De l’autre côté de la barrière, une large partie de la doctrine estime que depuis l’adoption en 2015 de la très controversée Loi renseignement, la France a déjà pris un tournant plus que jamais sécuritaire [1]...
Cette balance entre sécurité et liberté ne cesse donc jamais d’être au cœur du projet sociétal et doit en permanence être réévaluée sous le prisme des avancées techniques et technologiques.
Face à la légalisation de nouvelles techniques de captation de données très controversées, il est légitime de s’interroger à nouveau jusqu’où la nécessité de sécurité nationale peut-elle, et doit-elle, justifier les atteintes à la vie privée ?
L’évolution du système de surveillance français.
En 2014, la CJUE est venue, par une série d’arrêts, drastiquement limiter la conservation de données de trafic et de localisation par les Etats et l’accès à ces données par les enquêteurs. Cette position a été vivement contestée car constituant pour beaucoup une immixtion dans les prérogatives exclusives des Etats membres, et de surcroit une interprétation extensive des droits protégés par la Charte des droits fondamentaux de l’Union.
Les 24 juillet et 30 novembre 2015, deux lois sont votées, la loi relative au renseignement et celle relative à la surveillance des communications électroniques internationales. Malgré les fortes controverses dont font l’objet grand nombre de leurs dispositions et notamment celles autorisant l’utilisation par les services de renseignements de plusieurs techniques jusqu’alors illégales telles que les IMSI Catcher, toutes deux sont intégrées dans le Code de la sécurité intérieure.
L’IMSI Catcher est défini à l’article 706-95-4 du Code de procédure pénale comme :
« un appareil ou un dispositif technique utilisé dans le but de recueillir les données techniques de connexion permettant l’identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur, ainsi que les données relatives à la localisation d’un équipement terminal utilisé ».
Il s’agit donc d’un dispositif extrêmement intrusif destiné à l’interception de communications mobiles par imitation d’une antenne-relais. L’IMSI Catcher peut capter les mouvements, les appels téléphoniques et les messages, en direct, et collecter ces données, sans avoir préalablement reçu le consentement des individus concernés.
Dans un contexte d’attentats terroristes à répétition, ce système est alors apparu comme une technologie miracle grâce à laquelle les enquêtes allaient pouvoir prendre une tout autre dimension. Grâce à un l’IMSI Catcher, un attentat est d’ailleurs déjoué in extremis à Marseille en 2017 [2].
Apple peut se vanter d’avoir défié les autorités gouvernementales en 2016 afin de préserver l’intégrité des informations privées de ses utilisateurs, une lutte manifestée dans le contexte tendu du bras de fer opposant Syed Farook (un des auteurs présumés de la fusillade de San Bernardino) et le FBI.
Captation de données par les Etats vs. Confidentialité des messageries instantanées : un dilemme moderne.
L’affaire Cambridge Analytica a révélé comment des gouvernements étrangers pouvaient exploiter les informations personnelles de plus de 50 millions d’utilisateurs de Facebook à des fins de profilage et de ciblage politique [3].
Les réglementations relatives à la protection des données, telles que le règlement général sur la protection des données (RGPD) dans l’Union européenne et la loi californienne sur la protection de la vie privée des consommateurs (CCPA) soulignent le rôle important du cryptage pour garantir la sécurité des consommateurs et des entreprises. Bien qu’aucune des deux réglementations n’exige explicitement le chiffrement, elles recommandent fortement aux services de messagerie de chiffrer les messages personnels.
Le rapporteur spécial des Nations unies sur la liberté d’expression a rappelé dès 2015 que toute restriction au chiffrement constitue une atteinte à l’exercice du droit à la vie privée et à la liberté d’expression. Elle doit être justifiée par les principes impératifs de légalité, nécessité, proportionnalité et légitimité des objectifs. Les États « doivent faire preuve de transparence quant à la nature et la portée de leurs mesures de pénétration de l’Internet, la méthodologie appliquée et sa justification », souligne le Rapporteur spécial sur la promotion et la protection des droits de l’Homme et des libertés fondamentales dans la lutte antiterroriste [4].
