Réplique par 60 députés - 2015-713 DC

Décision n° 2015-713 DC du 23 juillet 2015

Loi relative au renseignement

Réplique par 60 députés


Pour faire suite à notre saisine déposée le 25 juin 2015 au greffe du Conseil Constitutionnel, nous vous prions de trouver ci-joint un mémoire en réplique aux observations en réponse produites par le Gouvernement. Celles-ci n'arrivent pas à convaincre, loin s'en faut, et montrent combien votre décision sera importante pour définir les contours d'un équilibre entre droits fondamentaux.

A l'ère de possibilités infinies de surveillance, certains principes simples doivent être réaffirmés. Rien ne serait pire qu'au détour d'un texte dont l'objet principal est de lutter contre la criminalité la plus odieuse et les barbares des temps modernes, s'insinue au coeur de notre démocratie les prémices d'une gouvernance algorithmique dont tout le monde doit craindre qu'elle échappe un jour à ses concepteurs. La lutte contre le terrorisme exige la puissance de l'Etat de droit, pas la défiance généralisée.

Voici les brèves remarques en réplique qu'appelle le mémoire du gouvernement.

1. S'agissant du champ d'application de la loi
Le Gouvernement prétend que le texte critiqué a un champ limité et bien défini et correspondant en substance à des hypothèses circonscrites à la défense des intérêts supérieurs de la Nation et à la lutte contre le terrorisme.

Cette présentation ne correspond pas à la réalité des faits.

Deux motifs sont particulièrement critiquables de ce point de vue et il est frappant que le Gouvernement passe rapidement sur ces points dans sa réponse et on le comprend... Il est assez évident que plusieurs dispositions vont bien au-delà de la lutte contre le terrorisme ou bien de la défense des intérêts économiques, scientifiques ou industriels de notre pays.

En premier lieu, on relèvera que le Gouvernement reste étonnamment discret lorsqu'il s'agit des possibilités d'investigation ouvertes par le motif retenu par l'article L. 811-3 de « prévention de la criminalité et de la délinquance organisée ». Celui-ci repose en droit pénal, en effet, sur la notion de « bande organisée » définie par l'article 131-7 du code pénal comme étant « tout groupement formé ou toute entente en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d'une ou de plusieurs infractions ». La liste des infractions potentiellement concernées à ce titre est énoncée par l'article 706-73 du Code de procédure pénale qui fixe la liste des infractions concernées, soit 15 cas. Or, si le § 11°de cet article vise effectivement les actes de terrorismes et que certains crimes portant atteinte à la dignité humaine sont également visés, on relève, cependant, les infractions suivantes :
« 3° les crimes et délits de trafic de stupéfiants prévus par les articles 222-34 à 222-40 du code pénal, les peines encourues allant de cinq ans d'emprisonnement à la réclusion criminelle à perpétuité ; (...) 6° les crimes et délits aggravés de proxénétisme prévus par les articles 225-7 à 225-12 du code pénal, les peines encourues allant de dix ans d'emprisonnement à la réclusion criminelle à perpétuité ; 7° le crime de vol commis en bande organisée qui, en vertu de l'article 311-9 du code pénal, est passible de quinze à trente ans de réclusion criminelle ; (...) 13° les délits d'aide à l'entrée, à la circulation et au séjourirréguliers d'un étranger en France commis en bande organisée prévus par le quatrième alinéa du I de l'article 21 de l'ordonnance du 2 novembre 1945 susvisée, puni par l'article 21 bis de la même ordonnance de dix ans d'emprisonnement ;

Ces exemples montrent qu'en réalité, c'est tout un pan du droit pénal qui est ici englobé. Parmi ces infractions, qui doivent évidemment être prévenues, poursuivies et réprimées sans faiblesse, on trouve des crimes et délits qui ne constituent pas un danger pour l'intérêt national justifiant le recours aux procédés de surveillance prévus par la présente loi. Un vol de tableau en bande organisée justifie-t-il d'être soumis à la rigueur des dispositions critiquées ? Le délit d'aide à l'entrée et au séjour des étrangers en situation irrégulière justifie-t-il un tel régime de police administrative maximale ?

On rappellera que la CNCDH a, dans son avis du 16 avril 2015, souligné que « ces articles ne définissent pas un comportement incriminé, mais désignent un inventaire d'infractions dont le seul point commun est d'être commise en bande organisée sans que l'on sache exactement ce qu'est une bande organisée » (§ 28).

En vertu de ce motif, c'est potentiellement une large partie du droit pénal qui serait ainsi partiellement dé-judiciarisé rendant dès lors possible la surveillance administrative tous azimuts, sans les procédures, attributs et contrôles de l'autorité judiciaire.

