C’est un arrêt très attendu mais sans doute partiellement décevant pour les défenseurs des droits fondamentaux qu’a rendu la Cour de Strasbourg le 13 septembre dernier.
Si, face au système de surveillance massive des communications mis en place par le Royaume-Uni, la Cour conclut à la violation des articles 8 (droit au respect de la vie privée, protection des données à caractère personnel) et 10 (droit à la liberté d’expression, ici des journalistes) de la Convention, une lecture attentive de l’arrêt montre que le principe de la surveillance massive ne tombe pas sous les foudres des juges européens, qui sanctionnent en revanche ses modalités de mise en œuvre.
Après l’indignation, largement partagée dans le monde, soulevée par les révélations d’Edward Snowden, dévoilant le système de surveillance de masse organisé par les services de renseignement américains (NSA), c’est aujourd’hui à une généralisation, voire une banalisation de tels systèmes que nous assistons, notamment en Europe, dans le cadre de la lutte contre le terrorisme.
L’affaire Big Brother Watch était ainsi l’occasion pour la Cour européenne des droits de l’homme de se prononcer sur le débat récurrent relatif aux législations nationales de lutte contre le terrorisme jugées liberticides.
Il s’agit ici des recours d’une organisation de défense des libertés civiles et de la vie privée ainsi que de journalistes à propos de trois régimes de surveillance institués au Royaume-Uni : l’interception massive de communications électroniques, le partage de renseignements avec des Etats étrangers et l’obtention de données de communications auprès de fournisseurs de services. Si les solutions apportées par les juges de Strasbourg ne surprennent pas vraiment, les raisonnements menés méritent l’attention par leur singularité (le renvoi au droit de l’UE) ou leur faiblesse (sur le partage de renseignements)
(N.B. L’arrêt, qui compte 212 pages, ne sera abordé que sous certains aspects, parmi les plus importants)
Des solutions sans surprise et partiellement décevantes
Quant au système d’interception massive des communications électroniques contesté par les requérants, le terrain n’était pas vierge, la Cour européenne des droits de l’homme ayant développé ces dernières années une jurisprudence substantielle. Sans remonter jusqu’à l’arrêt Klass c. Allemagne de 1978, il est possible de rappeler que déjà dans l’arrêt Weber et Saravia c. Allemagne (29 juin 2006), la Cour avait jugé que les abus éventuels des pouvoirs de surveillance de l’Etat étaient encadrés par des garanties adéquates et effectives et, qu’en tout état de cause, l’Allemagne disposait en la matière d’une marge d’appréciation relativement large. Elle avait conclu en revanche dans l’arrêt Liberty et autres c. Royaume-Uni ((1ier juillet 2008) que la loi alors en vigueur relative aux interceptions de communications par téléphone ou courriel, n’offrait pas de protection suffisante contre les abus de pouvoir, l’étendue et les modalités du pouvoir d’appréciation dont jouissaient les autorités n’étant pas clairement définies. Enfin, il y a quelques mois à peine, dans l’affaire Centrum För Rättvisa c. Suède (arrêt du 19 juin 2018), la Cour, examinant le système suédois de surveillance massive des communications électroniques, a estimé que celui-ci offrait des garanties adéquates et suffisantes contre l’arbitraire et le risque d’abus, alors même que la surveillance était secrète, concernait tout usager de téléphonie mobile et d’internet, sans aucune notification. La Cour avait souligné la latitude de l’Etat en matière de sécurité nationale, compte tenu notamment des menaces actuelles du terrorisme international.
Par conséquent, la voie semblait balisée pour la solution retenue dans l’affaire Big Brother Watch. La Cour juge en effet que l’utilisation d’un système d’interception massive n’emporte pas en soi violation de la Convention, d’autant que les gouvernements jouissent en la matière d’une « ample marge d’appréciation » dans leur objectif d’assurer la sécurité nationale. L’espoir de l’ONG de voir condamné ce type de surveillance de masse semble donc s’évanouir durablement.
