Paris, le 10 février 2016 — Le 6 octobre 2015, la Cour de justice de l'Union européenne annulait le Safe Harbor, accord conclu en 2000 avec les États-Unis pour donner un cadre légal aux transferts des données des citoyens de l'Union européenne aux États-Unis. Le G29, groupe de travail qui rassemble les autorités nationales de protection des données, avait donné jusque fin janvier à la Commission européenne pour trouver un nouvel accord qui prenne en compte les exigences de la Cour de Justice de l'Union européenne. Cet accord nommé « Privacy Shield » a été annoncé le 2 février, mais ne contient qu'une série de vagues promesses.

Communiqué commun de l'Observatoire des Libertés et du Numérique (OLN)1

L'Observatoire des Libertés et du Numérique s'inquiète de la situation et interpelle Madame Věra Jourová, commissaire européenne à la justice chargée des négociations, afin de lui demander de faire respecter les dispositions du règlement sur les données personnelles et l'arrêt de la Cour de justice de l'Union européenne du 6 octobre ainsi que d'obtenir de réelles garanties sur les données personnelles des citoyens européens.

Madame la Commissaire,

Vous avez annoncé le 2 février avoir conclu un accord politique fixant un nouveau cadre pour le transfert transatlantique des données à caractère personnel de toute personne dont les données sont collectées en Europe. Or en fait de cadre, il ne s'agit que de promesses vagues qui semblent avant tout avoir pour objectif de faire patienter le G29 qui attendait le résultat des négociations fin janvier. Ni le G29, ni les membres du Parlement européen, ni les organisations citoyennes ne sont dupes des risques importants que comporte cette stratégie.

L'arrêt de la Cour de justice de l'Union européenne en date du 6 octobre 2015 a condamné le système actuel de transfert des données personnelles aux États-Unis en dénonçant par ce biais l'inaction de la Commission européenne qui s'était révélée incapable de le revoir par elle-même alors que les révélations d'Edward Snowden prouvaient que les pratiques des États-Unis ne garantissaient pas une protection suffisante. Cet arrêt doit être, par ailleurs, l'occasion de revoir les dispositifs de surveillance de masse qui se développent en Europe, mettant en cause la protection des données personnelles des Européens.

Nous vous demandons de tenir vos engagements et de vous assurer que les engagements américains (en termes de législation) seront contraignants et offriront des garanties suffisantes pour permettre l'adoption d'une décision européenne de reconnaissance du niveau élevé de la protection. Cet accord devra notamment :

• protéger les données personnelles des personnes concernées vis-à-vis des services de renseignement américains et de toutes les pratiques de surveillance ;
• offrir des moyens de recours aux personnes concernées, devant un juge indépendant accessible facilement et disposant de moyens suffisants et adaptés pour effectuer des contrôles aux États-Unis ;
• permettre la mise en œuvre des droits d’accès, de rectification, d’opposition et d'effacement des données qui les concernent ;
• s'assurer que les engagements américains honorent le principe de privacy by design et by default, consacré par le futur règlement européen et par la future directive européenne sur la protection des données personnelles ;
• définir les obligations des entreprises qui cherchent à importer des données aux États-Unis, en matière de protection des données, en particulier de transparence vis-à-vis des personnes concernées ;
• offrir l'assurance que les décisions seront contraignantes pour les États membres de l'UE comme pour les États-Unis.

Or, vous annoncez le « Privacy Shield » (bouclier de confidentialité UE-USA), un accord issu d'un échange de lettres, de promesses sans garantie réelle, vous mettant ainsi dans une position de faiblesse dans les négociations en l'absence d'engagements américains concrets et légalement opposables. Dans trois semaines vous devrez transmettre le texte de l'accord politique au G29. Serez-vous à même d'obtenir réellement les garanties nécessaires dans un délai si court ?

Nous resterons vigilants sur les résultats de la négociation. Cet arrêt marquant de la Cour de justice de l'Union européenne annulant le Safe Harbor ne doit pas avoir comme effet de brader nos droits et libertés. Un accord au rabais serait très certainement de nouveau annulé à terme par la Cour et aurait des conséquences très négatives sur la confiance des européens mais aussi sur celles des entreprises européennes et américaines qui sont concernées par le « Privacy Shield ». Il en va de la crédibilité de l'Europe dans le monde à l'heure de la mondialisation des transformations par le numérique.

