site/content/posts/memoire-charte/contents.lr

---
excerpt: Chez les exégètes amateurs, le rythme est soutenu. Nos mémoires dans la procédure contre les décrets de la loi renseignement à peine déposés, nous dédions notre attention au dépôt d’un nouveau mémoire sur l’applicabilité de la Charte des droits fondamentaux de l’UE
---
pub_date: 2016-05-20
---
comments: true
tags:
- rétentionDesDonnées
- CEtat
---
title: De l’applicabilité de la Charte à la rétention généralisée de données
---
body:

Chez les exégètes amateurs, le rythme est soutenu. Nos mémoires dans la
procédure contre les décrets de la loi renseignement [à peine déposés],
nous dédions notre attention au dépôt d’un nouveau [mémoire] dans la
procédure contre le refus tacite du gouvernement d’abroger les
dispositions règlementaires organisant le régime de conservation des
données de connexion par les intermédiaires techniques.

Si vous n’avez rien compris à la fin de cette dernière phrase,
rassurez-vous ! La plupart d’entre nous n’a rien compris non plus la
première fois qu’un exégète proposa de se pencher dessus.

Alors, on va d’abord faire un petit point sur la procédure dans laquelle
ce dernier mémoire s’inscrit avant de vous décrire le pourquoi de ce
nouveau mémoire et son contenu.

Avertissement : ce billet est plein de digressions et de points de
droit. Mais vous allez peut-être apprendre des trucs. C’est pour ça
qu’on a fait ce site et c’est pour ça que nous publions nos mémoires.

Contexte
========

Après les attentats de Madrid en mars 2004 et de Londres en juillet
2005, l’Union européenne adopta la directive 2006/24/CE, créant un
principe de conservation généralisée des données de connexion, pour une
durée allant de six mois à deux ans.

À l’époque, les critiques dénonçant l’incompatibilité de ces
dispositions avec le respect des droits fondamentaux furent nombreuses.
Plusieurs lois de transposition nationales furent ainsi déclarées
inconstitutionnelles en Roumanie (2009), en Allemagne (2010), en
Bulgarie (2010), à Chypre (2011) et en République Tchèque (2011).

Finalement, le 8 avril 2014, la Cour de justice de l’Union européenne
(CJUE) jugeait dans l’arrêt Digital Rights que ladite directive était
invalide car contraire à [la Charte des droits fondamentaux de l’Union
européenne].

Pourtant, les dispositions françaises de conservation des données de
connexion par les intermédiaires techniques subsistent. L’invalidation
de la directive européenne n’a pas entrainé automatiquement celle des
dispositions françaises.

Point sur la procédure contre le refus d’abrogation de la rétention des données
===============================================================================

La rétention généralisée des données de connexion
-------------------------------------------------

Tout d’abord, sur le fond[^1], cette procédure vise à mettre fin au
régime français qui impose aux intermédiaires techniques (opérateurs et
hébergeurs) de conserver des données sur tout le monde pendant un an.

Pourquoi impose-t-on cela aux intermédiaires ? Au cas où dans les 365
jours qui suivent, l’autorité (administrative ou judiciaire)
souhaiterait y accéder. La logique de cette mesure imposée aux
intermédiaires techniques, c’est qu’on ne peut pas savoir à l’avance qui
va être soupçonné de quoi ; donc, il faut garder des données sur tout le
monde.

Récemment, le gouvernement français est intervenu devant la Cour de
justice de l’Union européenne pour défendre le principe de la rétention
généralisée des données de connexion. Pendant son intervention, le
gouvernement a poussé sa logique encore plus loin en [allant carrément
dans l’absurde] : en gardant des données sur tout le monde, il estime
qu’on peut aussi s’en servir pour les droits de la défense, pour
permettre au suspect de prouver son innoncence ! En droit, c’est le
monde à l’envers : la fin de la présomption d’innocence. On ne doit plus
prouver la culpabilité du suspect, c’est désormais au suspect de montrer
qu’il est innocent.

