Read on Twitter
Cet après-midi, c'est l'audience au @Conseil_Etat concernant le renseignement. On vous live-tweetera l'audience, rendez-vous ici à 14h. #CERens https://www.laquadrature.net/2021/04/14/jugement-contre-le-renseignement-indices-dune-demi-victoire/
Dans cette affaire, la CJUE nous a donné raison en octobre dernier. Mais le gouvernement ne veut pas l'entendre : il demande au @Conseil_Etat de ne pas appliquer la décision de la CJUE. Étrange conception de l'État de droit... https://www.laquadrature.net/2021/04/07/jugement-imminent-contre-la-surveillance-de-masse/
L'audience commence. #CERens
On apprend déjà que la section de l'Intérieure a été consultée dans nos affaires. #CERens
Le RPCE commence en rappelant les attentats du Bataclan. On entend globalement mal... #CERens
Le RPCE rappelle le nombre de demandes d'accès aux données de connexion en matière de police judiciaire. Environ 2 millions par an. Environ 50k pour le renseignement. #CERens
Le RPCE distingue 3 types de données de connexion : qui se cache derrière un identifiant, les données de trafic, et les données de localisation. Il rappelle que ces données peuvent être anodines comme relatives à l'intimité des personnes. #CERens
Le RPCE retrace l'historique de l'article L34-1 CPCE. Retard dans la France d'une transposition d'une directive de 1997, attentats du 11-Septembre, puis transposition en urgence par un amendement du gouvernement quelques semaines après. #CERens
Le RPCE estime qu'une telle obligation de conservation des données de connexion relève de la loi. (Rappel : on demande au CE d'écarter des dispositions législatives contraires au droit de l'UE) #CERens
Le RPCE détaille les données de connexion devant être conservées. Il explique ensuite que de plus en plus d'autorités administratives peuvent y avoir accès (coucou la Hadopi !). Les services de renseignement piochent dedans, évidemment. #CERens
On passe aux possibilités d'accès par les services de renseignement : accès en temps réel, accès différé, analyse algorithmique. #CERens
Le RPCE estime que l'enjeu des affaires est de se prononcer sur l'économie générale de ces dispositions : la conservation généralisée et indifférenciée des données de connexion. #CERens
Le RPCE rappelle la procédure qui a conduit le @Conseil_Etat à poser les questions préjudicielles à la CJUE en 2018. #CERens
Il estime que les obligations de conservations créées par le CPCE peuvent servir aussi aux services de renseignement. #CERens
Sur la surveillance internationale, le RPCE oppose l'autorité de la chose jugée. #CERens
Le RPCE estime que le rapport de force juridique s'est inversé dans ces affaires, au profit des requérantes. 
#CERens
#CERens
Il revient sur ce qu'ont dit CJUE et CEDH. (On rappellera que la CJUE fait beaucoup de références à la jurisprudence de la CEDH dans sa décision d'octobre dernier.) #CERens
Retour sur la jurisprudence de la Cour de justice de l'UE sur les données de connexion. Digital Rights en 2014, Tele2 en 2016, et enfin LQDN en 2020. L'histoire continue de s'écrire, rappelle le RPCE, puisque d'autres QPJ sont pendantes. #CERens
Sur le champ d'application du droit de l'UE, le RPCE rappelle que la CJUE est très claire : le droit de l'UE s'applique. Il estime que les acteurs privées obligés de conserver les données de connexion sont des "collaborateurs" de la justice et du renseignement. #CERens
Il rappelle que les hébergeurs ne sont pas soumis à la directive ePrivacy, mais au RGPD. Il estime que la vision de la CJUE est axée sur l'accès aux données quand celle du Conseil constitutionnel est centrée sur l'accès. #CERens
Il revient sur les risques d'abus dans l'accès aux données de connexion rappelés par la CJUE. Mais il estime que le droit français est suffisant pour les prévenir. #CERens
Le RPCE revient sur les droits atteints par une telle conservation des données de connexion : vie privée, liberté d'expression, droit à la sûreté. Mais il rappelle que des exceptions proportionnées peuvent exister. #CERens
Le RPCE rappelle que la CJUE dégage trois niveaux de gravités dans la conservation des données de connexion, avec trois régimes d'accès et de conservation différents. #CERens
Il s'arrête sur l'adresse IP. Conservation réservée pour la lutte contre la criminalité grave et la sécurité nationale uniquement. #CERens
Pour les infractions pénales ordinaires, seule l'identité civile peut être conservée. #CERens
Retour sur la conservation ciblée, possible pour la lutte contre la criminalité grave uniquement. Plusieurs critères possibles : après avoir identifié une personne suspecte, ou parce qu'un lieu est sensible (ciblage géographique). #CERens
