’élaboration des algorithmes utilisés (Avis du défenseur des droits n° 21-07 du 18 mai 2021, p. 16). C’est également l’avis de la CNIL qui estime que « le régime de réutilisation des données (…) devrait être encadré par un décret d’application et que des garanties complémentaires soient prévues dans l’hypothèse où ce traitement serait mis en œuvre au moyen d’un traitement algorithmique » (CNIL, Délibération n° 2021-040, § 43).

Aucune précision n’a pourtant été apportée sur ces différents points par le législateur qui n’a prévu aucun report à un décret permettant au minimum de préciser ces différents points. Le seul encadrement réside en amont dans l’autorisation préalable du Premier ministre et l’existence d’avis non contraignants rendus par la CNCTR, ce qui est largement insuffisant au vu des dangers de cette disposition et ne répond pas aux critères d’exigence d’un contrôle effectif.

Il en résulte que l’article 10 est contraire aux articles 2 de la Déclaration de 1789 ainsi qu’aux articles 24 et 88-1 de la Constitution.

Conservation généralisée des données de connexion, surveillance de masse… Adopté par les députés, avant le Sénat fin juin, le projet de loi renseignement passe en procédure accélérée. Mais son contenu inquiétant mériterait un débat public d’ampleur. […]

« Un monstre qui grandit dans l’ombre » : voilà ce que constitue, pour Arthur Messaud, cette nouveauté. « Un État qui conserve pendant cinq ans les données captées de la population… Il y a deux ans, ça aurait fait la Une de la presse pendant des semaines » se désespère le juriste. Pour lui, il s’agit d’un copié-collé du modèle de recherche exploratoire de la NSA, révélé par Edward Snowden […].

https://www.bastamag.net/anti-terrorisme-loi-renseignement-surveillance-…