Malgré les prises de position répétées de nombreux acteurs et institutions en faveur du chiffrement [5], de nombreux États envisagent ou vont de promulguer des lois visant à restreindre l’utilisation et l’accès à la protection de données. Ces mesures sont le plus souvent présentées au nom de la lutte contre le terrorisme. Ces affaiblissements remettent pourtant en question la vie privée des utilisateurs moyens.
Par la loi Renseignement et en dépit du chiffrement permettant de protéger les données personnelles des individus dans les messageries privées, la France, et d’autres pays européens tels que la Belgique et les Pays-Bas, ont fait le choix de légaliser l’accès aux renseignements personnels dans le cadre d’enquêtes criminelles ou de mesures liées à la sécurité nationale [6].
Dans cette perspective, un argument de « sécurité nationale » a été évoqué par le ministre de l’Intérieur français, Monsieur Gérald Darmanin, souhaitant avoir accès aux contenus des messageries privées d’applications (Facebook, WhatsApp, Télégram…) [7].
Pour la directrice d’Europol, la Belge Mme Catherine de Bolle, le chiffrement serait « le dernier refuge des criminels ». Ces techniques de renseignement permettent pourtant aux autorités nationales d’examiner des informations sécurisées facilitant les investigations et répondant aux impératifs de sécurité publique, leur mise en œuvre n’est pas règlementée.
Une affaire en cours concernant la messagerie cryptée SKY ECC en est le parfait exemple.
Les autorités européennes ont tenté de déchiffrer la messagerie, véritable mine d’informations pour les enquêteurs qui ont réussi à neutraliser des criminels impliqués dans des opérations illégales. Toutefois, les moyens utilisés pour cette vaste collecte de données restent nébuleux.
L’opération conjointe entre les services belges, français et néerlandais représente ainsi une intrusion directe dans la vie privée des utilisateurs de la messagerie. La légitimité de cette méthode ne fait aucune distinction entre les individus suspects et les autres. Il n’y a aucun ciblage des données collectées, la personne suspectée n’est plus la seule à être espionnée [8].
Le tribunal régional (Landgericht) de Berlin a le 19 octobre 2022 rendu une décision des plus déconcertantes. Là où des tribunaux d’autres länder ont jugé et condamné des délinquants identifiés par la messagerie cryptée SKY ECC sans remettre en question l’origine des informations ayant permis leur identification. Le tribunal de Berlin met en évidence l’opacité de l’origine des data.
Les autorités françaises invoquent l’article 706-102-1 du Code de procédure pénale qui autorise le recours à des pratiques d’espionnage en matière de « potentielle » criminalité, sous l’autorité et le contrôle du juge d’instruction, bien que ce dernier manque d’encadrement et s’applique de manière arbitraire, au profit des forces de l’État.
Les dérives d’un tel système.
En dépit des prouesses de ces techniques de captation invasives, une grande partie de la doctrine a fait part de ses inquiétudes dès le début. Il était certain que le procès historique des attentats du 13 novembre 2015 irait bien au-delà des seules responsabilités pénales.
L’alinéa premier de l’article 8 de la Convention européenne des droits de l’Homme et du citoyen pose le principe selon lequel :
« toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ».
Son second alinéa introduit quant à lui une exception selon laquelle :
« Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sureté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui ».
Ainsi, si la sécurité fait en effet partie de la liste des exceptions pouvant permettre une entorse au principe, il n’en reste pas moins que l’articulation de cet article en elle-même démontre une volonté de hiérarchisation de la part des rédacteurs, avec, tout au sommet, le respect de la vie privée érigé en principe.
L’absence de ciblage des données captées par ces nouvelles technologies, à l’instar de l’IMSI catcher est la démonstration d’un glissement dangereux de l’utilisation de l’exception au principe, vers un irrespect total de ce dernier [9].