L'Observatoire des Libertés et du Numérique
Creis Terminal
Le Cecil
La Ligue des Droits de l'Homme
La Quadrature du Net
Le Syndicat des Avocats de France
Le Syndicat de la Magistrature

• 1. L'Observatoire des Libertés et du Numérique regroupe le Cecil, Creis-Terminal, la Ligue des droits de l'Homme, le Syndicat de la magistrature, le Syndicat des Avocats de France et La Quadrature du Net.

Paris, le 10 février 2016 — Alors que le Conseil d'État doit rendre ce vendredi une première décision dans ce dossier brûlant1, Privacy International (PI) et le Centre for Democracy and Technology (CDT) ont soumis un mémoire, dans le cadre d'une tierce intervention visant à soutenir les recours initiés par FDN, FFDN et La Quadrature du Net. L'enjeu : obtenir l'abrogation des dispositions imposant la conservation généralisée des métadonnées en France, et permettre à la Cour de justice de l'Union européenne de jouer pleinement son rôle de garante des droits fondamentaux.

Un mot sur le contexte

Dans les semaines qui suivirent les attentats du World Trade Center en septembre 2001, et ceux de Londres et Madrid en 2004 et 2005, plusieurs pays dont la France adoptèrent des lois visant à la conservation généralisée des données de connexion. L'Union européenne de son côté adopta la directive n° 2006/24/CE du 15 mars 2006, imposant le principe de conservation généralisée des données de connexion à l’ensemble des États membres de l’Union, avec une durée de conservation pouvant aller de six mois à deux ans.

Or, dans l'arrêt Digital Rights du 8 avril 2014, la Cour de justice de l'Union européenne (CJUE) a invalidé cette directive, alors que ses atteintes au droit à la vie privée avaient déjà été dénoncées par les juridictions constitutionnelles ou administratives de plusieurs États membres, les juges nationaux estimant que ces dispositions emportaient une ingérence disproportionnée dans la vie privée et la liberté de communication de leurs citoyens. Tel fut le cas de la Roumanie (2009), de l’Allemagne (2010), de la Bulgarie (2010), de Chypre (2011) et de la République Tchèque (2011).

Le 24 décembre 2014, Le Gouvernement français adoptait le décret dit « LPM2 ». C'est contre ce décret que les « exégètes amateurs3 » ont introduit leur premier recours. Par la suite, ils ont initié un autre recours visant cette fois-ci le refus du Gouvernement d'abroger :

• l'article R. 10-13 du code des postes et communications électroniques (CPCE) ;
• le décret n°2011-219 du 25 février 2011, qui modifie les dispositions relatives aux réquisitions judiciaires prévues à l'article 6 de la Loi pour la Confiance dans l'Economie Numérique (LCEN), du 21 juin 2004 (loi n°2004-575).

Ces deux recours visent au même but, à savoir faire constater la contrariété au droit européen des mesures de surveillance généralisée instituées par le droit français et revenir à un dispositif plus ciblé et donc plus proportionné. Dans leur tierce intervention, les deux ONG analysent la jurisprudence tant de la Cour de justice de l'Union européenne (CJUE) que de la Cour européenne des droits de l'homme (CEDH) et rappellent que, suite à l'arrêt Digital Rights, de nombreux tribunaux à travers l'Europe ont invalidé les dispositions de droit national4. Il revient donc au Conseil d'État de faire de même. À défaut, ce dernier devrait au moins saisir la CJUE pour s'assurer que le droit français en la matière respecte le droit de l'Union européenne. Cela apparaîtrait d'autant plus indispensable que deux renvois préjudiciels visant à préciser l'arrêt Digital Rights sont actuellement pendants devant la CJUE. S'il validait le dispositif de surveillance français, le Conseil d'État s'inscrirait non seulement à contre-courant d'une jurisprudence européenne déclinée par les cours suprêmes de nombreux États en Europe, mais tournerait aussi le dos à deux éléments constituants de l'Union européenne, à savoir: la Charte des droits fondamentaux d'une part et le dialogue des juges d'autre part.

Vers un pied-de-nez à la CJUE ?

Or, une audience a déjà eu lieu le 27 janvier 2016 au Conseil d'État sur le recours contre le décret LPM. À cette occasion, le rapporteur public s'est opposé à ce que le Conseil d'État demande à la CJUE d'évaluer la conformité du droit français à la Charte. Selon lui, cela ne serait pas opportun puisque « en tout état de cause » le dispositif français devrait être validé parce que plus précis que la directive de 2006 invalidée par la CJUE.

