Le Frexit sécuritaire du Conseil d’Etat

Au nom du droit constitutionnel à la sécurité nationale, le Conseil d’Etat a autorisé la poursuite de l’interception en continu et indifférenciée de toutes nos données de connexion. Il a pour ce faire écarté une législation européenne pourtant équilibrée entre les nécessités de l’ordre public et le respect de la vie privée.

thumbnail-3
L’hystérisation du débat public, sous état d’urgence sanitaire, autour du thème de la sécurité, a pris des proportions effrayantes en cette fin avril 2021.

Outre l’adoption en cours au Parlement des trois lois « sécurité globale », « séparatisme » et prochainement de prorogation de l’état d’urgence sanitaire, nombre de réactions engendrées par les décisions rendues par la justice pénale dans les affaires « Sarah Halimi » et « Viry-Châtillon » glacent le sang par leur caractère irrationnel, leur méconnaissance de la règle de droit et leur appétence pour de fausses informations ayant conduit par exemple la procureure générale de la Cour d’appel de Paris à publier un communiqué de presse pour rétablir la vérité des propos prononcés par un magistrat.

Déconne(xion)


Le 21 avril 2021, par une décision French Data Network et autres (n° 393099[1]), le Conseil d’Etat statuant dans sa formation la plus solennelle a puissamment contribué à l’édification de la forteresse sécuritaire qui se met en place pierre à pierre, ici sur le terrain de nos communications électroniques.

Cette décision est l’une des plus importantes, symboliquement et concrètement, jamais rendues par le Conseil d’Etat, car elle inspirera sans doute les gouvernements hongrois et polonais dans leurs revendications illibérales en même temps qu’elle touche chacun de nous dans les centaines de nos connexions quotidiennement – parfois frénétiquement – réalisées y compris de manière passive.

Il est donc essentiel que chacun et chacune fasse l’effort de s’y intéresser, en dépit de la technicité et de l’aridité de la matière juridique, afin d’en saisir les implications – en attendant les éventuelles répliques en provenance des autorités de l’Union européenne et des juridictions des 26 autres Etats membres de l’Union.

C’est que le Conseil d’Etat a, au nom du droit constitutionnel à la sécurité nationale mais en violation des règles européennes protectrices des libertés individuelles, validé le recueil massif et la conservation pendant un an de toutes les données de connexion (trafic incluant la liste des numéros appelés ainsi que l’horodatage des communications électroniques, l’adresse IP, la géolocalisation, la liste des sites consultés….) par les opérateurs de télécommunication, les fournisseurs d’accès à internet et les hébergeurs, lesquels peuvent ensuite être conduits à les communiquer aux services de renseignement ou d’enquête policière.

Or, ainsi que l’avait souligné la Cour de justice de l’Union européenne dans un arrêt La Quadrature du Net et autres rendu le 6 octobre 2020 à la demande du Conseil d’Etat, ces procédés permis en France par la loi n° 2015-912 du 24 juillet 2015 relative au renseignement ont des conséquences terribles sur notre droit au respect de nos vies privées :

« les données relatives au trafic et les données de localisation sont susceptibles de révéler des informations sur un nombre important d’aspects de la vie privée des personnes concernées, y compris des informations sensibles, telles que l’orientation sexuelle, les opinions politiques, les convictions religieuses, philosophiques, sociétales ou autres ainsi que l’état de santé, alors que de telles données jouissent, par ailleurs, d’une protection particulière en droit de l’Union. Prises dans leur ensemble, lesdites données peuvent permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci. En particulier, ces données fournissent les moyens d’établir le profil des personnes concernées, information tout aussi sensible, au regard du droit au respect de la vie privée, que le contenu même des communications » (pt 117).

Cette décision French Data Network et autres du Conseil d’Etat est inhabituellement volumineuse : elle met fin à plus de cinq ans de contentieux aux plans national et européen, porte sur des règles de droit écrites complexes et innove dans les rapports entre la France et l’Union européenne. Pour ces raisons, il n’est pas possible d’en faire ici la minutieuse exégèse.

L’essentiel peut être ainsi résumé : de manière totalement improbable au regard de l’arrêt de la Cour de justice du 6 octobre 2020 dont le sens aurait dû s’imposer au Conseil d’Etat sauf à ce qu’il en saisisse à nouveau la même Cour, la décision du Conseil d’Etat donne, à l'exception de quelques points de détails insignifiants sur lesquels il est inutile de s’attarder, très largement satisfaction au gouvernement français, et valide la surveillance massive de nos données de connexion.

A ce titre, la décision French Data Network et autres est doublement inquiétante.

