Chez les exégètes amateurs, le rythme est soutenu. Nos mémoires dans la procédure contre les décrets de la loi renseignement [à peine déposés], nous dédions notre attention au dépôt d’un nouveau [mémoire] dans la procédure contre le refus tacite du gouvernement d’abroger les dispositions règlementaires organisant le régime de conservation des données de connexion par les intermédiaires techniques.
Si vous n’avez rien compris à la fin de cette dernière phrase, rassurez-vous ! La plupart d’entre nous n’a rien compris non plus la première fois qu’un exégète proposa de se pencher dessus.
Alors, on va d’abord faire un petit point sur la procédure dans laquelle ce dernier mémoire s’inscrit avant de vous décrire le pourquoi de ce nouveau mémoire et son contenu.
Avertissement : ce billet est plein de digressions et de points de droit. Mais vous allez peut-être apprendre des trucs. C’est pour ça qu’on a fait ce site et c’est pour ça que nous publions nos mémoires.
Contexte
Après les attentats de Madrid en mars 2004 et de Londres en juillet 2005, l’Union européenne adopta la directive 2006/24/CE, créant un principe de conservation généralisée des données de connexion, pour une durée allant de six mois à deux ans.
À l’époque, les critiques dénonçant l’incompatibilité de ces dispositions avec le respect des droits fondamentaux furent nombreuses. Plusieurs lois de transposition nationales furent ainsi déclarées inconstitutionnelles en Roumanie (2009), en Allemagne (2010), en Bulgarie (2010), à Chypre (2011) et en République Tchèque (2011).
Finalement, le 8 avril 2014, la Cour de justice de l’Union européenne (CJUE) jugeait dans l’arrêt Digital Rights que ladite directive était invalide car contraire à [la Charte des droits fondamentaux de l’Union européenne].
Pourtant, les dispositions françaises de conservation des données de connexion par les intermédiaires techniques subsistent. L’invalidation de la directive européenne n’a pas entrainé automatiquement celle des dispositions françaises.
Point sur la procédure contre le refus d’abrogation de la rétention des données
La rétention généralisée des données de connexion
Tout d’abord, sur le fond1, cette procédure vise à mettre fin au régime français qui impose aux intermédiaires techniques (opérateurs et hébergeurs) de conserver des données sur tout le monde pendant un an.
Pourquoi impose-t-on cela aux intermédiaires ? Au cas où dans les 365 jours qui suivent, l’autorité (administrative ou judiciaire) souhaiterait y accéder. La logique de cette mesure imposée aux intermédiaires techniques, c’est qu’on ne peut pas savoir à l’avance qui va être soupçonné de quoi ; donc, il faut garder des données sur tout le monde.
Récemment, le gouvernement français est intervenu devant la Cour de justice de l’Union européenne pour défendre le principe de la rétention généralisée des données de connexion. Pendant son intervention, le gouvernement a poussé sa logique encore plus loin en [allant carrément dans l’absurde] : en gardant des données sur tout le monde, il estime qu’on peut aussi s’en servir pour les droits de la défense, pour permettre au suspect de prouver son innoncence ! En droit, c’est le monde à l’envers : la fin de la présomption d’innocence. On ne doit plus prouver la culpabilité du suspect, c’est désormais au suspect de montrer qu’il est innocent.
Pendant ce temps, cette suspicion généralisée n’a toujours pas fait preuve de son efficacité au-delà des discours politiques, tandis que le [rapport] de l’homologue britannique de la CNCTR démontre que la rétention généralisée des données engendre de nombreuses erreurs portant parfois sur des accusations extrêmement graves.
La procédure contre le refus tacite d’abrogation
Pour remettre en cause les lois françaises imposant aux intermédiaires la rétention des données de connexion, nous avons utilisé une procédure peu habituelle.
Si vous suivez un petit peu ce qu’on a fait [contre la LPM] ou ce qu’on fait contre [la loi renseignement], vous savez que toute personne peut saisir le Conseil d’État d’un [recours en excès de pouvoir] contre le gouvernement qui prend un décret. L’un des axes d’attaque pour démontrer l’illégalité du décret est le manque de base légale. Ce manque de base légale peut notamment résulter de l’invalidité de la loi que le décret applique. Cette invalidité peut elle-même résulter notamment de l’incompatibilité de la loi avec la Constitution — il faudra alors faire une question prioritaire de constitutionnalité (QPC) — ou encore de l’incompatibilité de la loi avec le droit de l’Union européenne, la Convention européenne de sauvegarde des droits de l’homme, ou avec un autre traité international.
Or ici, ce n’est pas ce qu’on fait. Pourquoi ? Simplement pour une question de délai. En effet, on ne peut pas saisir le Conseil d’État lorsque le décret a été publié il y a plus de deux mois2 — c’est la forclusion.