Le 25 mai 2021, la CEDH a rendu un arrêt condamnant Le Royaume-Uni pour violation « du droit au respect de la vie privée et familiale et des communications » ainsi que pour absence de cadre légal visant « l’obtention de données de communication auprès des opérateurs de communication ». La cour a condamné la Suède le même jour pour « garantie insuffisante dans la collecte de masse de renseignement d’origine électromagnétique » et atteinte « à la vie privée » [10].
Il est à noter que la défense avancée alors par le Royaume-Uni allait à l’encontre d’un raisonnement juridique satisfaisant en soutenant que « le but de la surveillance de masse n’était pas de rechercher les communications de cibles identifiées au préalable mais d’accumuler des données puis de décider qui doit être ciblé ».
Ainsi, l’argumentation reposait sur l’hypothèse que chacun est un potentiel coupable en puissance, en attente d’être découvert. Il est aisé de constater ici le glissement orwellien de l’argument sécuritaire…
La non-conformité du système français aux exigences européennes.
Le Conseil d’Etat, par sa décision d’Assemblée French data network du 21 avril 2021 [11] a reconnu que la conservation générale et indifférenciée des données de trafic et de localisation était contraire au droit de l’Union européenne. Il a alors adopté une « position de constructivisme jurisprudentiel » [12] ayant inspiré le législateur français qui, par l’adoption de la loi du 30 juillet 2021, a modifié l’article L34-1 du Code des postes et des communications, fixant dorénavant la durée de conservation à un an pour la quasi-intégralité des métadonnées.
En dépit des deux interventions du législateur par la loi du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement et celle du 2 mars 2022 visant à combattre le harcèlement scolaire, notre droit national n’apparaît toujours pas conforme à la jurisprudence de la CJUE qui exige notamment que tout accès aux données fasse l’objet d’un contrôle préalable par une autorité indépendante ou par une juridiction.
En effet en France, bien que ne pouvant pas être considéré comme indépendant vis-à-vis de l’enquête, c’est toujours le parquet qui est chargé de contrôler l’accès aux données de connexion en flagrance et en enquête préliminaire.
Dans une énième tentative de mise en conformité, la chambre criminelle de la Cour de cassation a jugé par des arrêts rendus le 12 juillet 2022 que le procureur de la République ne pouvait valablement contrôler l’accès aux données de connexion alors même qu’il dirige l’enquête. Cette lueur de mise en conformité à cependant été nuancée car la Haute Cour admet dans le même temps que l’absence d’un contrôle indépendant n’entraînerait la nullité de la procédure concernée que si le requérant pouvait établir l’existence d’un préjudice, c’est-à-dire démontrer qu’un contrôle indépendant aurait conclu à l’impossibilité d’accéder aux données de connexion concernées.
Ces faibles et inabouties tentatives de respect de la norme supérieure européenne sont regrettables et sont payées au prix fort du non-respect de sa vie privée par l’ensemble de la population française. Il est à noter que faisant ce terrible constat le Sénat a rendu le 15 novembre dernier un rapport dans lequel il formule ses diverses recommandations et préconise notamment de faire exercer le contrôle préalable par le juge des libertés et de la détention (JLD).
Quoi qu’il en soit, à l’heure actuelle, il n’en est rien et la France se trouve donc en inconformité caractérisée avec le droit de l’Union sur une des matières les plus sensibles qui soit.
Depuis lors, le vieux dilemme entre la sécurité nationale et le respect de la vie privée demeure au cœur des préoccupations sociétales. Il est ainsi fondamental d’appréhender la portée sérieuse de ces avancées technologiques, portant atteinte à notre sphère privée, un bastion que nous défendons farouchement dans le droit français.
Nous sommes amenés aujourd’hui à réévaluer nos droits au nom de la protection de notre territoire. La lutte contre le terrorisme et les mesures prises à cet effet sont certes des causes défendables. Cependant, la défense nationale ne saurait se faire au détriment des libertés individuelles et collectives.
Les paroles intemporelles de Benjamin Franklin résonnent avec une pertinence particulière dans la délicatesse de cette conjoncture : « Ceux qui renonceraient à la liberté essentielle pour acheter un peu de sécurité temporaire, ne méritent ni la liberté ni la sécurité ».