Guerre des juges

Inquiétante d’abord par la méthode, injustifiable juridiquement, à l'issue de laquelle le Conseil d’Etat a écarté l’application du droit de l’Union européenne, au nom de la suprématie de la Constitution du 4 octobre1958.

Du point de vue de l’ordre juridique français, cette suprématie ne se discute pas. Les juridictions étaient, en conséquence de décisions du Conseil constitutionnel et du Conseil d’Etat des 27 juillet 2006 et 8 février 2007, parvenues à un bon compromis permettant de concilier cette suprématie avec le principe de la primauté du droit de l’Union européenne sur l'ensemble des droits nationaux des 27 États membres : la conformité à la Constitution des règlements et directives européens peut être effectuée par les juridictions françaises non au regard de l’ensemble du texte du 4 octobre 1958, mais par rapport aux seuls règles et principes inhérents à l’identité constitutionnelle de la France – la laïcité à la française était souvent invoquée comme l’un des rares exemples d’une telle spécificité constitutionnelle. En revanche, lorsqu’une disposition constitutionnelle française a un équivalent européen, c’est à l’aune de ce dernier que doit être examinée la légalité d’un acte normatif pris par les autorités européennes, avec le cas échéant l’appui de la Cour de justice de l’Union européenne susceptible d'être saisie par un juge français pour que soit fixée la portée de la norme européenne.

Dans sa décision du 21 avril 2021, le Conseil d’Etat a donné pour la première fois un contenu pratique à ce que recouvre cette particularité constitutionnelle française. En l’occurrence, ainsi que le souhaitait le gouvernement, il s’agit de « la sauvegarde des intérêts fondamentaux de la Nation, la prévention des atteintes à l’ordre public, notamment celle des atteintes à la sécurité des personnes et des biens, la lutte contre le terrorisme, ainsi que la recherche des auteurs d'infractions pénales ».

Ainsi, de simples objectifs de valeur constitutionnelle « valises » déduits de l’article 12 de la Déclaration de 1789 qui prévoit la nécessité d’une force publique sont consacrés au rang de règles et principes constitutionnels spécifiques à la France et peuvent, à ce titre, conduire à un contrôle par les juridictions françaises de la constitutionnalité de l'ensemble de la législation européenne, car il n'y a pas de raison valable de limiter la sauvegarde de l'ordre public français au seul domaine des communications électroniques. Le Conseil d’Etat a fait le choix, politique, d’une interprétation la plus extensive possible de la notion « d’identité constitutionnelle de la France », étant entendu par ailleurs que la rubrique « sauvegarde des intérêts fondamentaux de la Nation » est indéterminée et pourrait être transposée demain aux matières économique, sociale, environnementale ou fiscale. La boîte de Pandore est ouverte.

Cette interprétation très large est en l’occurrence non pas seulement artificielle, mais manifestement fausse : tout l’arrêt rendu par la Cour de justice le 6 octobre 2020 consiste précisément à vérifier que la règle européenne en cause assure une conciliation équilibrée entre, d’une part, des libertés individuelles (respect de la vie privée, liberté d’expression, droit au respect des communications) et, d’autre part, « la sauvegarde de la sécurité publique (ou nationale) de l’Etat membre concerné » (pt 149) ou « la conservation des données à des fins policières »  (pt 118) ou encore « les objectifs de protection de la sécurité nationale et de lutte contre la criminalité grave » (pt 122), lesquels ne sont – heureusement ! –  pas spécifiques à la Constitution française. Et si le Conseil d’Etat a indiqué au point 10 de sa décision que l’ordre public tel que protégé par la Constitution française « ne saurait être regardé comme bénéficiant, en droit de l’Union, d’une protection équivalente à celle que garantit la Constitution », cette affirmation n’est pas démontrée et s’avère inexacte au regard de l’arrêt de la Cour de justice du 6 octobre 2020, sauf à considérer comme l'a fait en substance le Conseil d’Etat que l’ordre public doit systématiquement l’emporter sur la préservation des libertés individuelles.

A l’issue de six années de procédure contentieuse au cours desquelles les « règles et principes inhérents à l’identité constitutionnelle de la France » n’avaient jamais été sérieusement mobilisés, le Conseil d’Etat a délibérément instrumentalisé cette notion dans le seul but de faire échec à l’application du droit européen, ainsi que le lui demandait le gouvernement français - faut-il rappeler que le président de la République se présentait en 2017 comme pro-européen (v. « Emmanuel Macron, européen dans le discours, souverainiste dans les actes », 16 oct. 2017) ? Avec sa décision du 21 avril 2021, le Conseil d'Etat a, en réalité, considéré qu'il pouvait outrepasser un arrêt de la Cour de justice lorsque le sens qu'elle donne à un principe européen dont il existe un équivalent dans la Constitution française, ici la protection de l'ordre public, ne lui convient pas. Il a fait le choix, délibéré et grave, d’ouvrir une guerre des juges en Europe et même entre les deux ordres juridictionnels français, puisque la juridiction pénale reste libre de décider d'appliquer l'arrêt de la Cour de justice à la lettre.