Alors il y a une autre possibilité. Cette voie alternative est ouverte depuis 1989 par l’arrêt [Alitalia] du Conseil d’État. Elle consiste à demander au gouvernement d’abroger une disposition règlementaire (par exemple, un décret). Si cette disposition règlementaire est contraire au droit (par exemple, une décision de la Cour de justice de l’Union européenne), alors le gouvernement est tenu d’abroger la disposition en cause.
Si le gouvernement ne le fait pas, cela signifie qu’il laisse subsister dans l’ordre juridique une illégalité. Le remède consiste à attaquer la décision de ne pas corriger cette illégalité.
Telle est la situation sur le régime français de rétention généralisée des données de connexion, suite à l’arrêt [Digital Rights Ireland et Seitlinger] de la Cour de justice de l’Union européenne rendu en avril 2014.
Le 27 avril 2015, FDN, La Quadrature du Net et FFDN ont donc [demandé au gouvernement d’abroger] l’article R. 10-13 du code des postes et des communications électroniques ainsi que le décret n° 2011-219 du 25 février 2011 pris en application de la LCEN.
Nous avons reçu une réponse comme quoi le dossier avait été transmis au ministère de la justice. Puis, rien. Le délai légal de deux mois pour répondre s’est écoulé, sans retour du ministère. S’ouvrait alors un autre délai de deux mois pour saisir le Conseil d’État et contester le refus tacite du gouvernement d’abroger les dispositions invalides en cause.
Nous avons donc déposé une [requête introductive], dans laquelle nous avons annoncé la production ultérieure d’un [mémoire ampliatif] dans un délai de 3 mois.
Depuis le 27 novembre 2015, le gouvernement a eu la possibilité de nous répondre. Il ne l’a toujours pas fait.
[La procédure] suit son cours. Privacy International et le Center for Democracy and Technology nous ont rejoint par une tierce intervention, en déposant des mémoires venant appuyer nos demandes.
Pour ne pas rester dans l’attente, nous avons donc décidé de remettre les mains sur le dossier et de produire un mémoire précis sur un point de droit.
Résumé sur le mémoire complémentaire relatif à l’applicabilité de la Charte des droits fondamentaux de l’UE
Ce petit billet est plein de digressions. En voici encore une.
Pourquoi avons-nous fait ce mémoire sur ce point si précis ? Pour le comprendre, il faut remonter à notre précédente procédure, celle contre le décret d’application de l’article 20 de la loi de programmation militaire, dite LPM (dont on retrouve des bouts dans la loi renseignement, intégrés au chapitre accès aux données de connexion du code de la sécurité intérieure).
Bien qu’il s’agissait d’accès aux données par les services de renseignement et non de conservation imposée aux intermédiaires techniques, les deux questions sont liées. Dans ce recours, nous avions donc déjà abordé la question de la jurisprudence de la Cour de justice de l’Union européenne au soutien de nos arguments.
Mais dans [sa décision], le Conseil d’État a totalement esquivé la question de l’applicabilité de la [Charte][la Charte des droits fondamentaux de l’Union européenne] des droits fondamentaux de l’Union européenne (voir la [réaction] de La Quadrature du Net). Il s’est ainsi autorisé à ne tirer aucune conséquence des récents arrêts de la Cour de justice de l’Union européenne basés sur l’application de cette Charte. Exit la décision Digital Rights Ireland. Exit la décision Schrems d’octobre 2015. Comme si ces décisions n’avaient pas existé et que la Cour de justice n’avait pas clairement remis en cause l’absence de garanties fortes et de limitations importantes aux mesures des États consistant à accéder à des données de connexion — données dont le caractère intrusif et révélateur de la vie privée des personnes a maintes fois été démontré (voir encore récemment cette [étude mentionnée par Le Monde] qui se concentre sur les données de connexion relatives à la téléphonie).
C’est pourquoi nous avons décidé de consacrer un court mémoire à la démonstration de l’applicabilité de la Charte des droits fondamentaux de l’Union européenne au dispositif français de conservation des données. Il s’agit, d’une part, d’anticiper une potentielle réponse du gouverne-ment qui ne manquera probablement pas d’insister sur l’aspect « sauvegarde de la sécurité nationale » pour tenter de démontrer que l’obligation de rétention des données n’est pas concernée par l’ordre juridique de l’Union européenne.
Il s’agit, d’autre part, de mettre le Conseil d’État face à ses obligations : le Conseil d’État doit faire l’application du droit européen tel qu’il s’impose à lui et tel qu’interprété par la Cour de justice de l’Union européenne. Or, comme pour toute juridiction dont les décisions ne sont pas susceptibles de recours en droit interne, le Conseil d’État a l’obligation de faire un renvoi préjudiciel à la Cour de justice dans le cas où sa décision dépendrait d’une difficile et sérieuse question d’interprétation du droit de l’UE.
Toutefois, nous pensons qu’il n’y a ici aucune question d’interprétation, puisque la Cour de justice a déjà apporté des réponses absolument claires sur l’applicabilité de la Charte. Ce sont les arguments que nous faisons valoir dans ce mémoire, notamment en citant ce récent arrêt de la Cour :
« lorsqu’il s’avère qu’une réglementation nationale est de nature à entraver l’exercice de l’une ou de plusieurs libertés fondamentales garanties par le traité elle ne peut bénéficier des exceptions prévues par le droit de l’Union pour justifier cette entrave que dans la mesure où cela est conforme aux droits fondamentaux dont la Cour assure le respect. Cette obligation de conformité aux droits fondamentaux relève à l’évidence du champ d’application du droit de l’Union et, en conséquence, de celui de la Charte. L’emploi, par un État membre, d’exceptions prévues par le droit de l’Union pour justifier une entrave à une liberté fondamentale garantie par le traité doit, dès lors, être considéré, ainsi que Mme l’avocat général l’a relevé au point 46 de ses conclusions, comme « mettant en oeuvre le droit de l’Union », au sens de l’article 51, paragraphe 1, de la Charte. »
(CJUE, 3e ch., 30 avr. 2014, Pfleger, C-390/12, §36 ; voir également en ce sens, CJUE, 18 juin 1991, ERT, C-260/89, §43)
Or, précisément, l’État français n’a pu établir une conservation généralisée des données qu’en employant une exception prévue par la directive 2002/58.
En effet, cette directive prévoit que, en principe, les opérateurs doivent supprimer les données de connexion qu’ils traitent. Ce n’est que par l’exception prévue à l’article 15 de la directive que les États membres peuvent déroger à ce principe, au nom, notamment, de la sécurité nationale.
Il n’y a dès lors aucun doute sur le fait que le régime français de conservation généralisée met en œuvre le droit de l’Union, à travers cette exception prévue à l’article 15 de la directive ePrivacy. La Charte est donc applicable : le régime français de conservation des données de connexion n’est valide qu’à condition de respecter les droits fondamentaux garantis par la Charte telle qu’interprétée par la Cour de justice.
Voilà pour les explications. Le [mémoire] est assez court, n’hésitez pas à aller le lire :-) Et nous vous tiendrons bien sûr informé de la réponse que nous fera le gouvernement…
[Lire tous les documents de cette procédure][La procédure]
Vous n’imaginez pas ce que ça coûte à un avocat de commencer par écrire sur le fond, normalement on soulève tout un tas de moyens avant la défense au fond ;-)↩
Le délai peut varier. C’est plus long si le requérant est situé dans un département ou un territoire d’outre-mer. C’est encore un peu plus long si le requérant est situé à l’étranger.
[à peine déposés]: https://exegetes.eu.org/renseignement-offensive-conseil-detat-et-qpc/
[mémoire]: https://exegetes.eu.org/recours/abrogationretention/CEtat/2016-05-17-complement-charte.pdf
[la Charte des droits fondamentaux de l’Union européenne]: http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:12010P
[allant carrément dans l’absurde]: https://twitter.com/AntoniaLatsch/status/719872036097683460
[rapport]: http://www.iocco-uk.info/docs/2015%20Half-yearly%20report%20%28web%20version%29.pdf
[contre la LPM]: https://exegetes.eu.org/dossiers/#loi-de-programmation-militaire-lpm-sur-laccs-administratif-aux-donnes-de-connexion
[la loi renseignement]: https://exegetes.eu.org/dossiers/#dcrets
[recours en excès de pouvoir]: https://fr.wikipedia.org/wiki/Recours_pour_exc%C3%A8s_de_pouvoir_en_France
[Digital Rights Ireland et Seitlinger]: http://curia.europa.eu/juris/liste.jsf?num=C-293/12
[demandé au gouvernement d’abroger]: https://exegetes.eu.org/recours/abrogationretention/demande/2015-04-27-demande.pdf
[requête introductive]: https://exegetes.eu.org/recours/abrogationretention/CEtat/2015-09-01-recours.pdf
[mémoire ampliatif]: https://exegetes.eu.org/recours/abrogationretention/CEtat/2015-11-27-complement1.pdf
[La procédure]: https://exegetes.eu.org/recours/abrogationretention/CEtat/
[sa décision]: https://exegetes.eu.org/recours/lpm/CEtat/2016-02-12-Decision%20CE%20-%20388.1343%20LPM.pdf
[réaction]: https://www.laquadrature.net/fr/conseil-etat-donnees-connexion%20
[étude mentionnée par Le Monde]: http://www.lemonde.fr/pixels/article/2016/05/18/les-metadonnees-telephoniques-revelent-des-informations-tres-privees_4921532_4408996.html↩