La structure du document

Comme le précédent recours que nous avions publié (celui contre le décret d'application de l'article 20 de la LPM, il est structuré en 4 parties. La première sur les faits, qui explique quelle décision nous attaquons. La seconde sur notre intérêt à agir[1]. La troisième sur les défauts de légalité externe[2]. Et la quatrième est celle sur les défauts de légalité interne[3].

Cette approche est relativement logique, d'un point de vue de juriste. Mais elle ne l'est pas forcément pour expliquer le fond du dossier. La même disposition peut par exemple relever à la fois de la légalité interne et de la légalité externe. Par exemple, une disposition qui ne relève pas du pouvoir réglementaire, et donc ne peut apparaître que dans une loi. Il faut une loi pour la mettre en place. Essayer de la mettre en place dans un décret est une faute qui relève de la légalité externe (pas la bonne procédure, excès de pouvoir). Mais cette disposition peut aussi être contraire à un texte de loi pré-existant. Et ça, c'est une faute de légalité interne.

Du coup, pour expliquer un peu le contenu du document, on va plutôt se concentrer sur les dispositions qui ne vont pas, sans forcément bien suivre le rangement du doc.

Une pure faute de procédure

Une circulaire de février 2011 dit qu'il doit y avoir une étude d'impact, et qu'il faut saisir le commissaire à la simplification[4] si la nouvelle disposition réglementaire touche les entreprises, et en particulier les PME. Comme les 1800 opérateurs déclarés à l'ARCEP sont en majorité des PME, ça aurait dû être le cas. Et ça ne l'a pas été.

Pas certain que le Conseil d'État considère que la faute soit très grave, mais il n'y a pas de doute sur le fait que c'est bien une faute.

Le décret n'est pas clair

Plusieurs des dispositions du décret sont rédigées de manières tellement floues, en particulier sur le sens technique de certaines phrases, qu'il est virtuellement impossible de dire de manière certaine ce qui sera fait. C'est en soit un problème, la constitution (et en particulier la Déclaration des droits de l'Homme de 1789) dit que la loi doit être compréhensible et prévisible. Et pareil pour les décrets.

Le Conseil d'État peut sauver le décret en nous répondant en gros meuh non, c'est clair, regardez, ça veut dire ça, et donc en fournissant la clarification qu'il juge nécessaire. Ou au contraire dire que le texte n'est pas clair, et le rejeter.

Le blocage sans juge

Cet argument est décliné sous plusieurs formes dans le document, mais il revient toujours sensiblement au même : nous estimons qu'il est illégal de bloquer un site web sans la décision d'un juge.

Tel qu'il est rédigé, le décret dit bien que les sites bloqués sont ceux qui contreviennent à l'article machin du code pénal. Or seule la justice peut déclarer que quelqu'un commet une infraction. La police administrative ne peut que prévenir une infraction. Donc il y a viol de la séparation des pouvoirs (la police, donc l'exécutif, fait quelque chose que seule la justice, donc le judiciaire, peut faire).

Par ailleurs, une mesure de police administrative doit pouvoir être contestée. Et la jurisprudence européenne nous dit que pour ça, elle doit être notifiée aux gens visés, et qu'elle doit être motivée. L'administration doit dire pourquoi elle te prive de liberté, pour que tu puisses aller voir le juge administratif et expliquer en quoi elle se trompe. Le simple fait de ne pas motiver, ou de ne pas assez motiver, est en soi contraire au droit européen. Or la procédure mise en place par le décret n'impose pas cette notification, ni de motiver la décision.

Le blocage en lui-même

Une mesure qui prive de liberté doit être prise pour un objectif d'intérêt général (sauver les bébés chats, faire cesser un trouble, protéger l'environnement, etc), doit être nécessaire, c'est-à-dire que sans cette mesure le trouble continue alors qu'avec le trouble cesse, et doit être proportionnée, c'est-à-dire qu'il n'y avait pas moyen d'atteindre le même but en privant moins de liberté.

Or le blocage des sites web n'est pas efficace (les sites sont toujours accessibles facilement, via VPN, via Tor, en changeant de DNS, en changeant de FAI, etc). Donc la mesure qui prive de liberté ne fait pas cesser le trouble. Raté pour le nécessaire.

Par ailleurs le blocage d'un site web tel qu'il est prévu a des effets collatéraux, et donc prive de leur liberté d'expression des gens qui n'ont rien à voir avec l'histoire, ce qui est un défaut grave de proportionnalité[5].