La Cour a néanmoins estimé que l’article 8(4) de la loi britannique de 2000 (Regulation Investigatory Powers Act, RIPA) viole l’article 8 de la Convention, car ne répond pas à l’exigence de « qualité de la loi » qui découle de la Convention. En effet, selon elle, « un examen des pouvoirs [des services de renseignement] a identifié deux principaux domaines de préoccupation ; d’abord, le manque de surveillance du processus complet de sélection, y compris la sélection des porteurs [internet] pour l’interception, [ainsi que] les sélecteurs et critères de recherche pour filtrer les communications interceptées, (…) et deuxièmement,
l’absence de véritables garanties applicables à la sélection des données de communication pour examen » (§ 387).
La Cour constate ensuite une deuxième violation de l’article 8 de la Convention par l’absence de garantie entourant le système d’acquisition de données auprès de fournisseurs de services de communication, par exemple la subordination de l’accès au contrôle préalable d’un tribunal ou d’un organisme administratif indépendant. Ceci peut être rapproché de l’arrêt Szabo et Vissy c. Hongrie (12 janvier 2016), où la Cour avait notamment censuré la législation hongroise, relative aux opérations secrètes de surveillance antiterroriste, car la surveillance secrète pouvait être ordonnée par le pouvoir exécutif sans aucun contrôle. Le raisonnement suivi par les juges dans l’affaire Big Brother Watch sera souligné infra.
La Cour a estimé enfin, et c’est un point sur lequel les requérants ont obtenu gain de cause et ont matière à se réjouir, que le système d’interception massive des communications emporte violation de l’article 10 de la Convention (liberté d’expression), dès lors qu’il s’applique aux journalistes. Ce système ne prévoit en effet aucune garantie spécifique afin de protéger la confidentialité des informations des journalistes, celles-ci pouvant être sélectionnées, volontairement ou non, pour examen. Dès lors, « compte tenu de l’effet dissuasif qu’une ingérence supposée dans la confidentialité des communications des journalistes, en particulier de leurs sources, pourrait avoir sur la liberté de la presse » (voir communiqué de presse), le système d’interception massive viole l’article 10.
Les solutions retenues ne satisfont donc au total que partiellement les requérants, qui escomptaient une mise à l’index générale des systèmes de surveillance massive. Le raisonnement suivi par la Cour pour parvenir à ses conclusions mérite toutefois quelque attention.
Un raisonnement mesuré
S’agissant tout d’abord de la violation constatée de l’article 8 de la Convention par l’article 8(4) de la loi britannique (RIPA), le constat opéré par la Cour selon lequel « the intelligence services of the United Kingdom take their Convention obligations seriously and are not abusing their powers under section 8(4) of RIPA » (§ 387), semble un véritable satisfecit adressé aux services de renseignement britanniques. Toutefois, l’hommage adressé ainsi aux services de renseignement, ainsi que la reconnaissance de la très large marge d’appréciation dont dispose l’Etat en la matière, n’empêche pas la Cour de souligner l’absence de garanties entourant le système d’interception des communications. Le compliment masque perfidement la critique…Peut-être face aux larges remises en question du droit européen outre-Manche, la Cour a-t-elle jugé nécessaire de prendre soin de formuler ces critiques avec mesure…
Le passage le plus intéressant de l’arrêt est sans nul doute celui relatif à l’appréciation de l’acquisition de données auprès des fournisseurs de communication. Le chapitre II de la loi RIPA n’est pas à proprement parler un système d’interception de masse des communications, mais permet à certaines autorités publiques d’acquérir certaines données de communication (métadonnées) auprès des fournisseurs de services. Or, la Cour de Strasbourg, dans son raisonnement, fait ici un appel – a priori surprenant mais très fructueux – à la jurisprudence de son homologue de Luxembourg.