C'est dans votre jurisprudence qu'on retrouve cette même préoccupation relative à la difficulté d'appréhender l'amplitude de ces infractions et leur complexité intrinsèque. Ainsi, dans votre décision de 2004 sur la loi portant adaptation de la justice aux évolutions de la criminalité, vous avez certes validé un mécanisme de procédure pénale placé sous le contrôle de l'autorité judiciaire, reposant sur le même renvoi aux articles 706-73 du CPP, mais vous l'avez assorti sur plusieurs points de réserves strictes d'interprétations :
« Considérant que, parmi les infractions ne portant pas nécessairement atteinte aux personnes, figure le vol lorsqu'il est qualifié de crime ; que, toutefois, si le vol commis en bande organisée trouve sa place dans cette liste, il ne saurait en être ainsi que s'il présente des éléments de gravité suffisants pour justifier les mesures dérogatoires en matière de procédure pénale prévues à l'article 1er de la loi déférée ; que, dans le cas contraire, ces procédures spéciales imposeraient une rigueur non nécessaire au sens de l'article 9 de la Déclaration de 1789 ; qu'il appartiendra à l'autorité judiciaire d'apprécier l'existence de tels éléments de gravité dans le cadre de l'application de la loi déférée » et « qu'il ressort des termes mêmes de l'article 706-73 nouveau du code de procédure pénale que le délit d'aide au séjour irrégulier d'un étranger en France commis en bande organisée ne saurait concerner les organismes humanitaires d'aide aux étrangers ; que, de plus, s'applique à la qualification d'une telle infraction le principe énoncé à l'article 121-3 du même code, selon lequel il n'y a point de délit sans intention de le commettre ».

Comme vous l'avez jugé, la plupart de ces infractions sont complexes et requiert un travail de qualification préalable qui ressort normalement de la compétence de l'autorité judiciaire. Il est assez évident que la mise en oeuvre des techniques de surveillance dont il s'agit ne pourra pas passer par un tel travail préalable. Il serait vain de considérer, comme le suggère le Gouvernement dans son mémoire, que la Commission instituée par la loi pourra réaliser un tel travail. Dans la réalité judiciaire, cela suppose des magistrats instructeurs à plein temps épaulés par des équipes dédiés rompus au recueil d'éléments utiles. Est-il sérieux d'imaginer que la Commission, qui ne siège pas de façon permanente et qui n'a pas de services propres, pourra s'y consacrer comme il conviendrait. Si dans la décision de 2004 vous aviez validé le dispositif au prix de réserves strictes, dans le cas présent, considérant la différence de situation et le fait qu'aucune autorité ne peut jouer en substitution le rôle du juge judiciaire, sauf à sombrer dans l'Etat de police, seule la censure sera possible.

En second lieu, il convient de pointer le manque de clarté et le risque d'arbitraire liés à l'application du motif visant les « violences collectives de nature à gravement porter atteinte à la paix publique ». Là encore, nombreux sont ceux qui s'inquiètent qu'une telle définition ouvre sur une surveillance des mouvements syndicaux ou politiques.

Certes, le Gouvernement prétend qu'il s'agit là d'une notion bien connue du droit pénal. Cette présentation des choses est commode et peu fidèle à la réalité du droit et de la procédure pénale. D'abord, on rappellera, comme se plait à le faire d'ailleurs le Gouvernement, que dans un cadre de police administrative, certains des éléments de preuves nécessaires à des qualifications de cette nature - à savoir d'une certaine complexité requérant notamment la recherche de l'élément intentionnel - sont, par construction, difficiles voire impossibles à recueillir à ce stade. Ensuite, il convient toujours de rappeler que l'une des questions principales posée par la loi soumise à votre examen tient à l'extension inédite des pouvoirs de police administrative au travers de la mise en oeuvre de moyens et techniques de surveillance particulièrement intrusive et menaçantes pour la vie privée.

Ce qui est posé ici est bien une question fondamentale de disproportion manifeste.

Dans ces conditions, force est de constater que les motifs susvisés figurant dans l'article L. 811-3 nouveau du code de la sécurité intérieure sont entachés d'inconstitutionnalité du fait de leur imprécision et de la disproportion manifeste entre les moyens prévus et la nature de certaines des infractions visées.

2. S'agissant des pouvoirs de la Commission et de l'absence d'autorisation préalable

Le Gouvernement soutient que doter la CNCTR d'un pouvoir d'autorisation préalable aurait porté atteinte au principe de la séparation des pouvoirs et méconnaitrait, en particulier, les articles 20 et 21 de la Constitution.

Cette argumentation n'emporte cependant pas la conviction car elle est démentie par le droit existant et contredite par votre jurisprudence.

2.1 Notre Constitution permet tout à fait à une autorité administrative indépendante de prendre des décisions contraignantes dans des domaines circonscrits, sans méconnaitre le principe de séparation des pouvoirs. C'est vrai tant dans les rapports avec l'autorité judiciaire qu'avec l'autorité administrative (Décision du 17 janvier 1989 DC n°88-248 DC, considérant 27).

