PREMIÈRE SECTION
AFFAIRE BIG BROTHER WATCH ET AUTRES c. ROYAUME-UNI
(Requêtes nos 58170/13, 62322/14 et 24960/15)
ARRÊT
STRASBOURG
13 septembre 2018
Renvoi devant la Grande Chambre
04/02/2019
Cet arrêt deviendra définitif dans les conditions définies à l’article 44 § 2 de la Convention. Il peut subir des retouches de forme.
TABLE DES MATIÈRES
PROCÉDURE
EN FAIT
I. LES CIRCONSTANCES DE L’ESPÈCE
A. La genèse de l’affaire
B. Les programmes de surveillance secrète
1. Les activités du GCHQ (Government Communications Headquarters, service britannique du renseignement électronique)
2. Les activités de la NSA (National Security Agency, Office national de sécurité américain)
a) PRISM
b) Upstream
C. La procédure interne dans la première et la seconde des affaires jointes (« les deux premières affaires »)
D. La procédure interne dans la troisième des affaires jointes (« la troisième affaire »)
1. L’audience
2. Le premier jugement de l’IPT (5 décembre 2014)
a) Le grief PRISM
b) Le grief TEMPORA
3. Le deuxième jugement de l’IPT (6 février 2015)
4. Le troisième jugement de l’IPT (22 juin 2015, modifié par une lettre du 1er juillet 2015)
II. LE DROIT ET LA PRATIQUE INTERNES PERTINENTS
A. L’interception de communications
1. Les mandats : dispositions générales
2. Les mandats : l’article 8 § 4 de la RIPA
a) Autorisation
b) Les communications « extérieures »
3. Les garanties spécifiques posées par la RIPA
a) L’article 15
b) L’article 16
4. Le code de conduite en matière d’interception de communications
5. La déposition du Directeur général de l’OSCT, Charles Farr
6. L’affaire Belhadj and Others v. Security Service, Secret Intelligence Service, Government Communications Headquarters, the Secretary of State for the Home Department, and the Secretary of State for the Foreign and Commonwealth Office (IPT/13/132-9/H et IPT/14/86/CH, « Belhadj et autres »)
B. L’échange de renseignements
1. L’accord d’échange de renseignements entre le Royaume-Uni et les États-Unis
2. Le cadre légal applicable aux activités des services de renseignement
a) Activités du MI5
b) Activités du MI6
c) Activités du GCHQ
d) La loi de 2008 sur la lutte contre le terrorisme (Counter-Terrorism Act 2008, « la loi sur la lutte contre le terrorisme »)
e) La loi de 1998 sur la protection des données (Data Protection Act 1998, « la loi sur la protection des données »)
f) La loi de 1989 sur les secrets officiels (Official Secrets Act 1989, « la loi sur les secrets officiels »)
g) La loi de 1998 sur les droits de l’homme (Human Rights Act 1998, « la loi sur les droits de l’homme »)
3. Le code de conduite en matière d’interception de communications
C. L’acquisition de données de communication
1. Le chapitre II de la RIPA
2. Le code de conduite sur l’acquisition de données de communication
3. Le jugement rendu par l’IPT dans l’affaire News Group and Others v. The Commissioner of Police of the Metropolis IPT/14/176/H (17 décembre 2015)
4. La loi de 1984 sur la police et les preuves en matière pénale
D. La pratique et la procédure de l’IPT
1. La RIPA
2. Le règlement de 2000 du Tribunal des pouvoirs d’enquête (Investigatory Powers Tribunal Rules 2000, « le règlement »)
3. La décision avant-dire droit rendue par l’IPT le 23 janvier 2003
4. Le Conseil près le Tribunal
E. La supervision
F. Le contrôle des opérations d’interception réalisées par les services de renseignement
1. La déclaration faite en juillet 2013 par la Commission parlementaire sur le renseignement et la sécurité relativement aux allégations d’interception de communications par le GCHQ dans le cadre du programme américain PRISM
2. Le rapport « Privacy and security: a modern and transparent legal framework » (Vie privée et sécurité : un cadre juridique moderne et transparent)
3. Le rapport « A Question of Trust » (Une question de confiance) établi par le contrôleur indépendant de la législation sur le terrorisme à l’issue du contrôle des pouvoirs d’enquête (« le rapport Anderson »)
4. Le rapport « A Democratic Licence to Operate » (Un permis d’opérer démocratique), établi à l’issue du contrôle indépendant des activités de surveillance (« le contrôle de la surveillance »)
5. Le rapport établi à l’issue du contrôle des pouvoirs de manipulation des données de masse
6. L’examen indépendant des contrôles internes réalisés au sein du MI5 et des forces de police après les attentats commis à Londres et à Manchester entre mars et juin 2017
7. Le rapport annuel 2016 du Commissaire à l’interception des communications
a) Mandats émis en vertu de l’article 8 § 4 de la RIPA
b) Acquisition de données de communication en vertu du chapitre II de la RIPA
G. La loi de 2016 sur les pouvoirs d’enquête
H. Le droit international pertinent
1. Nations unies
a) La résolution no 68/167 sur le droit à la vie privée à l’ère du numérique
b) La Constitution de l’Union internationale des télécommunications (1992)
Article 33
Droit du public à utiliser le service international de télécommunication
Article 37
Secret des télécommunications
c) Le Rapport 2006 de la Commission du droit international (A/61/10)
Principes fondamentaux
2. Conseil de l’Europe
a) La Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (1981, STE no 108)
b) Le Protocole additionnel à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, concernant les autorités de contrôle et les flux transfrontières de données (8 novembre 2001, STCE no 181)
Article 1 – Autorités de contrôle
Article 2 – Flux transfrontières de données à caractère personnel vers un destinataire n’étant pas soumis à la juridiction d’une Partie à la Convention
c) La recommandation no R (95) 4 du Comité des Ministres sur la protection des données à caractère personnel dans le domaine des services de télécommunication, eu égard notamment aux services téléphoniques
d) La Convention sur la cybercriminalité (Budapest, 2001, STE no 185)
Préambule
Article 2 – Accès illégal
Article 3 – Interception illégale
Article 4 – Atteinte à l’intégrité des données
Article 15 – Conditions et sauvegardes
e) Le rapport 2015 de la Commission européenne pour la démocratie par le droit (« Commission de Venise ») sur le contrôle démocratique des agences de collecte de renseignements d’origine électromagnétique (CDL-AD(2015)011)
I. Le droit de l’Union européenne
1. La Charte des droits fondamentaux de l’Union européenne
Article 7 – Respect de la vie privée et familiale
Article 8 – Protection des données à caractère personnel
Article 11 – Liberté d’expression et d’information
2. Les directives et règlements de l’Union européenne relatifs à la protection et au traitement des données personnelles
Article premier – Champ d’application et objectif
Article 15 – Application de certaines dispositions de la directive 95/46/CE
Article premier - Objet et champ d’application
Article 3 – Obligation de conservation de données
3. La jurisprudence pertinente de la Cour de justice de l’Union européenne
a) Digital Rights Ireland Ltd contre Minister for Communications, Marine and Natural Resources e.a. et Kärntner Landesregierung e.a. (« Digital Rights Ireland et Seitlinger e.a. », affaires jointes C-293/12 et C-594/12 ; ECLI:EU:C:2014:238)
b) Tele2 Sverige AB contre Post- och telestyrelsen et Secretary of State for the Home Department contre Tom Watson e.a. (affaires jointes C-203/15 et C‑698/15 ; ECLI:EU:C:2016:970)
c) Privacy International c. Secretary of State for Foreign and Commonwealth Affairs e.a. (IPT/15/110/CH ; EU OJ C 22, 22.01.2018, pp. 29–30)
EN DROIT
I. SUR L’ÉPUISEMENT DES VOIES DE RECOURS INTERNES
A. Thèses des parties
1. Le Gouvernement
2. Les requérantes
B. Observations des tiers
C. Appréciation de la Cour
1. Les principes généraux
2. Application de ces principes au cas d’espèce
II. SUR LA VIOLATION ALLÉGUÉE DE L’ARTICLE 8 DE LA CONVENTION
A. Sur le régime découlant de l’article 8 § 4 de la RIPA
1. Sur la recevabilité du grief
2. Sur le fond du grief
a) Thèses des parties
i) Les requérantes
ii) Le Gouvernement
b) Observations des tiers
i) Article 19
ii) Access Now
iii) Réseau européen des Institutions nationales des droits de l’Homme
iv) La Fondation Helsinki pour les droits de l’homme (« Fondation Helsinki »)
v) La Commission internationale de juristes
vi) Open Society Justice Initiative (« OSJI »)
vii) European Digital Rights (« EDRi ») et d’autres associations de défense des droits de l’homme dans la société de l’information
viii) The Law Society of England and Wales
c) Appréciation de la Cour
i) Les principes généraux relatifs aux mesures secrètes de surveillance, y compris l’interception de communications
ii) La jurisprudence relative à l’interception en masse de communications
iii) Le critère à appliquer en l’espèce
B. Sur le régime d’échange de renseignements
1. Sur la recevabilité du grief
a) Thèses des parties
b) Appréciation de la Cour
2. Sur le fond du grief
a) Thèses des parties
i) Les requérantes
ii) Le Gouvernement
b) Observations des tiers
i) Electronic Privacy Information Center (« EPIC »)
ii) Access Now
iii) Bureau Brandeis
iv) Center for Democracy and Technology (« CDT ») et Pen American Center (« PEN America »)
v) La Commission internationale de juristes
vi) Open Society Justice Initiative (« OSJI »)
vii) The Law Society of England and Wales
viii) Human Rights Watch (« HRW »)
c) Appréciation de la Cour
i) Portée des griefs des requérantes
ii) Nature de l’ingérence
iii) Le critère applicable
iv) Application de ce critère aux éléments relevant de la seconde catégorie
v) Application du critère aux éléments relevant de la troisième catégorie
C. Sur le régime découlant du chapitre II de la RIPA
1. Sur la recevabilité du grief
2. Sur le fond du grief
a) Thèses des parties
i) Les requérantes
ii) Le Gouvernement
b) Appréciation de la Cour
i) La jurisprudence existante en matière d’acquisition de données de communication
ii) L’approche à adopter en l’espèce
iii) Examen du régime découlant du chapitre II de la RIPA
III. SUR LA VIOLATION ALLÉGUÉE DE L’ARTICLE 10 DE LA CONVENTION
A. Sur la recevabilité du grief
1. Dans la troisième affaire
2. Dans la deuxième affaire
B. Sur le fond du grief
1. Thèses des parties
a) Les requérantes
b) Le Gouvernement
2. Observations des tiers
a) La Fondation Helsinki pour les droits de l’homme
b) Le syndicat britannique des journalistes (National Union de Journalists) et la Fédération internationale des journalistes (« FIJ »)
c) Media Lawyers’ Association (« MLA »)
3. Appréciation de la Cour
a) Les principes généraux
b) Application de ces principes généraux au cas d’espèce
i) Le régime découlant de l’article 8 § 4 de la RIPA
ii) Le régime découlant du chapitre II de la RIPA
iii) Conclusion générale
IV. SUR LA VIOLATION ALLÉGUÉE DE L’ARTICLE 6 DE LA CONVENTION
V. SUR LA VIOLATION ALLÉGUÉE DE L’ARTICLE 14 DE LA CONVENTION COMBINÉ AVEC LES ARTICLES 8 ET 10
VI. SUR L’APPLICATION DE L’ARTICLE 41 DE LA CONVENTION
A. Dommage
B. Frais et dépens
C. Intérêts moratoires
PAR CES MOTIFS, LA COUR :
ANNEXE
OPINION EN PARTIE CONCORDANTE ET EN PARTIE DISSIDENTE DE LA JUGE KOSKELO, À LAQUELLE SE RALLIE LA JUGE TURKOVIĆ
I. Le régime découlant de l’article 8 § 4 de la RIPA
i) Le contexte dans lequel s’inscrit la jurisprudence antérieure
ii) Le contexte de la présente affaire
iii) Préoccupations
II. Le régime d’échange de renseignements
OPINION EN PARTIE DISSIDENTE ET EN PARTIE CONCORDANTE COMMUNE AUX JUGES PARDALOS ET EICKE
Introduction
Sur la recevabilité du grief
Sur le régime découlant de l’article 8 § 4 de la RIPA
Remarque complémentaire
En l’affaire Big Brother Watch et autres c. Royaume-Uni,
La Cour européenne des droits de l’homme (première section), siégeant en une chambre composée de :
Linos-Alexandre Sicilianos, président,
Kristina Pardalos,
Aleš Pejchal,
Ksenija Turković,
Armen Harutyunyan,
Pauliine Koskelo,
Tim Eicke, juges,
et Abel Campos, greffier de section,
Après en avoir délibéré en chambre du conseil le 7 novembre 2017 et le 3 juillet 2018,
Rend l’arrêt que voici, adopté à cette dernière date :
PROCÉDURE
1. À l’origine de l’affaire se trouvent trois requêtes (nos 58170/13, 62322/14 et 24960/15) dirigées contre le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord et dont les personnes physiques ou morales énumérées en annexe (« les requérantes ») ont saisi la Cour le 4 septembre 2013, le 11 septembre 2014 et le 20 mai 2015 en vertu de l’article 34 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales (« la Convention »).
2. Les requérantes ont été représentées respectivement par Me D. Carey, du cabinet Deighton Pierce Glynn Solicitors, Me R. Curling, du cabinet Leigh Day & Co. Solicitors, et Mme E. Norton, de l’association Liberty. Le gouvernement britannique (« le Gouvernement ») a été représenté par son agente, Mme R. Sagoo, du ministre des Affaires étrangères et du Commonwealth.
3. Les requérantes se plaignent de la portée et de l’ampleur des programmes de surveillance électronique mis en œuvre par le gouvernement britannique.
4. Les requêtes ont été communiquées au Gouvernement le 7 janvier 2014, le 5 janvier 2015 et le 24 novembre 2015 respectivement. Dans la première affaire, l’autorisation de se porter tiers intervenant a été accordée aux organismes suivants : Human Rights Watch, Access Now, Bureau Brandeis, Center For Democracy & Technology, Réseau européen des Institutions nationales des droits de l’Homme et commission britannique pour l’égalité et les droits de l’homme (Equality and Human Rights Commission), Fondation Helsinki pour les droits de l’homme, Commission internationale de juristes, Open Society Justice Initiative, Law Society of England and Wales, Project Moore. Dans la seconde affaire, l’autorisation de se porter tiers intervenant a été accordée aux organismes suivants : Center For Democracy & Technology, Fondation Helsinki pour les droits de l’homme, Commission internationale de juristes, syndicat britannique des journalistes (National Union of Journalists), Media Lawyers’ Association. Dans la troisième affaire, l’autorisation de se porter tiers intervenant a été accordée aux organismes suivants : Article 19, Electronic Privacy Information Center, commission britannique pour l’égalité et les droits de l’homme.
