accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

La CEDH admet le principe du recours par les États à un régime de surveillance électronique de masse

Jurisprudence

La CEDH, dans deux arrêts de grande chambre du 25 mai 2021, condamne le Royaume-Uni et la Suède pour leur régime de surveillance de masse tout en en admettant le principe. L'occasion pour la Cour de préciser les conditions dans lesquelles un régime de surveillance de masse des communications électroniques (contenu ou métadonnées) est compatible avec la Convention.

Dans les deux arrêts, la CEDH admet pour la première fois le recours à un régime d'interception de masse. Elle le justifie par la prolifération des menaces qui pèsent aujourd'hui sur les États en raison de l'utilisation, par des réseaux d'acteurs internationaux, de technologies sophistiquées qui permettent à leurs communications d'échapper à toute détection. « L'interception en masse est d'une importance vitale pour les États » estime-t-elle. Ils jouissent donc, selon la Cour, d'une ample marge d'appréciation pour déterminer de quel type de régime d'interception ils ont besoin pour protéger leur sécurité nationale.

Dans son opinion dissidente, le juge Pinto de Albuquerque estime que cet arrêt « modifie fondamentalement l'équilibre ménagé en Europe entre le droit au respect de la vie privée et les intérêts de la sécurité publique en ce qu'il cautionne la surveillance non ciblée du contenu des communications électroniques et des données de communication associées, et pis encore, l'échange de données avec des pays tiers qui ne disposent pas d'un niveau de protection comparable à celui des États du Conseil de l'Europe. Ce constat apparaît d'autant plus justifié à la lumière du refus catégorique que la CJUE a opposé à l'accès généralisé au contenu des communications électroniques, de sa réticence manifeste envers la conservation générale et indifférenciée des données de trafic et des données de localisation, et des limitations qu'elle a imposées au partage de données avec des services de renseignement étrangers n'assurant pas un niveau de protection substantiellement équivalent à celui garanti par la Charte des droits fondamentaux. Sur ces trois points, la Cour de Strasbourg reste en retrait de la Cour de Luxembourg, qui demeure le phare de la protection de la vie privée en Europe. » Et d'ajouter « l'arrêt de la Cour ouvre la voie à un Big Brother électronique en Europe ».

  • Régime de surveillance

Au regard de l'évolution constante des technologies de communication, la Cour estime que son approche habituelle à l'égard des régimes de surveillance ciblée doit être adaptée aux particularités d'un régime d'interception en masse. Et ce, en raison à la fois du risque d'abus, inhérent à ce type d'interception, et du besoin légitime d'opérer dans le secret. Ce processus, estime-t-elle, doit être encadré par des garanties de « bout en bout », i. e. :
au niveau national la nécessité et la proportionnalité des mesures prises doivent être appréciées à chaque étape du processus ;
- les activités d'interception en masse doivent être soumises à l'autorisation d'une autorité indépendante dès le
départ – dès la définition de l'objet et de l'étendue de l'opération ;
- les opérations devraient faire l'objet d'une supervision et d'un contrôle indépendant opéré a posteriori.

Pour déterminer si l'État a agi dans les limites de sa marge d'appréciation, la Cour recherchera donc si le cadre juridique national définit clairement :
- les motifs pour lesquels l'interception en masse peut être autorisée ;
- les circonstances dans lesquelles les communications d'un individu peuvent être interceptées ;
- la procédure d'octroi d'une autorisation ;
- les procédures à suivre pour la sélection, l'examen et l'utilisation des éléments interceptés ;
- les précautions à prendre pour la communication de ces éléments à d'autres parties ;
- les limites posées à la durée de l'interception et de la conservation des éléments interceptés, et les circonstances dans lesquelles ces éléments doivent être effacés ou détruits ;
- les procédures et modalités de supervision, par une autorité indépendante, du respect des garanties énoncées ci-dessus, et les pouvoirs de cette autorité en cas de manquement ;
- les procédures de contrôle indépendant a posteriori du respect des garanties et les pouvoirs conférés à l'organe compétent pour traiter les cas de manquement.

♦ S'agissant de la Suède

Selon une association suédoise, il existerait un risque que les communications qu'elle entretient quotidiennement avec des particuliers, des organisations et des entreprises en Suède et à l'étranger par mail, téléphone ou télécopie, souvent sur des sujets sensibles, aient pu ou puissent être interceptées et examinées dans le cadre d'activités de renseignement d'origine électromagnétique.

La Cour rappelle que le renseignement d'origine électromagnétique consiste à intercepter, traiter, analyser et reporter des informations transmises par signaux électroniques, qui peuvent être convertis en texte, image ou son. En Suède, la collecte de signaux électroniques est une forme de renseignement extérieur, encadrée par la loi relative au renseignement d'origine électromagnétique. La législation suédoise autorise le FRA, une agence gouvernementale, à mener des activités de renseignement d'origine électromagnétique au moyen de l'interception en masse. Pour cela, il doit demander une autorisation au tribunal. L'inspection du renseignement extérieur donne au FRA l'accès aux communications dans la mesure permise par l'autorisation de renseignement d'origine électromagnétique et supervise les activités du FRA. Elle contrôle l'interception, l'analyse, l'utilisation et la destruction des données recueillies. Elle peut vérifier les termes de recherche utilisés et a accès à tous les documents pertinents du FRA.