Il existe, d'ailleurs, des exemples où une autorité administrative indépendante exerce un tel pouvoir vis-à-vis des prérogatives du gouvernement. Ainsi, entre 1978 à 2004, l'article 31 de la loi n°78-17 « Informatique & Libertés » a doté la CNIL d'un pouvoir d'autorisation « par avis conforme » des fichiers de police administrative intéressant la sûreté de l'Etat, la défense ou la sécurité publique.

2.2 Surtout, votre jurisprudence a parfaitement admis la création d'un mécanisme d'autorisation préalable dans le cadre d'interception administratives réalisées dans un but de lutte et de prévention du terrorisme. Ainsi, dans votre décision de 2006, l'avis préalable à des interceptions de sécurité délivré par une personne désignée par la CNCIS n'a pas été regardé comme méconnaissant la répartition des compétences institutionnelles, mais au contraire comme une garantie essentielle des droits fondamentaux susceptibles d'être affectés dont la vie privée et la liberté personnelle.

Ceci résulte clairement de votre décision n° 2005-532 DC du 19 janvier 2006 rendue, déjà, sur une loi de prévention et de répression du terrorisme qui avait créé un dispositif d'interception des données de connexion, dans laquelle vous avez relevé que « le I de l'article 6 de la loi déférée insère dans le code des postes et des communications électroniques un nouvel article L. 34-1-1 qui institue, " afin de prévenir et de réprimer les actes de terrorisme ", une procédure de réquisition administrative de données techniques de connexion ; que cette procédure sera mise en oeuvre par des " agents individuellement désignés et dûment habilités des services de police et de gendarmerie nationales spécialement chargés de ces missions " ; qu'elle s'appliquera à toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public une connexion permettant une communication en ligne par l'intermédiaire d'un accès au réseau ; qu'elle sera limitée " aux données techniques relatives à l'identification des numéros d'abonnement ou de connexion à des services de communications électroniques, au recensement de l'ensemble des numéros d'abonnement ou de connexion d'une personne désignée, aux données relatives à la localisation des équipements terminaux utilisés ainsi qu'aux données techniques relatives aux communications d'un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications " ; qu'elle sera subordonnée à un accord préalable d'une personnalité désignée par la Commission nationale de contrôle des interceptions de sécurité ; »

En conséquence de quoi vous avez considéré « qu'en l'espèce, le législateur a assorti la procédure de réquisition de données techniques qu'il a instituée de limitations et précautions, précisées ci-dessus, propres à assurer la conciliation qui lui incombe entre, d'une part, le respect de la vie privée des personnes et la liberté d'entreprendre des opérateurs, et, d'autre part, la prévention des actes terroristes, à laquelle concourt ladite procédure ».

Considérant le champ très large de la loi présentement critiquée, la durée des mesures de surveillance et la durée de conservation des données parfois sans limite précisée par la loi, le raisonnement que vous aviez suivi en 2006 doit s'appliquer de plus fort au cas présent. L'ensemble de la jurisprudence européenne et de la doctrine admet que la collecte de données et métadonnées - alors même qu'elles ne concerneraient pas le contenu des communications - permet aisément de tracer et reconstituer la vie privée des individus, y compris en cela de dresser leur profil personnel et donc leurs opinions politiques, philosophiques, religieuses, orientations sexuelles et toutes autres données sensibles ainsi que celles de leur entourage.

Il ressort, donc, de votre propre jurisprudence, qu'en matière d'interception de données de connexion - et a fortiori si les contenus de communication sont concernés - l'autorisation préalable constitue l'une des garanties essentielles des exigences constitutionnelles.

L'avis de la CNCDH en date du 16 avril 2015 va clairement dans ce sens en soulignant que « Seul un avis préalable et conforme constituerait une véritable garantie » (§ 39 et 40).

2.3. C'est en vain qu'il serait opposé que la loi du 10 juillet 1991 se contentait, pour sa part, de prévoir un avis simple de la CNCIS sur les décisions prises par le Premier Ministre.

D'abord, cette loi n'ayant jamais été déférée à votre examen, il ne peut être sérieusement considéré qu'elle aurait été a priori conforme à la Constitution, sur ce point tout du moins. Elle ne bénéficie d'aucun brevet de constitutionnalité.

Ensuite, et c'est là une dimension essentielle de la question qui vous est posée, la présente loi étend de façon radicale tant les motifs de surveillance que les autorités susceptibles d'y recourir et les techniques utilisables. Personne ne pourrait comprendre qu'une extension, inédite dans notre histoire, des capacités de surveillance des individus, se traduise par une diminution corollaire des protections légales dues à toute personne. Au contraire, c'est le raisonnement inverse qui est constitutionnellement le plus fondé : l'accroissement des pouvoirs de police administrative pour un but certes légitime en matière de surveillance et donc d'intrusion dans la vie privée requiert un niveau plus intense de garantie des droits. Si vous deviez admettre que l'autorité judiciaire soit exclue de ce mécanisme, alors cela impliquerait nécessairement que le niveau des garanties procédurales soit augmenté de façon à ce que les droits et libertés fondamentaux potentiellement menacés bénéficient des plus hauts standards de protection.