5. Le 4 juillet 2017, la chambre de la première section à laquelle l’affaire avait été attribuée a décidé de joindre les requêtes et de tenir une audience. Celle-ci s’est déroulée en public au Palais des droits de l’homme à Strasbourg, le 7 novembre 2017.
Ont comparu :
- pour le Gouvernement
Mme R. Sagoo,agente,
MM.J. Eadie qc,
J. Milford,conseils,
Mme N. Samuel
MM. S. Bowden,
M. Anstee,
T. Rutherford,
Mme L. Morgan,
M. B. Newman, conseillers.
- pour les requérantes
Mmes D. Rose qc,
H. Mountfield qc,
M. M. Ryder qc,Conseils,
MM. R. Mehta,
C. McCarthy,
D. Carey,
N. WilliamsConseillers.
6. La Cour a entendu M. Eadie, Mme Rose et Mme Mountfield en leurs déclarations et en leurs réponses aux questions posées par le président et par les juges Koskelo, Harutyunyan, Eicke, Turković et Pardalos.
EN FAIT
I. LES CIRCONSTANCES DE L’ESPÈCE
A. La genèse de l’affaire
7. Les trois requêtes ont été introduites à la suite des révélations faites par Edward Snowden relativement aux programmes de surveillance électronique mis en œuvre par les services de renseignement américains et britanniques.
8. Les requérantes, dont la liste figure en annexe, pensent toutes qu’en raison de la nature de leurs activités, leurs communications électroniques ont probablement été interceptées par les services de renseignement britanniques, obtenues par ces services auprès de gouvernements étrangers qui les avaient eux-mêmes interceptées, et/ou obtenues par les autorités britanniques auprès des fournisseurs de services de communication.
B. Les programmes de surveillance secrète
9. Les communications Internet sont principalement acheminées par des réseaux internationaux de câbles sous-marins de fibre optique exploités par les fournisseurs de services de communication. Chaque câble peut supporter plusieurs canaux de transmission (bearers), et Internet comprend environ 100 000 de ces canaux au niveau mondial. Chaque communication sur Internet est divisée en « paquets » de données, qui peuvent être transmis séparément les uns des autres sur différents canaux. Ces paquets sont acheminés de manière à emprunter la combinaison de chemins la plus rapide et la moins chère, ce qui dépend notamment de l’emplacement des serveurs. Ainsi, tout ou partie de chaque communication adressée par une personne à une autre, que ce soit au Royaume-Uni ou à l’international, peut passer par un ou plusieurs autres pays en fonction du chemin optimal pour le fournisseur de services de communication.
1. Les activités du GCHQ (Government Communications Headquarters, service britannique du renseignement électronique)
10. Les révélations d’Edward Snowden indiquaient que dans le cadre d’une opération portant le nom de code « TEMPORA », le GCHQ pouvait intercepter d’énormes volumes de données à partir des canaux de transmission et les conserver.
11. Selon le rapport rendu par la commission parlementaire sur le renseignement et la sécurité (Intelligence and Security Committee) en mars 2015 (« le rapport de la commission parlementaire », voir les paragraphes 151 à 159 ci‑dessous), le GCHQ utilise principalement deux systèmes de traitement des données pour l’interception en masse (bulk interception) de communications. Les autorités britanniques n’ont ni confirmé ni démenti l’existence d’une opération portant le nom de code TEMPORA.
12. Le premier des deux systèmes de traitement des données mentionnés dans le rapport de la commission parlementaire cible une très faible proportion des canaux de transmission. Au fur et à mesure que les communications transitent par les canaux de transmission ciblés, le système compare le trafic avec une liste de « sélecteurs simples » (simple selectors). Les sélecteurs simples sont des identifieurs (identifiers) spécifiques (par exemple, une adresse email) liés à une cible connue. Toutes les communications correspondant au sélecteur sont collectées ; les autres sont automatiquement écartées. Les analystes procèdent ensuite à un « triage » des communications collectées pour déterminer lesquelles présentent le plus d’intérêt pour le renseignement et doivent donc être ouvertes et lues. En pratique, seule une très faible proportion des éléments collectés par ce processus sont ouverts et lus par les analystes. Le GCHQ ne dispose pas de ressources suffisantes pour lire toutes les communications.
13. Le second système de traitement des données cible un nombre encore plus réduit de canaux de transmission (un sous-ensemble de ceux concernés par le processus décrit au paragraphe précédent), ceux qui sont les plus susceptibles de transmettre des communications présentant un intérêt pour le renseignement. Le traitement a lieu en deux temps : d’abord, on applique un ensemble de « règles de traitement » qui visent à écarter les éléments les moins susceptibles de présenter un intérêt ; les éléments ainsi sélectionnés font ensuite l’objet d’un ensemble de requêtes complexes qui visent à isoler ceux qui sont susceptibles de présenter le plus d’intérêt pour le renseignement. Ces recherches génèrent un index, et seuls les éléments figurant dans cet index sont susceptibles d’être examinés par les analystes. Toutes les communications qui ne figurent pas dans l’index doivent être supprimées.
14. Le cadre juridique qui régissait au moment des faits l’interception en masse de communications est décrit en détail dans la partie II ci‑dessous (« Le droit et la pratique internes pertinents »). En bref, la loi de 2000 portant réglementation des pouvoirs d’enquête (Regulation of Investigatory Powers Act 2000, « la RIPA ») permet au ministre de l’Intérieur d’émettre un mandat d’« interception de communications extérieures » (article 8 § 4, paragraphe 67 ci‑dessous), mais interdit de sélectionner pour lecture, consultation ou écoute les éléments interceptés « selon un facteur lié à un individu dont on sait qu’il se trouve actuellement dans les îles Britanniques » (article 16, paragraphes 78 à 85 ci-dessous).
2. Les activités de la NSA (National Security Agency, Office national de sécurité américain)
15. La NSA a reconnu l’existence de deux opérations, appelées respectivement PRISM et Upstream.
a) PRISM
16. PRISM est un programme dans le cadre duquel le gouvernement américain obtient des éléments présentant un intérêt pour le renseignement (par exemple des communications) auprès des prestataires de services Internet. L’accès aux données dans le cadre du programme PRISM est spécifique et ciblé (par opposition au forage de données (data mining), qui est beaucoup plus large). Les autorités américaines ont indiqué que ce programme relève de la loi sur la surveillance opérée aux fins du renseignement extérieur (Foreign Intelligence Surveillance Act, « la FISA »), et que les demandes d’accès à des données dans le cadre de PRISM doivent être approuvées par la Cour FISA (FISA Court), qui est composée de onze hauts magistrats.
17. Il ressort des documents de la NSA divulgués par Edward Snowden que le GCHQ a accès à PRISM depuis juillet 2010 et qu’il l’a utilisé pour produire des rapports de renseignement. Le GCHQ a reconnu avoir obtenu des États-Unis des informations recueillies dans le cadre de ce programme.
b) Upstream
18. Toujours selon les documents divulgués par Edward Snowden, le programme Upstream permet de collecter des données de contenu et des données de communication à partir des câbles de fibre optique et de l’infrastructure des fournisseurs de services de communication américains. Il ouvre ainsi un large accès aux données mondiales, notamment à celles de personnes qui ne sont pas américaines. Ces données peuvent être collectées et conservées, et faire l’objet de recherches par mots-clés.
C. La procédure interne dans la première et la seconde des affaires jointes (« les deux premières affaires »)
19. Le 3 juillet 2013, les requérantes de la première affaire (requête no 58170/13) adressèrent au Gouvernement une lettre de protocole préalable à l’instance (pre-action protocol letter) dans laquelle elles énonçaient leurs griefs et demandaient aux autorités de déclarer que les articles 1 et 3 de la loi de 1994 sur les services de renseignement (Intelligence Services Act, paragraphes 100 à 103 ci-dessous), l’article 1 de la loi de 1989 sur les services de sécurité (Security Services Act, paragraphe 99 ci-dessous) et l’article 8 de la RIPA (paragraphe 67 ci-dessous) étaient incompatibles avec la Convention. Le 26 juillet 2013, le Gouvernement répondit que l’article 65 § 2 de la RIPA avait pour effet d’exclure la compétence de la High Court quant aux griefs concernant le respect des droits de l’homme formulés contre les services de renseignement, mais que ces griefs pouvaient être portés devant le Tribunal des pouvoirs d’enquête (Investigatory Powers Tribunal, « IPT »), instance instaurée par la RIPA pour examiner les allégations de citoyens croyant que les autorités avaient fait illicitement ingérence dans leurs communications au cours d’agissements relevant de cette loi. Le Gouvernement précisait que ce tribunal était seul compétent pour examiner tout grief d’une personne pensant que ses communications avaient été interceptées et, si tel avait été le cas, pour examiner la base de cette interception (voir les paragraphes 123 à 143 ci-dessous). Les requérantes n’entreprirent pas de démarches supplémentaires.
20. Les requérantes de la deuxième affaire (requête no 62322/14) n’ont engagé aucune procédure au niveau interne car elles estimaient ne pas disposer d’un recours effectif relativement à leurs griefs fondés sur la Convention.
D. La procédure interne dans la troisième des affaires jointes (« la troisième affaire »)
21. Les dix organisations de défense des droits de l’homme requérantes dans la troisième affaire (requête no 24960/15) ont chacune porté leurs griefs devant l’IPT entre juin et décembre 2013. Elles alléguaient que les services de renseignement, le ministre de l’Intérieur et le ministre des Affaires étrangères avaient violé les articles 8, 10, et 14 de la Convention, d’une part en accédant à des communications interceptées par le gouvernement américain dans le cadre des programmes PRISM et Upstream et aux données de communication associées ou en les obtenant d’une autre façon (« grief PRISM »), et d’autre part en interceptant, en inspectant et en conservant leurs communications et les données de communication associées dans le cadre du programme TEMPORA (« grief TEMPORA »). Elles sollicitaient la divulgation de tous les éléments pertinents utilisés par les services de renseignement dans leurs activités d’interception et, en particulier, de toutes les règles et directives en la matière.
22. Le 14 février 2014, l’IPT ordonna la jonction des dix affaires. Il désigna ensuite un Conseil près le Tribunal (Counsel to the Tribunal, paragraphe 142 ci-dessous). Le Conseil près le Tribunal est chargé d’assister l’IPT selon les demandes de celui-ci, notamment en faisant des déclarations sur les points à l’égard desquels les parties ne peuvent pas toutes être représentées (par exemple pour des raisons tenant à la sécurité nationale).
23. Dans sa réponse aux allégations des requérantes, le Gouvernement adopta une ligne « ni-ni », c’est-à-dire qu’il ne confirma ni n’infirma les allégations selon lesquelles les communications des intéressées avaient été interceptées. Il fut donc convenu que l’IPT statuerait sur les points de droit en se fondant sur la présomption que, d’une part, la NSA avait obtenu les communications et les données de communication des requérantes dans le cadre du programme PRISM ou du programme Upstream et les avait transmises au GCHQ, qui les avait conservées, stockées, analysées et partagées, et, d’autre part, le GCHQ avait intercepté les communications et les données de communication des requérantes dans le cadre du programme TEMPORA et les avait conservées, stockées, analysées et partagées. La question était de savoir si, sur la base de ces faits présumés, l’interception, la conservation, le stockage et le partage de ces données étaient compatibles avec les articles 8 et 10 de la Convention, pris seuls et combinés avec l’article 14.
1. L’audience
24. L’IPT, composé de deux juges de la High Court (dont le président), un Circuit Judge et deux avocats seniors (senior barristers), tint audience publiquement pendant cinq jours, du 14 au 18 juillet 2014. Le Gouvernement lui demanda de tenir une audience supplémentaire à huis clos afin d’examiner les modalités internes non publiques qu’appliquait le GCHQ pour le traitement des données – et qui avaient été qualifiées pendant l’audience publique d’« œuvres vives » (ci-après, « les modalités non publiques »). Les requérantes s’y opposèrent, arguant qu’il ne se justifiait pas de tenir une audience à huis clos et qu’il était inéquitable de ne pas leur révéler les modalités en question.
25. L’IPT fit droit à la demande de tenue d’une audience à huis clos en vertu de l’article 9 de son règlement (paragraphe 131 ci‑dessous), et l’audience eut lieu le 10 septembre 2014. Ni les requérantes ni leurs représentants n’y assistaient. Au lieu de cela, l’IPT bénéficiait « de l’assistance apportée par la participation pleine, perspicace et neutre (...) du Conseil près le Tribunal », lequel avait pour rôle : i) de déterminer les documents, les passages des documents ou les éléments essentiels qu’il y avait lieu de divulguer ; ii) d’avancer les arguments en faveur de la divulgation qui étaient dans l’intérêt des plaignants et de la transparence de la justice ; et iii) de veiller à ce que tous les arguments pertinents (du point de vue des plaignants) quant aux faits et au droit soient avancés devant l’IPT.
26. Pendant l’audience à huis clos, l’IPT examina les modalités internes encadrant la conduite et la pratique des services de renseignement. Il s’estima en droit d’examiner les modalités non publiques pour vérifier que les garanties applicables étaient adéquates et pour déterminer si l’on pouvait ou devait rendre publiques d’autres informations afin de respecter les exigences découlant des articles 8 et 10 de la Convention.
27. Le 9 octobre 2014, l’IPT avisa les requérantes qu’il estimait que certains des éléments examinés à huis clos pouvaient être divulgués. Il précisait qu’il avait invité le Gouvernement à divulguer ces éléments et que le Gouvernement y avait consenti. Lesdits éléments furent donc communiqués aux requérantes par une note (« la note de divulgation du 9 octobre »), et les parties furent invitées à communiquer à l’IPT leurs observations sur les éléments divulgués.
28. Les requérantes demandèrent des informations sur le contexte et la source des éléments divulgués mais l’IPT refusa de leur donner plus de détails. Elles communiquèrent leurs observations écrites sur ces éléments.
29. Par la suite, les défendeurs modifièrent et complétèrent les éléments divulgués.
30. À l’issue des dernières modifications, faites le 12 novembre 2014, la note de divulgation du 9 octobre indiquait ceci :
« Le gouvernement américain a reconnu publiquement que le système Prism et le programme Upstream (...) permettent d’acquérir, dans le but de recueillir des informations présentant un intérêt pour le renseignement extérieur, des communications adressées à des sélecteurs spécifiques ciblés liés à des personnes non américaines dont il est raisonnable de penser qu’elles se trouvent hors des États-Unis, des communications provenant de ces sélecteurs ou des communications relatives à ces sélecteurs. Dans la mesure où le gouvernement américain permet aux services de renseignement de demander la communication d’éléments obtenus dans le cadre du système Prism (et/ou (...) du programme Upstream), ces demandes ne peuvent concerner que des communications interceptées non analysées (ainsi que les données de communication associées) acquises de cette manière.