Relatant les très importants arrêts Digital Rights Ireland (C-293/12 and C-594/12) et Tele2 Sverige (aff. jtes C-2013/15 et C-698/15) de la CJUE, elle constate que cette dernière y a examiné la validité de la directive relative à la rétention des données de communication électroniques, ainsi que celle des législations nationales mettant en œuvre les dispositions de ladite directive. La Cour EDH note ainsi qu’il ressort de ces arrêts que l’accès aux métadonnées de communication devait être limité à ce qui était strictement nécessaire à la réalisation de l’objectif poursuivi et, lorsque cet objectif était la lutte contre la criminalité, il devait être limité à la lutte contre les infractions graves (§ 463). Elle souligne ensuite que la CJUE « a en outre suggéré que l’accès à l’information soit soumis à un examen préalable par un tribunal ou une autorité administrative indépendante, et que les données concernées devraient être conservées dans l’Union européenne » (§ 463). Et, surtout, les juges de Strasbourg notent : « as a Member State of the European Union, the Community legal order is integrated into that of the United Kingdom and, where there is a conflict between domestic and law and EU law, the latter has primacy. Consequently, the Government have conceded that Part 4 of the IPA is incompatible with EU law because access to retained data was not limited to the purpose of combating “serious crime”; and access to retained data was not subject to prior review by a court or an independent administrative body. Following this concession, the High Court ordered that the relevant provisions of the IPA should be amended by 1 November 2018 » (§ 466).
La Cour va donc in fine constater la violation de l’article 8 de la Convention européenne des droits de l’homme en se référant uniquement au raisonnement de la CJUE, et à la primauté du droit de l’UE sur le droit interne britannique. (« It is therefore clear that domestic law, as interpreted by the domestic authorities in light of the recent judgments of the CJEU, requires that any regime permitting the authorities to access data retained by CSPs limits access to the purpose of combating “serious crime”, and that access be subject to prior review by a court or independent administrative body. As the Chapter II regime permits access to retained data for the purpose of combating crime (rather than “serious crime”) and, save for where access is sought for the purpose of determining a journalist’s source, it is not subject to prior review by a court or independent administrative body, it cannot be in accordance with the law within the meaning of Article 8 of the Convention », § 467).
Cette prise en compte, par la Cour de Strasbourg dans son raisonnement, de l’ordre juridique de l’UE et de sa primauté sur le droit interne, est remarquable, car déterminante dans la constatation de la violation d’une Convention à laquelle celui-ci n’a pas voulu se plier…L’Europe des droits de l’homme se parachève grâce à l’apport du juge.
Enfin, la procédure permettant de partager des renseignements avec des Etats tiers, en particulier les Etats-Unis, avait été également pointée du doigt par les requérants. Examinée pour la première fois par la Cour, elle franchit toutefois avec succès toutes les étapes du contrôle juridictionnel, la Cour menant un raisonnement qui procède quelque peu par affirmation, en estimant que « rien n’indique l’existence de défaillances importantes dans la mise en œuvre et le fonctionnement du système, ni d’éléments attestant d’éventuels abus » (voir communiqué de presse et § 447 de l’arrêt). Dans le contexte général post révélations de Snowden, la candeur de la constatation laisse quelque peu perplexe. Mais le juge européen pouvait-il aller jusqu’à remettre en cause la coopération transatlantique en matière de renseignements sans s’attirer ipso facto les foudres du gouvernement britannique, et encourir le risque d’un rejet global de sa solution ? Une solution mesurée, mais néanmoins dotée d’une certaine portée, apparaît nettement préférable ; le juge semble donc exceller ici dans l’art du pragmatisme et du compromis juridictionnel…
Au total, l’arrêt ne manquera pas de décevoir partiellement les requérants en ne procédant pas à une condamnation de principe du système de surveillance de masse. La CJUE pourtant avait en quelque sorte déjà ouvert la voie en validant le principe du système PNR, dans son avis 1/15 du 26 juillet 2017, relatif à l’accord PNR de l’UE avec le Canada, mais en encadrant corrélativement très strictement ses modalités de mise en œuvre. La solution est ici identique, et les requérants voient donc in fine leurs revendications aboutir, puisque sont remises en cause des dispositions importantes de la loi contestée.
Deux leçons peuvent être tirées de l’arrêt au final. Il convient de souligner d’abord la banalisation des systèmes de surveillance de masse dans le contexte de lutte contre le terrorisme. Et l’hommage appuyé de la Cour de Strasbourg au droit de l’Union européenne et à ses juges, ensuite, témoigne d’un dialogue des juges et d’une coopération œuvrant au bienfait de l’Europe des droits fondamentaux. La référence ne manquera pas d’agacer outre Manche à la veille du Brexit…