Cette argumentation extrêmement politique est d'autant plus choquante qu'elle va à l'encontre de plusieurs décisions de justice dans d'autres pays européens5, d'un rapport du parlement européen, mais aussi des propos tenus dans le rapport annuel 2014 du Conseil d'État lui-même, lequel reconnaissait que l'applicabilité de la Charte ne pouvait être écartée d'un revers de la main !6

Le 12 février prochain à 14 heures, le Conseil d'État doit rendre une première décision sur le recours contre le décret LPM. Si les juges français devaient valider le dispositif français ou s'opposer à la saisine de la CJUE, cela serait non seulement l'expression d'une profonde défiance à l'égard de la CJUE, mais aussi un véritable déni de justice pour les citoyens français.

Alors qu'un débat mondial se tient contre les mesures de surveillance d'Internet et que, partout en Europe, des tribunaux poussent à une refonte des législations nationales pour tenir compte de la jurisprudence de la CJUE, le rejet de l'action introduite par FDN, la FFDN et La Quadrature du Net marquerait un recul historique de plus pour l'État de droit en France. Il s'agirait enfin d'une énième expression de la crise historique que traverse la construction européenne.

Pour plus d'information, vous pouvez retrouver :

• L'annonce officielle de son intervention au recours par CDT ;
• La demande d'abrogation de l'article R. 10-13 du code des postes et communications électroniques (CPCE) et du décret n°2011-219 du 25 février 2011, qui modifie les dispositions relatives aux réquisitions judiciaires prévues à l'article 6 le la Loi pour la Confiance dans l'Economie Numérique (LCEN), du 21 juin 2004 (loi n°2004-575) ;
• Le recours LPM ;
• Pour voir les autres recours des Exégètes Amateurs, c'est ici.
• 1. Le 12 février prochain à 14 heures, le Conseil d'État doit rendre une première décision sur le recours contre le décret LPM
• 2. Décret n° 2014-1576 du 24 décembre 2014 relatif à l'accès administratif aux données de connexion.
• 3. Sobriquet donné par J.J. Urvoas au groupe d'activistes issus des trois associations précitées. Les exégètes se mobilisent contre les abus gouvernementaux attentatoires aux libertés sur internet.
• 4. Quelques exemples :
  • En juin 2014, la Cour constitutionnelle autrichienne a déclaré invalide la majeure partie de la loi nationale. Les opérateurs ont immédiatement cessé de conserver les données concernées ;
  • Le 3 juillet 2014, la Cour constitutionnelle slovène a annulé la décision de conservation des données. Les trois griefs principaux soulevés par la Cour sont la conservation massive et sans discrimination d'une partie significative de la population sans justification, l'absence de motivation de la durée de conservation (8 mois pour les données de connexion à Internet), l'utilisation pour d'autres motifs que les « crimes sérieux » ;
  • En Roumanie, la première loi de transposition nationale avait été invalidée par la Cour constitutionnelle dès 2009. Le gouvernement avait adopté une nouvelle loi en 2012. Le 8 juillet 2014, la Cour constitutionnelle a déclaré que la loi de 2012 était également inconstitutionnelle ;
  • En Bulgarie, la Cour constitutionnelle a déclaré la loi nationale inconstitutionnelle le 12 mars 2015 ;
  • Aux Pays-Bas, la loi néerlandaise imposait une conservation des données pour une durée de 6 à 12 mois, avec des durées différentes selon les types de données. Suite au recours d'une coalition d'ONG, le 11 mars 2015, le tribunal de première instance de La Haye a donné raison à la société civile et a invalidé la loi de 2009 en matière de conservation des données.
  • Enfin, en Belgique, la Cour constitutionnelle a jugé le 12 juin 2015 que la loi de transposition nationale, adoptée en juillet 2013, « par identité de motifs avec ceux qui ont amené la Cour de justice de l’Union européenne à juger la directive “conservation des données” invalide », et en particulier en raison du caractère généralisé et indifférencié de la conservation, le législateur avait violé la Charte des droits fondamentaux et, partant, la Constitution belge.

• 5. Demande de décision préjudicielle présentée par la Kammarrätten i Stockholm (Suède) le 4 mai 2015 – Tele2 Sverige AB / Post- och telestyrelsen (Affaire C-203/15) : «  Une obligation générale de conservation de données, relative à toute personne et à tous les moyens de communication électronique et portant sur l’ensemble des données relatives au trafic, sans qu’aucune différenciation, limitation ni exception ne soient opérées en fonction de l’objectif de lutte contre la criminalité [telle que décrite dans la décision de renvoi], est-elle compatible avec l’article 15, paragraphe 1, de la directive 2002/58 1 compte tenu des articles 7, 8 et 52, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne ?
  S’il est répondu par la négative à la première question, une telle obligation de conservation peut-elle néanmoins être admise :
  • si l’accès par les autorités nationales aux données conservées est encadré de la manière précisée [dans la décision de renvoi], et
  • si les exigences de protection et de sécurité des données sont régies de la manière précisée [dans la décision de renvoi], et que
  • toutes les données en question doivent être conservées pendant six mois à compter du jour de l’achèvement de la communication avant d’être effacées, comme il l’est exposé [dans la décision de renvoi] ? »