1. À moins que la demande ne soit faite dans le cadre d’un accord d’entraide judiciaire internationale, les services de renseignement peuvent seulement demander au gouvernement d’un pays ou territoire non britannique des communications interceptées non analysées (ainsi que les données de communication associées), dans l’un des deux cas suivants :
1. un mandat d’interception pertinent a déjà été émis en vertu de [la RIPA] par le ministre, l’assistance d’un gouvernement étranger est nécessaire pour obtenir les communications en question parce qu’il n’est pas possible de les obtenir dans le cadre du mandat d’interception émis en vertu de la RIPA, et il est nécessaire et proportionné au but visé que les services de renseignement les obtiennent ; ou
2. le fait de demander ces communications en l’absence de mandat d’interception pertinent émis en vertu de la RIPA ne constitue pas un contournement délibéré de la RIPA et n’est pas contraire au principe établi dans Padfield v. Minister of Agriculture, Fisheries and Food [1968] AC 997 [selon lequel les organes publics doivent exercer leurs pouvoirs discrétionnaires pour promouvoir l’esprit et l’objet de la loi qui les a investis de ces pouvoirs (et non pour les contourner)] (par exemple, elles sont demandées parce qu’il n’est pas faisable techniquement de les obtenir au moyen d’une interception réalisée en vertu de la RIPA), et il est nécessaire et proportionné au but visé que les services de renseignement les obtiennent. Dans ces conditions, la question de savoir si la demande doit être faite est examinée et tranchée par le ministre lui-même. Il ne serait fait une demande de ce type que dans des circonstances exceptionnelles, et il n’en a été fait aucune à la date où ces lignes sont écrites.
(...)
2. Lorsque les services de renseignement reçoivent du gouvernement d’un pays ou territoire non britannique le contenu de communications interceptées ou des données de communication, qu’ils en aient ou non fait la demande, que le contenu ait ou non été analysé, et que les données de communications soient ou non associées au contenu des communications, le contenu des communications et les données de communication sont, en vertu des « modalités » internes, soumis aux mêmes règles et garanties internes que les contenus et données de même catégorie qui ont été obtenus directement par les services de renseignement au moyen d’une interception réalisée en vertu de la RIPA.
3. Les services de renseignement qui reçoivent des éléments interceptés non analysés et les données de communication associées à l’issue d’une interception réalisée sur la base d’un mandat émis en vertu de l’article 8 § 4 de la RIPA appliquent des « modalités » internes qui imposent que soit portée dans un registre une entrée à cet égard expliquant pourquoi l’accès à ces éléments interceptés non analysés est nécessaire, avant qu’une personne autorisée ne puisse y accéder en vertu de l’article 16 de la RIPA.
4. Les « modalités » internes appliquées par les services de renseignement qui reçoivent des éléments interceptés non analysés et les données de communication associées à l’issue d’une interception réalisée sur la base d’un mandat émis en vertu de l’article 8 § 4 de la RIPA posent (ou imposent que soit déterminée système par système) une durée maximale de conservation pour les différentes catégories de données, en fonction de la nature et du degré d’intimité des données en question. La durée posée (ou déterminée) ne dépasse pas deux ans en principe, et dans certains cas elle est bien plus courte (les rapports de renseignement établis sur la base de ces données constituent une catégorie distincte, et ils sont conservés plus longtemps). Les données ne peuvent être conservées au-delà de la durée maximale de conservation qui leur est applicable que sur autorisation préalable délivrée par un officier supérieur du service de renseignement concerné au motif que leur conservation prolongée a été jugée nécessaire et proportionnée au but visé (si par la suite on estime que la conservation prolongée des données ne répond plus aux critères de nécessité et de proportionnalité, les données sont supprimées). Dans la mesure du possible, toutes les durées de conservation des données sont appliquées par un processus de suppression automatisée qui se déclenche lorsque la durée maximale de conservation applicable aux données en question est atteinte. Les durées maximales de conservation des données font l’objet d’une supervision du Commissaire à l’interception des communications et sont fixées en accord avec lui. En ce qui concerne en particulier les données de communication associées, Sir Anthony May a adressé une recommandation aux services de renseignement qui reçoivent des éléments interceptés non analysés et les données de communication associées à l’issue d’une interception réalisée sur la base d’un mandat émis en vertu de l’article 8 § 4 de la RIPA, et le Commissaire par intérim (Sir Paul Kennedy) s’est récemment déclaré satisfait de la mise en œuvre de cette recommandation.
5. Les « modalités » internes appliquées par les services de renseignement en vertu de [la loi de 1989 sur les services de sécurité], de [la loi de 1994 sur les services de renseignement] et des articles 15 et 16 de la RIPA sont révisées périodiquement afin de rester à jour et effectives. De plus, les services de renseignement examinent désormais, dans le cadre de ces révisions, la question de savoir s’il serait sûr et utile de rendre publiques plus de ces modalités internes (par exemple, en les faisant apparaître dans le code de conduite correspondant). »
2. Le premier jugement de l’IPT (5 décembre 2014)
31. Le 5 décembre 2014, l’IPT rendit son premier jugement. Celui-ci portait sur les modalités alors appliquées pour l’interception et le partage de données, et l’IPT s’y appuyait fortement sur la jurisprudence de la Cour européenne des droits de l’homme.
a) Le grief PRISM
32. L’IPT admit que le grief PRISM faisait entrer en jeu l’article 8 de la Convention, à un degré « moindre » toutefois, selon lui, que celui que la Cour avait examiné dans l’affaire Weber et Saravia c. Allemagne (déc., no 54934/00, CEDH 2006‑XI). Il considéra donc qu’il fallait que les autorités impliquées dans le traitement des données respectent les exigences découlant de l’article 8, notamment quant au stockage, au partage, à la conservation et à la destruction des données. Il estima que pour que l’on puisse considérer que l’ingérence était « prévue par la loi », le pouvoir d’appréciation accordé à l’exécutif ne devait pas être illimité : au contraire, la nature des règles devait être claire et leur étendue devait – dans la mesure du possible – être publique (il s’appuya à cet égard sur les arrêts Bykov c. Russie [GC], no 4378/02, §§ 76 et 78, 10 mars 2009, et Malone c. Royaume-Uni, 2 août 1984, série A no 82). Toutefois, il jugea évident que dans le domaine de la sécurité nationale, l’obligation de publicité était beaucoup plus restreinte et le degré de prévisibilité requis par l’article 8 devait être réduit, à défaut de quoi ce serait le but même des mesures prises pour protéger la sécurité nationale qui serait mis en péril (il s’appuya à cet égard sur l’arrêt Leander c. Suède, 26 mars 1987, § 51, série A no 116).
33. L’IPT tint le raisonnement suivant :
« 41. Nous considérons que ce qui est requis est une information suffisante quant aux règles ou modalités qui ne sont pas divulguées (...) Nous sommes convaincus que dans le domaine de l’échange de renseignements, on ne peut s’attendre à ce que les règles doivent figurer dans une loi (Weber) ni même dans un code (comme l’exigeait la Cour [européenne] dans l’arrêt qu’elle a rendu en l’affaire Liberty [c. Royaume-Uni, no 58243/00, 1er juillet 2008]). Nous estimons suffisant :
i) qu’il existe des règles ou modalités appropriées et que leur existence soit connue du public et confirmée, leur teneur faisant l’objet d’une information suffisante pour constituer une indication satisfaisante de ce qui peut être fait (voir l’arrêt Malone (...)), et
ii) que ces règles ou modalités fassent l’objet d’une supervision adéquate. »
34. L’IPT nota que les modalités relatives au partage d’informations étaient prévues par le cadre légal instauré par la loi de 1989 sur les services de sécurité (« la loi sur les services de sécurité » – paragraphes 98 et 99 ci‑dessous) et la loi de 1994 sur les services de renseignement (« la loi sur les services de renseignement » –paragraphes 100 à 103 ci‑dessous). Il tint compte également d’une déposition du directeur général de l’Office pour la sécurité et la lutte contre le terrorisme (Office for Security and Counter Terrorism, « OSCT ») du ministère de l’Intérieur, Charles Farr, qui expliquait que le cadre légal posé par ces lois était sous‑tendu par des directives internes détaillées, y compris des modalités visant à assurer que les services concernés ne se procurent que les informations nécessaires au bon exercice de leurs fonctions. M. Farr ajoutait que les agents suivaient une formation obligatoire sur le cadre juridique et politique dans lequel ils agissaient, et qu’ils recevaient des instructions claires quant à la nécessité de respecter scrupuleusement la loi et les directives internes. Enfin, il expliquait que les détails complets des modalités appliquées étaient confidentiels car il n’aurait pas été possible de les publier en toute sécurité sans porter atteinte à la défense de la sécurité nationale.
35. L’IPT reconnut donc que, n’étant pas portées à la connaissance du public, même sous une forme sommaire, les modalités en question n’étaient pas accessibles. Il accorda cependant du poids au fait qu’elles étaient soumises à la supervision et aux pouvoirs d’enquête de la commission parlementaire sur le renseignement et la sécurité et d’un Commissaire à l’interception des communications indépendant. Il considéra qu’en outre, il était lui-même en mesure d’assurer une supervision, puisqu’il avait accès à toutes les informations secrètes et qu’il pouvait suspendre l’audience publique pour tenir une audience à huis clos afin de déterminer si les modalités mentionnées par M. Farr existaient et si elles étaient propres à assurer la protection de l’individu contre les ingérences arbitraires.
36. Répondant au grief des requérantes quant au fait qu’il avait décidé de tenir compte des modalités non publiques (« les œuvres vives ») pour déterminer si les garanties posées étaient adéquates, l’IPT indiqua qu’il était en droit d’examiner les modalités internes appliquées par les défendeurs sans en divulguer le détail pour vérifier la présence de garanties adéquates et la conformité à la réalité des « œuvres mortes » (les informations publiques sur ces modalités) ainsi que le fait que les secondes renferment des informations suffisantes sur les premières. Il rejeta donc leur argument consistant à dire qu’il était inéquitable de tenir une audience à huis clos, comme il l’avait fait dans leur cas. Il indiqua que cette manière d’opérer était conforme à la procédure légale, offrait la possibilité la plus complète et la plus transparente d’entendre de manière contradictoire les argumentations complètes sur les faits réels ou supposés, en public autant que possible, mais tout en sauvegardant l’intérêt public et la sécurité nationale.
37. Ayant examiné les modalités non publiques, l’IPT conclut que la note de divulgation du 9 octobre (telle que modifiée après le 9 octobre) constituait un résumé clair et exact de ceux des éléments examinés à huis clos qui pouvaient et devaient être divulgués, et que les autres éléments présentés lors de l’audience à huis clos étaient trop sensibles pour être divulgués sans risque pour la sécurité nationale et l’application du principe consistant à ne confirmer ni démentir les hypothèses avancées. Il était convaincu également qu’il était clair que qu’il ne pouvait être demandé d’informations au gouvernement américain que s’il existait un mandat émis en vertu de l’article 8 § 1 de la RIPA ou un mandat émis en vertu de l’article 8 § 4 à l’égard des communications ciblées, et, si l’on savait que l’individu se trouvait dans les îles Britanniques, un certificat visé à l’article 16 § 3 (paragraphe 80 ci‑dessous). Il estimait, en d’autres termes, que toute demande relative à des communications interceptées ou à des données de communication provenant des programmes PRISM ou Upstream serait soumise au régime découlant de la RIPA, à moins qu’elle ne relève du cas tout à fait exceptionnel décrit au point 1 b) de la note de divulgation telle que modifiée (paragraphe 30 ci-dessus) – cas qui ne s’était jamais présenté.
38. L’IPT releva néanmoins le « sujet de préoccupation » suivant :
« Il est vrai que toute demande ou réception de communications interceptées ou de données de communication provenant des programmes PRISM et/ou Upstream est normalement soumise aux mêmes garanties que l’obtention de communications ou de données de communication directement par les défendeurs. Cependant, s’il était fait une demande relevant du point 1 b), il serait possible – bien qu’en pareil cas la demande doive recevoir l’aval du ministre et les éléments obtenus doivent être traités dans le respect des dispositions de la RIPA – que la protection apportée par l’article 16 ne s’applique pas. Comme indiqué précédemment, il n’a jamais été fait en pratique de demande relevant du point 1 b), et il n’y a donc pas eu de problème jusqu’à présent. Nous considérons toutefois que devrait être instaurée une procédure qui prévoirait que toute demande de ce type qui viendrait à être faite devrait, au moment de sa transmission au ministre, traiter la question de l’article 16 § 3. »
39. Avec cette réserve, il parvint aux conclusions suivantes :
« i) Après avoir examiné les œuvres vives des éléments en cause, comme exposé dans le présent jugement, nous sommes convaincus que sont en place des modalités qui permettent d’assurer de manière satisfaisante le respect du cadre légal et des articles 8 et 10 de la Convention, pour ce qui est de la réception de données provenant d’interceptions réalisées dans le cadre des programmes PRISM et/ou Upstream.
ii) Bien entendu, cela n’est pas suffisant en soi, car ces modalités doivent également être suffisamment accessibles au public. Nous sommes convaincus qu’elles font l’objet d’une information suffisante grâce au cadre légal susmentionné et aux déclarations de la commission parlementaire et du commissaire citées plus haut, et qu’à présent, à l’issue des deux audiences que nous avons tenues à huis clos, elles ont été suffisamment divulguées au public par les défendeurs et exposées dans le présent jugement.
iii) Ces modalités font l’objet d’une supervision.
iv) La portée du pouvoir discrétionnaire conféré aux défendeurs quant à la réception et à la manipulation des éléments interceptés et des données de communication, et – sous réserve des points relatifs à l’article 8 § 4 de la RIPA indiqués ci-dessous – la manière de l’exercer, sont ainsi (conformément à l’arrêt Bykov, voir le paragraphe 37 ci‑dessus) accessibles [et définies] avec une netteté suffisante pour fournir à l’individu une protection adéquate contre l’arbitraire. »
40. Enfin, l’IPT répondit à un argument avancé seulement par Amnesty International, qui consistait à dire que le Royaume-Uni avait l’obligation positive, en vertu de l’article 8 de la Convention, de faire barrage, en amont ou en aval, à l’interception de communications par les États-Unis, et notamment l’obligation de ne pas entériner cette interception en en recevant le produit. Citant l’arrêt M. et autres c. Italie et Bulgarie (no 40020/03, § 127, 31 juillet 2012), il nota ceci : « les organes de la Convention ont dit à plusieurs reprises que celle-ci ne garantit pas un droit qui obligerait les Hautes Parties contractantes à exercer une protection diplomatique, ou à embrasser les griefs d’un requérant en droit international, ni à intervenir d’une autre manière auprès des autorités d’un État tiers pour le compte d’un requérant ». Il rejeta donc l’argument d’Amnesty International.
b) Le grief TEMPORA
41. L’IPT estima que pour déterminer la compatibilité avec la Convention du régime découlant de l’article 8 § 4 de la RIPA (qui posait le cadre légal de l’interception en masse de communications extérieures, voir le paragraphe 67 ci-dessous), il fallait répondre aux quatre questions suivantes :
« 1) La difficulté à faire la différence entre les communications extérieures et les communications intérieures est-elle (...) telle qu’elle ôte toute base légale au régime découlant de l’article 8 § 4 de la RIPA, en violation de l’article 8 § 2 de la Convention ?
