Dans les petits hôpitaux, les urgences ferment pendant l'été

Rachel Knaebel
, 29/07/2021 | Source : Basta !

Partout en France, des hôpitaux n'assurent plus les urgences pendant la période estivale. Conséquence : il faut faire des dizaines de kilomètres pour se faire soigner. Basta ! poursuit son travail de suivi des fermetures de lits d'hôpitaux.
Cet été, mieux vaut ne pas avoir un accident si on habite ou passe ses vacances dans une petite ville ou une région rurale. Partout en France, des services d'urgences des hôpitaux ferment leur porte pendant la période estivale. La coordination nationale des comités (...)

- Décrypter / , ,

Loi Renseignement 2 : nos arguments au Conseil constitutionnel

martin
, 28/07/2021 | Source : La Quadrature du Net

Vendredi, le Conseil constitutionnel rendra sa décision sur la loi terrorisme et renseignement. Nous lui avons envoyé hier nos arguments.

Le mois dernier, nous avons dénoncé l’extrême rapidité de l’examen par le Parlement de la loi terrorisme et renseignement, et cela malgré le bouleversement dramatique du rapport de force entre le gouvernement et la population qu’elle pourrait représenter (vous pouvez retrouver ici notre analyse des dangers de cette loi).

Déposée le 28 avril 2021, la loi a été débattue en quelques jours à l’Assemblée nationale et au Sénat, souvent la nuit et dans des hémicycles quasi-vides, le tout dans un inquiétant silence médiatique et politique. Elle a été définitivement adoptée par l’Assemblée nationale ce jeudi 22 juillet (voir le texte final).

C’est donc encore au Conseil constitutionnel (institution composée de neuf membres désigné·es et non élu·es) qu’il revient de jouer le rôle de véritable contre-pouvoir et de compenser la démission généralisée du Parlement de ses missions démocratiques. Autre signe de la prédominance du tout-sécuritaire : alors que le Conseil constitutionnel a normalement un mois pour se prononcer sur un texte, le gouvernement a utilisé la procédure d’urgence et a demandé à ce qu’il se prononce en seulement 8 jours.

Cette urgence forcée devant le Conseil constitutionnel empêchant tout véritable débat de fond, nous lui avons adressé hier une contribution extérieure se limitant aux dispositions nous paraissant les plus graves. Le texte de cette contribution est disponible ici – nous recopions ci-dessous nos arguments.

Le Syndicat des Avocats de France (SAF) et le Syndicat de la Magistrature (SM) ont également adressé au Conseil constitutionnel leurs arguments, que vous pouvez retrouver ici.

PARTIE 1. Sur la pérennisation et l’extension du recours aux algorithmes de surveillance ainsi que sur l’extension de la possibilité de recueil en temps réel de certaines données (Articles 14, 15 et 16)

Les articles 14 et 15 du projet de loi organisent la pérennisation et l’extension des dispositions prévues à l’article L. 851-3 du code de la sécurité intérieure encadrant le recours aux algorithmes de surveillance. L’article 16 organise l’extension de la possibilité de recueil en temps réel des données de connexion.

Ces articles constituent une atteinte disproportionnée au droit à la vie privée (a) et au secret des correspondances (b) ainsi qu’à l’article 34 de la Constitution (c).

a) Atteinte disproportionnée au droit à la vie privée

En droit :

Au titre notamment du droit au respect de la vie privée protégé par l’article 2 de la Déclaration de 1789, le Conseil constitutionnel a considéré que la « collecte, l’enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiés par un motif d’intérêt général et mis en œuvre de manière adéquate et proportionnée à cet objectif » (Cons. constit., n°2012-652 DC, 22 mars 2012).

Ce droit au respect de la vie privée est également inscrit aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne, que le Conseil constitutionnel se doit de respecter au titre de l’article 88-1 de la Constitution. De manière générale, si le Conseil constitutionnel n’est pas tenu d’appliquer la jurisprudence de la Cour de Justice de l’Union européenne, il peut cependant utilement s’en inspirer afin de garantir un niveau de protection adapté aux droits et libertés constitutionnellement protégés.

Il est vrai que dans sa décision de 2015 sur la loi « relative au renseignement », le Conseil constitutionnel a considéré que le recours aux algorithmes ne constituait pas une atteinte disproportionnée au droit au respect de la vie privée (Cons. constit., n° n°2015-713 DC, § 60).

Néanmoins, depuis cette décision, la Cour de Justice de l’Union européenne a rendu une décision concernant notamment la compatibilité entre le droit de l’Union européenne et un dispositif de traitement automatisé des données relatives au trafic et des données de localisation (CJUE, C-511/18 et s., 6 octobre 2020). Elle y souligne notamment que le recours à l’analyse automatisée doit être limité « à des situations dans lesquelles un État membre se trouve confronté à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, le recours à cette analyse pouvant faire l’objet d’un contrôle effectif (…) » (CJUE, précité, § 192).

En l’espèce :

En premier lieu, alors que la loi de 2015 « relative au renseignement » ne permettait l’utilisation des algorithmes de surveillance qu’à titre expérimental, la loi examinée par le Conseil constitutionnel prévoit aujourd’hui la pérennisation de ce dispositif. La CNIL rappelle ainsi dans son avis sur le texte que « l’utilisation d’une telle technique porte une atteinte particulièrement forte à la vie privée des individus et au droit à la protection des données à caractère personnel » (CNIL, Délibération n°2021-040 du 8 avril 2021, § 24). Elle a souligné ne pas avoir pu analyser la proportionnalité de l’atteinte à la vie privée constituée par cette pérennisation (CNIL, idem, § 31).