• 6. RICHARD, Jacky et CYTERMANN, Laurent, 2014. Le numérique et les droits fondamentaux Les rapports du Conseil d’État. S.l. Conseil d’État. [Consulté le 29 mai 2013]. Études du Conseil d’État, p. 200. Disponible ici.

Paris, le 9 février 2016 — Le gouvernement tente, dans un embouteillage législatif confus, de faire prolonger par tous les moyens possibles la suspension de l'État de droit que connaît la France depuis le 13 novembre 2015. Prolongation, extension, constitutionnalisation de l'état d'urgence, loi de réforme pénale et de lutte contre le terrorisme, un arsenal législatif confus et dangereux va être voté dans les jours qui viennent au Sénat et à l'Assemblée nationale. La Quadrature du Net met en garde les parlementaires contre l'emballement législatif, qui installe de plus en plus nettement une situation préoccupante des droits de l'Homme en France.

Madame la députée,
Monsieur le député,
Madame la sénatrice,
Monsieur le sénateur

Depuis le 13 novembre 2015, la France vit sous le régime de l'état d'urgence. Si pour de nombreux citoyens rien n'a changé pour l'instant dans leur vie, pour un certain nombre d'autres le quotidien est devenu plus inquiétant, plus arbitraire, et surtout le socle de nos institutions et du fonctionnement de l'État de droit a été fortement ébranlé. L'état d'urgence a suspendu depuis trois mois une part importante de la séparation des pouvoirs en France, mettant sous l'autorité de la police, des services de renseignement et du ministère de l'Intérieur les perquisitions, assignations à résidence, dissolutions d'associations au détriment du juge judiciaire.

Le régime de l'état d'urgence et les nombreuses actions qu'il a entrainé mettent en péril la cohésion sociale de la nation, au moment même où le gouvernement fait systématiquement appel à cette union pour faire accepter des mesures liberticides, et où la résistance au danger devrait souder la société autour des valeurs et principes démocratiques les plus fondamentaux.

Le gouvernement vous demande la constitutionnalisation et une prolongation de trois mois de l'état d'urgence, arguant d'un contexte national et international risqué, ce que nul ne saurait contester, mais qui ne risque pas de se résoudre en trois mois. Il veut gagner du temps pour faire passer une réforme pénale et de nouvelles mesures antiterroristes qui, de fait, inscriront dans la loi ordinaire une grande partie des dispositions de l'état d'urgence.

Ces demandes sont dangereuses1 :

• elles accentuent un arsenal de mesures intrusives et dangereuses pour les libertés fondamentales alors que l'empilement récent de lois sur le terrorisme et le renseignement n'ont pas fait leurs preuves et n'ont pas été évaluées publiquement ;
• elles pérennisent les mesures de l'état d'urgence dans la loi ordinaire, faisant basculer l'équilibre fragile des pouvoirs au profit de l'exécutif, de la police, des préfets, du renseignement, ce qui constitue une baisse des garanties apportées aux citoyens ;
• elles persistent à faire croire que c'est en multipliant les mesures intrusives et attentatoires aux libertés que le terrorisme pourra être efficacement combattu, sans prendre en compte le traitement à la racine des nombreux problèmes qui ont amené cette situation ;
• elles ignorent les très nombreuses mises en garde formulées tant par les associations de terrain, de défense des droits, les syndicats de magistrats et d'avocats, les plus hauts représentants de l'ordre judiciaire, les rapporteurs des institutions européennes et internationales spécialisées sur les droits de l'homme etc.

Au delà des mesures concrètes qui feront peser encore sur les citoyens le poids d'une surveillance accrue, perçue comme arbitraire et sans contrôle a priori, l'ensemble des lois que vous allez avoir à voter fait entrer le système juridique français dans une logique où le contrôle judiciaire systématique et effectué a priori par un juge indépendant (seule garantie des libertés) est remplacé par un éventuel contrôle a posteriori fait par une justice administrative fortement liée à la hiérarchie de l'exécutif.