Pendant ce temps, cette suspicion généralisée n’a toujours pas fait
preuve de son efficacité au-delà des discours politiques, tandis que le
[rapport] de l’homologue britannique de la CNCTR démontre que la
rétention généralisée des données engendre de nombreuses erreurs portant
parfois sur des accusations extrêmement graves.

La procédure contre le refus tacite d’abrogation
------------------------------------------------

Pour remettre en cause les lois françaises imposant aux intermédiaires
la rétention des données de connexion, nous avons utilisé une procédure
peu habituelle.

Si vous suivez un petit peu ce qu’on a fait [contre la LPM] ou ce qu’on
fait contre [la loi renseignement], vous savez que toute personne peut
saisir le Conseil d’État d’un [recours en excès de pouvoir] contre le
gouvernement qui prend un décret. L’un des axes d’attaque pour démontrer
l’illégalité du décret est le manque de base légale. Ce manque de base
légale peut notamment résulter de l’invalidité de la loi que le décret
applique. Cette invalidité peut elle-même résulter notamment de
l’incompatibilité de la loi avec la Constitution — il faudra alors faire
une question prioritaire de constitutionnalité (QPC) — ou encore de
l’incompatibilité de la loi avec le droit de l’Union européenne, la
Convention européenne de sauvegarde des droits de l’homme, ou avec un
autre traité international.

Or ici, ce n’est pas ce qu’on fait. Pourquoi ? Simplement pour une
question de délai. En effet, on ne peut pas saisir le Conseil d’État
lorsque le décret a été publié il y a plus de deux mois[^2] — c’est la
forclusion.

Alors il y a une autre possibilité. Cette voie alternative est ouverte
depuis 1989 par l’arrêt [Alitalia] du Conseil d’État. Elle consiste à
demander au gouvernement d’abroger une disposition règlementaire (par
exemple, un décret). Si cette disposition règlementaire est contraire au
droit (par exemple, une décision de la Cour de justice de l’Union
européenne), alors le gouvernement est tenu d’abroger la disposition en
cause.

Si le gouvernement ne le fait pas, cela signifie qu’il laisse subsister
dans l’ordre juridique une illégalité. Le remède consiste à attaquer la
décision de ne pas corriger cette illégalité.

Telle est la situation sur le régime français de rétention généralisée
des données de connexion, suite à l’arrêt [Digital Rights Ireland et
Seitlinger] de la Cour de justice de l’Union européenne rendu en avril
2014.

Le 27 avril 2015, FDN, La Quadrature du Net et FFDN ont donc [demandé au
gouvernement d’abroger] l’article R. 10-13 du code des postes et des
communications électroniques ainsi que le décret n° 2011-219 du 25
février 2011 pris en application de la LCEN.

Nous avons reçu une réponse comme quoi le dossier avait été transmis au
ministère de la justice. Puis, rien. Le délai légal de deux mois pour
répondre s’est écoulé, sans retour du ministère. S’ouvrait alors un
autre délai de deux mois pour saisir le Conseil d’État et contester le
refus tacite du gouvernement d’abroger les dispositions invalides en
cause.

Nous avons donc déposé une [requête introductive], dans laquelle nous
avons annoncé la production ultérieure d’un [mémoire ampliatif] dans un
délai de 3 mois.

Depuis le 27 novembre 2015, le gouvernement a eu la possibilité de nous
répondre. Il ne l’a toujours pas fait.

[La procédure] suit son cours. Privacy International et le Center for
Democracy and Technology nous ont rejoint par une tierce intervention,
en déposant des mémoires venant appuyer nos demandes.

Pour ne pas rester dans l’attente, nous avons donc décidé de remettre
les mains sur le dossier et de produire un mémoire précis sur un point
de droit.

Résumé sur le mémoire complémentaire relatif à l’applicabilité de la Charte des droits fondamentaux de l’UE
===========================================================================================================

Ce petit billet est plein de digressions. En voici encore une.

