samedi 10 septembre 2011

L'après 11 septembre. Comment la France s'est dotée d'une législation imposant la conservation des données de connexion

Ces derniers jours, les médias regorgent de nombreux reportages sur l'attentat du 11 septembre et les nombreux changements dans notre vie quotidienne qui en ont résulté. A l'aube de ce 11 septembre 2011, c'est l'occasion de revenir sur non pas l'usage des lois sécuritaires au cours de ces 10 dernières années ou sur l'adoption par divers pays, comme le montre cette application, de nombreuses législations similaires.

War Logs! _DDC1733.JPG

Source : Adobe of Chaos sur Flickr (CC)

Pour ma part, je m'arrêterai sur un seul texte, adopté au lendemain du 11 septembre, et qui depuis sert de base à l'ensemble de la lutte contre la cybercriminalité. Ce texte est la loi du 15 novembre 2001 sur la sécurité quotidienne. Et son petit nom, la LSQ. La loi crée une des mesures importantes pour les acteurs de l'internet : la conservation des données de connexion par les fournisseurs d'accès à l'internet.

La LSQ, un véhicule législatif qui stationnait

Le projet de loi sur la sécurité quotidienne n'est pas un texte rédigé à la suite des attentats du 11 septembre. En effet, il avait été déposé au cours du mois de mars 2001 par le Ministre de l'intérieur d'alors, Daniel Vaillant, sur le bureau de l'Assemblée nationale avant d'être examiné au cours du printemps par les deux Assemblées. Seulement un couac institutionnel se déroulait. Le 5 juin 2001, la Commission mixte paritaire se réunissait et n'arrivait à trouver d'accord sur un texte commun aux deux Assemblées. Le texte était donc renvoyé pour un ultime vote devant les deux Chambres.

Lors du dernier examen du texte par le Sénat, le Gouvernement fait une chose surprenante en déposant toute une série d'amendements n'ayant aucun rapport avec le texte en cause.

En particulier un amendement n° 9 est déposé par le Gouvernement, amendement reprenant les dispositions du projet de loi sur la société de l'information (LSI) déposé au mois de juin 2001 :
"I.- Les opérateurs de télécommunications, et notamment ceux mentionnés à l'article 43-7 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, sont tenus d'effacer ou de rendre anonyme toute donnée relative à une communication dès que celle-ci est achevée, sous réserve des dispositions des II, III et IV. 
« II. - Pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l'autorité judiciaire d'informations, il peut être différé pour une durée maximale d'un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques. Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, détermine, dans les limites fixées par le IV, ces catégories de données et la durée de leur conservation, selon l'activité des opérateurs et la nature des communications. 
« III. - Pour les besoins de la facturation et du paiement des prestations de télécommunications, les opérateurs peuvent, jusqu'à la fin de la période au cours de laquelle la facture peut être légalement contestée ou des poursuites engagées pour en obtenir le paiement, utiliser, conserver et, le cas échéant, transmettre à des tiers concernés directement par la facturation ou le recouvrement, les catégories de données techniques qui sont déterminées, dans les limites fixées par le IV, selon l'activité des opérateurs et la nature de la communication, par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés.
« Les opérateurs peuvent en outre réaliser un traitement de ces données en vue de commercialiser leurs propres services de télécommunications, si les usagers y consentent expressément et pour une durée déterminée. Cette durée ne peut, en aucun cas, être supérieure à la période correspondant aux relations contractuelles entre l'usager et l'opérateur. 
« IV. - Les données conservées et traitées dans les conditions définies aux II et III portent exclusivement sur l'identification des personnes utilisatrices des services fournis par les opérateurs et sur les caractéristiques techniques des communications assurées par ces derniers.
« Elles ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications « La conservation et le traitement de ces données s'effectuent dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.« Les opérateurs prennent toutes mesures pour empêcher une utilisation de ces données à des fins autres que celles prévues au présent article."
Les motivations exposées par le Gouvernement sont alors les suivantes :
"Les événements récents ont démontré que l'utilisation des moyens de télécommunications, des réseaux numériques et de l'internet étaient au cœur des échanges d'informations entre les membres d'un réseau terroriste. Les données techniques relatives à ces communications sont autant de « traces » laissées par les intéressés dans le monde virtuel, comme le seraient des empreintes ou des indices dans le monde réel. La recherche des infractions commises sur les réseaux de télécommunications ou à l'aide de ces réseaux suppose donc que puissent être exploités par les services d'enquête les données enregistrées par les opérateurs à l'occasion de l'établissement des communications émises par les auteurs de ces infractions. 
Il est nécessaire que la France se dote, à cet égard, d'un cadre législatif clair et transparent encadrant strictement la conservation des données techniques à cette fin, de manière à ce que les autorités judiciaires ne soient pas tributaires des données conservées par les opérateurs pour leurs besoins propres, selon les choix commerciaux qu'ils auront fait. Cela impose de revoir l'ensemble du dispositif relatif aux obligations des opérateurs."
Le texte sera adopté sans aucune modification par le Sénat le 11 octobre 2001 puis par l'Assemblée nationale le 31 octobre 2001. La loi sera promulguée le 15 novembre 2001 et publiée au Journal officiel du 16 novembre 2001.

