La Quadrature du Net
@laquadrature
Fri Apr 16 09:37:01 +0000 2021

Cet après-midi, c'est l'audience au @Conseil_Etat concernant le renseignement. On vous live-tweetera l'audience, rendez-vous ici à 14h. #CERens https://t.co/Q0x07QLIBU

Dans cette affaire, la CJUE nous a donné raison en octobre dernier. Mais le gouvernement ne veut pas l'entendre : il demande au @Conseil_Etat de ne pas appliquer la décision de la CJUE. Étrange conception de l'État de droit... https://t.co/UUMViUvYsP https://t.co/EOW8HVld6c

L'audience commence. #CERens

On apprend déjà que la section de l'Intérieure a été consultée dans nos affaires. #CERens

Le RPCE commence en rappelant les attentats du Bataclan. On entend globalement mal... #CERens

Le RPCE rappelle le nombre de demandes d'accès aux données de connexion en matière de police judiciaire. Environ 2 millions par an. Environ 50k pour le renseignement. #CERens

Le RPCE distingue 3 types de données de connexion : qui se cache derrière un identifiant, les données de trafic, et les données de localisation. Il rappelle que ces données peuvent être anodines comme relatives à l'intimité des personnes. #CERens

Le RPCE retrace l'historique de l'article L34-1 CPCE. Retard dans la France d'une transposition d'une directive de 1997, attentats du 11-Septembre, puis transposition en urgence par un amendement du gouvernement quelques semaines après. #CERens

Le RPCE estime qu'une telle obligation de conservation des données de connexion relève de la loi. (Rappel : on demande au CE d'écarter des dispositions législatives contraires au droit de l'UE) #CERens

Le RPCE détaille les données de connexion devant être conservées. Il explique ensuite que de plus en plus d'autorités administratives peuvent y avoir accès (coucou la Hadopi !). Les services de renseignement piochent dedans, évidemment. #CERens

On passe aux possibilités d'accès par les services de renseignement : accès en temps réel, accès différé, analyse algorithmique. #CERens

Le RPCE estime que l'enjeu des affaires est de se prononcer sur l'économie générale de ces dispositions : la conservation généralisée et indifférenciée des données de connexion. #CERens

Le RPCE rappelle la procédure qui a conduit le @Conseil_Etat à poser les questions préjudicielles à la CJUE en 2018. #CERens

Il estime que les obligations de conservations créées par le CPCE peuvent servir aussi aux services de renseignement. #CERens

Sur la surveillance internationale, le RPCE oppose l'autorité de la chose jugée. #CERens

Le RPCE estime que le rapport de force juridique s'est inversé dans ces affaires, au profit des requérantes. 💪 #CERens

Il revient sur ce qu'ont dit CJUE et CEDH. (On rappellera que la CJUE fait beaucoup de références à la jurisprudence de la CEDH dans sa décision d'octobre dernier.) #CERens

Retour sur la jurisprudence de la Cour de justice de l'UE sur les données de connexion. Digital Rights en 2014, Tele2 en 2016, et enfin LQDN en 2020. L'histoire continue de s'écrire, rappelle le RPCE, puisque d'autres QPJ sont pendantes. #CERens

Sur le champ d'application du droit de l'UE, le RPCE rappelle que la CJUE est très claire : le droit de l'UE s'applique. Il estime que les acteurs privées obligés de conserver les données de connexion sont des "collaborateurs" de la justice et du renseignement. #CERens

Il rappelle que les hébergeurs ne sont pas soumis à la directive ePrivacy, mais au RGPD. Il estime que la vision de la CJUE est axée sur l'accès aux données quand celle du Conseil constitutionnel est centrée sur l'accès. #CERens

Il revient sur les risques d'abus dans l'accès aux données de connexion rappelés par la CJUE. Mais il estime que le droit français est suffisant pour les prévenir. #CERens

Le RPCE revient sur les droits atteints par une telle conservation des données de connexion : vie privée, liberté d'expression, droit à la sûreté. Mais il rappelle que des exceptions proportionnées peuvent exister. #CERens

Le RPCE rappelle que la CJUE dégage trois niveaux de gravités dans la conservation des données de connexion, avec trois régimes d'accès et de conservation différents. #CERens

Il s'arrête sur l'adresse IP. Conservation réservée pour la lutte contre la criminalité grave et la sécurité nationale uniquement. #CERens

Pour les infractions pénales ordinaires, seule l'identité civile peut être conservée. #CERens

Retour sur la conservation ciblée, possible pour la lutte contre la criminalité grave uniquement. Plusieurs critères possibles : après avoir identifié une personne suspecte, ou parce qu'un lieu est sensible (ciblage géographique). #CERens

