Le 16 avril dernier, l’association French Data Network, la Fédération des fournisseurs d’accès à Internet associatifs (FFDN) et la Quadrature du net ont déposé devant le Conseil constitutionnel une question prioritaire de constitutionnalité contre la loi de programmation militaire 2014-2016 dont l’article 20 (anciennement article 13) autorise « le recueil, auprès des opérateurs de communications électroniques (…) des informations ou documents traités ou conservés par leurs réseaux » (1). Quelques jours plus tard, sous la pression des opposants au projet de loi sur le renseignement (actuellement en cours d’examen au Sénat), le président de la République a annoncé qu’il entendait lui-même saisir le Conseil constitutionnel une fois la loi promulguée. Des parlementaires de l’opposition lui emboitaient le pas en promettant de déposer leur propre demande de saisine.
Lire Félix Tréguer, « Feu vert à la surveillance de masse », Le Monde diplomatique, juin 2015.
Le Conseil constitutionnel peut censurer une législation adoptée par la représentation nationale, avant ou après sa promulgation, mais cela suffira-t-il à protéger la vie privée face à la puissance de déploiement des pratiques de collecte de données numériques (data mining (2)) ? Aux Etats-Unis, en dépit de l’annulation du programme de balayage des données sur Internet conçu pour prédire les comportements terroristes (Total Information Awarness), le data mining n’a-t-il pas tranquillement prospéré dans les milieux du renseignement et de la police en général, faute d’un dispositif de régulation ad hoc ?
A en croire le professeur de droit américain Christopher Slobogin de l’université de Vanderbilt, Tennessee, il faut inventer de nouveaux concepts de droit pour réguler la surveillance accrue des Etats post-11-Septembre. Dans son ouvrage publié en 2007, Privacy at risk (3), il propose une idée audacieuse : repenser le cadre constitutionnel sur la protection de la vie privée, en particulier le quatrième amendement qui défend les citoyens américains contre les « perquisitions et saisies non motivées ». A l’heure où la collecte massive de données numériques par l’Etat est l’un des points les plus débattus de la loi sur le renseignement en France, ces réflexions méritent qu’on s’y arrête.
Au cours des deux derniers siècles, les garanties du quatrième amendement ont été généralement interprétées pour encadrer l’« intrusion physique » de la police (perquisition d’un domicile, fouille d’une voiture ou d’une personne dans la rue). Aujourd’hui, avec l’introduction de dispositifs qui permettent de voir à travers les murs et les vêtements, de surveiller la voie publique en continu, et surtout l’accès facilité à des millions de données informatiques, les policiers comptent beaucoup plus sur l’« intrusion à distance » (4), c’est-à-dire des techniques d’enquête qui ne nécessitent pas de présence physique sur les lieux et qui sont souvent effectuées secrètement. Alors que ces évolutions technologiques modifient radicalement la façon dont la police œuvre à la recherche de preuves au cours d’une procédure judiciaire, la Cour suprême des Etats-Unis (5) a longtemps considéré que ces pratiques d’intrusion à distance ne rentraient pas dans la catégorie des intrusions physiques encadrées par le quatrième amendement. Pour se justifier, la Cour suprême s’appuie sur la notion controversée de « doctrine de la tierce partie » (third-party doctrine), qui dispense les pouvoirs publics de toute justification constitutionnelle dès lors que les informations peuvent être visualisées ou consultées par des tiers à l’extérieur de leur domicile : « Si vous livrez des informations à votre banque ou votre opérateur téléphonique, vous le faites en prenant le risque assumé que ces données peuvent être exploitées un jour ou l’autre par l’Etat » ; « si la police vous surveille en mobilisant des technologies qui sont accessibles par le grand public, alors elle peut le faire sans que cela implique le quatrième amendement » ; « si la police surveille une activité qui est exposée aux publics, alors elle peut faire usage de technologies qui suivent à la trace cette activité ».
En 2012, quelques années après la publication de Privacy at Risk, la situation a légèrement évolué. Dans l’affaire United States vs Jones, la Cour suprême a décidé, pour la première fois, que l’usage du GPS par la police, comme technique de traçage installée sur une automobile (à l’insu de la personne suspectée), devait être défini comme une intrusion au sens du quatrième amendement. Malgré cette décision majeure, la plupart des nouvelles technologies continuent d’échapper à toute régulation. Si les opinions exprimées par les juges dans l’affaire Jones sont susceptibles d’étendre la portée du quatrième amendement, il reste encore de nombreux efforts à fournir selon Slobogin (6).
Le juriste américain y contribue en proposant une nouvelle manière d’étendre le quatrième amendement à la surveillance transactionnelle, qu’il distingue de la surveillance publique (celle des caméras par exemple). La surveillance transactionnelle renvoie aux pratiques de fouille de données par la puissance publique et recouvre, selon lui, deux catégories :
• une surveillance ciblée pour extraire de l’information sur un individu identifié (target-driven data mining) ;
• une surveillance prédictive visant à construire des profils de comportements suspects, à partir d’algorithmes (event-driven data mining).
Le juriste américain propose que les technologies de surveillance soient soumises à un principe de proportionnalité entre le « degré d’intrusion » des technologies de surveillance d’un côté et le degré de suspicion de l’autre : plus intrusive est la technique, plus devra être sérieuse la présomption justifiant l’action policière. Slobogin innove en proposant d’inscrire ce principe comme mode d’interprétation officiel du quatrième amendement. Dès lors, plus besoin de débattre des modes de perquisition qui s’inscrivent ou non dans le cadre du quatrième amendement : peu importe la manière dont la police cherche dans la vie (publique ou privée) des personnes, ce qui compte, c’est le principe de proportionnalité.