La LSQ et sa critique constitutionnelle

Lors des débats autour de la LSQ, un sujet est revenu en permanence : l'amendement 9 a été adopté en méconnaissance des règles constitutionnelles. En effet, l'amendement incriminé a été introduit postérieurement à l'examen du texte par la Commission mixte paritaire.

Surfing the web
Source : Viktor Hertz sur Flickr (CC)

Or, une simple analyse de la jurisprudence du Conseil constitutionnel tendait à démontrer que sur la forme, il y avait un léger souci. En effet, par une décision n° 98-402 DC du 25 juin 1998 (loi portant diverses dispositions d’ordre économique et financier), le Conseil constitutionnel avait restreint sa jurisprudence sur les amendements introduits par le Gouvernement ou les parlementaires après la réunion de la Commission mixte paritaire. Les neufs sages estimaient que les seuls amendements susceptibles d’être adoptés après réunion de la Commission mixte paritaire devaient remplir au moins une des deux conditions suivantes : être en relation directe avec une disposition du texte en discussion ; ou être dictés par la nécessité d’assurer une coordination avec d’autres textes en cours d’examen au Parlement.

En l’espèce, l'amendement n°9 a été déposé et adopté - sans aucun débat - par le Sénat après une réunion de la Commission mixte paritaire. Seulement, ces dispositions n'étaient pas en relation directe avec les autres articles du projet de LSQ et, même en ce qui concerne les questions de nouvelles technologies, n'étaient pas nécessaire pour assurer une coordination avec d’autres textes en cours d’examen.

Sur la forme, la constitutionnalité des amendements pouvait être critiquée. Alors pourquoi le Conseil constitutionnel n'a pas censuré la mesure ? Pour une raison simple. Il n'a pas été saisi.

L'absence de saisine du Conseil constitutionnel, "un acte citoyen"

Des débats ont eu lieu lors de la discussion finale du projet de LSQ sur l'opportunité d'une saisine du Conseil constitutionnel à propos de ce texte et des amendements introduits postérieurement à la réunion de la Commission mixte paritaire.

Seulement, la moindre évocation dans l’hémicycle d’une potentielle saisine du Conseil constitutionnel obtient comme unique réponse une levée de bouclier. Ainsi, lors des débats à l’Assemblée nationale le 31 octobre 2001, Claude Goasguen indiquait :
"Un mot, enfin, pour regretter que les parlementaires socialistes n’aient pas fait preuve du même esprit de responsabilité en 1995, quand ils ont saisi le Conseil constitutionnel alors que la France était elle-même frappée par le terrorisme. Je ne peux m’empêcher de penser que, si la fouille des véhicules avait été autorisée plus tôt, bien des armes de guerre, qui n’ont quand même pas voyagé par colis postaux, auraient été interceptées et que cela aurait évité des drames comme celui de Béziers. Cela montre qu’il faut parfois un peu penser à l’avenir quand on saisit le Conseil constitutionnel..."
Un autre député, Thierry Mariani, indiquait le 30 octobre 2001 :
"Sur une mesure similaire inscrite dans la loi d’orientation et de programmation relative à la sécurité du 21 janvier 1995, vous aviez saisi le Conseil constitutionnel au motif qu’on portait atteinte à l’inviolabilité du domicile, au respect de la vie privée et au principe de stricte proportionnalité des mesures de police à la gravité des troubles à l’ordre public. La France était pourtant, comme aujourd’hui, confrontée à de graves menaces terroristes, qui se sont malheureusement concrétisées avec l’attentat sanglant du RER à la station Saint-Michel. Nous serons plus responsables que la gauche : nous ne saisirons pas le Conseil constitutionnel."
En résumé, la majorité d'alors (socialiste) n'a pas saisi le Conseil constitutionnel. Logique. L'opposition non plus. Résultat, le texte est passé entre les mailles de l'examen par les sages de la rue Montpensier.