D'ailleurs, les recours contre les mesures prises sur le fondement de « notes blanches » du renseignement sont de plus en plus contestés, et les tribunaux administratifs commencent à casser des décisions, quand ce n'est pas le ministère de l'Intérieur qui fait opportunément cesser une assignation à résidence contestée quelques jours avant l'audience d'un recours, afin de ne pas perdre la face trop souvent.

Cela illustre bien les dangers d'un basculement du contrôle du juge judiciaire vers le contrôle administratif, basculement qui s'accélère depuis quelques années et montre ces derniers mois ses limites et ses dangers.

Vous devez refuser de voter l'ensemble de ces mesures : il n'y a rien de plus dangereux que de faire vaciller le socle des droits fondamentaux en période troublée. Il est tout aussi dangereux de croire et faire croire qu'un durcissement juridique et une banalisation de l'état d'urgence sont les seules solutions pour contrer le risque terroriste. Quel que soit l'apparent soutien populaire mesuré par sondages, il est de votre responsabilité de regarder plus loin et de protéger notre droit et nos principes, pour l'avenir de notre société et pour montrer l'exemple d'une représentation nationale responsable et indépendante d'un gouvernement qui semble aujourd'hui céder à la panique. Encore une fois, avec l'ensemble des organisations, syndicats, personnalités, engagés contre l'état d'urgence, nous demandons au gouvernement de cesser sa fuite en avant sécuritaire, et nous vous demandons d'avoir la sagesse de les stopper.

La Quadrature du Net

• 1. Vous trouverez nos propositions d'amendements sur le projet de loi de réforme pénale, de lutte contre la criminalité et le terrorisme

C’est la seule véritable mesure choc du gouvernement et du président de la République pour faire pièce au terrorisme qui a durement frappé la France en 2015. Lors du Conseil national du renseignement du 14 janvier, François Hollande a validé la mise en place d’un dispositif visant, à terme, à mettre sous surveillance l’ensemble des données de communication des 11 700 personnes fichées « S » pour lien avec l’islamisme radical. [...]

Le souci réside dans le fait que les moyens humains et techniques de la CNCTR étant, pour l’heure, largement sous-dimensionnés pour une telle tâche, il a été décidé de procéder par un examen « simplifié » et « groupé », le temps de pourvoir aux besoins de l’instance de contrôle. Le président de la CNCTR, Francis Delon, n’a pas opposé de résistance à cette procédure qui restreint, de fait, le champ de sa mission. Aucun délai n’ayant été fixé pour améliorer cette capacité de contrôle, le gouvernement se met dans l’illégalité alors que la loi sur le renseignement devait justement le replacer dans le giron du droit.

Il s’agit de collecter des données de connexions, également appelées métadonnées, qui circulent dans les câbles et sont captées grâce aux moyens techniques de la Direction générale de la sécurité extérieure (DGSE) et à l’accès au stockage de données des opérateurs de communication. L’Etat peut ainsi suivre toutes les connexions attachées aux adresses IP d’ordinateurs, de numéros de téléphone, cartes bancaires et tout autre objet relié à un réseau électronique utilisé par les personnes fichées. Cette collecte systématique permet de surveiller la vie des individus de façon bien plus intrusive que par écoute téléphonique. De quoi établir une vaste toile de surveillance comprenant également les entourages et les entourages des entourages. [...]

http://abonnes.mobile.lemonde.fr/police-justice/article/2016/02/04/les-1...

Au Journal officiel, ce week-end, a été publié l’un des tout derniers décrets d'application de la loi sur le renseignement. Il touche au cœur de la mécanique de surveillance, en dressant la liste des données techniques de connexion accessibles aux services de surveillance. [...]

Le nouvel article R851-5-I commence par définir ce que les données de connexion ne sont pas : elles ne peuvent viser le « contenu des correspondances échangées ou des informations consultées ». C’est là une suite de la décision du Conseil Constitutionnel, qui fut appelée à définir ce champ suite à une question prioritaire de constitutionnalité soulevée par la Quadrature du Net, FDN et FFDN. [...]

La loi sur le renseignement prévoit une autre procédure de recueil en temps réel : il s’agit cette fois de tracer tous les échanges d’une personne constituant une menace terroriste (851-2 CSI). Tout est ici plus simple puisqu’il n’y a plus de passage administratif dans les mains des intermédiaires : « le groupement interministériel de contrôle recueille en temps réel, sur les réseaux (…) les informations ou documents demandés ». Il n’y a pas davantage de sollicitation du réseau toujours via les intermédiaires, mais un accès direct à leurs infrastructures, leurs serveurs, etc. [...]

http://www.nextinpact.com/news/98305-les-donnees-connexions-accessibles-...