Autrement dit, en dotant la Commission, autorité administrative indépendante d'un pouvoir d'autorisation préalable, la séparation des pouvoirs ne serait pas affectée mais les droits constitutionnellement protégés seraient, pour leur part, mieux garantis. Ce serait là une solution équilibré. On ajoutera que d'un point de vue de l'efficacité dans la lutte contre le terrorisme, cela ne réduirait en rien la capacité d'action des pouvoirs publics car, enfin, les garanties constitutionnelles ne sauraient être regardées comme amoindrissant par nature l'efficacité préventive espérée des mécanismes de surveillance administrative.

Nul ne conteste que le régime des avis de la CNCTR constitue un élément substantiel du dispositif. Dans ces conditions, son caractère inséparable du reste du texte aboutira à une censure de l'ensemble du mécanisme.

La censure du tout interviendra en conséquence.

3. S'agissant de l'article L. 851-3 et des atteintes manifestement disproportionnées à la vie privée et à la liberté personnelle

Le Gouvernement tente de minimiser l'impact du dispositif critiqué en rappelant, d'une part, le rôle protecteur de la Commission et, d'autre part, en présentant les techniques comme peu intrusives s'agissant de la vie privée et de la liberté personnelle.

Cette argumentation n'est pas sérieuse.

Sur le premier temps du raisonnement, les auteurs de la saisine ont abondamment montré pourquoi la Commission n'offrait pas, en l'état, le niveau des garanties exigées au regard des droits en cause. Nous venons de le redire concernant l'absence d'autorisation préalable.

Sur le second temps du raisonnement, force est de constater que le Gouvernement feint d'ignorer deux dimensions essentielles du dispositif et présente les choses sous un jour éloigné de la réalité du mécanisme : d'abord, il appert que le périmètre du réseau susceptible d'être affecté par ces techniques de surveillance est tellement flou et incertain que la loi autorise cette surveillance massive tant redoutée et décriée en tous points du réseau, et, ensuite, il est certain que la portée des interceptions prévues est bien de nature à affecter la vie privée et la liberté personnelle des individus et qu'à cet égard les métadonnées sont bien protégées, contrairement aux allégations du Gouvernement, au titre du droit à la vie privée garanti par les articles 2 et 4 de la Déclaration des droits de l'homme et du citoyen de 1789.

C'est pourquoi, la position du Gouvernement selon laquelle « Tel qu'il a été défini par le législateur, le dispositif des algorithmes ne porte qu'une faible atteinte à la vie privée, proportionnée à la prévention du terrorisme. En effet, ces traitements ne porteront que sur des données de connexion mentionnées à l'article L. 851-1 et non sur le contenu des communications. Et ils ne permettront l'identification des personnes auxquelles ces données se rapportent qu'à l'issue d'une nouvelle autorisation du Premier ministre prise après avis de la commission » (p.14 de son mémoire en réponse) manque tant en droit qu'en fait.

3.1. En premier lieu, il importe de rappeler le champ effectif du dispositif de recueil en temps réel sur les réseaux des opérateurs et des personnes mentionnées à l'article L. 851-1 du même code - incluant donc les personnes visées par l'article L. 34-1 du Code des Postes et Communications Electroniques (CPCE), qui vise « toutes informations et documents », y compris les données techniques relatives à l'identification des numéros d'abonnement ou de connexion à des services de communications électroniques, au recensement de l'ensemble des numéros d'abonnement ou de connexion d'une personne désignée, à la localisation des équipements terminaux utilisés ainsi qu'aux communications d'un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications.

Sont ainsi directement visées des métadonnées telles que définies précédemment, soit donc des informations protégées au titre des articles 2 et 4 de la Déclaration de 1789 garantissant la vie privée et la liberté personnelle. Dès lors, il est essentiel que la loi soit à cet égard suffisamment claire et précise ; ce qui est loin d'être le cas en l'occurrence. Il s'ensuit que les articles ici critiqués méconnaissent le principe de clarté et d'intelligibilité de la loi fondé sur les articles 4, 6, et 16 de la Déclaration de 1789 tendant à protéger les citoyens de toute interprétation arbitraire par une autorité administrative ou judiciaire et ensemble, l'article 34 de la Constitution entachant d'incompétence négative le dispositif.

Il faut, à cet instant, insister sur l'absence de définition juridique dans les articles concernés de la notion de « réseau » applicable pour la mise en oeuvre des techniques de surveillance. La seule solution restant, que bizarrement le Gouvernement ne propose pas dans ses observations en réponse, consisterait à s'en remettre aux définitions de l'article L.32 du CPCE lequel couvre un champ d'hypothèses extrêmement larges. Ainsi, le CPCE comporte de nombreuses « sous-définitions » telles celles de : « réseau public », « réseau interne ». On ne sait si ces distinctions seront retenues pour application des articles L. 851-3 et L. 851-4 et notamment ce qu'il en sera de la possibilité de surveiller des « réseaux indépendants » correspondant à un « groupe fermé d'utilisateurs »...