2) Pour autant que l’article 16 de la RIPA pose une garantie nécessaire pour que l’ingérence dans les droits garantis par l’article 8 de la Convention soit prévue par la loi, cette garantie est-elle suffisante ?
3) Le régime ainsi instauré répond-il suffisamment, avec ou sans l’article 16, aux exigences posées dans la décision Weber, pour autant que cela soit nécessaire afin que la mesure soit prévue par la loi ?
4) L’article 16 § 2 constitue-t-il une discrimination indirecte au sens de l’article 14 de la Convention, et, si oui, la différence de traitement peut-elle se justifier ? »
42. Sur la première question, les requérantes arguaient que du fait des « bouleversements qu’[avait] connus la technologie depuis l’an 2000 », bien plus de communications étaient désormais extérieures, et qu’en conséquence, la distinction entre communications intérieures et communications extérieures posée à l’article 8 § 4 de la RIPA n’était plus « adaptée ». L’IPT admit qu’effectivement la technologie avait fortement évolué, et qu’il était impossible de différencier au stade de l’interception les communications extérieures des communications intérieures ; mais il estima que les différences de vues quant à la définition précise de l’expression « communications extérieures » ne rendaient pas en elles‑mêmes le régime découlant de l’article 8 § 4 de la RIPA incompatible avec l’article 8 § 2 de la Convention. À cet égard, il considéra que la difficulté qu’il y avait à distinguer les communications « intérieures » des communications « extérieures » existait depuis l’adoption de la RIPA et que l’évolution de la technologie n’avait pas substantiellement accru la quantité ni la proportion des communications dont on ne pouvait savoir si elles étaient extérieures ou intérieures au moment de l’interception. Au pire, estimait-il, cette évolution avait « accéléré le processus qui [faisait] que plus de choses en ce monde, à bien y réfléchir, [dépassaient] le cadre des frontières nationales ». En toute hypothèse, poursuivait-il, cette distinction n’était pertinente qu’au stade de l’interception : le « gros du travail » était fait par l’application de l’article 16 de la RIPA (paragraphes 78 à 80 ci‑dessous), qui interdisait que les éléments interceptés soient sélectionnés pour être lus, consultés ou écoutés « selon un facteur lié à un individu dont on [savait] qu’il se [trouvait] dans les îles Britanniques », et on ne pouvait envisager d’examiner l’une quelconque des communications interceptées sur la base d’un mandat émis en vertu de l’article 8 § 4 de la RIPA que conformément à cet article.
43. Sur la seconde question, l’IPT jugea suffisantes les garanties posées à l’article 16, qui ne s’appliquaient qu’aux éléments interceptés et non aux données de communication associées. Il considéra que les données de communication relevaient aussi des critères Weber mais que l’article 15 (paragraphes 72 à 77 ci-dessous) offrait une protection et des garanties suffisantes à cet égard ; et il estima que le fait que l’article 16 protège plus le contenu des communications que les données associées constituait une différence justifiée et proportionnée car il était nécessaire de disposer des données de communication pour identifier les individus dont les communications interceptées étaient protégées par l’article 16 (c’est-à-dire ceux dont on savait qu’ils se trouvaient dans les îles Britanniques).
44. Sur la troisième question, l’IPT conclut que le régime découlant de l’article 8 § 4 de la RIPA répondait suffisamment aux exigences posées dans la décision Weber et qu’en toute hypothèse, les mesures relevant de ce régime étaient « prévues par la loi ». Pour ce qui était des deux premières exigences, il considéra que la référence à la « sécurité nationale » était suffisamment claire (au regard de la décision Esbester c. Royaume-Uni (no 18601/91, 2 avril 1993) et de l’arrêt Kennedy c. Royaume-Uni (no 26839/05, 18 mai 2010)) ; que l’absence de ciblage au stade de l’interception était acceptable et inévitable, de même que dans l’affaire Weber ; qu’à première vue, les dispositions du paragraphe 5.2 du code de conduite en matière d’interception de communications, combiné avec les paragraphes 2.4, 2.5, 5.3, 5.4, 5.5 et 5.6, étaient satisfaisantes ; qu’il n’y avait pas lieu d’inclure des mots-clés de recherche dans les demandes de mandat ni dans le mandat lui-même car cela aurait inutilement compromis et limité la mise en œuvre du mandat tout en risquant de ne pas être du tout réaliste ; et qu’il n’était pas impératif que le mandat fasse l’objet d’une autorisation judiciaire.
45. Pour déterminer s’il était satisfait aux troisième, quatrième, cinquième et sixième critères Weber, l’IPT tint compte des garanties posées par les articles 15 et 16 de la RIPA, le code de conduite en matière d’interception de communications et les modalités non publiques. Il estima inutile que les détails précis de toutes les garanties soient publiés ou énoncés dans la loi ou le code de conduite. Il indiqua à cet égard qu’il était possible, particulièrement dans le domaine de la sécurité nationale, de tenir compte de modalités administratives confidentielles, modalités que par définition l’exécutif pouvait modifier sans en référer au Parlement, pour autant que les informations divulguées indiquent la portée du pouvoir discrétionnaire des autorités et la manière dont elles l’exerçaient. Il précisa que cela était particulièrement vrai lorsque, comme c’était le cas en l’occurrence, le code de conduite lui-même renvoyait aux modalités en question et il y avait un système de supervision (exercée par le Commissaire, par l’IPT lui-même et par la commission parlementaire) qui garantissait que ces modalités faisaient l’objet d’un contrôle. Il déclara être convaincu, compte tenu d’une part de ce qu’il avait entendu lors de l’audience à huis clos et d’autre part de la note de divulgation du 9 octobre telle que modifiée, que les autorités n’étaient pas en train d’alimenter une grande base de données de communication, et que des modalités adéquates régissaient la durée de conservation des données et leur destruction. Comme pour le grief PRISM, il estima que les modalités d’application de l’article 8 § 4 de la RIPA faisaient l’objet d’une information suffisante dans la loi, le code de conduite, les rapports du Commissaire à l’interception des communications et, désormais, dans son propre jugement.
46. Sur la quatrième et dernière question, l’IPT ne trancha pas le point de savoir si l’application de régimes différents selon que les individus concernés se trouvaient dans les îles Britanniques ou non était constitutif d’une discrimination indirecte à raison de l’origine nationale : il considérait que même si tel avait été le cas, la différence de traitement aurait été suffisamment justifiée par le fait qu’il était plus difficile d’enquêter sur des projets terroristes ou criminels lorsque ceux-ci étaient ourdis à l’étranger. Il observa également que le but de l’accès aux communications extérieures était principalement d’obtenir des informations sur les personnes se trouvant à l’étranger et que si l’on avait éliminé la distinction examinée, il aurait fallu dans presque tous les cas obtenir un certificat en vertu de l’article 16 § 3 de la RIPA (qui permettait dans des cas exceptionnels d’accéder aux données interceptées dans le cadre d’un mandat émis en vertu de l’article 8 § 4 qui concernaient des personnes se trouvant dans les îles Britanniques, voir le paragraphe 80 ci‑dessous), ce qui aurait fortement compromis l’efficacité du régime découlant de l’article 8 § 4.
47. Enfin, les requérantes arguaient que la protection de l’article 10 de la Convention s’étendait aux organisations non gouvernementales (« ONG ») réalisant des enquêtes de même qu’aux journalistes. Amnesty avait d’abord allégué devant l’IPT qu’il était probable qu’il n’y ait pas de modalités adéquates en ce qui concernait les éléments protégés par le secret professionnel des avocats. Ce grief fut par la suite transféré de la présente affaire à l’affaire Belhadj (paragraphes 92 à 94 ci‑dessous), et Amnesty ajoutée aux plaignants de cette affaire. Aucun argument analogue ne fut avancé à l’égard de la confidentialité des données recueillies par les ONG jusqu’au 17 novembre 2014 (la première et la seconde audience publique ayant eu lieu en juillet et en octobre 2014). L’IPT estima que cet argument aurait pu être avancé à n’importe quel moment, et conclut donc dans son jugement qu’il avait été soulevé « bien trop tard » pour être examiné dans le cadre de la procédure.
48. Quant aux autres griefs formulés sur le terrain de l’article 10 de la Convention, l’IPT estima qu’ils ne renfermaient aucun argument distinct ou supplémentaire par rapport à ce qui avait déjà été avancé sur le terrain de l’article 8. Il admit qu’il pouvait y avoir un argument spécial relatif à la nécessité qu’un mandat fasse l’objet d’une autorisation judiciaire préalable (compte tenu de l’arrêt Sanoma Uitgevers B.V. c. Pays-Bas [GC], no 38224/03, 14 septembre 2010), mais il nota que l’affaire des requérantes ne concernait pas la surveillance ciblée de journalistes ou d’ONG. Il considéra qu’en toute hypothèse, dans le cadre d’une surveillance non ciblée opérée sur la base d’un mandat émis en vertu de l’article 8 § 4 de la RIPA, il était « clairement impossible » de prévoir qu’il faudrait une autorisation judiciaire préalable à l’émission du mandat pour ce qui pourrait se révéler avoir une incidence sur les droits protégés par l’article 10. Il admit qu’il pourrait y avoir un problème dans l’hypothèse où, dans le cadre de l’examen de la teneur des communications, une question de confidentialité journalistique se poserait, mais il nota que le code de conduite renfermait des garanties supplémentaires en ce qui concernait le traitement de ce type de données.
49. Après la publication du jugement, l’IPT invita les parties à lui présenter leurs observations sur deux points : d’une part, la conformité aux articles 8 et 10 de la Convention, avant les divulgations faites devant lui, du régime juridique en vigueur critiqué dans le grief PRISM, d’autre part, la légalité et la proportionnalité de l’interception, à supposer qu’elle ait eu lieu, des communications des plaignants. Il estima inutile que soient présentées des observations supplémentaires sur la proportionnalité du régime découlant de l’article 8 § 4 de la RIPA dans son ensemble.
3. Le deuxième jugement de l’IPT (6 février 2015)
50. Dans son deuxième jugement, qu’il rendit le 6 février 2015, l’IPT examina le point de savoir si, avant son jugement de décembre 2014, les modalités relatives à PRISM et à Upstream étaient contraires à l’article 8 et/ou à l’article 10 de la Convention.
51. Il admit que ce n’était que compte tenu de la note de divulgation du 9 octobre telle que modifiée qu’il avait jugé que le régime en vigueur était « prévu par la loi ». Il estima que si cette divulgation n’avait pas été faite, il n’y aurait pas eu d’information suffisante au regard des articles 8 et 10 de la Convention. Il jugea donc qu’avant cette divulgation :
« 23. (...) le régime de demande, de réception, de stockage et de transmission par les autorités britanniques de communications privées d’individus se trouvant au Royaume-Uni qui auraient été obtenues par les autorités américaines dans le cadre du programme PRISM et/ou (...) du programme Upstream était contraire aux articles 8 et 10 de la [Convention]. Il y est à présent conforme. »
4. Le troisième jugement de l’IPT (22 juin 2015, modifié par une lettre du 1er juillet 2015)
52. Le troisième jugement de l’IPT, rendu public le 22 juin 2015, tranchait les points de savoir, d’une part, si les autorités britanniques avaient sollicité, reçu, stocké ou transmis en violation des articles 8 et/ou 10 de la Convention les communications des requérantes obtenues dans le cadre des programmes PRISM ou Upstream et, d’autre part, si elles avaient intercepté, consulté, stocké ou transmis de manière illicite ou contraire aux articles 8 et/ou 10 de la Convention les communications des requérantes.
53. L’IPT rejeta les plaintes de huit des dix requérantes. Conformément à sa pratique habituelle en pareil cas, il ne confirma ni n’infirma l’hypothèse de l’interception de leurs communications. Il prononça en revanche une déclaration de conduite illicite des défendeurs à l’égard de deux des requérantes. Le jugement du 22 juin comportait une erreur dans le nom de l’une de ces associations, et l’IPT corrigea cette erreur par une lettre du 1er juillet 2015.
54. L’IPT conclut que des communications par email d’Amnesty International avaient fait l’objet d’une interception et d’un accès licites et proportionnés au but visé, sur la base de l’article 8 § 4 de la RIPA, mais que la durée maximale de conservation permise par les règles internes du GCHQ avait été dépassée. Il estima toutefois établi que l’on n’avait pas accédé aux données en question après l’expiration de la date limite de conservation et que le non-respect des règles était donc purement technique. Il jugea qu’il s’agissait néanmoins d’une violation de l’article 8 de la Convention, et il ordonna au GCHQ de détruire toutes les communications qui avaient été conservées au‑delà de la durée autorisée et d’en remettre une copie imprimée dans un délai de sept jours au Commissaire à l’interception des communications pour que celui-ci la conserve pendant cinq ans pour le cas où les informations correspondantes seraient nécessaires pour une procédure en justice ultérieure. Il ordonna de plus au GCHQ de lui remettre dans un délai de quatorze jours un rapport confidentiel confirmant la destruction des données. Il n’octroya à Amnesty International aucune réparation.
55. L’IPT conclut également que des communications provenant d’une adresse email associée à Legal Resources Centre avaient été interceptées et sélectionnées pour examen dans le cadre d’un mandat émis en vertu de l’article 8 § 4 de la RIPA. Il estima établi que l’interception avait été licite et proportionnée au but visé et que la sélection pour examen avait été proportionnée au but visé, mais il constata que, par erreur, on n’avait pas suivi la procédure interne de sélection. Il conclut donc à la violation des droits de Legal Resources Centre garantis par l’article 8 de la Convention. Il jugea toutefois établi que les données correspondantes n’avaient pas été utilisées et que rien n’avait été conservé, de sorte que Legal Resources Centre n’avait subi concrètement aucun inconvénient, dommage ou préjudice. Il considéra donc que sa déclaration de conduite illicite valait satisfaction équitable et n’octroya à Legal Resources Centre aucune réparation.
II. LE DROIT ET LA PRATIQUE INTERNES PERTINENTS
A. L’interception de communications
1. Les mandats : dispositions générales
56. L’article 1 § 1 de la RIPA rend illicite l’interception de toute communication au cours de sa transmission par un service postal public ou un système de télécommunication public à moins que cette interception ne se fasse conformément à un mandat émis en vertu de l’article 5 (« mandat d’interception »).
