Le 14 février 2019, La Quadrature du Net, Franciliens.net et la Fédération FDN, trois associations qui défendent les droits et libertés des citoyens sur Internet, ont déposé un recours en annulation pour excès de pouvoir à l’encontre du décret n°2018-1136 du 13 décembre 2018.

Pour mémoire, ce décret du 13 décembre 2018 est entré en vigueur au 1er janvier 2019 (Cf. notre article dans la newsletter de février 2019).

Il définit les conditions de mise en œuvre, par les opérateurs de communications électroniques, de dispositifs de détection des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés, les catégories de données pouvant être conservées ainsi que des modalités d’échange entre ces opérateurs et l’ANSSI.

Les principaux griefs justifiant l’annulation du décret sont notamment les suivants.

Un vice de forme : le défaut de mise en œuvre d’une étude d’impact en application du Règlement européen 2016/679 dit RGPD

L’article 70-4 de la loi Informatique et Libertés du 6 janvier 1978 dispose que

 

Si le traitement est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu’il porte sur des données mentionnées au I de l’article 8 [“des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique”], le responsable de traitement effectue une analyse d’impact relative à la protection des données à caractère personnel. Si le traitement est mis en œuvre pour le compte de l’Etat, cette analyse d’impact est adressée à la Commission nationale de l’informatique et des libertés avec la demande d’avis prévue à l’article 30.

 

Pour les auteurs du recours,

 

le traitement est mis en œuvre pour les besoins de la sécurité et de la défense des systèmes d’information, c’est-à-dire pour le compte de l’Etat. Aucune étude d’impact n’ayant été réalisée, elle n’a pu être transmise à la Commission nationale de l’informatique des libertés. (…) Le décret a été adopté en contradiction des dispositions contraignantes“.

 

De nombreux vices de fond concernant le respect des droits des personnes

 

Les requérants estiment qu’il y a atteinte au droit des personnes à l’information notamment au regard de l’application du RGPD :

 

les personnes concernées ne sont en aucun cas informées du traitement qui est fait de leurs données, ni de la finalité poursuivie par le traitement. Les dispositions attaquées ne prévoient par ailleurs aucun droit d’opposition de la personne concernée. Il en résulte qu’ignorant le traitement, les personnes concernées ne peuvent s’y opposer.

 

L’atteinte au droit des personnes surveillées notamment en application de l’article 5 de la directive 202/58 pose l’interdiction de principe

 

d’écouter, d’intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d’interception ou de surveillance.

 

Il existe des exceptions à ce principe. Toutefois selon les requérants, le décret attaqué ne répond aux conditions d’aucune d’entre elles. Les requérants exposent que

 

[les] imprécisions et le manque de clarté général du dispositif ne permettent pas d’indiquer de manière suffisante en quelles circonstances et sous quelles conditions elle habilite la puissance publique à opérer pareille atteinte secrète au droit au respect de la vie privée et de la correspondance”.

 

Enfin, les requérants considèrent que “les dispositions attaquées n’ouvrent aucune voie de recours juridictionnel aux personnes concernées (….) aux opérateurs et hébergeurs ayant reçu l’ordre de l’ANSSI de déployer sur leurs systèmes les dispositifs de cette dernière.

 

Affaire à suivre…

Marine Hardy, avocate, responsable des pôles Innovations et Sécurité

 

Nous contacter