Pour le placement de ces sondes algorithmiques, il existe, de fait, deux grandes possibilités qui permettent en réalité de couvrir quasiment tous les points des réseaux :

(i) Soit en extrémité de réseau, ce qui suppose d'intervenir sur plusieurs dizaines de milliers d'équipements (plus particulièrement cela ouvre une large possibilité pour les services du renseignement de toucher les équipements des hébergeurs (même si ces équipements ne sont pas détenus en propre par ces acteurs, la loi ne faisant aucune référence aux « réseaux » propriétaires ou aux équipements de réseaux propriétaires), au-delà des opérateurs de communication électroniques. En ce sens, les équipements concernés sont incommensurables : les câbles sous-marins, les points de présence, les capacités en fibre, etc.

(ii) Soit sur les coeurs de réseau ou sur les routeurs d'interconnexion. Si tel était le cas, cela nécessiterait de recourir à un équipement supplémentaire afin de recueillir d'autres métadonnées que les données de connexion, en mettant en place des équipements en coeur de réseau, des « deep packet inspection ». Ces équipements sont extrêmement intrusifs, puisqu'ils analysent l'ensemble des données qui circulent sur un réseau de communications électroniques. Ils seront clairement caractéristiques d'une surveillance de masse, résolument étrangère à toute notion de finalité et de proportionnalité.

Interrogé en séance publique sur ce point par Mme Laure de la Raudière et Monsieur Lionel Tardy, Monsieur le Ministre Jean-Yves Le Drian, a répondu que « la méthode de mise en oeuvre des traitements sera en outre négociée avec les opérateurs ou les prestataires concernés en fonction des situations et des besoins »(Assemblée Nationale, 15 avril 2015, 2ème séance). Or, force est de constater que la loi ne prévoit aucun cadre pour ces négociations relatives à ces « points du réseau ». En revanche, il est certain qu'en disant cela dans le cadre du débat parlementaire, le Gouvernement a confirmé que la loi n'a pas défini de façon claire et précise les éléments objectifs et rationnels permettant la mise en oeuvre des moyens de surveillance.

Dès lors, l'affirmation de Monsieur le Ministre de l'Intérieur, Bernard Cazeneuve, selon laquelle il n'y aura pas de « Deep Packet Inspection » n'est pas fondée puisque la loi, du fait même de son imprécision reconnue par le Gouvernement en séance publique devant l'Assemblée Nationale, rend parfaitement possible que les moyens d'accès appelés « boîtes noires » soient connectées sur les coeurs de réseaux.

Au regard de ce flou majeur au sujet de la notion de « réseaux » dans le présent texte, il s'ensuit que tout équipement ou installation de tout fournisseur pourrait être concerné (i.e. requis pour mettre en place une sonde ou « boite noire ») par les mesures de surveillance dès lors qu'il constitue une partie d'un réseau. Ce périmètre extrêmement large susceptible d'être concerné par les opérations de surveillance apparaît manifestement excessif par rapport à l'objectif poursuivi, puisqu'il écarte toute exigence - et rend impossible contrairement à ce qu'affirme le Gouvernement dans ses observations en réponse - que ce soit a priori ou a posteriori - tout contrôle ni de pertinence ni de proportionnalité.

3.2. Or, en second lieu, force est d'admettre qu'à l'absence de définition législative du réseau concerné par la mise en oeuvre des techniques de surveillance rendant ainsi possible la collecte massive de données, s'ajoute le fait que lesdites données sont sans contestation possible des données protégées par le droit à la vie privée ; en sorte que cette double extension du domaine de la surveillance rend plus évidente encore la disproportion manifeste entre le but poursuivi et les moyens mis en oeuvre.

Dès lors que le Gouvernement tente de minimiser l'importance des données ainsi collectées en prétendant qu'elles ne portent que sur des éléments de connexion, il est indispensable de rappeler quelques principes de base.

La métadonnée est en règle générale présentée comme une "donnée sur une autre donnée" ou une "information sur une autre information". Il s'agit, en fait, "d'un niveau caché d'information additionnelle automatiquement créée et incorporée dans un fichier informatique". Si l'on prend, par exemple, un courriel, on dira que la donnée est le contenu du courriel alors que ses métadonnées sont les informations qui caractérisent le courriel, c'est-à-dire l'heure, la date, le lieu de l'envoi, l'expéditeur, le destinataire, l'objet du courriel, les étapes techniques et infrastructures informatiques intervenues durant son transport, l'identification du terminal de l'expéditeur et du destinataire, le système d'exploitation de chaque terminal, etc. En ce qui concerne une photographie ou une vidéo, les métadonnées permettent de révéler l'heure ainsi que la date et le lieu où celle-ci a été prise, de même que sa taille, son poids et le format du fichier, le modèle de matériel utilisé pour la prise de vue, le numéro de série ou l'identifiant unique de ce matériel, etc.