Ça parle maintenant du gel rapide de la conservation des données de connexion (quick freeze). #CERens
Le RPCE revient maintenant sur la nouveauté de la décision d'octobre de la CJUE : une nouvelle possibilité de conservation en cas de menace grave réelle ou actuelle, ou prévisible. Il rappelle qu'il ne peut y avoir de caractère systématique à ces situations. #CERens
Il rappelle que la CJUE impose une concordance entre la finalité de la conservation et la finalité de l'accès : une donnée conservée pour une certaine gravité ne peut faire l'objet d'accès pour une finalité moins grave. Problème logique affirme-t-il. #CERens
Il rappelle les exigences de la CJUE concernant l'autorité de contrôle et l'information aux personnes concernées. #CERens
Il revient sur la réception de l'arrêt de la CJUE par les États membres : sidération, hallucination, « dramatique » a été écrit en défense. Il rappelle que le gouvernement français demande à ce que cet arrêt CJUE ne soit pas appliqué. #CERens
Retour sur ce contrôle dit de l'« ultra vires ». La Cour constitutionnelle allemande a déjà adopté un tel contrôle en mai 2020 concernant les programmes monétaires de la BCE. #CERens
L'ultra vires serait une arme de dernier recours, après avoir permis à la CJUE de revenir sur sa décision (droit à l'erreur). #CERens
Le CE n'a jamais contesté l'autorité de la CJUE. Ni le Conseil constitutionnel. Mais il estime que l'application de l'arrêt de la CJUE est surtout justifiée en droit : art. 88 Constitution. #CERens
Il estime toutefois qu'il n'y a pas une emprise de la CJUE sur le CE : la portée d'une décision reste à être déterminée par les juridictions de renvoi. #CERens
Pas d'ultra vires, donc, mais une détermination par le @Conseil_Etat de la portée de l'arrêt. #CERens
Le RPCE estime que ce ne serait pas la première fois que la CJUE donne des interprétations du droit dérivé de l'UE ayant des incidences sur la sécurité nationale. #CERens
Retour sur l'identité constitutionnelle désormais. Le RPCE rappelle le principe de primauté du droit de l'UE. Il y a une exigence constitutionnelle de donner une effectivité au droit de l'UE. Mais il existe aussi d'autres exigences constitutionnelles. #CERens
Il rappelle que le droit de l'UE doit respecter la Constitution. Le juge national doit donc contrôler le droit de l'UE à la Constitution. #CERens
Retour sur la clause de sauvegarde « Arcelor ». Dans cette affaire, le débat était celui de la constitutionnalité d'une directive. #CERens
Ici, le cas de figure est différent. C'est le défendeur (le gouvernement) qui oppose une inconstitutionnalité. C'est la conformité de la directive ePrivacy et du RGPD à la Constitution qui est en question. #CERens
Mais il y aurait un problème : l'inconstitutionnalité viendrait du fait d'écarter la loi qui serait contraire au droit de l'UE. Ce n'est pas le rôle du @Conseil_Etat, estime le RPCE. #CERens
Il faut que le CE vérifie quand même un point : qu'en écartant l'application d'une loi contraire au droit dérivé de l'UE cela ne créerait pas une atteinte à une garantie constitutionnelle. #CERens
La mise en œuvre de la clause de sauvegarde doit être exceptionnelle : la France risquerait une sanction pour manquement et une crise politique. Il faut regarder les garanties en général. #CERens
Il estime que la sauvegarde de l'ordre public est une exigence constitutionnelle. Il estime que le droit à la vie privée serait également atteint si on ne garantit pas l'ordre public (?!). Il n'y aurait pas d'opposition entre ordre public et vie privée. #CERens
Le RPCE regarde alors si l'arrêt CJUE permet effectivement de garantir l'ordre public. La CJUE négligerait le fait que son arrêt porterait une atteinte à la sécurité nationale. Le juge national reste le gardien de cette sécurité nationale. #CERens
Il revient maintenant sur la conservation de l'adresse IP source. Il remet en question la limitation de cette conservation pour la criminalité grave uniquement et la règle de concordance entre les finalités de la conservation et celles de l'accès. #CERens
La classification de la CJUE serait problématique à mettre en œuvre selon le RPCE : quelle serait la frontière entre la criminalité grave et les infractions pénales ordinaires ? #CERens
Il estime qu'on ne peut pas interdire l'accès aux IP lorsqu'une peine faible est encourue. L'ingérence dans le droit à la vie privée serait la même peu importe la gravité du délit qui justifierait l'accès aux données de connexion. #CERens
Le RPCE réinterprète la proportionnalité dans la mise en oeuvre de la directive ePrivacy et refuse que les finalités lors de l'accès devraient être les mêmes que celles justifiant la conservation. #CERens