Ensuite, il existe des mesures efficaces, qui sont moins privatives de liberté (faire retirer le contenu, faire fermer les sites, etc). Or ces mesures ne sont pas prévues, alors qu'elles atteignent mieux l'objectif en touchant moins aux libertés. Là aussi, ça manque de proportionnalité.

Le problème de la délation

Le décret indique que les gens qui essayent de consulter le site bloqué sont re-dirigés vers une page web du ministère de l'intérieur. Ce faisant, la police reçoit toutes les informations sur les gens qui ont essayé de visiter les pages. Ça crée, pour les opérateurs, non seulement une obligation de bloquer, mais aussi une obligation de dénoncer leurs abonnés à la police, en transmettant des données à caractère personnel dans l'affaire[6].

Cette disposition est particulièrement grave. Et est illégale pour plein de raisons.

D'abord, elle ne pourrait être prévue que par la loi. Elle organise le transfert de données obligatoire entre les opérateurs et la police, ce que seule la loi peut faire. Elle ne transfère pas que le trafic web, mais tout le trafic à destination du nom de domaine bloqué, y compris les mails et les discussions jabber par exemple, et donc organise une interception de communications privées. Ce que seule la loi peut prévoir. Enfin, ce simple transfert d'informations est un STAD[7] au sens de la CNIL. Or seule la loi peut organiser la création de ce type de fichier de police. Tout ça, c'est de la légalité externe.

Par ailleurs, il y a des dispositions légales qui interdisent aux opérateurs de transmettre à qui que ce soit quelque information que ce soit sur ce que font les abonnés avec leur accès à Internet. Or le décret, on l'a vu, organise le transfert d'une partie de ces informations vers la police. Or un décret ne peut pas dire le contraire d'une loi (légalité interne).

Un STAD mis en place par les pouvoirs publics doit remplir un certain nombre de critères définis par la loi de 1978 (informatique et libertés). Or le décret crée ce STAD sans vraiment le dire, et sans expliquer pourquoi ni comment. C'est contraire à la loi de 1978, là encore un problème de légalité interne. De même, un arrêté doit autoriser la mise en place de ce STAD, qui en l’occurrence n'existe pas. Ça, c'est un défaut de légalité externe.

Par ailleurs, le transfert des communications au ministère de l'intérieur est une atteinte aux libertés, des FAI d'une part, et des abonnés d'autre part. Elle n'est pas nécessaire puisque le même but peut être atteint autrement (les FAI peuvent afficher eux-même la page d'information, sans faire suivre le tout à la police). Elle est donc illégale parce que non prévue par la loi (légalité externe) et parce qu'elle manque de proportionnalité (légalité interne).

Sur tous ces points-là, le droit lu de manière stricte est très protecteur, et nous donne raison. Mais le droit est toujours interprétable. La position de la CNIL sur le fait qu'une adresse IP est une donnée personnelle, voire une donnée nominative, n'est pas une loi.

Le Conseil d'État pourrait donc décider de rejeter nos arguments, en expliquant à chaque fois pourquoi il n'est pas d'accord, en vertu de quel texte il considère que nous nous trompons, et éventuellement en détaillant l'interprétation du texte en question.

Le Conseil d'État peut aussi décider que c'est bien un STAD, que c'est bien une délation, qu'un décret ne peut pas organiser tout ça sans une loi qui l'y autorise, et que donc cette disposition doit sauter.

Ce sera une vraie décision de droit, forcément. Mais pas seulement. Elle comportera forcément une composante politique, comme la décision de la CJUE invalidant la conservation systématique des données de connexion.

Notes

[1] Il ne suffit pas que l'administration fasse quelque chose d'illégal pour qu'on puisse le contester, il faut que ça nous porte tort. Oui, le concept est curieux. En droit administratif, si tu vois un truc illégal fait par l'administration, si ça ne te porte pas préjudice, tu ne dois rien dire. Ceci dit, la notion de préjudice peut être entendue assez largement.

[2] La légalité externe, c'est la forme. Il manque une signature, la procédure n'a pas été respectée, etc.

[3] La légalité interne, c'est le fond. Le décret est contraire à une loi, il prend une disposition contraire à la constitution ou aux textes européens, il va contre une décision de la CJUE, ce genre de choses.

[4] Oui, pour simplifier l'administration on a ajouté un commissaire à la simplification.

[5] Un peu comme mettre en prison tout un groupe alors qu'un seul est coupable.

[6] Au moins l'adresse IP de l'abonné. Ce que la CNIL considère, depuis toujours, comme une donnée personnelle, puisqu'elle permet de remonter à l'identité de l'abonné.

[7] Système de Traitement Automatique de Données, ce que la presse appelle un fichier.