Pourquoi avons-nous fait ce mémoire sur ce point si précis ? Pour le
comprendre, il faut remonter à notre précédente procédure, celle contre
le décret d’application de l’article 20 de la loi de programmation
militaire, dite LPM (dont on retrouve des bouts dans la loi
renseignement, intégrés au chapitre *accès aux données* de connexion du
code de la sécurité intérieure).

Bien qu’il s’agissait d’accès aux données par les services de
renseignement et non de *conservation imposée* aux intermédiaires
techniques, les deux questions sont liées. Dans ce recours, nous avions
donc déjà abordé la question de la jurisprudence de la Cour de justice
de l’Union européenne au soutien de nos arguments.

Mais dans [sa décision], le Conseil d’État a totalement esquivé la
question de l’applicabilité de la [Charte][la Charte des droits
fondamentaux de l’Union européenne] des droits fondamentaux de l’Union
européenne (voir la [réaction] de La Quadrature du Net). Il s’est ainsi
autorisé à ne tirer aucune conséquence des récents arrêts de la Cour de
justice de l’Union européenne basés sur l’application de cette Charte.
Exit la décision *Digital Rights Ireland*. Exit la décision *Schrems*
d’octobre 2015. Comme si ces décisions n’avaient pas existé et que la
Cour de justice n’avait pas clairement remis en cause l’absence de
garanties fortes et de limitations importantes aux mesures des États
consistant à accéder à des données de connexion — données dont le
caractère intrusif et révélateur de la vie privée des personnes a
maintes fois été démontré (voir encore récemment cette [étude mentionnée
par Le Monde] qui se concentre sur les données de connexion relatives à
la téléphonie).

C’est pourquoi nous avons décidé de consacrer un court mémoire à la
démonstration de l’applicabilité de la Charte des droits fondamentaux de
l’Union européenne au dispositif français de conservation des données.
Il s’agit, d’une part, d’anticiper une potentielle réponse du
gouverne-ment qui ne manquera probablement pas d’insister sur l’aspect
« sauvegarde de la sécurité nationale » pour tenter de démontrer que
l’obligation de rétention des données n’est pas concernée par l’ordre
juridique de l’Union européenne.

Il s’agit, d’autre part, de mettre le Conseil d’État face à ses
obligations : le Conseil d’État doit faire l’application du droit
européen tel qu’il s’impose à lui et tel qu’interprété par la Cour de
justice de l’Union européenne. Or, comme pour toute juridiction dont les
décisions ne sont pas susceptibles de recours en droit interne, le
Conseil d’État a l’obligation de faire un renvoi préjudiciel à la Cour
de justice dans le cas où sa décision dépendrait d’une difficile et
sérieuse question d’interprétation du droit de l’UE.

Toutefois, nous pensons qu’il n’y a ici aucune question
d’interprétation, puisque la Cour de justice a déjà apporté des réponses
absolument claires sur l’applicabilité de la Charte. Ce sont les
arguments que nous faisons valoir dans ce mémoire, notamment en citant
ce récent arrêt de la Cour :

> « lorsqu’il s’avère qu’une réglementation nationale est de nature à
> entraver l’exercice de l’une ou de plusieurs libertés fondamentales
> garanties par le traité elle ne peut bénéficier des exceptions prévues
> par le droit de l’Union pour justifier cette entrave que dans la
> mesure où cela est conforme aux droits fondamentaux dont la Cour
> assure le respect. Cette obligation de conformité aux droits
> fondamentaux relève à l’évidence du champ d’application du droit de
> l’Union et, en conséquence, de celui de la Charte. **L’emploi, par un
> État membre, d’exceptions prévues par le droit de l’Union pour
> justifier une entrave à une liberté fondamentale** garantie par le
> traité doit, dès lors, être considéré, ainsi que Mme l’avocat général
> l’a relevé au point 46 de ses conclusions, comme **« mettant en oeuvre
> le droit de l’Union »**, au sens de l’article 51, paragraphe 1, de la
> Charte. »
>
> (CJUE, 3e ch., 30 avr. 2014, Pfleger, C-390/12, §36 ; voir également
> en ce sens, CJUE, 18 juin 1991, ERT, C-260/89, §43)

Or, précisément, l’État français n’a pu établir une conservation
généralisée des données qu’en employant une exception prévue par la
directive 2002/58.