En second lieu, aucune disposition ne vient répondre aux exigences de la Cour de Justice de l’Union européenne sur les limitations à apporter à l’utilisation des algorithmes de surveillance. Ainsi, l’article 14 ne mentionne aucune limitation du dispositif à l’existence d’une « menace grave pour la sécurité nationale » qui serait « actuelle ou prévisible ». Il ne prévoit encore moins aucun « contrôle effectif » d’une telle analyse. Le législateur n’a donc tiré aucune conséquence des récents arrêts de la Cour de Justice sur la question du recours aux algorithmes.

Il est particulièrement significatif que la loi déférée prévoit un régime spécifique pour la conservation des données de connexion, avec décision du Premier ministre relative à l’existence de « motifs tenant à la sauvegarde de la sécurité nationale », mais qu’aucun régime parallèle ne soit prévu pour le recours aux algorithmes.

Il en résulte que la pérennisation et l’extension du recours aux algorithmes prévues aux articles 14 et 15 de la loi déférée sont contraires à l’article 2 de la Déclaration de 1789 et à l’article 88-1 de la Constitution.

b) Atteinte disproportionnée au secret des correspondances

En droit :

Le Conseil constitutionnel a admis la valeur constitutionnelle du droit au secret des correspondances, rattaché aux articles 2 et 4 de la Déclaration de 1789 (Cons. constit., n°2004-492 DC, 2 mars 2004).

Dans sa décision de 2015 concernant la loi « relative au renseignement », il a conditionné la constitutionnalité des dispositions relatives au recours à l’algorithme au fait que, notamment, ces traitements ne pouvaient porter que sur des informations ou documents mentionnés à l’article L. 851-1 du CSI, c’est-à-dire des données dites de « connexion » ou « métadonnées » (Cons. constit., n°2015-713 DC, § 60). Dans cette même décision, le Conseil constitutionnel précise que les données faisant l’objet du traitement « ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit » (Cons. constit., n°2015-713 DC, § 55).

À ce titre, si le Conseil constitutionnel a admis dans sa décision de 2015 certaines techniques de renseignement portant atteinte au secret du contenu des correspondances, il ne l’a fait qu’en raison de leur caractère ciblé, différent d’une surveillance généralisée (voir notamment Cons. constit., n°2015-713 DC, § 25).

En l’espèce :

Les articles 15 et 16 étendent le recours aux algorithmes et la possibilité de recueil en temps réel des données de connexion aux « adresses complètes de ressources utilisées sur internet ».

Comme le rappelle la CNIL dans son avis sur le texte, ce type de données « sont susceptibles de faire apparaître des informations relatives au contenu des éléments consultés ou aux correspondances échangées » (CNIL, Délibération n°2021-040 du 8 avril 2021, § 35). Les « adresses complètes de ressources utilisées sur internet » peuvent, en effet, être extrêmement parlantes sur le contenu consulté par l’utilisateur, et indiquer par exemple le titre d’un article complet.

Dans son rapport sur le projet de loi, la commission des lois du Sénat rappelle ainsi qu’aussi bien la CNIL que la Commission nationale de contrôle des techniques de renseignement (CNCTR) ont, dans leur avis sur le projet de décret relatif aux techniques de renseignement « exclu la possibilité que la technique de l’algorithme puisse permettre un accès complet aux URL » du fait que les URL « constituent des données mixtes, comprenant à la fois des données de connexion, c’est-à-dire des éléments relatifs à l’acheminement de la communication internet, et des données de communication, c’est-à-dire des éléments fournissant des précisions sur l’objet ou le contenu du site internet consulté » (Commission des lois du Sénat, Rapport n°694 sur le projet de loi relatif à la prévention d’actes de terrorisme et au renseignement, 16 juin 2021).

La commission des lois du Sénat y ajoute que, selon la Délégation Parlementaire au Renseignement (ci-après « DPR ») « l’élargissement de la technique de l’algorithme souhaité par les services à l’analyse de la totalité des informations contenues dans les URL reviendrait, de fait, à autoriser un traitement automatisé de données révélant, pour partie, le contenu de communications ». En effet, elle précise que si le Conseil constitutionnel n’interdit pas par principe que des services du renseignement accèdent au contenu des communications, cela n’a été autorisé pour l’instant que pour une collecte individualisée et non pour « un traitement en masse des données de communication » (Commission des lois du Sénat, Rapport sur le projet de loi relatif à la prévention d’actes de terrorisme et au renseignement n° 694, 16 juin 2021).

Il en résulte que les articles 15 et 16 autorisent la surveillance en masse de données portant sur le contenu des correspondances, en contradiction avec le secret des correspondances protégées par la Constitution.

c) Incompétence négative du législateur

En droit :

Il ressort de l’article 34 de la Constitution que la loi fixe les règles concernant les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques.

Dans sa décision de 2015 sur la loi « relative au renseignement », le Conseil constitutionnel a ainsi considéré qu’il y avait eu violation de l’article 34 du fait de l’absence de définition dans la loi des « conditions d’exploitation, de conservation et de destruction des renseignements collectés en application de l’article L. 854-1 » en matière de surveillance internationale. Le législateur n’avait ainsi pas déterminé « les règles concernant les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques » (Cons. constit., n°2015-713 DC, § 78).

En l’espèce :

L’article 15 la loi déférée modifie l’article L851-3 du CSI. Désormais, cet article ne prévoit plus que « peut être imposé aux opérateurs […] la mise en œuvre sur leurs réseaux » du dispositif de détection automatisée, mais que ce dispositif sera désormais directement mis en œuvre par les services de renseignement « sur les données transitant par les réseaux des opérateurs ». Cette modification implique une architecture radicalement différente que la loi échoue entièrement à décrire et à encadrer.