Il revient sur l'interprétation des cas dans lesquels une conservation généralisée pourrait être mise en œuvre. Il n'adhère pas à la restriction aux seules périodes d'état d'urgence sécuritaire. #CERens
Il estime qu'il y aurait actuellement un niveau élevé de risque terroriste. Il estime qu'il y aurait aussi des risques de cyberattaques. #CERens
Pour le RPCE, le budget du renseignement traduirait l'existence d'une menace réelle (entre autres). Il parle aussi d'actes « para-terroristes » à propos d'actes de sabotages. #CERens
Le RPCE invite le CE à activer la clause de sauvegarde pour justifier l'effet différé de l'annulation des dispositions. #CERens
Il estime que le croisement de données de connexion est important. Il reprend l'affirmation du gouvernement selon laquelle les données de localisation permettraient de disculper des personnes. #CERens
Le sentiment d'insécurité serait en augmentation d'après le RPCE. (?!) #CERens
Il rappelle les nombreuses interventions d'États membres devant la CJUE. L'abstention de certains États membres devant la CJUE ne serait une marque d'approbation de la jurisprudence de la CJUE selon le RPCE. #CERens
Sur les États-Unis qui n'ont pas une telle obligation de conservation généralisée et indifférenciée, le RPCE dit qu'il faut prendre cela avec des pincettes en absence de chiffres. #CERens
Sur le quick freeze, le RPCE affirme que ce ne serait pas suffisant parce que les données sont rapidement supprimées. Un régime de conservation volontaire ne serait pas imaginable, avec des possibilités de positionnements commerciaux sur ce point. #CERens
Sur la conservation ciblée, la CJUE procèderait à une analyse décalée avec la réalité. Il rappelle que Free soulignait qu'une conservation ciblée serait difficile. #CERens
Le RPCE estime que le ciblage géographique conduira à des scénarios d'évitement de la part des criminels. #CERens
Sur le ciblage individuel, il estime que ce n'est pas fiable, qu'il y aurait des possibilités de stratégies d'évitement, par exemple en changeant de cartes SIM pour sortir du champ du ciblage. #CERens
Globalement, le RPCE justifie les écarts avec l'interprétation de la CJUE par la sauvegarde de la sécurité nationale. #CERens
Il revient sur la réforme en cours de la directive ePrivacy dont la dernière version exclut les questions de conservation des données de connexion. #CERens
On passe aux garanties autour de la mise en œuvre des techniques de renseignement. Le RPCE rappelle que la CNCTR n'a pas de pouvoir de contrainte, contrairement à ce que demande la CJUE. #CERens
Il ne trouve rien à dire à la procédure d'urgence (la CNCTR est saisie après mise en œuvre de la technique de renseignement). Mais hors urgence, elle n'a pas de pouvoir de contrainte et la technique peut être mise en œuvre avant la saisie du Conseil d'État. #CERens
Sur l'information des personnes concernées, le RPCE rappelle que la CJUE conditionne cette information aux situations qui ne mettraient pas en péril la surveillance. #CERens
Il estime que la CJUE n'écarte pas la possibilité que cette hypothèse de non péril de la surveillance n'existe jamais. Il estime que les procédures actuelles du droit sont suffisante. #CERens
Sur l'accès aux données de localisation, le RPCE invoque l'application de la clause de sauvegarde. #CERens
Les boites noires, désormais. Il rappelle que leur objectif est de détecter les signaux faibles, c'est-à-dire des menaces inconnues auparavant. Il estime que, par leur nature, il n'est pas possible d'identifier au préalable les personnes à surveiller par cette technique. #CERens
Par de problème pour les boites noires, estime le RPCE. #CERens
Sur le moment des annulations, le RPCE invoque la clause de sauvegarde pour déroger à l'exigence de la CJUE de leur donner un effet immédiat. Il estime que le temps nécessaire est de 6 mois, conformément à ce que réclame le gouvernement. #CERens
Il ne serait pas concevable de priver sans délai les services de renseignement de leur source de données, ni d'exiger la suppression des données irrégulièrement collectées. #CERens
Il demande que pendant cette période transitoire de 6 mois les techniques de renseignements ne puissent être mises en œuvre qu'après la décision du Conseil d'État en cas d'avis négatif de la CNCTR. #CERens
Le RPCE termine par un propos général sur cette affaire. Il ne serait pas pour ou contre le droit de l'UE mais veut écouter le peuple français. #CERens
Décision le 21 avril 2021. #CERens
Précision sémantique : RPCE = rapporteur public du Conseil d'État. #CERens