Après avoir fixé ces nouveaux critères, la CEDH les applique au régime suédois et observe que :
- les services de renseignement suédois ont pris grand soin de s'acquitter des obligations que la Convention fait peser sur eux ;
- les caractéristiques principales du régime suédois d'interception en masse répondent aux exigences de la Convention.
Cependant, ce régime souffre de 3 carences :
- l'absence de règle claire concernant la destruction des éléments interceptés qui ne contiennent pas de données à caractère personnel :
- le fait que ni la loi relative au renseignement d'origine électromagnétique ni aucun texte n'énoncent l'obligation de prendre en compte les intérêts liés à la vie privée lorsqu'une décision de partage de renseignements avec des partenaires étrangers est adoptée ;
- l'absence de contrôle a posteriori effectif.

Elle en conclut que le régime suédois d'interception en masse excède la marge d'appréciation accordée aux autorités de l'État défendeur. Il n'offre donc pas de protection adéquate et effective contre l'arbitraire et le risque d'abus. La Suède a donc violé l'article 8 de la Convention.

♦ S'agissant du Royaume-Uni

Des organisations et des personnes militant pour la défense des libertés civiles et des droits des journalistes ont introduit des requêtes concernant le régime d'interception en masse de communications découlant de la loi portant réglementation des pouvoirs d'enquête (Regulation of invetigatory powers acte 2000 – « la RIPA »). Pour rappel, Edward Snowden a révélé l'existence de programmes de surveillance et de partage de renseignements mis en place par les services de renseignement des USA et du Royaume-Uni. Les requérantes estiment qu'en raison de la nature de leurs activités, leurs communications électroniques et/ou leurs données de communication ont pu être interceptées ou recueillies par les services de renseignement britanniques auprès de fournisseurs de services de communication ou de services de renseignement étrangers tels que la NSA.

→ Sur le régime d'interception en masse

Après avoir fixé ces nouveaux critères, la CEDH les applique au régime britannique et conclut qu'il souffre de 3 carences :
- absence d'autorisation indépendante des mandats d'interception en masse ;
- absence de mention des catégories de termes de recherche (sélecteurs) dans les demandes de mandat ;
- absence d'autorisation interne préalable des termes de recherche liés à un individu identifiable (i.e. des identifieurs spécifiques tels que des adresses de courrier électronique).

Mais la CEDH indique qu'elle reconnaît toutefois l'utilité de la supervision exercée par le Commissaire à l'interception des communications en fonction à l'époque pertinente, qui était un fonctionnaire chargé d'assurer une supervision indépendante des activités des services de renseignement. Elle admet que le Tribunal des pouvoirs d'enquête, n organe juridictionnel institué pour examiner les allégations de citoyens s'estimant victimes d'une ingérence illicite dans leurs communications, offrait un recours juridictionnel solide. Ces garanties ne compensaient toutefois pas suffisamment les lacunes du régime.

Elle en conclut que le régime d'interception en masse ne permettait pas de circonscrire l'ingérence dans le droit des citoyens au respect de leur vie privée à un niveau nécessaire dans une société démocratique. Il y a donc eu violation de l'article 8.

→ Sur la réception de renseignements obtenus auprès de gouvernements et/ou de services de renseignements étrangers

La CEDH constate que le droit interne posait des normes claires et précises qui indiquaient en quelles circonstances les services de renseignement étaient habilités à demander des éléments interceptés à des services de renseignement étrangers et dans quelles conditions les éléments ainsi obtenus pouvaient être examinés, utilisés et conservés. Elle tient également compte du rôle joué par le Commissaire à l'interception des communications et par le Tribunal des pouvoirs d'enquête. Ces éléments la conduisent à conclure que le régime de demande et de réception de renseignements faisait l'objet d'une supervision adéquate et que les activités menées dans le cadre de ce régime étaient soumises à un contrôle a posteriori effectif. Dans ces conditions, la Cour juge qu'il existait des garanties suffisantes pour prévenir d'éventuels abus et empêcher les autorités britanniques de demander des éléments interceptés à des services de renseignement alliés dans le but de contourner leurs obligations découlant du droit interne ou de la Convention.

Il n'y a donc pas eu violation de l'article 8.

→ Sur l'obtention de données auprès des fournisseurs de services de communication

La CEDH relève que le fonctionnement du régime d'acquisition de données de communication n'était pas prévu par la loi. Il y a donc eu violation de l'article 8.

  • Protection des sources journalistiques

Dans l'affaire Big brother watch, la Cour se prononce également sur la conventionnalité du régime au regard de l'article 10 de la Convention.

À cet égard, la Cour rappelle que la protection des sources journalistiques est l'une des pierres angulaires de la liberté de la presse. Son affaiblissement aurait des conséquences préjudiciables sur le rôle indispensable de « chien de garde » de la presse et sur son aptitude à fournir des informations précises et fiables.

Elle indique donc être préoccupée par le fait que les dispositions de la RIPA n'exigeaient pas que l'utilisation de sélecteurs ou de termes de recherche dont on savait qu'ils étaient liés à un journaliste fût autorisée par un juge ou un autre organe décision indépendant et impartial. Elle ajoute que lorsqu'il apparaissait que des communications qui n'avaient pas été sélectionnées pour examen par l'utilisation délibérée d'un sélecteur ou d'un terme de recherche dont on savait qu'il était lié à un journaliste contenaient malgré tout des éléments journalistiques confidentiels, la prolongation de leur conservation et la poursuite de leur examen par un analyste n'étaient pas subordonnées à l'autorisation d'un juge ou d'un autre organe décisionnel indépendant.

Elle conclut à la violation de l'article 10 de la Convention.