57. L’article 5 § 2 permet au ministre de délivrer un mandat d’interception s’il estime, premièrement, que cette mesure est nécessaire pour les raisons énoncées à l’article 5 § 3, c’est-à-dire qu’elle vise un but de protection de la sécurité nationale, de prévention ou de détection d’infractions graves, ou de sauvegarde de la prospérité économique du Royaume-Uni, et deuxièmement, que la conduite autorisée par le mandat est proportionnée au but visé. Pour évaluer la nécessité et la proportionnalité de la mesure, il faut tenir compte du point de savoir si les informations dont le mandat permettrait l’obtention pourraient raisonnablement être obtenues par d’autres moyens.
58. Selon l’article 81 § 2 b) de la RIPA, les « infractions graves » sont celles qui répondent à l’un des critères suivants :
« a) l’infraction ou l’une des infractions qui est ou serait constituée par la conduite est une infraction pour laquelle une personne âgée de vingt et un ans révolus et n’ayant jamais été condamnée pourrait raisonnablement s’attendre à être condamnée à une peine de prison de trois ans ou plus ;
b) la conduite comprend l’usage de la violence, aboutit à un gain financier important ou est le fait d’un grand nombre de personnes agissant dans un but commun. »
59. L’article 81 § 5 dispose :
« Aux fins de la présente loi, on entend par « détection des infractions » :
a) le fait de déterminer par qui, dans quel but, par quel moyen et, de manière générale, dans quelles circonstances une infraction a été commise ; et
b) le fait d’appréhender la personne qui a commis une infraction ;
et toute référence dans la présente loi à la prévention ou à la détection des infractions graves doit se comprendre en ce sens (...) »
60. L’article 6 dispose qu’au sein des services de renseignement, seul le Directeur général du MI5, le Chef du MI6 et le Directeur du GCHQ peuvent solliciter un mandat d’interception.
61. Il y a deux types de mandat d’interception relevant de l’application des articles 5 et 6 : le mandat ciblé visé à l’article 8 § 1, et le mandat non ciblé visé à l’article 8 § 4.
62. En vertu de l’article 9 de la RIPA, un mandat émis dans l’intérêt de la sécurité nationale ou pour la sauvegarde de la prospérité économique du Royaume-Uni est valable six mois, et un mandat émis aux fins de la détection des infractions graves est valable trois mois. À tout moment avant l’expiration de ces délais, le ministre peut renouveler le mandat (pour la même durée) s’il estime que celui-ci reste nécessaire pour l’un des motifs visés à l’article 5 § 3. Le ministre doit par ailleurs annuler le mandat d’interception s’il estime que celui-ci n’est plus nécessaire pour l’un des motifs visés à l’article 5 § 3.
63. En vertu de l’article 5 § 6, la conduite autorisée par le mandat d’interception comprend l’interception de communications non indiquées dans le mandat, si cette interception est nécessaire pour l’accomplissement d’actes que le mandat exige ou autorise expressément, ainsi que l’obtention des données de communication associées.
64. L’article 21 § 4 définit ainsi les « données de communication » :
« a) toutes données de trafic comprises dans une communication ou jointes à celle‑ci (par l’expéditeur ou non) aux fins de tout service postal ou système de télécommunication au moyen duquel elle est ou pourrait être transmise ;
b) toute information qui ne comprend aucun passage du contenu de la communication (à l’exception des informations relevant de l’alinéa a) ci-dessus) et qui concerne l’utilisation faite par toute personne :
i. de tout service postal ou service de télécommunication ;
ii. de toute partie d’un système de télécommunication dans le cadre de la fourniture à toute personne ou de l’utilisation par toute personne de tout service de télécommunication ;
c) toute information ne relevant pas des alinéas a) ou b) ci-dessus détenue ou obtenue par une personne qui fournit un service postal ou un service de télécommunication à l’égard des personnes à qui elle fournit le service. »
65. Le code de conduite de mars 2015 sur l’acquisition et la divulgation de données de communication (« le code de conduite sur l’acquisition de données de communication ») désigne respectivement ces trois catégories par les expressions « données de trafic », « informations sur l’utilisation des services » et « informations relatives à l’abonné ». L’article 21 § 6 de la RIPA précise que les « données de trafic » sont des données qui identifient la personne, le matériel, le lieu ou l’adresse vers ou depuis lesquels les communications sont acheminées, ainsi que les informations relatives aux fichiers ou programmes informatiques ouverts ou utilisés lors de l’envoi ou de la réception d’une communication.
66. L’article 20 définit les « données de communication associées » aux communications interceptées pendant leur transmission par un service postal ou un système télécommunication comme les données de communication « obtenues au moyen de l’interception ou en relation avec celle-ci » et « relatives à la communication, à l’expéditeur ou à la personne à laquelle la communication est parvenue ou devait parvenir ».
2. Les mandats : l’article 8 § 4 de la RIPA
a) Autorisation
67. L’« interception en masse » de communications se fait sur la base d’un mandat émis en vertu de l’article 8 § 4 de la RIPA. Les paragraphes 4 et 5 de l’article 8 autorisent le ministre à émettre un mandat aux fins de « l’interception de communications extérieures au cours de leur transmission par un système de télécommunication ».
68. Lorsqu’il émet un mandat en vertu de l’article 8 § 4 de la RIPA, le ministre doit aussi établir un certificat décrivant les éléments interceptés qu’il estime nécessaire d’examiner et précisant que cet examen est nécessaire pour les motifs énoncés à l’article 5 § 3 (c’est-à-dire dans l’intérêt de la sécurité nationale, aux fins de la prévention ou de la détection des infractions graves, ou pour la sauvegarde de la prospérité économique du Royaume-Uni).
b) Les communications « extérieures »
69. L’article 20 définit la « communication extérieure » comme « une communication envoyée ou reçue hors des îles Britanniques ».
70. Dans le cadre de l’affaire Liberty, le Directeur général de l’OSCT, Charles Farr, a indiqué que lorsque deux personnes se trouvant au Royaume-Uni s’envoient des emails, il s’agit d’une « communication intérieure » même si le service de messagerie électronique est hébergé sur un serveur situé aux États-Unis, mais que cette communication peut se trouver « accidentellement prise dans les filets » d’une interception réalisée sur la base d’un mandat ciblant les communications extérieures. Par ailleurs, lorsqu’une personne se trouvant au Royaume-Uni communique avec un moteur de recherche étranger, il s’agit d’une communication extérieure, de même que quand une personne se trouvant au Royaume-Uni met en ligne un message public (par exemple un « tweet » ou un changement de statut Facebook), à moins que tous les destinataires du message ne se trouvent eux-mêmes dans les îles Britanniques.
71. Lorsqu’il a déposé devant la commission parlementaire sur le renseignement et la sécurité en octobre 2014, le ministre des Affaires étrangères et du Commonwealth a indiqué ceci :
« • Pour ce qui est des emails, si l’expéditeur, le destinataire ou les deux se trouvent à l’étranger, il s’agit d’une communication extérieure.
• Pour ce qui est de la navigation sur Internet, si un individu consulte le site web du Washington Post, il « communique » avec un serveur web situé à l’étranger, et il s’agit donc d’une communication extérieure.
• Pour ce qui est des médias sociaux, si un individu met en ligne quelque chose sur Facebook, étant donné que le serveur web se trouve à l’étranger, il s’agit d’une communication extérieure.
• Pour ce qui est du stockage de données dans le « Cloud » (par exemple, des fichiers versés sur Dropbox), il s’agit là encore de communications extérieures, car ces données sont envoyées sur un serveur web situé à l’étranger. »
3. Les garanties spécifiques posées par la RIPA
a) L’article 15
72. En vertu du paragraphe 1 de l’article 15 de la RIPA, le ministre est tenu de veiller, pour tous les mandats d’interception, à ce que soient en vigueur les modalités qu’il estime nécessaires pour assurer le respect des exigences posées aux paragraphes 2 et 3 du même article quant aux éléments interceptés et aux données de communication associées ; pour ce qui est des mandats appelant l’établissement d’un certificat en vertu de l’article 8 § 4, il doit également veiller au respect des exigences posées à l’article 16.
73. Le paragraphe 2 de l’article 15 énonce ceci :
« Il est satisfait aux exigences posées au présent paragraphe en ce qui concerne les éléments interceptés et les données de communication associées si chacun des facteurs ci-dessous est limité au minimum nécessaire pour la réalisation des buts autorisés :
a) le nombre de personnes auxquelles quelque partie que ce soit des éléments interceptés ou des données associées est divulguée ou accessible,
b) la mesure dans laquelle quelque partie que ce soit des éléments interceptés ou des données associées est divulguée ou accessible,
c) la mesure dans laquelle quelque partie que ce soit des éléments interceptés ou des données associées est copiée, et
d) le nombre de copies réalisées. »
74. Le paragraphe 3 dispose :
« Il est satisfait aux exigences posées au présent paragraphe en ce qui concerne les éléments interceptés et les données de communication associées si chaque copie faite de quelque partie que ce soit des éléments interceptés ou des données associées est détruite (si ce n’a déjà été fait) dès qu’il n’y a plus de motif rendant nécessaire de la conserver dans l’un des buts autorisés. »
75. En vertu du paragraphe 4 de l’article 15, une chose est nécessaire dans l’un des buts autorisés si et seulement si elle reste nécessaire au sens de l’article 5 § 3 (c’est-à-dire dans l’intérêt de la sécurité nationale, aux fins de la prévention ou de la détection des infractions graves, pour la sauvegarde de la prospérité économique du Royaume-Uni, ou pour donner effet aux dispositions d’un accord d’entraide internationale) ou est susceptible de le devenir, elle est nécessaire pour faciliter l’accomplissement de l’une quelconque des missions d’interception du ministre, elle est nécessaire pour faciliter l’accomplissement de l’une quelconque des missions du Commissaire à l’interception des communications ou de l’IPT, elle est nécessaire pour qu’une personne qui est en charge de poursuites pénales dispose des informations dont elle a besoin pour déterminer ce qu’elle est tenue de faire en vertu de son obligation d’assurer l’équité de la procédure, ou elle est nécessaire pour l’exécution de toute obligation imposée à toute personne par la législation relative aux archives publiques.
76. En vertu du paragraphe 5, les modalités mises en place pour assurer le respect du paragraphe 2 doivent comprendre celles que le ministre estime nécessaires pour que chaque copie d’éléments interceptés ou de données associées soit stockée pendant toute la durée de sa conservation de manière sécurisée.
77. En vertu du paragraphe 6, il n’est pas impératif que les modalités visées au paragraphe 1 garantissent le respect des exigences posées aux paragraphes 2 et 3 à l’égard des originaux et de toute copie des éléments interceptés et des données de communication associées qui ont été remis aux autorités d’un pays ou territoire non britannique. En revanche, ces modalités doivent garantir, pour tout mandat de ce type, que les originaux et les copies de ces éléments et données ne soient remis aux autorités d’un pays ou territoire non britannique que s’il est satisfait aux exigences posées au paragraphe 7, qui est ainsi libellé :
« Il est satisfait aux exigences posées au présent paragraphe lorsqu’un mandat est établi s’il apparaît au ministre :
a) que des exigences correspondant à celles énoncées aux paragraphes 2 et 3 s’appliqueront, dans la mesure que, le cas échéant, le ministre juge appropriée, à tous les éléments interceptés et toutes les données de communication associées dont l’original ou une copie sont remis aux autorités en question ; et
b) que sont en vigueur des restrictions qui empêcheraient, dans la mesure que, le cas échéant, le ministre juge appropriée, que soit fait dans le cadre ou aux fins d’une procédure menée hors du Royaume-Uni, ou en relation avec une telle procédure, quoi que ce soit qui aboutisse à une divulgation qui, en vertu de l’article 17, ne pourrait être faite au Royaume-Uni. »
b) L’article 16
78. L’article 16 de la RIPA pose des garanties supplémentaires en ce qui concerne l’interception de communications « extérieures » sur la base d’un mandat émis en vertu de l’article 8 § 4. En vertu du paragraphe 1 de cet article, les éléments interceptés ne peuvent être lus, consultés ou écoutés que par les personnes qui y ont accès en vertu du mandat, et dans la stricte mesure où, premièrement, ils ont fait l’objet d’un certificat attestant que leur examen est nécessaire conformément à l’article 5 § 3 et, deuxièmement, ils relèvent du paragraphe 2. En vertu de l’article 20, on entend par « éléments interceptés » le contenu de toute communication interceptée dans le cadre du mandat.
79. Le paragraphe 2 de l’article 16 dispose :
« Sous réserve des paragraphes 3 et 4, les éléments interceptés relèvent du présent paragraphe dans la stricte mesure où ils sont sélectionnés pour être lus, consultés ou écoutés sur une base autre qu’un facteur :
a) lié à un individu dont on sait qu’il se trouve actuellement dans les îles Britanniques ; et
b) dont le but ou l’un des buts est la découverte d’éléments contenus dans les communications que l’individu envoie ou qui lui sont destinées. »
80. En vertu du paragraphe 3 de l’article 16, si, d’une part, les éléments interceptés font l’objet d’un certificat du ministre aux fins de l’article 8 § 4 attestant que l’examen d’éléments sélectionnés en fonction de facteurs liés à l’individu concerné est nécessaire conformément à l’article 5 § 3 et, d’autre part, ils ne concernent que les communications envoyées pendant une période, ne dépassant pas la durée maximale autorisée, précisée dans le certificat, ils relèvent du paragraphe 2 même s’ils ont été sélectionnés en fonction de l’un des facteurs visés à ce paragraphe.
81. En vertu du paragraphe 3A, la « durée maximale autorisée » est de :
« a) six mois pour ce qui est des éléments dont l’examen est certifié nécessaire dans l’intérêt de la sécurité nationale aux fins de l’article 8 § 4 ; et
b) trois mois dans tous les autres cas. »
82. En vertu du paragraphe 4, les éléments interceptés relèvent aussi du paragraphe 2 même s’ils sont sélectionnés en fonction de l’un des facteurs visés à ce paragraphe lorsque la personne à laquelle le mandat a été délivré estime, sur la base de motifs raisonnables, que les circonstances les font relever dudit paragraphe, et lorsque les conditions énoncées au paragraphe 5 sont réunies en ce qui concerne la sélection de ces éléments.
