Intervention de Maryvonne de Saint Pulgent

Mes collègues vous répondront sur les interceptions de communications, y compris celles à destination de l'étranger, et les nouvelles méthodes d'intrusion. Dans ces matières, le Conseil d'État adopte une éthique de responsabilité. Nous considérons en effet le droit à la sûreté comme un droit fondamental, le Conseil constitutionnel ayant du reste récemment rappelé la valeur constitutionnelle de la protection de ce droit.

S'agissant du traitement des données de connexion, la situation est assez incertaine depuis l'arrêt Digital rights Ireland. En effet, la disparition de la directive de 2006 laisse la place aux législations nationales et l'on s'interroge sur la compétence de l'Union dans ces matières qui relèvent de la souveraineté nationale. La directive offrait à la Cour de justice un point d'entrée dans ces législations et, si elle n'est pas remplacée, on peut se demander dans quelle mesure ces dernières doivent être conformes à l'idée que la Cour de justice se fait de la Charte des droits fondamentaux de l'Union européenne . Rappelons toutefois qu'il existe un autre gendarme des libertés : la Cour européenne des droits de l'homme. Nous n'échappons donc pas à tout risque, mais ce n'est pas un risque de même nature. L'étude comporte, outre des préconisations, quelques précautions juridiques sur ce point.

Dans le système actuel, l'accès aux données collectées n'est pas suffisamment encadré – c'est tout à fait clair à la lecture de l'arrêt Digital rights Ireland – au regard non seulement de la Charte mais aussi de nos propres principes. Accéder aux données de connexion des individus constitue en effet une intrusion dans leur vie privée, intrusion qui doit être légitime et proportionnée à l'objectif poursuivi. Or, nous constatons qu'aujourd'hui, les textes ouvrent un accès trop large à ce chalut de données collectées a priori et de façon préventive. Nous avons été convaincus sur un point : il n'est pas possible, au stade de l'émission des données de connexion, de prévoir les actes, qu'il s'agisse de crimes ou d'atteintes à la sûreté, qui nécessiteront d'explorer ces données pour identifier les auteurs ou les menaces. Pour citer l'exemple de l'attentat au musée juif de Bruxelles, c'est l'accès aux métadonnées qui a permis d'en identifier l'auteur et de retracer ses voyages et ses communications avant la commission de l'attentat. Bien entendu, avant que cet attentat ne soit commis, personne ne sait qu'il le sera. La collecte générale préventive des données et leur conservation durant une année sont donc nécessaires pour constituer un bassin dans lequel on puisera ensuite, en remontant le temps, les renseignements nécessaires.

Il faut donc agir, non pas sur la collecte, mais sur l'accès. Or, la loi est trop imprécise sur ce point. Premièrement, elle ne protège personne, contrairement aux règles applicables aux interceptions téléphoniques. Ni les élus, ni les magistrats, ni les journalistes ne sont prémunis contre l'exploration de leurs données de connexion. Deuxièmement, tous les crimes et tous les délits, aussi petits soient-ils, permettent, dans le cadre d'une procédure judiciaire, d'accéder à ces données. L'objectif est-il proportionné à l'intrusion ? Troisièmement, certaines autorités administratives ont accès à ces données pour réprimer des infractions au droit de la propriété intellectuelle : est-ce légitime ? Par ailleurs, il n'est pas forcément nécessaire d'avoir accès aux données d'une année entière : trois mois peuvent suffire. Nous ne prenons pas position sur toutes ces questions ; nous recommandons au législateur de les traiter et de revoir très sévèrement et très sérieusement la loi sur ce point. Ces lacunes font partie des griefs retenus contre la directive, qui était tout aussi silencieuse sur ces sujets, dans l'arrêt Digital rights Ireland.