Le tâtonnement
La vie privée ne se loge plus ou presque dans les papiers. Elle est numérique. Sous état d’urgence, l’autorité administrative est fondée à mener des perquisitions et, dans leur cours, à accéder à des données informatiques sans autorisation d’un juge. Tout comme d’ailleurs la police judiciaire peut y procéder en tout temps, également sans autorisation d’un juge, en cas de crime flagrant (code de procédure pénale, art. 56).
La conciliation entre ordre public et vie privée avait été imparfaitement équilibrée par la loi n° 2015-1501 du 20 novembre 2015 prorogeant l'application de la loi n° 55-385 relative à l'état d'urgence et renforçant l'efficacité de ses dispositions. En effet, par sa décision n° 2016-536 QPC du 19 février 2016, le Conseil constitutionnel avait relevé que la copie des données en cours de perquisition administrative, assimilable à une saisie, n’était pas autorisée par un juge. Elle pouvait être faite sans discrimination par une mesure de copie globale emportant des données n’ayant pas de rapport à la menace ayant justifié la perquisition. Il en avait déduit l’absence de garanties légales caractérisant un défaut dans la conciliation que devait opérer la loi et l’avait censurée (§. 14).
Le parlement avait, sans tarder, pallié ce défaut par l’article 5 de la loi n° 2016-987 du 21 juillet 2016 prorogeant l'application de la loi n° 55-385 du 3 avril 1955 relative à l'état d'urgence et portant mesures de renforcement de la lutte antiterroriste. La loi de 1955 était modifiée pour organiser le régime légal de la saisie de données et de supports informatiques par les services de police administrative, avec l’instauration d’une intervention obligatoire du juge administratif des référés en vue d'autoriser, à bref délai à l’issue de la perquisition, l’exploitation des données saisies (alinéas 3 à 10 du I de son article 11). C’est ce régime dont la constitutionnalité était critiquée par la question prioritaire transmise par le Conseil d’Etat le 16 septembre 2016.
La conciliation entre ordre public et vie privée avait été imparfaitement équilibrée par la loi n° 2015-1501 du 20 novembre 2015 prorogeant l'application de la loi n° 55-385 relative à l'état d'urgence et renforçant l'efficacité de ses dispositions. En effet, par sa décision n° 2016-536 QPC du 19 février 2016, le Conseil constitutionnel avait relevé que la copie des données en cours de perquisition administrative, assimilable à une saisie, n’était pas autorisée par un juge. Elle pouvait être faite sans discrimination par une mesure de copie globale emportant des données n’ayant pas de rapport à la menace ayant justifié la perquisition. Il en avait déduit l’absence de garanties légales caractérisant un défaut dans la conciliation que devait opérer la loi et l’avait censurée (§. 14).
Le parlement avait, sans tarder, pallié ce défaut par l’article 5 de la loi n° 2016-987 du 21 juillet 2016 prorogeant l'application de la loi n° 55-385 du 3 avril 1955 relative à l'état d'urgence et portant mesures de renforcement de la lutte antiterroriste. La loi de 1955 était modifiée pour organiser le régime légal de la saisie de données et de supports informatiques par les services de police administrative, avec l’instauration d’une intervention obligatoire du juge administratif des référés en vue d'autoriser, à bref délai à l’issue de la perquisition, l’exploitation des données saisies (alinéas 3 à 10 du I de son article 11). C’est ce régime dont la constitutionnalité était critiquée par la question prioritaire transmise par le Conseil d’Etat le 16 septembre 2016.
Les deux angles de la critique
La critique initiale et efficace sur l'absence du juge se déploie maintenant sur l'inefficacité de son office.
D’abord, le contrôle juridictionnel devrait être antérieur à la saisie des données et supports. Ensuite, le lien entre la matière saisie et la menace ne serait pas suffisamment encadré, ce qui permettrait l’accès des services à des données étrangères à cette menace, sans tri de pertinence par le juge pour protéger celles qui relèvent de l’intimité de la vie privée.
En pratique, la perquisition ne permet pas de procéder sur place à des copies des disques durs, tablettes ou autres terminaux mobiles et ceux-ci doivent être saisis, pour n’être restitués qu’après un peu plus de 15 jours. Sur autorisation du juge administratif postérieure à la perquisition, les données peuvent être analysées.
Dans l’ordre conventionnel, le principe de légalité est respecté lorsque la consultation et l’exploitation des données protégées sont subordonnées à l’autorisation d’un juge capable d’en moduler la portée si nécessaire (Cour EDH, grande chambre, 14 septembre 2010, Sanoma Uitgevers B.V. contre Pays-Bas, n° 38224/03, §§. 91-92, sur la conciliation entre l’intérêt public d’une enquête de police et l’intérêt public général à la protection des sources des journalistes). le dispositif français répond à cette exigence car l'exploitation des données saisies dépend du juge administratif en procédure d'urgence.
Depuis juillet 2016, la loi fixe une gradation à la liaison exigée entre les données et supports informatiques intéressant la police administrative, d'un côté, et la menace que constitue pour la sécurité et l'ordre publics le comportement de la personne concernée. La saisie doit reposer sur des éléments révélés par la perquisition, comme par exemple l’intitulé des dernières pages internet consultées ou des derniers fichiers lus. L’exploitation n’est permise par le juge, ensuite, que pour les éléments qui ne sont pas dépourvus de tout lien avec la menace. La conservation des données saisies et exploitées au-delà de trois mois n’est possible que pour celles qui caractérisent la menace. Les exigences sont croissantes.