En effet, dans son avis sur le texte, la CNIL précise que « le ministère a retenu une architecture selon laquelle les flux de données ne sont pas analysés au moyen d’algorithmes installés sur les réseaux des opérateurs mais dupliqués puis acheminés au sein d’une infrastructure dépendant de l’État pour être soumis à des dispositifs de détection centralisés ». Elle considère ainsi que cela implique de « dupliquer, au bénéfice d’un service administratif du Premier ministre, l’ensemble de ces données, qui concernent tous les appels téléphoniques et accès internet réalisés sur le territoire français, constitue une évolution particulièrement significative » (CNIL, Délibération n°2021-040 du 8 avril 2021, § 16 et s.).

À ce titre, la CNIL considère donc « indispensable que le texte soit précisé » sur ce sujet et que le principe de cette architecture « devrait (…) figurer dans la loi » (idem).

Cette architecture facilite en effet grandement la surveillance réalisée par les services de renseignement et est susceptible d’être dévoyée à d’autres fins que celles définies par le texte, et ce d’autant plus que les dispositifs de l’article 10 de cette même loi permettent de facto de conserver les données analysées par l’algorithme pour la recherche et développement pendant 5 ans. Cela pourrait potentiellement être l’intégralité du trafic internet qui pourrait donc se retrouver dupliqué et mis de côté par les services de renseignement.

La loi déférée n’apporte aucune précision sur les modalités de mise en œuvre de la technique de recours aux algorithmes ni sur l’architecture précise du traitement automatisé. Le législateur n’a donc pas précisé les conditions réelles de collecte, d’exploitation et de conservation des renseignements lié à la particularité de la duplication et de la centralisation des données de connexion concernant potentiellement l’ensemble des personnes vivant en France.

Il en résulte que l’article 15 est en contradiction avec l’article 34 de la Constitution.

PARTIE 2. Sur l’organisation de la conservation des données de connexion par les opérateurs (Article 17)

L’article 17 refond le cadre de conservation généralisée des données de connexion par les opérateurs en réaction à la décision de la Cour de Justice de l’Union européenne du 6 octobre 2020.

Il constitue une atteinte disproportionnée aussi bien au droit à la vie privée protégé par l’article 2 de la Déclaration de 1789 qu’à l’article 88-1 de la Constitution en ce qu’il représente une violation directe du droit de l’Union européenne tel qu’interprété par la Cour de Justice de l’Union européenne.

En droit :

Comme vu précédemment, le Conseil constitutionnel a reconnu que la collecte, l’enregistrement et la conservation de données personnelles étaient constitutives d’une atteinte à la vie privée et devaient donc être justifiées par un motif d’intérêt général et proportionné à cet objectif (Cons. constit., n°2012-652 DC, 22 mars 2012).

La Cour de justice de l’Union européenne rappelle de façon constante que [les données de connexion] « sont susceptibles de révéler des informations sur un nombre important d’aspects de la vie privée des personnes concernées (…). [qui] peuvent permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées (…). En particulier, ces données fournissent les moyens d’établir le profil des personnes concernées, information tout aussi sensible, au regard du droit au respect de la vie privée, que le contenu même des communications » (Digital Rights, 8 avril 2014, C‑293/12 et C‑594/12, § 27;Tele2, 21 décembre 2016, C‑203/15 et C‑698/15, § 99 ; La Quadrature du Net, 6 octobre 2020, C-511/18 et s., § 117).

Dans sa décision du 6 octobre 2020 « La Quadrature du Net », la Cour de Justice de l’Union européenne définit les limitations et garanties permettant aux régimes de conservation généralisée des données de connexion de se conformer aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne et à l’article 15 paragraphe 1 de la directive 2002/58 (CJUE, C-511/18 et s., 6 octobre 2020). Il convient à ce titre de rappeler que l’article 88-1 de la Constitution impose au législateur de respecter le droit de l’Union européenne.

Dans cette décision, la Cour de Justice de l’Union européenne a réaffirmé sa jurisprudence selon laquelle le droit de l’Union européenne s’opposait « à des mesures législatives prévoyant (…) à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation ».

À titre exceptionnel, et étant mis de côté les cas particuliers des données relatives à l’état civil et des adresses IP, la Cour de Justice a considéré que seul était permis « le recours à une injonction faite aux fournisseurs de services de communications électroniques de procéder à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, dans des situations où l’État membre concerné fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible », précision étant faite que cette décision doit pouvoir faire l’objet d’un contrôle effectif : « soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant (…) » (CJUE, La Quadrature du Net, 6 octobre 2020, § 168). La Cour insiste bien sur le fait que « cette conservation ne saurait présenter un caractère systématique » (même arrêt, § 138).

Il en résulte qu’une conservation généralisée des données de connexion n’est possible qu’à travers une injonction spécifique limitée dans le temps adressée à des opérateurs dans le cas d’une menace grave pour la sécurité nationale d’un État et soumise au contrôle effectif d’une autorité dont la décision est dotée d’un effet contraignant.

En l’espèce :

Il est précisé au 3° du I de l’article 17 que le Premier ministre peut enjoindre « pour des motifs tenant à la sauvegarde de la sécurité nationale », quand il a constaté « une menace grave, actuelle ou prévisible », « par décret aux opérateurs (…) de conserver pendant une durée d’un an » certaines données de connexion.

Ce régime d’organisation de conservation des données de connexion ne respecte aucune des garanties imposées par la Cour de Justice de l’Union européenne, aussi bien sur la nature de l’injonction (1), sur les motifs tenant à la sauvegarde de la sécurité nationale (2) que sur l’absence de contrôle effectif (3).