Tropisme sécuritaire

thumbnail-4
La décision French Data Network et autres est également inquiétante sur le fond de ce qui a été jugé. Elle montre sans conteste que le Conseil d’Etat n’est aucunement le protecteur des libertés individuelles qu’il prétend être dans sa communication : il est essentiellement la caution juridictionnelle des choix de politiques publiques de l’exécutif et le promoteur, à ses côtés, de la conception contemporaine totalisante de la sécurité publique au détriment des libertés individuelles.

La Cour de justice de l’Union européenne était pourtant parvenue à un équilibre satisfaisant entre ordre public et respect de la vie privée, inspiré de la règle séculaire hors état d’urgence selon laquelle la liberté est le principe et la restriction de police l’exception (« compte tenu, d’une part, des effets dissuasifs sur l’exercice des droits fondamentaux (…) que la conservation de ces données est susceptible d’entraîner et, d’autre part, de la gravité de l’ingérence que comporte une telle conservation, il importe, dans une société démocratique, que celle-ci soit (…) l’exception et non la règle et que ces données ne puissent faire l’objet d’une conservation systématique et continue », pt 142).

En premier lieu, la Cour a considéré que la conservation généralisée et indifférenciée pendant un an de l’ensemble des métadonnées de la population n’est justifiée par la « sauvegarde de la sécurité nationale » que si l’Etat « fait face à une menace grave, (…) réelle et actuelle ou prévisible ».

En deuxième lieu, la Cour a jugé que, pour les besoins des enquêtes pénales en cas de criminalité, le recueil des données dans le temps et dans l’espace doit être restreint aux personnes susceptibles de présenter un risque de passage à l’acte criminel grave ou contre la sécurité publique.

Enfin, en troisième lieu, la Cour a précisé qu’en dehors de ces deux hypothèses, le recueil et à plus forte raison l’utilisation des données de connexion sont interdits.

A l’exact opposé, le Conseil d’Etat, se faisant censeur de l'arrêt de la Cour de justice ou choisissant d'en altérer la portée par une mise en oeuvre contraire à son esprit, a pour sa part fait prévaloir les considérations d’ordre public sur les libertés individuelles, considérant ainsi que nous sommes toutes et tous potentiellement susceptibles de commettre à chaque instant un acte de  nature à troubler la paix publique.

En premier lieu, l’obligation de conservation généralisée et indifférenciée des données de connexion (autres que les données relatives à l’identité civile et aux adresses IP) est justifiée par la concordance de trois éléments évasivement décrits de nature, selon le Conseil d’Etat, à attester d’une menace grave, actuelle et réelle à la sécurité nationale très largement appréciée :

« la persistance d’un risque terroriste élevé, ainsi qu’en témoigne notamment le fait que sont survenues sur le sol national au cours de l’année 2020 six attaques abouties ayant causé sept morts et onze blessés. Deux nouveaux attentats ont déjà été déjoués en 2021. Le plan Vigipirate a été mis en œuvre au niveau « Urgence attentat » entre le 29 octobre 2020 et le 4 mars 2021 puis au niveau « Sécurité renforcée – risque attentat » depuis le 5 mars 2021, attestant d’un niveau de menace terroriste durablement élevé sur le territoire » ;

« la France est particulièrement exposée au risque d’espionnage et d’ingérence étrangère, en raison notamment de ses capacités et de ses engagements militaires et de son potentiel technologique et économique. De nombreuses entreprises françaises, tant des grands groupes que des petites et moyennes entreprises, font ainsi l’objet d’actions malveillantes, visant leur savoir-faire et leur potentiel d’innovation, à travers des opérations d’espionnage industriel ou scientifique, de sabotage, d’atteintes à la réputation ou de débauchage d’experts » ;

« la France est également confrontée à des menaces graves pour la paix publique, liées à une augmentation de l’activité de groupes radicaux et extrémistes ».

C’est donc sur la base de tels poncifs non documentés et par lesquels le gouvernement auto-justifie la menace terroriste en activant le plan Vigipirate que la plus haute juridiction administrative française a décidé que 67 millions de personnes peuvent voir leur données de connexion archivées pendant une année entière, là où la Cour de justice entendait limiter cet archivage aux situations d’état d’exception sécuritaire.