En effet, cette directive prévoit que, en principe, les opérateurs
doivent supprimer les données de connexion qu’ils traitent. Ce n’est que
par l’exception prévue à l’article 15 de la directive que les États
membres peuvent déroger à ce principe, au nom, notamment, de la sécurité
nationale.

Il n’y a dès lors aucun doute sur le fait que le régime français de
conservation généralisée met en œuvre le droit de l’Union, à travers
cette exception prévue à l’article 15 de la directive ePrivacy. La
Charte est donc applicable : le régime français de conservation des
données de connexion n’est valide qu’à condition de respecter les droits
fondamentaux garantis par la Charte telle qu’interprétée par la Cour de
justice.

Voilà pour les explications. Le [mémoire] est assez court, n’hésitez pas
à aller le lire :-) Et nous vous tiendrons bien sûr informé de la
réponse que nous fera le gouvernement…

------------------------------------------------------------------------

[Lire tous les documents de cette procédure][La procédure]

[^1]: Vous n’imaginez pas ce que ça coûte à un avocat de commencer par
    écrire sur le fond, normalement on soulève tout un tas de moyens
    avant la défense au fond ;-)

[^2]: Le délai peut varier. C’est plus long si le requérant est situé
    dans un département ou un territoire d’outre-mer. C’est encore un
    peu plus long si le requérant est situé à l’étranger.

  [à peine déposés]: https://exegetes.eu.org/renseignement-offensive-conseil-detat-et-qpc/
  [mémoire]: https://exegetes.eu.org/recours/abrogationretention/CEtat/2016-05-17-complement-charte.pdf
  [la Charte des droits fondamentaux de l’Union européenne]: http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:12010P
  [allant carrément dans l’absurde]: https://twitter.com/AntoniaLatsch/status/719872036097683460
  [rapport]: http://www.iocco-uk.info/docs/2015%20Half-yearly%20report%20%28web%20version%29.pdf
  [contre la LPM]: https://exegetes.eu.org/dossiers/#loi-de-programmation-militaire-lpm-sur-laccs-administratif-aux-donnes-de-connexion
  [la loi renseignement]: https://exegetes.eu.org/dossiers/#dcrets
  [recours en excès de pouvoir]: https://fr.wikipedia.org/wiki/Recours_pour_exc%C3%A8s_de_pouvoir_en_France
  [Alitalia]: http://www.conseil-etat.fr/Decisions-Avis-Publications/Decisions/Les-decisions-les-plus-importantes-du-Conseil-d-Etat/3-fevrier-1989-Compagnie-Alitalia
  [Digital Rights Ireland et Seitlinger]: http://curia.europa.eu/juris/liste.jsf?num=C-293/12
  [demandé au gouvernement d’abroger]: https://exegetes.eu.org/recours/abrogationretention/demande/2015-04-27-demande.pdf
  [requête introductive]: https://exegetes.eu.org/recours/abrogationretention/CEtat/2015-09-01-recours.pdf
  [mémoire ampliatif]: https://exegetes.eu.org/recours/abrogationretention/CEtat/2015-11-27-complement1.pdf
  [La procédure]: https://exegetes.eu.org/recours/abrogationretention/CEtat/
  [sa décision]: https://exegetes.eu.org/recours/lpm/CEtat/2016-02-12-Decision%20CE%20-%20388.1343%20LPM.pdf
  [réaction]: https://www.laquadrature.net/fr/conseil-etat-donnees-connexion%20
  [étude mentionnée par Le Monde]: http://www.lemonde.fr/pixels/article/2016/05/18/les-metadonnees-telephoniques-revelent-des-informations-tres-privees_4921532_4408996.html