Une tentative de saisine forcée (avec une petite révélation)

10 après, il y a prescription. Et donc, on peut sans doute lever le voile sur un élément. Comment se fait-il que la loi a été promulguée 15 jours après son adoption définitive par le Parlement ? C'était sans compter sur une tentative de forcer une saisine du Conseil constitutionnel.

(( wifi )) me
Source : when I was a bird sur flickr (CC)

L'auteur de cet acte ? Votre serviteur.

En effet, suite à l’adoption de la LSQ, une saisine en référé a été déposée devant le Conseil d’Etat afin que le juge administratif enjoigne au Président de la République de déférer au Conseil constitutionnel, en application de l’article 61 de la Constitution, le texte de la LSQ.

L’article 61 de la Constitution dispose en effet que "les lois peuvent être déférées au Conseil Constitutionnel, avant leur promulgation, par le Président de la République, le Premier Ministre, le Président de l’Assemblée Nationale, le Président du Sénat ou soixante députés ou soixante sénateurs". Ce choix de la saisine du juge constitutionnel constitue un acte éminemment politique.

Seulement, l’article 5 de la Constitution dispose que "le Président de la République veille au respect de la Constitution". Ainsi, cette obligation de valeur constitutionnelle impose au chef de l’Etat de prendre l’ensemble des mesures afin que notre loi fondamentale ne fasse pas l’objet de violations et en particulier au travers de la saisine du juge constitutionnel.

En raison de l’existence d’une telle disposition impérative, il était argumenté devant le juge administratif que la décision de saisine du juge constitutionnel par le chef de l’Etat ne possèderait plus un caractère discrétionnaire et politique. Au contraire, cette décision serait conditionnée et donc rejoindrait quasi-naturellement le domaine de l’acte administratif.

Mais cela n'a pas fonctionné. Le Conseil d'Etat a jugé le 7 novembre 2001 que "le fait pour le Président de la République de s’abstenir d’user de la faculté qu’il tient du deuxième alinéa de l’article 61 de la Constitution de déferrer une loi au Conseil constitutionnel aux fins d’en faire examiner la conformité à la Constitution est indissociable de l’ensemble de la procédure législative ; qu’il touche ainsi aux rapports entre les pouvoirs publics constitutionnels et échappe par là même à la compétence de la juridiction administrative". La saisine du Conseil constitutionnel est un acte politique (que l'on définit en droit en "acte de gouvernement"). Le juge administratif ne peut donc pas intervenir dans la décision politique du Président de la République.

Après la LSQ, la LFR

Dans le cadre de l’examen du projet de loi de finances rectificatives pour 2001, le Gouvernement avait intégré un nouvel article venant modifié le régime du stockage des données de connexion enregistrées par les divers opérateurs de télécommunications. La LSQ prévoyait explicitement, en exception au principe d’effacement, que les opérateurs de télécommunications doivent conserver les données nécessaires à l’établissement d’une communication, auxquelles seules les autorités judiciaires peuvent avoir accès.

Un amendement est alors venu autoriser les douanes, la direction générale des impôts ainsi que la Commission des opérations de bourse (devenue depuis l'AMF) à accéder aux données de connexion enregistrées par lesdits opérateurs "pour le besoin de leurs missions". Adoptée de nouveau sans aucun débat parlementaire, cette disposition a étendu les pouvoirs de ces autorités en leur permettant d’accéder à des informations jusqu'alors réservées aux services de police et gendarmerie.

Ici, ce texte a été soumis au Conseil constitutionnel qui a ainsi pu, par effet ricochet, contrôler la constitutionnalité des dispositions adoptées dans la LSQ

Un contrôle de constitutionnalité de la LSQ par ricochet

Le Conseil constitutionnel a, en effet, la possibilité de réaliser un contrôle de constitutionnalité a posteriori. Un tel contrôle est né d’une pure construction jurisprudentielle issue de la décision 85-187 DC (CC, 25 janvier 1985, Loi relative à l’état d’urgence en Nouvelle-Calédonie et dépendances). Les sages de la rue Montpensier admettent en effet un contrôle de constitutionnalité d’une loi promulguée "à l’occasion de l’examen de dispositions législatives qui la modifient, la complètent ou affectent son domaine".

En clair, dès lors que la LFR touche au domaine de la LSQ, il est possible au Conseil constitutionnel d'examiner la constitutionnalité de la LSQ lors de l'examen de la LFR.