Ça parle maintenant du gel rapide de la conservation des données de connexion (quick freeze). #CERens

Le RPCE revient maintenant sur la nouveauté de la décision d'octobre de la CJUE : une nouvelle possibilité de conservation en cas de menace grave réelle ou actuelle, ou prévisible. Il rappelle qu'il ne peut y avoir de caractère systématique à ces situations. #CERens

Il rappelle que la CJUE impose une concordance entre la finalité de la conservation et la finalité de l'accès : une donnée conservée pour une certaine gravité ne peut faire l'objet d'accès pour une finalité moins grave. Problème logique affirme-t-il. #CERens

Il rappelle les exigences de la CJUE concernant l'autorité de contrôle et l'information aux personnes concernées. #CERens

Il revient sur la réception de l'arrêt de la CJUE par les États membres : sidération, hallucination, « dramatique » a été écrit en défense. Il rappelle que le gouvernement français demande à ce que cet arrêt CJUE ne soit pas appliqué. #CERens

Retour sur ce contrôle dit de l'« ultra vires ». La Cour constitutionnelle allemande a déjà adopté un tel contrôle en mai 2020 concernant les programmes monétaires de la BCE. #CERens

L'ultra vires serait une arme de dernier recours, après avoir permis à la CJUE de revenir sur sa décision (droit à l'erreur). #CERens

Le CE n'a jamais contesté l'autorité de la CJUE. Ni le Conseil constitutionnel. Mais il estime que l'application de l'arrêt de la CJUE est surtout justifiée en droit : art. 88 Constitution. #CERens

Il estime toutefois qu'il n'y a pas une emprise de la CJUE sur le CE : la portée d'une décision reste à être déterminée par les juridictions de renvoi. #CERens

Pas d'ultra vires, donc, mais une détermination par le @Conseil_Etat de la portée de l'arrêt. #CERens

Le RPCE estime que ce ne serait pas la première fois que la CJUE donne des interprétations du droit dérivé de l'UE ayant des incidences sur la sécurité nationale. #CERens

Retour sur l'identité constitutionnelle désormais. Le RPCE rappelle le principe de primauté du droit de l'UE. Il y a une exigence constitutionnelle de donner une effectivité au droit de l'UE. Mais il existe aussi d'autres exigences constitutionnelles. #CERens

Il rappelle que le droit de l'UE doit respecter la Constitution. Le juge national doit donc contrôler le droit de l'UE à la Constitution. #CERens

Retour sur la clause de sauvegarde « Arcelor ». Dans cette affaire, le débat était celui de la constitutionnalité d'une directive. #CERens

Ici, le cas de figure est différent. C'est le défendeur (le gouvernement) qui oppose une inconstitutionnalité. C'est la conformité de la directive ePrivacy et du RGPD à la Constitution qui est en question. #CERens

Mais il y aurait un problème : l'inconstitutionnalité viendrait du fait d'écarter la loi qui serait contraire au droit de l'UE. Ce n'est pas le rôle du @Conseil_Etat, estime le RPCE. #CERens

Il faut que le CE vérifie quand même un point : qu'en écartant l'application d'une loi contraire au droit dérivé de l'UE cela ne créerait pas une atteinte à une garantie constitutionnelle. #CERens

La mise en œuvre de la clause de sauvegarde doit être exceptionnelle : la France risquerait une sanction pour manquement et une crise politique. Il faut regarder les garanties en général. #CERens

Il estime que la sauvegarde de l'ordre public est une exigence constitutionnelle. Il estime que le droit à la vie privée serait également atteint si on ne garantit pas l'ordre public (?!). Il n'y aurait pas d'opposition entre ordre public et vie privée. #CERens

Le RPCE regarde alors si l'arrêt CJUE permet effectivement de garantir l'ordre public. La CJUE négligerait le fait que son arrêt porterait une atteinte à la sécurité nationale. Le juge national reste le gardien de cette sécurité nationale. #CERens

Il revient maintenant sur la conservation de l'adresse IP source. Il remet en question la limitation de cette conservation pour la criminalité grave uniquement et la règle de concordance entre les finalités de la conservation et celles de l'accès. #CERens

La classification de la CJUE serait problématique à mettre en œuvre selon le RPCE : quelle serait la frontière entre la criminalité grave et les infractions pénales ordinaires ? #CERens

Il estime qu'on ne peut pas interdire l'accès aux IP lorsqu'une peine faible est encourue. L'ingérence dans le droit à la vie privée serait la même peu importe la gravité du délit qui justifierait l'accès aux données de connexion. #CERens