1. Sur la nature de l’injonction

Le fait que le Premier ministre puisse enjoindre cette conservation des données par un décret ne remplit pas les conditions exigées par la Cour de Justice de l’Union européenne. En effet, un acte administratif réglementaire ne saurait constituer une injonction : cette dernière doit nécessairement être spécifique et ne peut prendre la forme que d’un acte individuel. De plus, la durée d’un an prévue pour l’application du décret est excessive au regard de la nécessité de circonscrire cette collecte au strict nécessaire, d’autant qu’aucune limite du nombre de reconduction n’est prévue dans la loi, permettant alors un caractère systématique de la collecte des données de connexion.

2. Sur les motifs tenant à la sauvegarde de la sécurité nationale

La notion de sécurité nationale telle qu’interprétée par le Conseil d’État et à laquelle renvoie la loi déférée ne correspond en aucun cas à celle, restreinte et devant répondre à un critère d’exception, retenue par la Cour de Justice de l’Union européenne comme pouvant seule légitimer la conservation généralisée et indifférenciée des données de connexion.

En effet, la notion de sécurité nationale telle qu’entendue en droit français doit aujourd’hui, selon le Conseil d’État « être appréciée au regard de l’ensemble des intérêts fondamentaux de la Nation listés à l’article L. 811-3 du code de la sécurité intérieure », notion extrêmement large concernant notamment « les intérêts majeurs de la politique étrangère », les « intérêts économiques, industriels et scientifiques majeurs de la France » ou les risques tenant aux « violences collectives » que le Conseil constitutionnel a notamment rattaché, dans sa décision sur la loi renseignement de 2015, à l’organisation de manifestation non déclarées. Ainsi, dans sa récente décision, le Conseil d’État souligne ainsi que la menace pour la sécurité nationale n’est pas seulement liée au risque terroriste mais aussi au « risque d’espionnage et d’ingérence étrangère », à « l’activité de groupes radicaux » (Conseil d’État, 21 avril 2021, n° 393099 et s., § 44).

Une telle notion est donc très éloignée de la notion de menace grave pour la sécurité nationale telle qu’entendue par la Cour de Justice de l’Union européenne, qui ciblait spécifiquement « des activités de terrorisme », et ce dans les seuls cas où ces activités représenteraient une menace réelle et immédiate. Il revenait donc au législateur de limiter la conservation généralisée des données de connexion à des situations beaucoup plus restreintes, exceptionnelles et proportionnées que celles dégagées par le Conseil d’État autour de son interprétation dévoyée de la notion de sécurité nationale.

3. Sur l’absence de contrôle effectif

Le dispositif tel que prévu par le législateur ne prévoit pas de contrôle effectif répondant aux exigences de la Cour de Justice de l’Union européenne.

Aucun contrôle de la CNCTR n’est prévu sur l’injonction du Premier ministre, alors que cette institution est un des maillons essentiel de la chaîne opérationnelle encadrant le recueil des renseignements. C’est d’ailleurs un des regrets exprimé par la CNIL dans son avis sur le projet de loi qui considère que l’injonction du Premier ministre « devrait être soumis pour avis à la CNCTR » (CNIL, Délibération n° 2021-053, § 16).

Le seul contrôle possible de la conservation généralisée des données de connexion n’est finalement pas dans la loi, mais est dévolu à la potentialité du recours à un juge. Comme le rappelle la commission des lois du Sénat, ce contrôle correspondrait en réalité à la possibilité que le Conseil d’État soit « éventuellement saisi en référé du décret du Premier ministre » (Commission des lois du Sénat, Rapport n°694 sur le projet de loi du « relatif à la prévention d’actes de terrorisme et au renseignement, 16 juin 2021). Il ne s’agit en aucun cas d’un contrôle effectif tel que demandé par la Cour de Justice de l’Union européenne mais d’un contrôle dépendant de la volonté de possible requérants qui ne pourrait être réalisé qu’a posteriori, soit une fois que la mesure portant atteinte à la vie privée ait été réalisée.

Il en résulte que l’article 17 de la loi déférée ne respecte pas les articles 2 de la Déclaration de 1789 et 88-1 de la Constitution.

PARTIE 3. Sur l’extension des obligations de coopération des opérateurs de communications électroniques et des fournisseurs de services (Article 12)

L’article 12 prévoit la coopération forcée des opérateurs et fournisseurs de communications électroniques avec les services de renseignement afin de mettre en œuvre des techniques d’intrusion informatique directement sur des terminaux.

En droit :

Le Conseil constitutionnel censure depuis longtemps l’incompétence négative du législateur (cf. Cons. constit., 26 janv. 1967, Loi organique modifiant l’ordonnance du 22 décembre 1958, 67-31 DC), même d’office lorsque les auteurs de la saisine ne l’ont pas invoqué (cf. Cons. constit., 20 janv. 1984, Loi relative à l’enseignement supérieur, 83-165 DC). Le Conseil constitutionnel analyse ainsi régulièrement la méconnaissance, par le législateur, de l’étendue de sa propre compétence en lien avec le principe de clarté de la loi, d’une part, et l’objectif de valeur constitutionnelle d’intelligibilité et d’accessibilité de la loi, d’autre part (voir notamment Conseil constit., 12 août 2004, Loi relative aux libertés et responsabilités locales, 2004-503 DC, cons. 29).

Précisément, le commentaire autorisé du Conseil constitutionnel sous la décision 2004-503DC, explique que : «le principe de clarté, qui résulte de l’article 34 de la Constitution, et l’objectif de valeur constitutionnelle d’intelligibilité et d’accessibilité de la loi, qui découle des articles4,5,6 et 16 de la Déclaration de 1789 (…), imposent au législateur d’adopter des dispositions suffisamment précises et des formules non équivoques. A défaut, il renverrait à d’autres (administrations, juridictions) des choix que la Constitution lui a confiés en propre ».