Dans l’environnement de police administrative qui est celui des perquisitions en état d’urgence, la saisie donne lieu à l’établissement d’un procès-verbal incluant l’inventaire de ce qui est placé sous la main de l’administration. Sans ou avant l’autorisation du juge administratif, le traitement des données saisies est de nature à caractériser le délit incriminé par l’article 226-16 du code pénal et réprimé par cinq ans d'emprisonnement et de 300 000 euros d'amende. Il reste que les éléments saisis ne sont pas formellement placés sous un dispositif de protection physique, à l’instar d’un scellé marquant un placement sous main de justice et mettant une barrière matérielle, en plus que juridique, à l’accès jusqu’à ce qu’il soit autorisé. Pour autant, la préservation des données entre leur saisie administrative et l'autorisation juridictionnelle de leur exploitation est bien assurée par un dispositif juridique clair.
D’abord, le contrôle juridictionnel devrait être antérieur à la saisie des données et supports. Ensuite, le lien entre la matière saisie et la menace ne serait pas suffisamment encadré, ce qui permettrait l’accès des services à des données étrangères à cette menace, sans tri de pertinence par le juge pour protéger celles qui relèvent de l’intimité de la vie privée.
En pratique, la perquisition ne permet pas de procéder sur place à des copies des disques durs, tablettes ou autres terminaux mobiles et ceux-ci doivent être saisis, pour n’être restitués qu’après un peu plus de 15 jours. Sur autorisation du juge administratif postérieure à la perquisition, les données peuvent être analysées.
Dans l’ordre conventionnel, le principe de légalité est respecté lorsque la consultation et l’exploitation des données protégées sont subordonnées à l’autorisation d’un juge capable d’en moduler la portée si nécessaire (Cour EDH, grande chambre, 14 septembre 2010, Sanoma Uitgevers B.V. contre Pays-Bas, n° 38224/03, §§. 91-92, sur la conciliation entre l’intérêt public d’une enquête de police et l’intérêt public général à la protection des sources des journalistes). le dispositif français répond à cette exigence car l'exploitation des données saisies dépend du juge administratif en procédure d'urgence.
Depuis juillet 2016, la loi fixe une gradation à la liaison exigée entre les données et supports informatiques intéressant la police administrative, d'un côté, et la menace que constitue pour la sécurité et l'ordre publics le comportement de la personne concernée. La saisie doit reposer sur des éléments révélés par la perquisition, comme par exemple l’intitulé des dernières pages internet consultées ou des derniers fichiers lus. L’exploitation n’est permise par le juge, ensuite, que pour les éléments qui ne sont pas dépourvus de tout lien avec la menace. La conservation des données saisies et exploitées au-delà de trois mois n’est possible que pour celles qui caractérisent la menace. Les exigences sont croissantes.
Dans l’environnement de police administrative qui est celui des perquisitions en état d’urgence, la saisie donne lieu à l’établissement d’un procès-verbal incluant l’inventaire de ce qui est placé sous la main de l’administration. Sans ou avant l’autorisation du juge administratif, le traitement des données saisies est de nature à caractériser le délit incriminé par l’article 226-16 du code pénal et réprimé par cinq ans d'emprisonnement et de 300 000 euros d'amende. Il reste que les éléments saisis ne sont pas formellement placés sous un dispositif de protection physique, à l’instar d’un scellé marquant un placement sous main de justice et mettant une barrière matérielle, en plus que juridique, à l’accès jusqu’à ce qu’il soit autorisé. Pour autant, la préservation des données entre leur saisie administrative et l'autorisation juridictionnelle de leur exploitation est bien assurée par un dispositif juridique clair.
Conjectures
Le Conseil constitutionnel dessinera-t-il, par itérations jurisprudentielles successives, un régime de saisie informatique en état d’urgence reposant sur une autorisation de saisie et d'exploitation préalable et circonstanciée par le juge, en amont d’une perquisition décidée par le préfet, alors que nul n’est capable de savoir ni ce que révèlera le lieu perquisitionné ni la nature des données informatiques qui s’y trouveront ni la langue dans laquelle elles ont été enregistrées ?
Différemment, en profitera-t-il pour dissiper toute incertitude sur la constitutionnalité du régime légal de la saisie administrative sans autorisation préalable du juge ? Ou bien imposera-t-il, par réserve d’interprétation, des garanties supplémentaires pour l'étanchéité de la conservation des données saisies jusqu’à ce que l’autorisation de leur exploitation soit valablement autorisée par le juge administratif après la fin de la perquisition ? Ou, encore, conduira-t-il à une extension du contrôle juridictionnel sur l’effectivité et la force du lien entre la donnée exploitée et la menace comme sur le tri à opérer entre les données en lien avec la menace et celles ne relevant que de la vie privée.
Quelque soit le ou les sens de sa décision du début de décembre 2016, elle ne devrait vraisemblablement pas se départir complètement de la considération des paramètres minimaux de l'efficacité opérationnelle.
Différemment, en profitera-t-il pour dissiper toute incertitude sur la constitutionnalité du régime légal de la saisie administrative sans autorisation préalable du juge ? Ou bien imposera-t-il, par réserve d’interprétation, des garanties supplémentaires pour l'étanchéité de la conservation des données saisies jusqu’à ce que l’autorisation de leur exploitation soit valablement autorisée par le juge administratif après la fin de la perquisition ? Ou, encore, conduira-t-il à une extension du contrôle juridictionnel sur l’effectivité et la force du lien entre la donnée exploitée et la menace comme sur le tri à opérer entre les données en lien avec la menace et celles ne relevant que de la vie privée.
Quelque soit le ou les sens de sa décision du début de décembre 2016, elle ne devrait vraisemblablement pas se départir complètement de la considération des paramètres minimaux de l'efficacité opérationnelle.
Publication de la nouvelle IM900 le 30 avril 2021, pour une entrée en vigueur le 1er juillet 2021 : parachèvement du processus de modernisation des règles relatives à la protection du secret de la défense nationale