83. Le paragraphe 5 dispose :
« Ces conditions sont réunies pour la sélection des éléments interceptés si :
a) il est apparu à la personne à laquelle le mandat a été délivré qu’il y a eu un changement pertinent de circonstances qui, sans le paragraphe 4 b), empêcherait les éléments interceptés de relever du paragraphe 2 ;
b) depuis cette découverte, une autorisation écrite de lire, consulter ou écouter les éléments a été donnée par un officier supérieur ; et
c) la sélection est faite avant la fin de la période d’autorisation. »
84. En vertu du paragraphe 5A, la « période d’autorisation » désigne :
« a) pour ce qui est des éléments dont l’examen est certifié nécessaire dans l’intérêt de la sécurité nationale aux fins de l’article 8 § 4, la période qui s’achève à l’issue du cinquième jour ouvrable après qu’il est apparu à la personne à laquelle le mandat a été délivré qu’il y a eu un changement de circonstances visé au paragraphe 5 a) ; et
b) dans tous les autres cas, la période qui s’achève à l’issue du premier jour ouvrable après qu’il est apparu à cette personne qu’il y a eu un tel changement. »
85. Le paragraphe 6 précise que l’expression « changement pertinent de circonstances » signifie qu’il apparaît soit que l’individu en question est entré sur les îles Britanniques soit que la personne à laquelle le mandat a été délivré a cru à tort que l’individu se trouvait hors des îles Britanniques.
86. Lorsqu’il a déposé devant la commission parlementaire sur le renseignement et la sécurité en octobre 2014, the ministre des Affaires étrangères et du Commonwealth a expliqué ceci :
« Lorsqu’un analyste sélectionne pour examen des communications qui ont été interceptées sur la base d’un mandat émis en vertu de l’article 8 § 4, la forme de communication utilisée par l’individu est sans importance, de même que le fait que ses autres communications soient ou non stockées sur un serveur mail dédié ou dans le « Cloud » au Royaume-Uni, aux États-Unis ou autre part (d’ailleurs, en pratique, les utilisateurs de services sur le « Cloud » ne savent pas où leurs données sont stockées). Si l’on sait que l’individu se trouve dans les îles Britanniques, il est interdit de rechercher ses communications en utilisant son nom, son adresse email ou un autre identifieur personnel. »
4. Le code de conduite en matière d’interception de communications
87. L’article 71 de la RIPA prévoit que le ministre doit adopter des codes de conduite pour la mise en œuvre des pouvoirs et obligations découlant de la loi. Les projets de code de conduite doivent être déposés devant le Parlement et sont des documents publics. Ils ne peuvent entrer en vigueur qu’en vertu d’une ordonnance du ministre, que celui-ci ne peut prendre que si le projet d’ordonnance a été déposé devant le Parlement et approuvé par une résolution de chaque chambre.
88. En vertu de l’article 72 § 1 de la RIPA, toute personne exerçant un pouvoir ou exécutant une obligation en matière d’interception de communications doit tenir compte des dispositions pertinentes du code de conduite correspondant. En vertu de l’article 72 § 4, les tribunaux peuvent, si les circonstances le justifient, prendre en compte les dispositions du code de conduite.
89. Le code de conduite en matière d’interception de communications a été adopté en vertu de l’article 71 de la RIPA. La version actuellement en vigueur date de 2016.
90. En ses parties pertinentes, ce code prévoit ceci :
« 3.2. Un nombre limité de personnes peuvent demander un mandat d’interception, ou déléguer le pouvoir de faire cette demande. Ces personnes sont :
* le Directeur général du Security Service [MI5, sécurité intérieure].
* le Chef du Secret Intelligence Service [MI6, renseignement extérieur].
* le Directeur du Government Communications Headquarters (GCHQ).
* le Directeur général du National Crime Agency [service de lutte contre la criminalité] (le NCA gère les interceptions pour le compte des forces de l’ordre en Angleterre et au Pays-de-Galles).
* l’Inspecteur général de la Police écossaise.
* le Commissioner of the Police of the Metropolis [Préfet de police du Grand Londres] (le service de lutte contre le terrorisme de la Metropolitan Police [police de Londres] gère les interceptions pour le compte des cellules de lutte contre le terrorisme, des sections spécialisées et de certaines cellules spécialisées de la police en Angleterre et aux Pays‑de‑Galles).
* l’Inspecteur général de la Police d’Irlande du Nord.
* les Commissioners of Her Majesty’s Revenue & Customs (HMRC) [administrateurs généraux du service des recettes et douanes].
* le Chef du Defence Intelligence [renseignement militaire].
* toute personne qui, en vertu d’un accord d’entraide internationale, est l’autorité compétente d’un pays ou territoire non britannique.
3.3. Toute demande faite au nom de l’une des personnes ci-dessus doit être soumise par un titulaire d’une charge relevant de la Couronne.
3.4. Tous les mandats d’interception sont émis par le ministre. Même en cas d’application de la procédure d’urgence, le ministre doit autoriser en personne la délivrance du mandat, même si celui-ci est signé par un officier supérieur.
Nécessité et proportionnalité
3.5. La délivrance d’un mandat en vertu de la RIPA garantit seulement que l’interception autorisée constitue une ingérence justifiable dans les droits de l’individu protégés par l’article 8 (droit au respect de la vie privée et familiale) de la Convention européenne des droits de l’homme s’il est nécessaire et proportionné de procéder à cette interception. Cela est reconnu dans la RIPA, où est posée d’abord l’exigence que le ministre estime l’autorisation nécessaire pour un ou plusieurs des motifs légaux suivants :
* dans l’intérêt de la sécurité nationale ;
* aux fins de la prévention ou de la détection des infractions graves ;
* aux fins de la sauvegarde du bien-être économique du Royaume-Uni, pour autant que celle-ci relève aussi de l’intérêt de la sécurité nationale.
3.6. Ces buts sont énoncés à l’article 5 § 3 de la RIPA. De plus, le ministre doit estimer que l’interception est proportionnée au but visé. Pour évaluer la proportionnalité de la mesure, il faut toujours mettre en balance la gravité de l’intrusion dans la vie privée ou de l’atteinte aux biens du sujet de l’opération (ou de toute autre personne que celle-ci affecterait) et la nécessité de l’activité envisagée, du point de vue de l’enquête, du point de vue opérationnel ou en termes de capacité. Le mandat ne constituera pas une mesure proportionnée s’il est excessif eu égard à l’ensemble des circonstances de l’espèce. Chaque action autorisée doit viser à apporter un bénéfice à l’enquête ou à l’opération et ne pas être disproportionnée au but visé ni arbitraire. La présence d’une menace potentielle pour la sécurité nationale (par exemple) ne peut à elle seule rendre proportionnées les actions les plus intrusives. Aucune ingérence ne peut être considérée comme proportionnée s’il est raisonnablement possible d’obtenir par d’autres moyens moins intrusifs les informations qu’elle vise à recueillir.
3.7. Pour s’assurer de la proportionnalité de la mesure, il faut donc :
* mettre en balance l’ampleur et la portée de l’ingérence envisagée avec le but recherché ;
* expliquer comment et pourquoi les méthodes à adopter causeront l’intrusion la plus réduite possible pour le sujet et pour les tiers ;
* se demander si l’activité constitue une application appropriée de la loi et une manière raisonnable d’obtenir le résultat nécessaire, compte tenu de toutes les autres possibilités raisonnables ;
* montrer, autant qu’il est raisonnablement possible de le faire, quelles autres méthodes ont été envisagées et soit n’ont pas été mises en œuvre soit ont été employées mais ont été jugées insuffisantes pour parvenir aux objectifs opérationnels visés sans l’adjonction des éléments qu’il est envisagé d’intercepter.
(...)
Durée des mandats d’interception
3.18. Les mandats d’interception émis pour un motif concernant les infractions graves sont valables pour une période initiale de trois mois. Les mandats d’interception émis pour un motif concernant la sécurité nationale ou la sauvegarde du bien-être économique du pays sont valables pour une période initiale de six mois. Les mandats émis dans le cadre de la procédure d’urgence (quel que soit le motif) sont valables pendant cinq jours ouvrables à compter de leur date d’émission, à moins qu’ils ne soient renouvelés par le ministre.
3.19. Le renouvellement prolonge de trois mois les mandats émis pour un motif concernant les infractions graves. Il prolonge de six mois les mandats émis pour un motif concernant la sécurité nationale ou la sauvegarde du bien-être économique du pays. Ces périodes commencent à courir à compter de la date de l’instrument de renouvellement.
3.20. Lorsque des modifications sont apportées à un mandat d’interception, la date d’expiration du mandat demeure inchangée. Toutefois, lorsque la modification s’inscrit dans le cadre de la procédure d’urgence, l’instrument de modification expire cinq jours ouvrables après sa date d’émission, à moins qu’il ne soit renouvelé conformément à la procédure ordinaire.
3.21. Lorsqu’un changement de circonstances amène l’agence interceptrice à considérer qu’il n’est plus nécessaire, proportionné ou matériellement possible que le mandat demeure en vigueur, cette agence doit faire une recommandation au ministre afin que celui-ci annule le mandat par une décision d’effet immédiat.
(...)
4. RÈGLES SPÉCIALES RELATIVES À L’INTERCEPTION SUR MANDAT
Intrusion collatérale
4.1. Il faut tenir compte du risque d’ingérence dans l’intimité d’individus qui ne sont pas visés par l’interception, en particulier lorsque peuvent être concernées des communications relatives à des éléments protégés par le secret ou la confidentialité en raison de leur caractère religieux, médical, journalistique ou juridique, ou des communications entre un parlementaire et une autre personne relatives aux affaires de la circonscription du parlementaire, ou des communications entre un parlementaire et un lanceur d’alerte. La demande de mandat d’interception doit préciser s’il y a un risque que l’interception porte atteinte à la vie privée de tiers (intrusion collatérale). La personne sollicitant le mandat d’interception doit aussi envisager des mesures, y compris l’utilisation de systèmes automatisés, visant à réduire la portée de l’intrusion collatérale. Lorsqu’il est possible de le faire, la demande doit préciser quelles sont ces mesures. Le ministre prend en compte ces circonstances et ces mesures lorsqu’il examine les demandes de mandat relevant de l’article 8 § 1 de la RIPA. Si une opération d’interception devait atteindre le point où des individus autres que le sujet de l’autorisation sont identifiés comme cibles directes d’une enquête, il faudrait envisager de demander des mandats distincts pour ces personnes.
Informations confidentielles
4.2. Il faut aussi accorder une attention particulière aux cas où le sujet de l’interception est fondé à croire qu’il bénéficie d’une forte protection du caractère privé de ses données, et aux cas où des informations confidentielles sont concernées. Ces cas sont ceux où les communications ont trait à des éléments relevant du secret professionnel des avocats, où elles peuvent renfermer des éléments journalistiques confidentiels, où il peut s’agir de communications échangées entre un individu et un professionnel de la santé ou un ministre du culte au sujet de la santé ou de la spiritualité de l’individu, et les cas où il peut s’agir de communications échangées entre un parlementaire et un autre personne relativement aux affaires de la circonscription.
4.3. Les éléments journalistiques confidentiels comprennent les éléments acquis ou créés à des fins d’activité journalistique et détenus sur la foi d’un engagement de confidentialité, ainsi que les communications aboutissant à l’acquisition d’informations destinées à des activités journalistiques et détenues sur la foi d’un tel engagement. Voir aussi les paragraphes 4.26 et 4.28 à 4.31, où sont énoncées des garanties supplémentaires qui doivent être appliquées en ce qui concerne les éléments journalistiques confidentiels.
(...)
Communications concernant des éléments journalistiques confidentiels, informations personnelles confidentielles et communications échangées entre un parlementaire et une autre personne relativement aux affaires de la circonscription
4.26. Il faut aussi faire particulièrement attention dans le cas de l’interception de communications qui concernent des éléments journalistiques confidentiels ou des informations personnelles confidentielles, ou de communications échangées entre un parlementaire et une autre personne au sujet des affaires de la circonscription. La notion d’éléments journalistiques confidentiels est expliquée au paragraphe 4.3. Les informations personnelles confidentielles sont des informations détenues à titre confidentiel qui concernent un individu (vivant ou mort) qu’elles permettent d’identifier et qui ont trait à sa santé physique ou mentale ou à des conseils spirituels. Ces informations peuvent se trouver dans des communications orales comme dans des communications écrites. Elles sont détenues à titre confidentiel si elles ont été obtenues sur la foi d’un engagement explicite ou implicite à cet effet ou si elles sont soumises à une restriction de divulgation ou à une obligation de confidentialité énoncées dans la législation existante. Elles comprennent par exemple les consultations entre un professionnel de la santé et un patient, ainsi que les informations figurant dans le dossier médical du patient.
(...)
4.28. Lorsque l’intention est d’acquérir des informations personnelles confidentielles, les raisons doivent être clairement démontrées et la nécessité et la proportionnalité spécifiques de la mesure soigneusement soupesées. Si l’acquisition d’informations personnelles confidentielles est probable mais non recherchée, toutes les mesures possibles d’atténuation de ce risque doivent être envisagées et, si de telles mesures ne sont pas possibles, il faut réfléchir à la nécessité de mettre en place des modalités spéciales pour la manipulation de ces informations au sein de l’agence interceptrice.
4.29. Les éléments dont on a constaté qu’il s’agissait d’informations confidentielles ne doivent être conservés que lorsqu’il est nécessaire et proportionné de le faire dans un ou plusieurs des buts autorisés énoncés à l’article 15 § 4 [de la RIPA]. Ils doivent être détruits de manière sécurisée lorsque leur conservation n’est plus nécessaire dans ces buts. S’ils sont conservés, il faut que des systèmes de gestion de l’information adéquats soient en place pour garantir que cela ne se fasse que tant que cette conservation demeure nécessaire et proportionnée dans les buts légaux autorisés.
4.30. Lorsque des informations confidentielles sont conservées ou transmises à un organe externe, il faut prendre des mesures raisonnables pour les marquer comme confidentielles. S’il y a le moindre doute quant à la licéité de la manipulation ou de la transmission qu’il est envisagé de faire d’informations confidentielles, il faut solliciter l’avis d’un conseiller juridique au sein de l’agence interceptrice avant de continuer à partager les éléments concernés.
4.31. Tout cas de conservation d’informations confidentielles doit être signalé au Commissaire à l’interception des communications aussitôt qu’il est raisonnablement possible de le faire, selon les modalités convenues avec lui. Tous les éléments conservés doivent être mis à la disposition du Commissaire à sa demande.
4.32. Les garanties énoncées aux paragraphes 4.28 à 4.31 s’appliquent également à tous les éléments relevant de l’article 8 § 4 de la RIPA (voir le chapitre 6) qui sont sélectionnés pour examen et qui constituent des informations confidentielles.
(...)
6. MANDATS D’INTERCEPTION (ARTICLE 8 § 4 DE LA RIPA)
6.1. La présente section concerne l’interception de communications extérieures sur la base d’un mandat émis en vertu de l’article 8 § 4 de la RIPA.