Comme définir des degrés d’intrusion ? Au lieu de les définir a priori, Slobogin propose de s’en remettre à l’opinion des publics. Quand la loi est ambigüe ou muette, les cours de justice pourraient le mesurer sur la base de ce que les citoyens eux-mêmes estiment être intrusif. A titre expérimental, le juriste américain a mené sa propre enquête auprès d’un échantillon de personnes issues de véritables jurys de citoyens (7) auxquels sont présentés différents scénarios intrusifs qu’il leur demande ensuite d’évaluer sur une échelle de 1 à 100. Cette enquête montre que toutes les formes de surveillance transactionnelle sont considérées, en moyenne, comme plus intrusive que les barrages routiers ; qu’accéder à des données sur le Web, auprès des fournisseurs d’accès Internet, des pharmacies ou des banques est perçu comme tout aussi intrusif que perquisitionner une voiture ! C’est bien le signe que la fouille de données numériques mérite un cadrage juridique aussi rigoureux que les perquisitions ou fouilles au corps classiques.
Pour marcher sur ses deux jambes, le cadre juridique de la surveillance transactionnelle doit également prendre en compte le degré de suspicion. Quel type de suspicion est nécessaire pour justifier une intrusion de l’Etat dans la vie privée ? La question est ardue. Généralement les manuels de droit enseignent deux niveaux de suspicion : le « doute sérieux » et la « suspicion raisonnable ». Le doute sérieux, qui s’appuie sur des éléments de preuve solides, justifie les arrestations et les perquisitions. Apparue plus tard dans la jurisprudence, la notion de suspicion raisonnable relève d’un motif de croire plus faible. Elle émerge avec l’affaire Terry vs Ohio (1968), la jurisprudence de référence en matière de palpations (« Stop and Frisk »), au point que les contrôles de rue sur des personnes suspectes portent désormais le nom de « Terry stop ».
Si, pour la surveillance d’une personne ciblée grâce à une fouille de données massive, le principe de proportionnalité pourrait s’appliquer facilement, la question est moins évidente lorsqu’il s’agit d’une surveillance de masse prédictive. En effet, les algorithmes prédictifs — ces « boites noires » qui surveillent un trafic de données pour y détecter des comportements suspects — captent des informations sur une grande masse d’individus, et non un seul (comme dans le cadre d’une fouille ou d’une perquisition d’un domicile). Comment justifier un coup de filet de la police dans la masse de données numériques en l’absence d’aucune suspicion spécifique ?
Prenant acte de l’existence de telles pratiques en marge du droit, Slobogin propose de les soumettre au regard des juges en inventant la notion de « suspicion généralisée ». Dans la pratique, le doute sérieux et la suspicion raisonnable sont considérés comme relevant non pas d’un calcul mathématique de probabilité, mais de l’observation et de l’analyse qualitative de l’agent de police qui fait confiance à son bon sens, son intuition et son expérience. Certes, dans les manuels de droit, on explique aux étudiants américains qu’un doute sérieux est constitué lorsque la police dispose des éléments de preuve qu’un acte illégal a eu lieu avec une probabilité d’au moins 50 % (pour la suspicion raisonnable, c’est 30 %). Mais les tribunaux utilisent ces seuils sans jamais leur donner une consistance mathématique (un calcul de probabilité statistique). Or, la suspicion généralisée qu’appelle Slobogin de ses vœux s’appuie sur le calcul d’un algorithme. Dans le cadre imaginé par le juriste américain, la surveillance d’un groupe entier de personnes (les clients d’un opérateur Internet, les habitants d’une ville) est jugée raisonnable si elle peut se prévaloir d’un certain taux de succès. L’intérêt ? Sortir la notion de suspicion des eaux troubles de la subjectivité en la remplaçant par un calcul de probabilité et, de la sorte, obliger les pouvoirs publics à s’appuyer sur une justification mathématique rigoureuse à chaque fois qu’ils ont recours à la surveillance prédictive.
Loin de nous l’idée de faire l’éloge de cette proposition qui fait l’objet d’un sérieux débat aux Etats-Unis (8). Certaines de ses propositions ouvrent l’imaginaire juridique, d’autres méritent un examen circonspect. Faire dépendre la légalité d’un dispositif de surveillance prédictive de son taux de succès, en fixant arbitrairement des seuils statistiques à 50, 30, 20 ou 10 %, ne laisse-t-il pas penser qu’on peut se passer du jugement humain circonstancié pour s’en remettre aux algorithmes ? Le débat démocratique pourrait se refermer sur un fétichisme du chiffre — un fétichisme que la Cour suprême a toujours su éviter lorsqu’il s’est agi d’évaluer le respect du quatrième amendement.
En dépit de ces limites, Slobogin nous met sur la voie d’une régulation démocratique de la collecte de données, en dialogue constant avec une société en évolution. L’idée de recourir à des enquêtes citoyennes et le principe de proportionnalité participent d’une procédure plus démocratique que ce que propose la loi française sur le renseignement déjà adoptée par l’Assemblée nationale : une autorisation du premier ministre, sans passer par un juge, mais après avis sous vingt-quatre heures d’une nouvelle autorité administrative, la Commission nationale de contrôle des techniques de renseignement (CNCTR) — dont l’avis pourra cependant être outrepassé.
Contre la loi sur le renseignement, le recours au Conseil constitutionnel n’y suffira pas. Outre les multiples formes de résistance à la surveillance de masse, il nous faut aussi imaginer une procédure qui permette de maintenir un espace de droit — en redonnant du pouvoir au juge judiciaire — et un espace de délibération — en se donnant les moyens de représenter les groupes profilés — afin que le cahier des charges des algorithmes prédictifs soit sans cesse débattu, transformé ou… rejeté. Mais l’urgence à laquelle le terrorisme accule les décideurs ne joue pas en faveur d’une telle démocratisation.