De plus, le Conseil constitutionnel a pu censurer des dispositions au regard de leur complexité excessive, qui se traduisait notamment par censurer une disposition sur le fondement du « caractère imbriqué, incompréhensible pour le contribuable, et parfois ambigu pour le professionnel, de ses dispositions, ainsi que par les très nombreux renvois qu’il comporte à d’autres dispositions elles-mêmes imbriquées ; […] les incertitudes qui en résulteraient seraient source d’insécurité juridique, notamment de malentendus, de réclamations et de contentieux » (Décision n° 2005-530 DC du 29 décembre 2005, cons. 84)

Enfin, le Conseil constitutionnel a déjà jugé que ne sont pas conformes à la Constitution en ce qu’elles portent une atteinte manifestement disproportionnée au droit au respect de la vie privée des dispositions prévoyant des mesures de surveillance et de contrôle qui peuvent « être utilisées à des fins plus larges que la seule mise en œuvre » des exigences constitutionnelles et qui ne « définissent pas la nature des mesures de surveillance et de contrôle que les pouvoirs publics sont autorisés à prendre » (cons. 7 et 8, 2016-590 QPC du 21 octobre 2016).

En l’espèce :

Par le jeu de multiples renvois, l’article 12 étend le champ d’application des articles L.871-3 et L.871-6 du Code de sécurité intérieure qui permettent de contraindre les opérateurs et les fournisseurs d’accès à collaborer à la mise en œuvre des mesures de renseignement directement sur les réseaux et terminaux. L’article 12 aboutit ainsi in fine à permettre aux services de renseignement de solliciter ces acteurs pour la mise en œuvre de nouvelles mesures extrêmement intrusives, qui étaient circonscrites auparavant aux seuls acteurs du renseignement.

En premier lieu, le législateur n’a pas pris le soin de viser explicitement le contenu des mesures de surveillance et de contrôle visées par cette extension et s’est contenté de viser, par renvoi, plusieurs articles du code de sécurité intérieure et même des sections entières du code de procédure pénale. En élargissant de façon substantielle le nombre des situations pour lesquelles les services de renseignement peuvent requérir la contribution des fournisseurs et opérateurs et en ne listant pas précisément dans quelle mesures et sous quelles conditions cette contrainte pourrait être justifiée, le législateur a empêché les destinataires et personnes concernées par ces dispositions de comprendre et appréhender les situations concrètes prévues par ces dispositions.

L’analyse réelle de ces dispositions étaient par ailleurs totalement absente de l’exposé des motifs et de l’étude d’impact du Gouvernement ainsi que de l’avis du Conseil d’État et des rapports des différentes commissions.

Par cette absence de précision et par la complexité excessive de la rédaction de cet article, le législateur a incontestablement créé une situation d’insécurité juridique et méconnu l’étendue de sa compétence en manquant à remplir l’objectif de valeur constitutionnelle d’intelligibilité et d’accessibilité de la loi.

En second lieu, l’élargissement des techniques de renseignement pour lesquelles les opérateurs et fournisseurs peuvent être contraints de collaborer crée une atteinte manifestement disproportionnée au droit au respect de la vie privée.

À titre d’exemple, l’article L.853-2 du code de sécurité intérieure permettrait de contraindre des opérateurs de messagerie ou de téléphonie chiffrée à déployer des failles de sécurité sur des terminaux préalablement identifiés. Will Cathcart, dirigeant de la société Whatsapp, exprimait ces inquiétudes dans le journal Le Monde : « Ce serait une bonne chose que les implications de cet article soient clarifiées. », le journaliste indiquant que « la formulation actuelle évoque la mise en place de mesures de contournement du chiffrement de bout en bout » (Le Monde, « Vie privée, sécurité, e-commerce… Le patron de WhatsApp s’explique », 28 juin 2021).

De la même manière, les opérateurs pourraient être contraint de collaborer aux interceptions de données de connexions et interceptions de correspondances par « IMSI-catching » prévues par les article L. 852-1 et L. 851-6 du code de sécurité intérieure ainsi que par l’article 706-95-20 du code de procédure pénale. Pour rappel, l’IMSI-catcher est un outil permettant de capter toutes les données de communication dans un rayon donné.

De manière pratique, cela peut correspondre aussi à, par exemple, contraindre un opérateur de téléphonie ou d’Internet d’envoyer un SMS contenant un lien vérolé en son nom ou de le contraindre à déployer une mise à jour frauduleuse du code d’une box Internet pour en donner le contrôle aux services de renseignement, ou même encore de profiter de l’action d’un technicien pour conduire une attaque contre un périphérique informatique d’un abonné.

De même, le ministre de l’intérieur expliquait ainsi sur France Inter, avant le dépôt de la loi déféré, que « nous discutons avec les grands majors d’Internet, on leur demande de nous laisser entrer via des failles de sécurité, certains l’acceptent, d’autres pas. Il faut sans doute une loi pour contraindre des services étrangers, elle arrive » (France Inter, 28 avril 2021, L’invité de 8h20). Cherchant à détailler ce point, le ministre a expliqué en hémicycle lors de l’examen de la loi à l’Assemblée nationale le 17 mai 2021 : « Pour ce qui est des messageries cryptées, comme Telegram, WhatsApp ou Signal, elles ont précisément bâti leur modèle économique sur la garantie de ne pas pouvoir être écouté. […] le recueil des données informatiques permettra d’accéder au terminal informatique de la personne qui utilise ces messageries pour recueillir les données qui sont stockées dans ces messageries. »

Si les précédentes possibilités de requérir l’aide de ces acteurs se limitaient à donner accès aux données et contenus déjà produits dans l’utilisation de leurs services et auxquels ils pouvaient accéder, il s’agirait ici de les rendre directement acteurs de la compromissions des outils des utilisateurs de leurs services les mettant en position de conduire ou de participer à une intrusion informatique sur demande des services sans pouvoir s’y opposer.