6.2. Contrairement aux mandats relevant de l’article 8 § 1, les mandats relevant de l’article 8 § 4 ne doivent pas obligatoirement désigner nommément ou décrire le sujet ou les lieux auxquels peut s’appliquer l’interception. L’article 8 § 4 n’impose pas non plus une limite expresse quant au nombre de communications extérieures pouvant être interceptées. Par exemple, s’il est satisfait aux exigences des paragraphes 4 et 5 de l’article 8, alors l’interception de toutes les communications transmises par une voie donnée, ou acheminées par un fournisseur de services de communication donné, pourrait, en principe, être légalement autorisée. En effet, les interceptions réalisées en vertu de l’article 8 § 4 sont un moyen d’obtenir des renseignements, alors que les interceptions réalisées en vertu de l’article 8 § 1 sont principalement un outil d’enquête, utilisé lorsqu’un sujet d’interception donné a été isolé.
6.3. La responsabilité d’émettre des mandats d’interception en vertu de l’article 8 § 4 de la RIPA incombe au ministre. Lorsque celui-ci émet un mandat en vertu de ce paragraphe, le mandat doit être accompagné d’un certificat. Ce certificat garantit qu’un processus de sélection est appliqué aux éléments interceptés afin que seuls les éléments décrits dans le certificat puissent être examinés par un être humain. Si les éléments interceptés ne peuvent pas être sélectionnés pour être lus, consultés ou écoutés eu égard au principe de proportionnalité et aux termes du certificat, alors ils ne peuvent être lus, consultés ou écoutés par personne.
Les interceptions réalisées en vertu de l’article 8 § 4 de la RIPA en pratique
6.4. Les mandats émis en vertu de l’article 8 § 4 de la RIPA autorisent l’interception de communications extérieures. Lorsqu’un mandat émis en vertu de l’article 8 § 4 aboutit à l’acquisition d’un gros volume de communications, l’agence interceptrice utilise en général un filtre pour écarter automatiquement les communications qui sont peu susceptibles de présenter un intérêt du point de vue du renseignement. Les personnes autorisées de cette agence peuvent ensuite appliquer des critères de recherche pour sélectionner les communications susceptibles de présenter un intérêt conformément au certificat émis par le ministre. Avant qu’une personne autorisée de l’agence interceptrice ne puisse accéder à une communication, elle doit expliquer pourquoi cet accès est nécessaire au regard de l’un des motifs énoncés dans le certificat accompagnant le mandat, et pourquoi il constituerait une mesure proportionnée au but visé dans le cas d’espèce. Ce processus fait l’objet d’un audit interne et est soumis à la supervision externe du Commissaire à l’interception des communications. Lorsque le ministre le juge nécessaire, il peut autoriser la sélection de communications d’un individu dont on sait qu’il se trouve dans les îles Britanniques. En l’absence d’une telle autorisation, la personne autorisée ne peut pas sélectionner ces communications.
Définition des communications extérieures
6.5. Selon la RIPA, les communications extérieures sont celles qui sont envoyées ou reçues hors des îles Britanniques. Ces communications comprennent aussi celles qui sont envoyées et reçues hors des îles Britanniques, qu’elles transitent ou non par les îles Britanniques au cours de leur transmission. Elles ne comprennent pas les communications envoyées et reçues dans les îles Britanniques, même si ces communications transitent hors des îles Britanniques. Par exemple, un email envoyé par une personne de Londres à une personne de Birmingham est une communication intérieure et non une communication extérieure aux fins de l’article 20 de la RIPA, indépendamment du fait qu’elle transite ou non par des adresses IP situées hors des îles Britanniques, car l’expéditeur et le destinataire se trouvent tous deux dans les îles Britanniques.
Interception de communications non extérieures dans le cadre d’un mandat émis en vertu de l’article 8 § 4 de la RIPA
6.6. L’article 5 § 6 a) de la RIPA énonce clairement que la conduite autorisée par un mandat émis en vertu de l’article 8 § 4 peut, en principe, comprendre l’interception de communications qui ne sont pas des communications extérieures dans la mesure où cette interception est nécessaire pour l’interception de communications extérieures relevant du mandat.
6.7. Lorsqu’elle procède à une interception dans le cadre d’un mandat émis en vertu de l’article 8 § 4, l’agence interceptrice doit utiliser sa connaissance de l’acheminement des communications internationales, ainsi que des études régulières des différentes liaisons de communication, pour déterminer les canaux de transmission qui sont le plus susceptibles de contenir des communications extérieures qui répondent à la description des éléments sur lesquels porte le certificat ministériel relevant de l’article 8 § 4. Elle doit aussi intercepter les données de manière à maintenir la collecte de communications non extérieures au plus bas niveau compatible avec l’objectif de l’interception des communications extérieures visées.
Demande de délivrance d’un mandat en vertu de l’article 8 § 4 de la RIPA
6.8. La demande de mandat est faite au ministre. Le mandat d’interception, lorsqu’il est émis, est délivré à la personne qui en a fait la demande. Le but du mandat répond normalement à une ou plusieurs des priorités en matière de renseignement établies par le Conseil de sécurité nationale [National Security Council] (NSC).
6.9. Avant d’être déposée, chaque demande fait l’objet d’un contrôle au sein de l’agence dont elle émane. Dans ce cadre, elle est examinée par plusieurs personnes, qui vérifient si elle vise un but relevant de l’article 5 § 3 de la RIPA et si l’interception envisagée est nécessaire et proportionnée au but visé.
6.10. Le demandeur doit conserver une copie de la demande. Chaque demande doit renfermer les informations suivantes :
* le contexte de l’opération en question :
description des communications à intercepter, informations relatives au(x) fournisseur(s) de services de communication et évaluation de la faisabilité de l’opération le cas échéant ; et
description de la conduite à autoriser, laquelle ne peut comprendre que l’interception de communications extérieures, ou les démarches (y compris l’interception d’autres communications non indiquées expressément dans le mandat comme le permet l’article 5 § 6 a) de la RIPA) nécessaires pour mener à bien la conduite autorisée ou exigée par le mandat, et l’obtention des données de communication associées.
* le certificat dont relèvera l’examen des éléments interceptés ;
* un exposé des motifs pour lesquels l’interception est jugée nécessaire dans l’un ou plusieurs des buts énoncés à l’article 5 § 3 [de la RIPA] ;
* un exposé des motifs pour lesquels la conduite que le mandat doit autoriser est proportionnée au but visé ;
* en cas de demande urgente, les justificatifs correspondants ;
* l’assurance que les éléments interceptés ne seront lus, consultés ou écoutés que dans la mesure où ils font l’objet d’un certificat et répondent aux conditions énoncées aux articles 16 § 2 à 16 § 6 de la RIPA ; et
* l’assurance que seront appliquées à tous les éléments interceptés les garanties posées aux articles 15 et 16 de la RIPA (voir les paragraphes 7.2 et 7.10).
Délivrance d’un mandat relevant de l’article 8 § 4 de la RIPA
6.11. Pour délivrer un mandat en vertu de l’article 8 § 4 de la RIPA, le ministre doit juger que cette mesure est nécessaire :
* dans l’intérêt de la sécurité nationale ;
* aux fins de la prévention ou de la détection des infractions graves ; ou
* aux fins de la sauvegarde du bien-être économique du Royaume-Uni dans la mesure où celle-ci relève aussi de l’intérêt de la sécurité nationale.
6.12. Le pouvoir d’émettre un mandat d’interception aux fins de la sauvegarde du bien-être économique du Royaume-Uni (article 5 § 3 c) de la RIPA) ne peut être exercé que lorsqu’il apparaît au ministre que les circonstances relèvent de l’intérêt de la sécurité nationale. Le ministre ne délivre pas de mandat en vertu de l’article 5 § 3 c) s’il n’est pas établi un lien direct entre le bien-être économique du Royaume-Uni et la sécurité nationale. Toute demande de délivrance d’un mandat sur le fondement de l’article 5 § 3 c) doit donc préciser quelles sont les circonstances faisant entrer en jeu la sécurité nationale.
6.13. Le ministre doit aussi considérer que la conduite autorisée par le mandat est proportionnée au but visé (article 5 § 2 b)). Lorsqu’il examine la nécessité et la proportionnalité de la mesure, il doit se demander si les informations recherchées pourraient raisonnablement être obtenues par d’autres moyens (article 5 § 4).
6.14. Lorsque le ministre émet un mandat de ce type, ce mandat doit être accompagné d’un certificat par lequel le ministre confirme qu’il estime que l’examen des éléments interceptés est nécessaire dans l’un ou plusieurs des buts relevant de l’article 5 § 3. L’objectif du certificat légal est de garantir que les éléments interceptés fassent l’objet d’une sélection de manière à ce que seuls les éléments répondant à la description faite dans le certificat puissent être examinés par un être humain. Tous les certificats doivent répondre aux « Priorités en matière de collecte de renseignement » établies par le NSC à l’intention des agences de renseignement. Par exemple, un certificat peut prévoir l’examen d’éléments renfermant du renseignement en matière de terrorisme (au sens de la loi de 2000 sur le terrorisme [Terrorism Act 2000]) ou de drogues placées sous contrôle (au sens de la loi de 1971 sur le mésusage de drogues [Misuse of Drugs Act 1971]). Toutes les modifications éventuellement apportées à la description des éléments indiqués dans le certificat doivent être soumises au Commissaire à l’interception des communications.
6.15. Le ministre est tenu de veiller à ce que soient en vigueur des modalités visant à garantir que seuls les éléments dont l’examen a été certifié nécessaire dans un but relevant de l’article 5 § 3 de la RIPA et répondant aux conditions énoncées à l’article 16 § 2 ou à l’article 16 § 6 soient en pratique lus, consultés ou écoutés. Le Commissaire à l’interception des communications est tenu de vérifier le caractère adéquat de ces modalités.
Délivrance en urgence d’un mandat relevant de l’article 8 § 4 de la RIPA
6.16. La RIPA prévoit (en son article 7 § l b)) le cas où il est nécessaire qu’un mandat d’interception soit délivré d’urgence mais où le ministre n’est pas disponible pour le signer. Dans cette situation, le ministre doit toujours autoriser personnellement l’interception mais le mandat est signé par un haut responsable, après discussion de l’affaire entre les responsables et le ministre. La RIPA restreint cette procédure aux cas urgents où le ministre a personnellement et expressément autorisé la délivrance du mandat (article 7 § 2 a)), et elle dispose que le mandat doit alors renfermer une déclaration en ce sens (article 7 § 4 a)).
6.17. Le mandat délivré dans le cadre de la procédure d’urgence est valable cinq jours ouvrables à compter de sa date d’émission à moins qu’il ne soit renouvelé par le ministre, auquel cas il expire au bout de trois mois s’il concerne des infractions graves ou de six mois s’il concerne la sécurité nationale ou le bien-être économique du pays, de la même manière qu’un mandat émis en vertu de l’article 8 § 4 selon la voie ordinaire.
Forme du mandat émis en vertu de l’article 8 § 4 de la RIPA
6.18. Chaque mandat est délivré à la personne qui en a fait la demande. Celle-ci peut ensuite en adresser une copie aux fournisseurs de services de communication qu’il estime aptes à l’aider à la mise en œuvre de l’interception, mais les fournisseurs de services de communication ne reçoivent pas en principe de copie du certificat correspondant. Le mandat doit comprendre les mentions suivantes :
* une description des communications à intercepter ;
* le numéro de référence du mandat ; et
* les nom et qualité des personnes qui pourront modifier le certificat correspondant en cas d’urgence (si cette possibilité est autorisée en vertu de l’article 10 § 7 de la RIPA).
Modification d’un mandat et/ou d’un certificat émis en vertu de l’article 8 § 4 de la RIPA
6.19. Les mandats d’interception et les certificats correspondants peuvent être modifiés en vertu des dispositions de l’article 10 de la RIPA. Le mandat ne peut être modifié que par le ministre ou, en cas d’urgence, par un haut responsable expressément habilité à cette fin par le ministre. En pareil cas, l’instrument de modification doit comporter une mention officielle de cette habilitation, et la modification devient caduque à l’issue de cinq jours ouvrables à compter de son émission à moins qu’elle n’ait été approuvée par le ministre.
6.20. Le certificat doit être modifié par le ministre lui-même, sauf dans les cas d’urgence où il peut être modifié par un haut responsable, à condition que celui-ci occupe une fonction qui l’habilite expressément en vertu de dispositions figurant dans le certificat à modifier ce certificat au nom du ministre, ou que le ministre ait expressément autorisé la modification et qu’une mention officielle à cet effet figure sur l’instrument de modification. En pareil cas, la modification devient caduque à l’issue de cinq jours ouvrables à compter de son émission à moins qu’elle n’ait été approuvée par le ministre.
6.21. Lorsque le ministre l’estime nécessaire, le certificat peut être modifié pour autoriser la sélection de communications d’un individu se trouvant dans les îles Britanniques. Le lieu où se trouve l’individu doit être déterminé à l’aide de toutes les informations disponibles. S’il n’est pas possible d’établir ce lieu avec certitude en utilisant ces informations, il faut déterminer de bonne foi compte tenu des éléments dont on dispose le lieu où l’individu se trouve vraisemblablement. Si l’on soupçonne fortement qu’un individu se trouve sur le sol britannique, les modalités énoncées dans le présent paragraphe s’appliquent.
Renouvellement d’un mandat émis en vertu de l’article 8 § 4 de la RIPA
6.22. Le ministre peut renouveler le mandat à tout moment avant sa date d’expiration. Les demandes de renouvellement lui sont adressées et comprennent une mise à jour des points énoncés au paragraphe 6.10 ci-dessus. En particulier, l’auteur de la demande doit donner une appréciation de la valeur de l’interception au moment de la demande et expliquer pourquoi il considère qu’elle demeure nécessaire dans l’un ou plusieurs des buts relevant de l’article 5 § 3 de la RIPA, et proportionnée au but visé.
6.23. Si le ministre estime que l’interception répond toujours aux exigences de la RIPA, il peut renouveler le mandat. Si le mandat d’origine avait été émis pour des motifs relatifs à la prévention des infractions graves, le renouvellement le proroge de trois mois. S’il avait été émis pour des motifs relatifs à la sécurité nationale ou au bien-être économique du pays, le renouvellement le proroge de six mois. Ces délais commencent à courir à partir de la date de la signature de l’instrument de renouvellement.
6.24. Lorsque l’on avait demandé l’assistance de fournisseurs de services de communication, une copie de l’instrument de renouvellement du mandat est transmise à tous ceux auxquels avait été adressée une copie du mandat original, s’ils fournissent toujours une assistance active. L’instrument de renouvellement comprend le numéro de référence du ou des mandats qu’il renouvelle.
Annulation d’un mandat
6.25. Si, à quelque moment que ce soit avant l’expiration du mandat d’interception, le ministre estime que celui-ci n’est plus nécessaire dans un but relevant de l’article 5 § 3 de la RIPA, il doit l’annuler. Les agences interceptrices doivent donc vérifier continuellement la nécessité du mandat et avertir le ministre si elles déterminent que l’interception n’est plus nécessaire. En pratique, la responsabilité d’annuler le mandat est exercée par un haut responsable de la direction ayant émis le mandat au nom du ministre.