Le RPCE réinterprète la proportionnalité dans la mise en oeuvre de la directive ePrivacy et refuse que les finalités lors de l'accès devraient être les mêmes que celles justifiant la conservation. #CERens

Il revient sur l'interprétation des cas dans lesquels une conservation généralisée pourrait être mise en œuvre. Il n'adhère pas à la restriction aux seules périodes d'état d'urgence sécuritaire. #CERens

Il estime qu'il y aurait actuellement un niveau élevé de risque terroriste. Il estime qu'il y aurait aussi des risques de cyberattaques. #CERens

Pour le RPCE, le budget du renseignement traduirait l'existence d'une menace réelle (entre autres). Il parle aussi d'actes « para-terroristes » à propos d'actes de sabotages. #CERens

Le RPCE invite le CE à activer la clause de sauvegarde pour justifier l'effet différé de l'annulation des dispositions. #CERens

Il estime que le croisement de données de connexion est important. Il reprend l'affirmation du gouvernement selon laquelle les données de localisation permettraient de disculper des personnes. #CERens

Le sentiment d'insécurité serait en augmentation d'après le RPCE. (?!) #CERens

Il rappelle les nombreuses interventions d'États membres devant la CJUE. L'abstention de certains États membres devant la CJUE ne serait une marque d'approbation de la jurisprudence de la CJUE selon le RPCE. #CERens

Sur les États-Unis qui n'ont pas une telle obligation de conservation généralisée et indifférenciée, le RPCE dit qu'il faut prendre cela avec des pincettes en absence de chiffres. #CERens

Sur le quick freeze, le RPCE affirme que ce ne serait pas suffisant parce que les données sont rapidement supprimées. Un régime de conservation volontaire ne serait pas imaginable, avec des possibilités de positionnements commerciaux sur ce point. #CERens

Sur la conservation ciblée, la CJUE procèderait à une analyse décalée avec la réalité. Il rappelle que Free soulignait qu'une conservation ciblée serait difficile. #CERens

Le RPCE estime que le ciblage géographique conduira à des scénarios d'évitement de la part des criminels. #CERens

Sur le ciblage individuel, il estime que ce n'est pas fiable, qu'il y aurait des possibilités de stratégies d'évitement, par exemple en changeant de cartes SIM pour sortir du champ du ciblage. #CERens

Globalement, le RPCE justifie les écarts avec l'interprétation de la CJUE par la sauvegarde de la sécurité nationale. #CERens

Il revient sur la réforme en cours de la directive ePrivacy dont la dernière version exclut les questions de conservation des données de connexion. #CERens

On passe aux garanties autour de la mise en œuvre des techniques de renseignement. Le RPCE rappelle que la CNCTR n'a pas de pouvoir de contrainte, contrairement à ce que demande la CJUE. #CERens

Il ne trouve rien à dire à la procédure d'urgence (la CNCTR est saisie après mise en œuvre de la technique de renseignement). Mais hors urgence, elle n'a pas de pouvoir de contrainte et la technique peut être mise en œuvre avant la saisie du Conseil d'État. #CERens

Sur l'information des personnes concernées, le RPCE rappelle que la CJUE conditionne cette information aux situations qui ne mettraient pas en péril la surveillance. #CERens

Il estime que la CJUE n'écarte pas la possibilité que cette hypothèse de non péril de la surveillance n'existe jamais. Il estime que les procédures actuelles du droit sont suffisante. #CERens

Sur l'accès aux données de localisation, le RPCE invoque l'application de la clause de sauvegarde. #CERens

Les boites noires, désormais. Il rappelle que leur objectif est de détecter les signaux faibles, c'est-à-dire des menaces inconnues auparavant. Il estime que, par leur nature, il n'est pas possible d'identifier au préalable les personnes à surveiller par cette technique. #CERens

Par de problème pour les boites noires, estime le RPCE. #CERens

Sur le moment des annulations, le RPCE invoque la clause de sauvegarde pour déroger à l'exigence de la CJUE de leur donner un effet immédiat. Il estime que le temps nécessaire est de 6 mois, conformément à ce que réclame le gouvernement. #CERens

Il ne serait pas concevable de priver sans délai les services de renseignement de leur source de données, ni d'exiger la suppression des données irrégulièrement collectées. #CERens

Il demande que pendant cette période transitoire de 6 mois les techniques de renseignements ne puissent être mises en œuvre qu'après la décision du Conseil d'État en cas d'avis négatif de la CNCTR. #CERens

Le RPCE termine par un propos général sur cette affaire. Il ne serait pas pour ou contre le droit de l'UE mais veut écouter le peuple français. #CERens

Décision le 21 avril 2021. #CERens

Fri Apr 16 14:19:06 +0000 2021