Les dangers méconnus de l’article 20

A la fin de la partie de l’émission Ce soir ou jamais du 13 décembre consacrée à l’article 20 de la Loi de programmation militaire etc., Frédéric Taddéi demanda aux intervenants : alors dites-moi, est-ce qu’un policier, un douanier, un inspecteur des impôts pourra accéder à toutes nos données sur internet ? (je cite de mémoire mais l’idée y est). A part Laurent Borredon qui esquissa un « mais non bien sûr », on n’entendit qu’une sorte de bredouillis indistinct, y compris de ma part. C’est que ce n’est pas le problème, en tout cas pas le principal problème. Bien sûr, il y aura des agents assermentés au sein des administrations de la défense, de l’intérieur, de l’économie et du budget qui pourront accéder à un ensemble très vaste et extensible d’informations et documents concernant des personnes (visées par des autorisations d’une personne qualifiée auprès du Premier ministre nommée par la CNCIS) et tous ceux ou celles qui auront le malheur de les approcher dans l’espace physique ou numérique. Bien sûr cela est en soi très sérieux et il y a tout lieu de douter que le contournement du judiciaire, la maigreur et l’ineffectivité des garanties, le caractère vague et extensible des finalités invoquées respectent la proportionnalité nécessaire à de telles atteintes aux libertés. L’article 20 porte sur des information, documents et activités étendus par rapport aux lois de 1991 et 2006 (cf. par exemple le fameux « y compris ») et dont l’importance dans notre vie personnelle a cru dans des proportions immenses. A mon avis, cela suffirait largement à juger que que cet article mérite d’être censuré.

Mais il y a beaucoup plus grave. La vérité de l’article 20, elle ne se joue pas seulement du côté de l’État, elle se joue tout autant du côté des fournisseurs de services. Car si :

Art. L. 246-3 Pour les finalités énumérées à l’article L. 241-2, les informations ou documents mentionnés à l’article L. 246-1 peuvent être recueillis sur sollicitation du réseau et transmis en temps réel par les opérateurs aux agents mentionnés au I de l’article L. 246-2.

cela signifie que les opérateurs eux-mêmes sont obligés ou investis du droit (qu’ils ne tarderont pas à considérer comme obligation lorsque cela les arrangera) de concevoir des services rendant ces informations et documents accessibles et transmissibles en temps réel. Les directives (y compris celle de 2006 sur la rétention des données que l’avocat général de la CJUE vient de juger attentatoire aux droits fondamentaux de façon disproportionnée), les lois et les décrets ont d’ailleurs déjà multiplié les informations dont la collecte et la conservation sont obligatoires, y compris les mots de passe1.

Les systèmes mis en place par les opérateurs de services seront conçus de façon à être capables de répondre aux demandes concernant toute personne désignée par une autorisation de la personnalité qualifiée. Et par conséquent, c’est bel et bien tout un chacun qui sera l’objet d’une surveillance de leur part (et non pas, ou pas toujours des agents de l’État), avec les risques liés. L’un des éléments les plus intéressants de la position de l’avocat général de la CJUE mentionnée plus haut est qu’il souligne les risques majeurs ouverts par le fait que des actions sensibles soient confiées à des acteurs privés, mûs par des intérêts commerciaux ou stratégiques distincts de l’intérêt public et potentiellement soumis à des pressions économiques ou juridiques externes. A l’opposé, l’un des éléments les plus intéressants des réflexions de la CNIL est son insistance sur le fait que les systèmes doivent être conçus d’une manière qui minimise les risques pour la protection des données. Voir par exemple ses avis adressés à la RATP sur le système Navigo soulignant qu’il aurait été possible d’obtenir les mêmes résultats pour la gestion du service sans suivi des parcours individualisés rattachés à des données nominales. L’une des choses qui divise profondément les commentateurs et les politiques sur l’article 20 est que ceux qui comprennent le numérique (voir par exemple l’avis de Laure de la Raudière) ont l’intuition immédiate de l’effet de l’article en matière de surveillance généralisée diffuse, alors que ceux qui ne jugent que les textes juridiques ne voient pas ces effets.

Si l’on prend en compte cet aspect, il y a un véritable scandale à ce que les dispositions détaillant les mécanismes de collecte et d’accès aux informations et documents soient renvoyées à un décret en Conseil d’État, scandale qui n’est en rien diminué par la mention de la consultation de la CNIL. L’article 34 de la Constitution affirme dans son premier alinéa que :

La loi fixe les règles concernant :
– les droits civiques et les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques ; la liberté, le pluralisme et l’indépendance des médias ; les sujétions imposées par la Défense nationale aux citoyens en leur personne et en leurs biens ;

L’article 37 établit que :

Les matières autres que celles qui sont du domaine de la loi ont un caractère réglementaire.

L’impact réel de l’article 20 sur les libertés publiques (en particulier les libertés d’expression, de communication et d’information qui sont étroitement liées à l’absence de surveillance) doit à mon avis être jugé immédiatement inacceptable. Ses défenseurs affirment que le décret établira que non. Mais puisque c’est à la loi et non au décret de définir « les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques, cela devrait de toute façon amener le Conseil Constitutionnel à censurer l’article en sa totalité.

Revenons cependant à l’État. Dans mon combat permanent contre la biométrie applicable en masse, j’ai toujours souligné que lorsqu’on met en place un dispositif sécuritaire d’État, il faut juger de sa compatibilité avec les libertés et les droits fondamentaux non pas en fonction de ce que l’État est en droit et idéalement mais en fonction de ce qu’il risque de devenir. Bien sûr il ne s’agit pas de raisonner en permanence sur un État totalitaire. Mais il s’agit de bien prendre en compte, que sur une période de quelques décennies, il n’y a pas d’État qui échappe à des très graves dérives en matière de respect des droits. Et qu’il semble bien que nous ne soyons pas l’abri d’une accentuation prochaine des détériorations. Quand j’entends justifier par la sécurité des atteintes aussi fortes aux libertés que celles de l’article 20, quand je vois la bonne conscience affichée de ceux qui les défendent, je vois se dresser la perspective d’une insécurité future.

  1. Cf. le décret 2011-219 du 25 février 2011 dont l’annulation demandée par l’association Internet sans frontières soutenue par la société OVH a été rejetée par le Conseil d’État juste le 20 novembre dernier. []

3 commentaires

  • […] "La vérité de l’article 20, elle ne se joue pas seulement du côté de l’État, elle se joue tout autant du côté des fournisseurs de services."  […]

  • […] A la fin de la partie de l'émission Ce soir ou jamais du 13 décembre consacrée à l'article 20 de la Loi de programmation militaire etc., Frédéric Taddéi demanda aux intervenants : alors dites-moi, est-ce qu'un policier, …  […]

  • francois.carmignola a écrit :

    Bonjour et après la bataille.
    Les révélation de Snowden et il y en a des vertes et des pas mures, comme on dit, montrent qu’il y a urgence à distinguer capacité d’interception et utilisation d’informations interceptées.
    Il faut faire voter des lois règlementant la possibilité d’usage de telles informations, par exemple en interdisant qu’elles puisse servir à des condamnations.
    Ceci car le nombre des possibilités d’espionnage est tout simplement trop grand: impossible de toutes les interdire. Alors qu’il est simple d’affirmer un principe d’anonymat qui serait que ces pièces là ne peuvent tout simplement pas être versées au dossier.
    Une photo de moi faisant une quenelle ? Nul besoin de la détruire, car obtenue illégalement, elle n’existe pas…

Laisser un commentaire