Un courriel peut donc dévoiler énormément d'informations susceptibles de porter atteinte à la vie privée et aux données personnelles d'un individu. En effet, dans le cas d'un courriel par exemple, la simple lecture des métadonnées des emails d'un individu permettent d'établir sa localisation, notamment le lieu de son domicile, de ses rendez-vous, de son travail, ses relations, ou encore, dans certains cas, ses opinions politiques, philosophiques, religieuses, ses problèmes de santé, etc.Nul ne peut contester que ces informations sont protégées au titre de la vie privée que vous garantissez en application des articles 2 et 4 de la Déclaration de 1789, sauf à considérer qu'une donnée informatique imputable à une personne physique identifiable, même indirectement, ne constituerait pas une donnée à caractère personnel relevant de la vie privée.

Les métadonnées étaient, en effet, dans le champ de la Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE annulée par la Cour de Justice de l'Union européenne dans son arrêt Digital Right Ireland Ltd. du 8 avril 2014.

Cette Directive prévoyait de pouvoir "tracer et identifier la source de communication", "identifier la date, l'heure et la durée d'une communication", "identifier le type de communication", "identifier la machine utilisée pour communiquer", "identifier la location des équipements de communication". La Cour de Justice de l'Union européenne a considéré que « ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (...) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ». Pour la Cour, ce texte portait une atteinte disproportionnée aux articles 7 et 8 de la Charte des droits fondamentaux relatifs respectivement au "Respect de la vie privée et familiale" et à la "Protection des données à caractère personnel". La Cour a notamment relevé que le fait que la conservation illimitée de données personnelles d'individus par les autorités nationales méconnaissait ces droits dans la mesure où : "l'obligation de conservation couvre de manière généralisée toute personne, tous les moyens de communication électronique et l'ensemble des données relatives au trafic, sans différenciation, limitation ou exception opérées en fonction de l'objectif de lutte contre les infractions graves", "l'accès ouvert aux données collectées est trop large et est encadré de manière insuffisante", "cet accès ne fait pas l'objet d'un contrôle préalable par une juridiction ou une autorités indépendante", "aucune durée de conservation précise n'est imposée aux États, seule une fourchette de 6 mois à 2 ans étant prévue, sans distinction entre les personnes, ni les infractions concernées". Très récemment, la Cour Constitutionnelle de Belgique par un arrêt du 11 juin 2015 (n°84-2015) a censuré la loi nationale de transposition en faisant une application rigoureuse de cette décision de la Cour Européenne.

C'est dire que la collecte et la conservation des données et métadonnées doivent être strictement limitées dans leur champ et leur durée sauf à méconnaitre les articles 2 et 4 de la Déclaration de 1789.

3.3. C'est en vain que le Gouvernement prétend que l'article L. 851-3 nouveau du CSI prévoit que ces traitements automatisés de recueil d'informations sont paramétrés de façon à éviter des collectes indues et à s'assurer de l'anonymat des personnes concernées. D'une part, la note de l'Inria est particulièrement claire sur ce point et montre que cette garantie n'est que virtuelle et ne permettra pas de protéger les citoyens d'une surveillance injustifiée et personnelle, et qui ne manquerait pas de porter atteinte à la confiance dans les outils et technologies numériques que défendent nos associations professionnelles. Les statistiques liées à l'usage d'algorithmes conduit nécessairement à une surveillance massive pour détecter les potentiels terroristes. Ainsi est-il écrit dans le paragraphe relatif au « paradoxe des faux positifs » que « tout algorithme de détection a une marge d'erreur c'est à dire va identifier des personnes sans intention terroriste (des « faux-positifs »). Si la marge d'erreur est de 1%, ce qui est considéré à ce jour comme très faible, l'algorithme identifiera quelques 600 000 personnes sur une population totale de 60 millions de personnes. Si le nombre de vrais terroristes est par exemple de 60, ces vrais terroristes ne représenteront que 0,01% de la population identifiée ». S'ensuit un développement sur la nécessité de croiser un maximum d'informations de façon extrêmement intrusive aux fins de réaliser au mieux l'objectif de prévention poursuivi et sur les limites technologiques de l'anonymisation.

D'autre part, l'ensemble de la communauté scientifique considère illusoire que de telles sondes puissent être ainsi cantonnées dans leurs effets dès lors que l'absence de prédétermination de la cible - à l'inverse de l'hypothèse prévue par l'article L. 851-2 nouveau du CSI évoquant du recueil d'information en temps réel d'une personne préalablement identifié comme présentant une menace - oblige à une collecte très large de données pour obtenir, puisque tel est bien le but, les connexions révélant des probabilités de préparation d'actes terroristes.