Dans leur décision, les juges ont écarté tout grief sur le fond de l'obligation de conservation mise à la charge des fournisseurs d'accès à l'internet. Ils estiment en effet que :
"6. Considérant qu'il appartient au législateur d'assurer la conciliation entre, d'une part, l'exercice des libertés constitutionnellement garanties et, d'autre part, la prévention des atteintes à l'ordre public et la lutte contre la fraude fiscale qui constituent des objectifs de valeur constitutionnelle ;
7. Considérant que les dispositions critiquées ont pour seul objet de préciser les conditions dans lesquelles s'exerce, sur les données conservées et traitées par les opérateurs de télécommunication et par les prestataires désignés aux articles 43-7 et 43-8 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, le droit de communication général conféré par la législation en vigueur aux agents des douanes, à ceux de la direction générale des impôts et aux enquêteurs de la Commission des opérations de bourse ;
8. Considérant qu'aux termes mêmes de la disposition contestée, le droit d'accès qu'elle ouvre à de telles données, dont la divulgation serait de nature à porter atteinte à la vie privée, ne peut s'exercer que " dans le cadre de l'article L. 32-3-1 du code des postes et télécommunications " ; que cet article énonce avec précision la nature et les conditions de conservation et de communication de ces informations ; qu'il en résulte, notamment, que les données susceptibles d'être conservées et traitées " portent exclusivement sur l'identification des personnes utilisatrices de services fournis par les opérateurs et sur les caractéristiques techniques des communications assurées par ces derniers " ; " qu'elles ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications " ; " qu'il peut être différé pour une durée maximale d'un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques " ; que, par ailleurs, le droit de communication créé par l'article 62 au profit des services d'enquêtes douanières, fiscales et boursières s'exerce dans le respect des autres prescriptions légales relatives à l'accomplissement de leurs missions ;
9. Considérant, par suite, que le législateur a mis en oeuvre, en les conciliant, les exigences constitutionnelles ci-dessus rappelées ; que cette conciliation n'est entachée d'aucune erreur manifeste"
La LFR a donc été promulguée.

Après la LSQ et la LFR, la loi anti-terrorisme, la loi HADOPI I ...

Par la suite, d'autres dispositions législatives sont venues modifier cette mesure. Elle figure dorénavant à l'article L. 34-1 du Code des postes et communications électroniques (après un simple changement de numérotation intervenue par la loi du 10 juillet 2004).

Les modifications ont été les suivantes :
- Article 5 de la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers : le périmètre de la conservation des données de connexion a été étendu aux "personnes qui, au titre d'une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l'intermédiaire d'un accès au réseau, y compris à titre gratuit" (cybercafés, points d'accès public, bibliothèques, etc.)
- Article 14 de la loi n° 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet qui a permis à la HADOPI d'accéder aux données d'identification des fournisseurs d'accès dans le cadre de sa mission
- Article 7 de l'ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques en adaptant, à la marge, le cadre juridique.

Un régime spécifique a également été créé en matière de terrorisme. Il figure, quant à lui, à l'article L. 34-1-1 du Code des postes et communications électroniques.

La conservation des données, une exception française ?

On pourrait croire que la France a été une exception dans le monde en adoptant une législation imposant une telle conservation des données de connexion. Il n'en est rien. Tous les pays européens ont adopté des législations similaires notamment sous l'impulsion d'un texte international du Conseil de l'Europe : la Convention Cybercrime du 23 novembre 2001.

Le texte prévoit en effet, pour chaque Etat, Partie à la convention :
"Chaque Partie adopte les mesures législatives et autres qui se révèlent nécessaires pour permettre à ses autorités compétentes d’ordonner ou d’imposer d’une autre manière la conservation rapide de données électroniques spécifiées, y compris des données relatives au trafic, stockées au moyen d'un système informatique, notamment lorsqu'il y a des raisons de penser que celles-ci sont particulièrement susceptibles de perte ou de modification".
Une différence de taille néanmoins. La Convention Cybercrime prévoyait que cette conservation devait se faire "pendant une durée aussi longue que nécessaire, au maximum de quatre-vingt-dix jours". En France, le délai fixé par la loi est de 1 an.

Le 21 septembre 2005, c'est la Commission européenne qui annonçait un cadre juridique pour la conservation des données de connexion. Il sera alors fixé dans la directive 2006/24/CE du 15 mars 2006. Le délai de conservation proposé par la Directive est quant à lui fixé entre 6 mois (minimum) et 24 mois (maximum). Ce cadre a fait l'objet en avril 2011 d'un rapport d'évaluation proposant plusieurs évolutions notamment "dans l’intérêt de la sécurité intérieure, du bon fonctionnement du marché intérieur et du renforcement du respect de la vie privée et du droit à la protection des données à caractère personnel"

La Commission européenne devrait donc prochainement élaborer un nouveau cadre juridique de la conservation des données de connexion.

Aucun commentaire: