Surveillance électronique : le Conseil d’Etat interpellé sur la loi de programmation militaire

En dépit des contestations de la communauté IT concernant l’élargissement de la surveillance électronique, la loi de programmation militaire (LPM) était définitivement adoptée le 10 décembre 2013, en deuxième lecture au Sénat, par 164 voix pour et 146 contre.

Le décret d’application permettant la mise en oeuvre des dispositions inscrites dans ce texte porté par le ministre de la Défense Jean-Yves Le Drian a été publié le 24 décembre 2014. Il est aujourd’hui attaqué par La Quadrature du Net, qui a annoncé, ce 18 février, avoir déposé un recours devant le Conseil d’Etat.

Accompagnée dans sa démarche par les fournisseurs associatifs d’accès à Internet réunis au sein de la fédération FFDN, l’association de défense des droits et des libertés des citoyens à l’ère numérique pointe du doigt le principe de surveillance généralisée de la population. Elle cible plus particulièrement les mesures associées à l’article 13, établi au nom de la lutte contre le terrorisme et le crime organisé.

Ledit article élargit le cadre juridique de l’accès aux données de connexion et de géolocalisation, après conservation ou en temps réel. Dans un contexte d’incertitude marqué par les révélations d’Edward Snowden autour des campagnes d’écoutes massives menées par le renseignement américain, l’écosystème IT (sociétés Internet, opérateurs, éditeurs de logiciels, SSII, organisations patronales…) avait fait part de ses craintes quant aux implications de telles dispositions sur l’économie du secteur, notamment dans le cloud computing.

Malgré les appels répétés de la société civile, les parlementaires avaient refusé de saisir le Conseil constitutionnel afin que celui-ci étudie la conformité du texte vis-à-vis de la loi fondamentale française.

Principes européens

La Quadrature du Net étend ainsi son argumentaire aux textes européens. L’association invoque une décision rendue le 8 avril 2014 par la Cour de justice de l’Union européenne (CJUE). L’institution basée à Luxembourg avait invalidé la directive 2006/24 adoptée dans le prolongement des attentats de Madrid et de Londres et obligeant l’ensemble des acteurs du Net à conserver, pendant une durée d’un an, l’ensemble des données de connexion d’utilisateurs d’Internet.

Le CJUE a estimé que ce mécanisme était contraire aux textes fondamentaux, car applicable à des personnes « pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même direct ou lointain, avec des infractions graves ».

La Quadrature du Net souligne que plusieurs lois nationales de transposition dans les États-membres de l’UE ont été déclarées anticonstitutionnelles depuis cet arrêt : « En Autriche, en Roumanie, en Slovaquie et en Slovénie, les cours constitutionnelles ont […] suspendu ou annulé les lois nationales sur [la] conservation des données« . Et d’ajouter : « En Suède, aux Pays-Bas, au Royaume-Uni, d’importantes controverses sont en cours« .

Certaines dispositions de la LPM retiennent plus particulièrement l’attention de La Quadrature du Net. En tête de liste, l’élargissement du nombre de services de police et de renseignement ayant accès aux données de connexion… et l’élargissement du champ de données accessibles (l’ensemble des « informations et documents », « y compris » les métadonnées détenues à la fois par les fournisseurs d’accès et les hébergeurs).

Autre point souligné : le dispositif ne s’accompagne d’aucun contrôle préalable de la CNCIS, autorité indépendante chargée de surveiller les interceptions administratives des communications. Un élément qu’ont également dénoncé le groupe de réflexion Renaissance Numérique et la Fédération internationale des droits de l’homme.

Crédit illustration : Kheng Guan Toh – Shutterstock.com