Enfin, c'est feindre d'ignorer ce que l'ensemble des Etats membres de l'Union européenne entendent par une donnée « anonyme » ou « anonymisée ». L'analyse des techniques ou situations d'anonymat réalisée par ces autorités nationales de contrôle indépendantes, repose sur des études réglementaires et techniques internationales, notamment européennes et américaines. Cette analyse précise, publiée en avril 2014, résulte de deux décisions parfaitement adaptées à la matière1-2. Elle établit clairement que les métadonnées visées par la loi sur le renseignement n'ont, y compris lorsqu'elles sont collectées par des sondes algorithmiques, absolument aucun caractère d'anonymat intrinsèque. Elles ne constituent, s'agissant de leur imputabilité à des personnes physiques identifiables, que des « données pseudonymes » au sens du projet de règlement européen sur la protection des données personnelles en cours d'adoption, c'est-à-dire des « données indirectement nominatives » au sens originel qu'en avait donné le législateur français en adoptant la loi n°78-17. Or, personne n'oserait aujourd'hui soutenir que la loi n° 78-17 dite « Informatique & Libertés » s'appliquerait uniquement au traitement de l'identification directe des personnes physiques et non aux traces et métadonnées que leur usage de l'informatique révèle d'elles-mêmes et de leurs comportements. Une telle thèse serait, d'ailleurs, parfaitement contraire votre décision 2004-499 DC. De surcroit, elle conduirait à conclure que les métadonnées n'ont aucun intérêt pour les activités de renseignement alors pourtant qu'elles sont logiquement au coeur des processus de surveillance.

D'une certaine façon l'argumentation du Gouvernement constitue un paradoxe au regard de l'objet de la présente loi et masque mal l'ambition d'administration algorithmique ainsi établie ; solution qui peut échapper à ses concepteurs quoi qu'ils en pensent, même en toute sincérité. C'est bien pour cela que votre décision est si importante du point de vue des libertés.

Ces dispositions aboutissent donc à des mécanismes dont l'impact est manifestement disproportionné au regard de l'objectif de la loi et des droits et libertés fondamentaux constitutionnellement garantis dont le droit à la vie privée et à la liberté personnelle.

La censure est certaine de tous ces chefs.

4. S'agissant du droit au recours

Le Gouvernement de façon attendue expose que la nature des contentieux qui pourraient naître de ce dispositif de surveillance généralisé oblige à une procédure dérogatoire du droit commun. Il ajoute que les restrictions apportées aux règles de contentieux du droit commun sont accompagnées de garanties adaptées.

Tout ceci ne convainc pas.

4.1. D'une part, la loi a certes prévu une voie de recours ouverte à toute personne, mais les conditions de son accès sont pour le moins contraire à la logique du droit au recours. D'abord, la personne doit saisir au préalable la CNCTR. Mais l'article L. 833-4 nouveau du CSI organisant cette saisine ne prévoit aucun délai de réponse de la Commission au requérant. De plus, la réponse prévue n'indique pas si oui ou non une technique de renseignement a été mise en oeuvre le concernant. La CNCTR doit se borner à indiquer qu'elle a procédé aux vérifications, mais il lui est interdit de préciser au requérant ce qu'il en faut en inférer. On se demande bien à quoi sert du point du vue de l'exercice du droit de recours une procédure préalable obligatoire dont l'enjeu est de n'avoir pas de réponse à la question posée...

Ensuite de quoi, si l'intéressé persiste, il peut saisir le Conseil d'Etat qui statue selon une procédure particulière et partiellement secrète. Or, le nouvel article L. 773-7 du CJA prévoit que le Conseil d'Etat, s'il constate qu'une technique de recueil de renseignement a été mise en oeuvre illégalement ou qu'un renseignement a été conservé illégalement, peut annuler l'autorisation et ordonner la destruction des renseignements irrégulièrement collectés.

Autrement dit, l'illégalité d'une autorisation n'entraîne pas nécessairement son annulation On ajoutera que le Gouvernement se livre à un aveu étonnant en indiquant qu' « il envisage de dispenser ce contentieux du ministère d'avocat » (page 20 des observations en réponse). En indiquant cela, le gouvernement cherche-t-il à obtenir un sauf conduit à la lumière de votre décision pour aller un peu plus loin dans la diminution des droits du justiciable ? Quoi qu'il en soit de ses intentions à cet instant, cet aveu constitue une violation supplémentaire du droit au recours qui comprend nécessairement les droits de la défense qui comprennent eux-mêmes le droit à l'assistance d'un avocat. Votre jurisprudence est, à cet égard, plus qu'abondante et encore récemment avec votre décision rendue sur QPC (17 février 2012). Certes, vous admettez certaines restrictions tenant non à la nature des crimes et délits mais aux circonstances particulières au stade, par exemple, d'une garde à vue. En revanche, vous n'avez jamais, à notre connaissance, admis que les droits de la défense comprenant le droit à un avocat puissent être ainsi diminués au stade du procès lui-même. Ce refus d'une telle diminution des droits fondamentaux était même au coeur de votre grande décision du 20 janvier 1981 (DC 81-127).

Le droit au recours garanti par l'article 16 de la Déclaration de 1789 fait ici écho au droit à un procès équitable. Priver un justiciable de son droit à un avocat au stade du procès et non plus seulement de la garde à vue ou de la phase d'enquête policière, serait une atteinte sans précédent aux droits fondamentaux. C'est pourtant ce que le Gouvernement s'apprête à faire en application de la procédure d'exception en cause. Cela n'est pas admissible. Cela, au demeurant, constitue un indice supplémentaire du caractère éminemment critiquable de l'ensemble.

Ce n'est pas tout.

D'autre part, en effet, la loi ne prévoit aucune voie de recours ouverte aux opérateurs et autres personnes morales exploitant un réseau à qui les autorités compétentes demanderaient d'agir d'une façon ou d'une autre au titre des techniques de recueil de renseignement et particulièrement lorsqu'il s'agit de placer une sonde sur un réseau exploité par eux.

Or, un opérateur peut être placé dans la situation de considérer que telle ou telle demande n'est pas conforme à la loi et s'opposer à une demande faite sur le fondement du code de la sécurité intérieure et par exemple refuser la pose d'une sonde sur son réseau. Cette hypothèse peut paraitre d'école. Il reste qu'elle peut parfaitement devenir une réalité si, dans le futur, les autorités compétentes avaient une gestion inappropriée des textes.

Il serait délicat au Gouvernement de prétendre que les opérateurs ne sont pas concernés. En effet, comme déjà cité (§ 3.1 du présent mémoire en réplique), le Gouvernement a officiellement déclaré que « la méthode de mise en oeuvre des traitements sera en outre négociée avec les opérateurs ou les prestataires concernés en fonction des situations et des besoins »(Assemblée Nationale, 15 avril 2015, 2ème séance). C'est dire qu'un différend peu naître ici. Qui dit divergence dans l'application de la loi, dit voie de recours mais celle-ci n'est pas prévue...

La question est d'autant moins secondaire que l'intensité maximale d'intrusion dans les réseaux permise par le texte ne peut que conduire à porter atteinte à la liberté d'entreprendre.

Il n'est pas indifférent de rappeler que dans votre décision du 19 janvier 2006 (précitée), vous avez considéré la nécessaire protection de la liberté d'entreprendre au regard de la mise en oeuvre des interceptions de sécurité : « le législateur a assorti la procédure de réquisition de données techniques qu'il a instituée de limitations et précautions, précisées ci-dessus, propres à assurer la conciliation qui lui incombe entre, d'une part, le respect de la vie privée des personnes et la liberté d'entreprendre des opérateurs, et, d'autre part, la prévention des actes terroristes, à laquelle concourt ladite procédure » (DC 2005-532).

Autrement dit, il est certain que le dispositif critiqué peut conduire à des contentieux nés d'atteintes à la liberté d'entreprendre en sus des menaces pesant sur la vie privée des citoyens. Les opérateurs doivent donc pouvoir contester une décision leur imposant la pose d'une sonde qu'ils estimeraient contraire au droit. Ils ne sauraient être privés du droit au recours.

C'est dire que les opérateurs risquent de se retrouver confrontés à des demandes juridiquement contestables sans pouvoir s'y opposer sur le plan contentieux, sauf à concevoir que le droit commun s'applique alors. Cette dernière hypothèse ne ressortant pas évidemment du silence absolu du texte à cet égard, il est, dans ces conditions, difficile de pallier une telle carence par une simple réserve qui aboutirait à réécrire l'article. Réécriture impossible, en réalité, car s'il fallait considérer que les opérateurs peuvent s'opposer à une telle décision selon les recours du droit commun, alors il s'ensuivrait un risque du point de vue de la sécurité nationale puisque toute la procédure serait publique. Cela parait contraire à la volonté du législateur.

Cela entrainerait, en plus, une rupture d'égalité devant la justice et le droit au recours car des justiciables seraient traités différemment.

Comme la loi est silencieuse sur tous ces points et qu'il n'est pas possible de la réécrire à ce stade, la censure est inévitable. Ce dispositif relatif au droit au recours étant indispensable à l'équilibre du texte et partant au respect de la Constitution, est inséparable de l'ensemble. Cette annulation aboutira à une censure totale conduisant à ce que le Gouvernement présente une version corrigée de ces défauts.

Par tous ces motifs et tous autres à ajouter, déduire ou suppléer, même d'office, les auteurs de la saisine persistent de plus fort à vous demander de censurer les dispositions gravement inconstitutionnelles qui entachent la présente loi.