En deuxième lieu, faisant ici jouer la réserve de constitutionnalité tirée de la protection de l'ordre public national, le Conseil d’Etat a jugé impraticables et discriminatoires les limitations au recueil des données posées par la Cour de justice relativement aux risques de commission d’un acte criminel grave ; il a ajouté que la distinction européenne entre criminalité grave et criminalité ordinaire n’avait pas de raison d’être valable. Les 15 juges européens de la Grande chambre de la Cour de justice apprécieront...

thumbnail
En conséquence, le Conseil d’Etat a validé la situation qui existe en France depuis des années, celle d’une surveillance massive de toutes nos connexions téléphoniques et internet et leur communicabilité aux forces de l’ordre, à la seule réserve de papier tenant à ce que le gouvernement établisse chaque année par décret motivé la situation menaçant la sécurité nationale. Ce décret pourra (bien entendu…) faire l’objet d’un recours contentieux devant… le Conseil d’Etat himself, dont chacun peut désormais clairement mesurer son tropisme sécuritaire même en dehors de circonstances exceptionnelles.

L’exemple belge

Tout comme le Parlement avec les lois « sécurité globale » et « séparatisme » (v. « Quelques maux à propos de la loi confortant les principes de la sécurité globale », 13 avril 2021), le Conseil d’Etat a choisi la méthode du filet maillant dérivé sécuritaire lancé en permanence sur les communications électroniques de 67 millions de personnes, au prétexte que quelques dizaines de milliers d’entre elles sont annuellement susceptibles de commettre une infraction pénale. Les différents états d’urgence qui se succèdent depuis 2015 ont réussi leur insidieux travail de sape des libertés individuelles au profit d’un mirage sécuritaire.

thumbnail-5
Il est pourtant possible de faire autrement sans sacrifier les intérêts de la sécurité nationale. Ainsi, au lendemain de la décision du Conseil d’Etat, la Cour constitutionnelle belge a, par un arrêt 57/21 Ordre des barreaux francophones et germanophones du 22 avril 2021 encore plus volumineux que celui du Conseil d’Etat, eu de son côté à tirer les conséquences de l’arrêt rendu le 6 octobre 2020 par la Cour de justice. La Cour constitutionnelle belge l’a appliqué à la lettre, comme elle devait le faire ne serait-ce que par respect de la chose jugée et exigence d’exemplarité dans l’exercice de sa mission juridictionnelle : elle a très simplement annulé l’obligation prévue par une loi belge du 29 mai 2016 de conservation généralisée et indifférenciée par les opérateurs et fournisseurs de services de communications électroniques de toutes les données relatives à ces communications.   

C’est la troisième fois en quelques années que le Conseil d’Etat de France viole ouvertement le droit de l’Union européenne, au détriment des libertés individuelles (v. « Le Conseil d'Etat décode Schengen », 29 déc. 2017 ; « Camouflet européen pour le Conseil d’Etat », 5 octobre 2018). Cet affront fait à l’Europe et à chaque françaisE ne devrait pas rester sans conséquence juridique, sans même évoquer le coup porté dans l’Union européenne à l’image du Conseil d’Etat. La Commission européenne pourrait engager une action contre la France en raison de la jurisprudence French Data Network e. a., en même temps que la juridiction pénale française, saisie d’une affaire où des données de connexion ou de géolocalisation sont constituées à titre de preuves, pourrait à nouveau saisir la Cour de justice sinon appliquer directement au cas par cas les préceptes posés par son arrêt du 6 octobre 2020, en contournant la décision du Conseil d’Etat.

thumbnail-1
Il ne faudra jamais oublier que, le 21 avril 2021, la plus haute formation du Conseil d’Etat de France a ouvertement choisi de méconnaître le droit de l’Union européenne. Elle n’a pour cela pas hésité à renverser la perspective équilibrée de la Cour de justice de l’Union européenne selon laquelle l’obligation de conservation des données de communications électroniques doit être l’exception et non la règle. Elle a instrumentalisé la Constitution, faisant ainsi table rase du droit au respect de la vie privée de 67 millions de personnes présumées suspectes 365 jours/an et 24h/24.

Merci à Christian Creseveur pour le dessin.

[1] v. La Quadrature du Net, « Le Conseil d’État valide durablement la surveillance de masse », blogs.mediapart.fr, 21 avril 2021 (le titre du présent billet est inspiré du texte du billet de LQdN) ; Jean-Baptiste Jacquin, « Le Conseil d’Etat autorise la poursuite de la conservation généralisée des données », lemonde.fr, 21 avril 2021 ; Jérôme Hourdeaux, « Données de connexion : la France contourne la justice européenne », Mediapart, 22 avril 2021 ; Amaelle Guiton, « Données de connexion : le Conseil d’Etat avalise le stockage généralisé », liberation.fr, 22 avril 2021.

Le Club est l'espace de libre expression des abonnés de Mediapart. Ses contenus n'engagent pas la rédaction.