La modification des dispositions du code de sécurité intérieure change considérablement la nature, l’échelle et les circonstances permettant l’utilisation des techniques visées par l’article 12. Pourtant, le législateur n’a prévu aucune garantie ou limitation supplémentaires spécifiques aux nouvelles situations créées par cette disposition propres à empêcher l’atteinte manifestement disproportionnée au droit à la vie privée générée par cette extension.

Il en résulte que l’article 12 de la loi déférée est contraire aux articles 2 et 34 de la Constitution.

PARTIE 4. Sur la conservation à des fins de recherche – (Article 10)

L’article 10 allonge la durée de conservation des renseignements à des fins de recherche et de développement.

En droit :

Comme vu précédemment, le Conseil constitutionnel a reconnu que la collecte, l’enregistrement et la conservation de données personnelles étaient constitutives d’une atteinte à la vie privée et devaient donc être justifiées par un motif d’intérêt général et proportionné à cet objectif (Cons. constit., n°2012-652 DC, 22 mars 2012).

Par ailleurs, l’article 34 de la Constitution oblige le législateur à fixer les règles concernant les garanties fondamentales accordées au citoyen et, notamment à ce titre, de définir en cas d’atteinte à ces libertés, les conditions d’exploitation, de conservation et de destruction des données collectées. Le Conseil constitutionnel a ainsi considéré que ne sont pas conformes à la Constitution des dispositions prévoyant des mesures de surveillance qui peuvent « être utilisées à des fins plus larges que la seule mise en œuvre [des exigences de sauvegarde des intérêts fondamentaux de la Nation] » (Cons. 7 et 8, 2016-590 QPC du 21 octobre 2016).

Enfin, si le Conseil constitutionnel a admis, notamment dans sa décision de 2015, la légalité de certaines techniques de renseignement conduisant au recueil et à la collecte de certaines données à caractère personnel, il ne l’a admis que pour des finalités précisément détaillées et liées notamment à la sécurité nationale, la prévention du terrorisme ou les intérêts majeurs de la politique étrangère (voir Décision n° 2015-713 du 23 juillet 2015). De la même manière, comme rappelé précédemment, la Cour de Justice a limité la possibilité d’une conservation des données de connexion à l’existence de considérations liées à des menaces graves pouvant porter atteinte à la sécurité nationale d’un État membre (voir CJUE, La Quadrature du Net, 6 octobre 2020, tel que cité précédemment).

En l’espèce :

L’atteinte à la vie privée constituée par ce dispositif est particulièrement grave et disproportionnée.

En premier lieu, l’article 10 concerne l’intégralité des renseignements qui sont obtenus dans le cadre des activités de renseignement (factures téléphoniques détaillées, écoutes téléphoniques, surveillance et analyse du réseau de télécommunication…). Cela pourrait donc être potentiellement la totalité du trafic téléphonique et Internet français (et a minima de très nombreuses données de personnes qui n’ont pas été directement la cible d’une technique de renseignement) qui pourraient être récupérées, par les services dédiés de recherche et développement, et conservées pour une très longue durée. Une fois stockées au prétexte de la recherche et développement, il faut redouter que, par l’autorisation d’une loi future, ces informations puissent être exploitées pour les nombreux et larges objectifs du renseignement (surveillance économique, répression des opposants politiques…).

À ce titre, la conservation de l’ensemble de ces données n’est justifiée que par un objectif de « recherche et de développement en matière de capacités techniques de recueil et d’exploitation des renseignement ». C’est une finalité particulièrement large et libre d’interprétation qui ne correspond en aucun cas aux exigences du Conseil constitutionnel ou à celles édictées par la Cour de Justice de l’Union européenne.

En second lieu, la Défenseure des droits a considéré que la loi manquait de précision sur les conditions exactes de traitement et d’anonymisation des données et que, au minimum, un décret était nécessaire pour préciser l’anonymisation de ces données et les modalités d’élaboration des algorithmes utilisés (Avis du défenseur des droits n° 21-07 du 18 mai 2021, p. 16). C’est également l’avis de la CNIL qui estime que « le régime de réutilisation des données (…) devrait être encadré par un décret d’application et que des garanties complémentaires soient prévues dans l’hypothèse où ce traitement serait mis en œuvre au moyen d’un traitement algorithmique » (CNIL, Délibération n° 2021-040, § 43).

Aucune précision n’a pourtant été apportée sur ces différents points par le législateur qui n’a prévu aucun report à un décret permettant au minimum de préciser ces différents points. Le seul encadrement réside en amont dans l’autorisation préalable du Premier ministre et l’existence d’avis non contraignants rendus par la CNCTR, ce qui est largement insuffisant au vu des dangers de cette disposition et ne répond pas aux critères d’exigence d’un contrôle effectif.

Il en résulte que l’article 10 est contraire aux articles 2 de la Déclaration de 1789 ainsi qu’aux articles 24 et 88-1 de la Constitution.

Comment la lutte contre le VIH avait fait émerger « une démocratie sanitaire forte en France »

Rachel Knaebel
, 28/07/2021 | Source : Basta !

Le sida, découvert en 1981, n'a toujours pas disparu. À l'heure où l'on se débat avec une autre pandémie, Olivier Maurel, coauteur d'Une histoire de la lutte contre le sida, nous rappelle en quoi celle-ci a nourri les combats politiques d'aujourd'hui.
Cela fait exactement quarante ans que le virus du sida a été découvert, en 1981. Au moment où le monde affronte depuis plus d'un an une nouvelle pandémie, le Covid-19, le VIH a tendance à sortir des radars. Pourtant, nous n'en avons toujours pas fini avec ce (...)

- Résister / , ,

[Bastamag] Nouvelle loi renseignement : le gouvernement place la population sous surveillance algorithmique

datafoin
, 27/07/2021 | Source : La Quadrature du Net

Conservation généralisée des données de connexion, surveillance de masse… Adopté par les députés, avant le Sénat fin juin, le projet de loi renseignement passe en procédure accélérée. Mais son contenu inquiétant mériterait un débat public d’ampleur. […]

« Un monstre qui grandit dans l’ombre » : voilà ce que constitue, pour Arthur Messaud, cette nouveauté. « Un État qui conserve pendant cinq ans les données captées de la population… Il y a deux ans, ça aurait fait la Une de la presse pendant des semaines » se désespère le juriste. Pour lui, il s’agit d’un copié-collé du modèle de recherche exploratoire de la NSA, révélé par Edward Snowden […].

https://www.bastamag.net/anti-terrorisme-loi-renseignement-surveillance-…

Comment l'alliance entre l'industrie nucléaire française et russe veut faire capoter la transition allemande

Rachel Knaebel
, 27/07/2021 | Source : Basta !

L'Allemagne doit sortir du nucléaire en 2022. Mais l'entreprise française Framatome souhaite continuer à exploiter son usine allemande de combustible nucléaire. Pour le faire, elle compte s'associer à une filiale de l'entreprise d'État russe Rosatom.
Les entreprises nucléaires françaises et russes vont-elles ralentir la sortie du nucléaire allemande ? C'est ce que craignent des élus et des activistes environnementaux en Allemagne. Framatome, entreprise française détenue à 75 % par EDF, fabrique des (...)

- Décrypter / , ,

[Reporterre] Le passe sanitaire, un pas de plus dans « l’autoritarisme » et la « société du contrôle »

datafoin
, 26/07/2021 | Source : La Quadrature du Net

« Overdose d’autoritarisme », « adoption hâtive de lois », « politique absurde »… Penseurs telle Barbara Stiegler, associatifs, défenseurs des libertés, syndicats, politiques s’inquiètent des mesures liberticides de l’exécutif. Car avec le passe sanitaire, un cran de plus a été atteint dans le contrôle des corps et des esprits. […]

Bastien Le Querrec, membre de la Quadrature du net, regrette que « la fin justifie désormais les moyens. Les effets de bord en matière de liberté ne sont pas pris en considération, dit-il à Reporterre. On habitue la population à ce genre de contrôle, on lui refuse l’anonymat. Il y a une continuité entre cet outil et les autres dispositifs de surveillance qui se sont développés avec la crise sanitaire : la vidéosurveillance automatisée, la reconnaissance faciale, etc. ». […]

https://reporterre.net/Le-passe-sanitaire-un-pas-de-plus-dans-l-autorita…

Nouveaux labels bios : bonne nouvelle ou enfumage ?

Guillaume Gamblin (Silence)
, 26/07/2021 | Source : Basta !

Deux nouveaux labels bios ont vu le jour. Souhaitant aller plus loin que le label AB, ils promettent de tenir compte des conditions de travail et des critères sociaux, et de contribuer à la création de filières plus locales.
Le label AB de l'agriculture biologique garantit certaines pratiques de production, en particulier l'absence de pesticides chimiques ou encore d'OGM dans l'alimentation produite. Mais il n'intègre pas encore assez les critères sociaux tels que les conditions de travail, la juste (...)

- Décrypter / , , , ,

Les Cyber-contes : 2020, printemps de l'hacktivisme

Donné pour mort en 2013, en fermentation depuis, l'hacktivisme est réapparu en soutien aux révoltes populaires du printemps dernier.

Le rideau s'ouvre à l'aube de l'année 2020. Depuis octobre 2019, les révoltes au Chili ont pris le relai sur la ligne de front Hong-Kongaise. Le "Be water" fait partie de la résistance dans la rue et l'Amérique Latine a décidé d'entrer dans la danse.

L'union des luttes, c'est aussi des concessions à la culture de l'autre

Comme pour les Gilets Jaunes, c'est un tout petit rien qui a mis le feu aux poudres, ici l'augmentation de 30 centimes des tickets de transports. Expression du creusement des inégalités, ce cycle de résistance amènera jusqu'à 1,2 million de Chiliens dans la rue et déclenchera des émeutes dans les principales villes du pays. Il faudra une pandémie mondiale pour refermer le couvercle de la marmite.

Dès le début des émeutes au Chili, les hackers sont de la partie. Fin octobre, deux hackers chiliens, RebelSide et MentalMalicia publient les données de 21 000 personnelles de carabiniers chiliens, l'équivalent de notre gendarmerie. Cette fuite de donnée est associée à des documents sensibles. Des sources internes aux carabiniers confirmeront aux médias l'existence d'une attaque informatique les ayant visés. La fuite sera nommée "PacoLeaks" ("la fuite de données des flics"). Le compte Twitter "Anonymous Chile" confirmera à CheckNews que les deux hackers sont proches du mouvement : «MenteMalicia et RebelSide ont participé à plusieurs actions organisées par Anonymous, en plus de partager avec nous différents idéaux. Ainsi, on peut dire qu'ils font partie d'Anonymous, bien qu'il ne s'agit pas d'un groupe fermé, plutôt d'un ensemble de personnes qui partagent des idéaux et des objectifs communs».

Le 14 décembre, c'est au tour de l'armée chilienne de concéder dans un tweet avoir été hackée. Cette...

“J’ai vingt ans aujourd’hui” de Virginie Espirat

La Rédaction
, 23/07/2021 | Source : Mouvement Français pour un Revenu de Base

2068, j’ai vingt ans aujourd’hui, je gagne la deuxième revalorisation de mon revenu de base. Ce revenu porte vraiment bien son nom, un socle solide sur lequel je repose mes espoirs, mes envies, mon avenir. Maman me dit que de nombreuses femmes, par le passé, gagnaient leur indépendance soit en se dépêchant de se mettre en ménage (à deux la vie semblait plus rassurante) soit en se jetant à corps perdu dans la recherche d’un travail, d’une rémunération, quitte à oublier de fonder une vie de famille.

J’ai vingt ans aujourd’hui et je suis sereine. Maman m’a appris à économiser pour mon avenir dès mon premier revenu, à dix ans, et à quinze ans, pour ma première revalorisation elle m’a inscrite au club économique de la ville, option budget participatif. Avec le club Vélo, le club Jardinage et le club Lecture cela me prenait beaucoup de temps mais aujourd’hui je ne le regrette pas. Je connais et côtoie de nombreux.ses jeunes de mon âge, on angoisse de l’avenir bien sûr, personne ne sait à quoi va ressembler demain, le futur. Mais, sauf événement catastrophique exceptionnel, je sais et je suis sûre que j’aurai un toit pour m’abriter, de quoi m’habiller et me nourrir et ce jusqu’à ma mort.

J’ai quitté les clubs Vélo et Jardinage, avec mes études ce n’est plus possible de tout mener de front. Papa veut absolument m’inscrire au club Bricolage, je le soupçonne de vouloir me caser avec notre voisin Émile, mais est-ce pour moi ou pour lui ? En tout cas, c’est vrai, il est gentil Emile, mais lui c’est surtout le club Dessin technique qui l’intéresse.

Mon avenir semble bien se dessiner et Mémé Germaine est très étonnée de voir la bonne utilisation de ce revenu, elle qui avait voté contre ce projet en 2022 et ne se gênait pas pour le dire. « La France est foutue, tout va à l’eau, le monde marche sur la tête » disait-elle à mes parents. Aujourd’hui elle dit regretter ne pas avoir eu ce revenu à son époque : « Ah, j’aurais eu une autre vie, ah oui, ma vie à moi. » Elle râle souvent, elle regrette souvent, mais j’aime ses moments de lucidité !

Mon avenir, je l’imagine entreprenant et socialisant dans le domaine de l’aide à l’informatique pour débutants. Aider mes prochains et mes proches est très valorisant mais parfois cela m’agace ou m’angoisse quand ils et elles ne progressent pas ou plus ou font exprès de ne pas progresser. Alors j’ai décidé, comme plusieurs de mes ami.e.s, de faire partie de deux structures, l’une individuelle et l’autre sociale.

J’ai tout d’abord créé une petite entreprise, je vais dépanner, aider “mes” clients à leur domicile ou alors ils viennent chez moi, j’ai réservé un espace spécifique dans mon deux pièces. Parfois j’ai peur de rencontrer de nouveaux clients seule, mais j’ai toujours mes lunettes-caméra-alarme sur moi, cela me rassure. Pour cette activité je demande une rémunération en échange de mon aide, cela va me permettre de m’acheter mon nouveau vélo à assistance photovoltaïque.

J’interviens également de manière gratuite au sein des services de ma commune. J’ai mis mon planning avec mes disponibilités et mes compétences en ligne sur le site internet de la ville et on m’appelle en fonction de ce planning, des besoins et urgences des un.es et des autres. Le service Vie démocratique et participative de la commune anime le réseau de citoyen.nes qui comme moi proposent leurs services au bénéfice du collectif. Tout le monde s’y retrouve, moi qui valorise mes compétences, mon temps, les aidé.es qui progressent, sortent d’une ornière et la commune qui propose un véritable service à la personne.

La commune va bientôt mettre en place l’ancien club Foresco (Formations Réciproques Échanges de Savoirs Créations Collectives) du siècle dernier, j’ai hâte de connaître son fonctionnement, ce serait un plus pour moi qui adore rencontrer de nouvelles personnes, de tous horizons et de tous âges.

En parlant d’un autre âge, Tonton Arthur est opposé à mes projets socialisants, je le trouve dur avec moi, dans ses paroles. Parfois il me dit, énervé : « Moi, j’étais expert-comptable et à l’époque on savait compter. On trimait et on savait ce que c’était que de rembourser un crédit. On savait pourquoi on le remboursait. » Malgré mes années au club Comptabilité j’ai encore du mal à comprendre mon Tonton. Et puis on me dit que beaucoup de ses sous il les a gagnés en jouant à la Bourse. Je ne comprends pas tout de l’économie des années passées.

Bon, je vous laisse, Emile a appelé, il vient me chercher ce soir, il veut m’accompagner pour la première fois au club Comptabilité 😉

virginieespirat@gmail.com

Cet article “J’ai vingt ans aujourd’hui” de Virginie Espirat est apparu en premier sur Mouvement Français pour un Revenu de Base.

Des cailloux dans la chaussure : un film sur le combat d'habitants contre une carrière dans la montagne

Rédaction
, 23/07/2021 | Source : Basta !

Quand un projet de carrière menace leur montagne, les habitants de Saint-Nazaire-en-Royans, dans la Drôme, décident de se mobiliser. De cette lutte, le réalisateur Mickaël Damperon a fait un documentaire.
Début 2020, les habitants de Saint-Nazaire-en-Royans, dans la Drôme, découvrent qu'une carrière de roches massives veut s'implanter sur la petite montagne surplombant leur village, le mont Vanille. Abasourdis par l'ampleur du projet, irrités de ne pas avoir été consultés, ils décident de se (...)

- ça bouge ! /