6.26. L’instrument d’annulation est adressé à la personne (de l’agence interceptrice) à laquelle le mandat avait été délivré. Une copie de l’instrument d’annulation doit être adressée à tous les fournisseurs de services de communication qui ont donné effet au mandat au cours des douze derniers mois.
Tenue des dossiers
6.27. Le régime de supervision permet au Commissaire à l’interception des communications d’inspecter la demande de mandat sur laquelle repose la décision du ministre, et l’agence interceptrice peut devoir en justifier la teneur. Chaque agence interceptrice doit conserver les éléments suivants pour pouvoir les communiquer au Commissaire à sa demande afin qu’il les examine :
* toutes les demandes de mandat relevant de l’article 8 § 4 de la RIPA et les demandes de renouvellement de ces mandats ;
* tous les mandats et les certificats correspondants et, le cas échéant, les copies des instruments de renouvellement ou de modification ;
* en cas de refus d’une demande, les motifs de refus avancés par le ministre ;
* les dates de début et de fin des interceptions.
6.28. Il faut également consigner les modalités que l’on a appliquées pour faire en sorte que seuls les éléments ayant fait l’objet d’un certificat pour examen aux fins de l’article 5 § 3 de la RIPA et répondant aux conditions énoncées aux paragraphes 2 à 6 de l’article 16 combinés à l’article 15 soient en pratique lus, consultés ou écoutés. Il faut consigner les modalités appliquées aux fins du respect des exigences posées aux paragraphes 2 (maintien au strict minimum de la copie et de la diffusion des éléments interceptés) et 3 (destruction des éléments interceptés) de l’article 15. On trouvera plus de détails à ce sujet dans le chapitre « Garanties ».
7. GARANTIES
7.1. Tous les éléments interceptés dans le cadre d’un mandat émis en vertu de l’article 8 § 1 ou de l’article 8 § 4 de la RIPA et toutes les données de communication associées doivent être manipulés dans le respect des garanties que le ministre a approuvées conformément à l’obligation que lui impose la RIPA. Ces garanties sont portées à la connaissance du Commissaire à l’interception des communications, et doivent répondre aux exigences de l’article 15 énoncées ci-dessous. De plus, les garanties énoncées à l’article 16 s’appliquent aux mandats relevant de l’article 8 § 4. Tout défaut d’application de ces garanties doit être signalé au Commissaire à l’interception des communications. Les agences interceptrices doivent vérifier régulièrement que leurs garanties internes sont toujours à jour et effectives. Au cours de ces vérifications périodiques, elles doivent rechercher s’il serait sûr et utile de rendre publiques des modalités internes jusque-là confidentielles.
Les garanties posées à l’article 15 de la RIPA
7.2. L’article 15 de la RIPA impose que la divulgation, la copie et la conservation des éléments interceptés soient limitées au minimum nécessaire dans un but autorisé. L’article 15 § 4 dispose qu’une chose est nécessaire dans l’un des buts autorisés si les éléments interceptés :
* restent ou sont susceptibles de devenir nécessaires dans l’un quelconque des buts énoncés à l’article 5 § 3 – c’est-à-dire dans l’intérêt de la sécurité nationale, aux fins de la prévention ou de la détection des infractions graves, ou aux fins, dans des circonstances que le ministre estime relever de l’intérêt de la sécurité nationale, de la sauvegarde du bien-être économique du Royaume-Uni ;
* sont nécessaires pour faciliter l’exercice des fonctions du ministre relevant du chapitre I de la partie I de la RIPA ;
* sont nécessaires pour faciliter l’exercice de l’une quelconque des fonctions du Commissaire à l’interception des communications ou de l’IPT ;
* sont nécessaires pour qu’une personne qui est en charge de poursuites pénales dispose des informations dont elle a besoin pour déterminer ce qu’elle est tenue de faire en vertu de son obligation d’assurer l’équité des poursuites ; ou
* sont nécessaires pour l’exécution de toute obligation imposée par la législation relative aux archives publiques.
Diffusion des éléments interceptés
7.3. Le nombre de personnes auxquelles quelque partie que ce soit des éléments interceptés est divulguée et l’ampleur de la divulgation doivent être limités au minimum nécessaire aux buts autorisés énoncés à l’article 15 § 4 de la RIPA. Cette obligation s’applique aussi bien à la divulgation au sein de l’agence qu’à la divulgation hors de l’agence. Elle est mise en œuvre par une interdiction de divulgation aux personnes n’ayant pas reçu l’habilitation adéquate et par l’application du principe du besoin d’en connaître : les éléments interceptés ne doivent être divulgués à personne d’autre que ceux dont la mission – qui doit relever de l’un des buts autorisés – est telle qu’ils ont besoin pour l’accomplir d’avoir connaissance de ces éléments. De même, le destinataire ne doit recevoir que la partie des éléments interceptés qu’il a besoin de connaître. Par exemple, si un résumé des éléments interceptés est suffisant, il ne faut pas divulguer plus que cela.
7.4. Ces obligations s’appliquent non seulement à la personne qui a intercepté les éléments mais aussi à toute personne à qui ils sont ensuite divulgués. Dans certains cas, la mise en œuvre de la règle sera assurée par l’obligation pour la personne à laquelle l’information a été divulguée d’obtenir l’autorisation de celui dont elle émane avant de la partager à son tour. Dans d’autres cas, des garanties expresses sont appliquées aux destinataires secondaires des informations.
7.5. Lorsque des éléments interceptés sont divulgués à des autorités d’un pays ou territoire non britannique, l’agence doit prendre des mesures raisonnables pour s’assurer que ces autorités ont mis en place et appliquent les procédures nécessaires pour protéger les éléments interceptés et pour garantir qu’ils ne seront divulgués, copiés, distribués et conservés que dans la stricte mesure du nécessaire. En particulier, les éléments interceptés ne doivent pas être divulgués aux autorités d’un troisième pays ou territoire sans l’accord express de l’agence dont ils émanent, et ils doivent être restitués à celle-ci ou détruits de manière sécurisée lorsqu’ils ne sont plus nécessaires.
Copie
7.6. Les éléments interceptés ne peuvent être copiés que dans la mesure nécessaire pour la réalisation des buts autorisés énoncés à l’article 15 § 4 de la RIPA. On entend par « copies » non seulement les copies directes de l’intégralité des éléments interceptés, mais aussi les extraits et résumés présentés comme le produit d’une interception, et toute mention d’une interception incluant l’identité des personnes auxquelles ou par lesquelles les éléments interceptés ont été envoyés. Ces restrictions sont mises en œuvre par l’application d’une obligation de traiter différemment les copies, extraits et résumés qui sont faits de ces éléments, en consignant leur réalisation, leur distribution et leur destruction.
Stockage
7.7. Les éléments interceptés et la totalité des copies, extraits et résumés qui en sont faits doivent être manipulés et stockés de manière sécurisée, afin de minimiser le risque de perte ou de vol. Ils doivent être conservés de manière à être inaccessibles aux personnes qui n’ont pas le niveau d’habilitation requis. Cette obligation de conserver le produit d’interceptions de manière sécurisée s’applique à tous ceux qui sont responsables de sa manipulation, y compris le fournisseur de services de communication. Les implications pratiques détaillées de cette obligation pour les fournisseurs de services de communication sont exposées dans le cadre des discussions qu’ils ont avec le gouvernement avant qu’un avis relevant de l’article 12 ne leur soit adressée (voir le paragraphe 3.13).
Destruction
7.8. Les éléments interceptés, et la totalité des copies, extraits et résumés dont il peut être compris qu’il s’agit du produit d’une interception doivent être marqués pour suppression et détruits de manière sécurisée aussitôt que possible après qu’ils ne sont plus nécessaires pour la réalisation d’un but autorisé. Si pareils éléments interceptés sont conservés, il faut vérifier régulièrement que la raison justifiant leur conservation demeure valable au regard de l’article 15 § 3 de la RIPA.
7.9. Lorsqu’une agence interceptrice procède à une interception dans le cadre d’un mandat émis en vertu de l’article 8 § 4 de la RIPA et reçoit des éléments interceptés non analysés et les données de communication associées, elle doit fixer (ou déterminer système par système) une durée maximale de conservation pour les différentes catégories de données, en fonction de leur nature et de leur degré d’intrusion dans la vie privée des individus concernés. Les durées fixées ne doivent normalement pas dépasser deux ans, et elles doivent être convenues avec le Commissaire à l’interception des communications. Les données ne peuvent être conservées au-delà de la durée maximale de conservation qui leur est applicable que sur autorisation préalable délivrée par un officier supérieur de l’agence interceptrice au motif que leur conservation prolongée a été jugée nécessaire et proportionnée au but visé. Si par la suite on estime que la conservation prolongée de ces données ne répond plus aux critères de nécessité et de proportionnalité, les données doivent être supprimées. Dans la mesure du possible, toutes les durées de conservation doivent être mises en œuvre par l’application d’un processus de suppression automatisée déclenchée lorsque la durée maximale de conservation des données concernées est atteinte.
Habilitation du personnel
7.10. Toutes les personnes susceptibles d’avoir accès aux éléments interceptés ou d’avoir besoin de consulter un rapport les concernant doit avoir le niveau d’habilitation adéquat. Chaque année, les responsables doivent repérer les éventuelles réserves susceptibles de donner lieu au réexamen de l’habilitation de tel ou tel membre du personnel. L’habilitation de chaque membre du personnel doit aussi faire l’objet d’un réexamen périodique. Lorsqu’il est nécessaire qu’un membre d’une agence divulgue des éléments interceptés à un autre membre, il est de la responsabilité du premier de vérifier que le second dispose de l’habilitation nécessaire.
Les garanties posées à l’article 16 de la RIPA
7.11. L’article 16 de la RIPA prévoit des garanties supplémentaires pour les éléments interceptés dans le cadre d’un mandat émis en vertu de l’article 8 § 4. Il impose que ces garanties :
* assurent que les éléments interceptés ne soient lus, consultés ou écoutés par qui que ce soit que dans la mesure où ils relèvent d’un certificat ; et
* encadrent l’utilisation de facteurs de sélection concernant les communications d’individus dont on sait qu’ils se trouvent actuellement dans les îles Britanniques.
7.12. De plus, toute sélection d’éléments interceptés doit être proportionnée aux circonstances de l’espèce (compte tenu de l’article 6 § 1 de la loi de 1998 sur les droits de l’homme [Human Rights Act 1998]).
7.13. Le certificat garantit qu’un processus de sélection sera appliqué aux éléments interceptés dans le cadre d’un mandat émis en vertu de l’article 8 § 4 de la RIPA, afin que seuls les éléments qu’il décrit puissent être examinés par un être humain (c’est‑à‑dire être lus, consultés ou écoutés). Aucun agent ne peut accéder aux données autrement que dans la limite prévue par le certificat.
7.14. En général, il faut, lorsque c’est techniquement possible, utiliser des systèmes automatisés pour réaliser la sélection conformément à l’article 16 § 1 de la RIPA. À titre exceptionnel, un certificat peut permettre à un nombre limité de membres du personnel spécialement autorisés d’accéder à des éléments interceptés sans que ces éléments n’aient été traités ou filtrés par un système automatisé. Cet accès ne peut être permis que dans la mesure nécessaire pour déterminer si les éléments en question relèvent des principales catégories permettant de les sélectionner en vertu du certificat, ou pour vérifier que la méthode [de filtrage] utilisée demeure à jour et efficace. La vérification doit elle-même être nécessaire pour les motifs visés à l’article 5 § 3 de la RIPA. Cela fait, toute copie des éléments produite à ces fins doit être détruite conformément à l’article 15 § 3 de la RIPA. Cette vérification par des agents humains doit être maintenue au strict minimum ; à chaque fois que possible, il faut appliquer plutôt des techniques de sélection automatisées. La vérification est contrôlée par le Commissaire à l’interception des communications lors de ses inspections.
7.15. Les éléments recueillis dans le cadre d’un mandat émis en vertu de l’article 8 § 4 de la RIPA ne doivent être lus, consultés ou écoutés que par des personnes autorisées qui suivent régulièrement une formation obligatoire sur les dispositions de la RIPA, et en particulier sur le fonctionnement de l’article 16 de cette loi et sur les exigences de nécessité et de proportionnalité. Ces exigences et procédures doivent être énoncées dans des directives internes fournies à toutes les personnes autorisées, et l’attention de toutes ces personnes doit être expressément appelée sur les garanties légales. Toutes les personnes autorisées doivent avoir le niveau d’habilitation approprié (voir le paragraphe 7.10 pour plus d’informations).
7.16. Avant qu’une personne autorisée ne puisse lire, consulter ou écouter des éléments, il faut que soient consignées les raisons pour lesquelles l’accès à ces éléments est requis au sens et en vertu de l’article 16 de la RIPA et du certificat applicable, et les raisons pour lesquelles cet accès constitue une mesure proportionnée au but visé. Sauf dans les cas où les éléments ou les systèmes automatisés sont vérifiés de la manière décrite au paragraphe 7.14, la mention faite de l’accès doit indiquer, par référence à des facteurs précis, les éléments auxquels l’accès est demandé, et les systèmes doivent, dans la mesure du possible, empêcher l’accès à ces éléments tant que l’entrée correspondante n’a pas été créée. Cette entrée doit mentionner toutes les circonstances qui sont susceptibles de donner lieu dans une mesure plus ou moins grande à une atteinte collatérale à la vie privée, et toutes les mesures prises pour réduire l’ampleur de cette intrusion collatérale. Toutes ces entrées doivent être conservées pour pouvoir être présentées en cas d’examen ou d’audit ultérieur.
7.17. L’accès aux données décrit au paragraphe 7.15 doit être limité dans le temps, mais il peut être renouvelé. Si l’accès est renouvelé, il faut mettre à jour l’entrée correspondante en indiquant la raison du renouvellement. Il faut que soient en place des systèmes qui garantissent que la possibilité d’accéder aux données s’éteigne à l’expiration de la durée de validité de l’accès s’il n’a pas été fait de demande de renouvellement. Lorsque le maintien de l’accès aux données n’est pas souhaité, la raison doit aussi en être indiquée dans l’entrée correspondante.
7.18. Des audits doivent être réalisés périodiquement aux fins de la vérification du respect des exigences énoncées à l’article 16 de la RIPA et au chapitre 3 du présent code. Les personnes qui procèdent à ces audits doivent vérifier que l’on a correctement consigné les entrées demandes d’accès aux données pour lecture, consultation ou écoute et, en particulier, que les éléments demandés relèvent des sujets pour lesquels le ministre a émis un certificat. Il faut signaler à la hiérarchie toute erreur et tout manquement à la procédure, et prendre en pareil cas des mesures correctives. Toute défaillance grave doit être portée à l’attention de la haute hiérarchie, et tout défaut d’application des garanties doit être signalé au Commissaire à l’interception des communications (voir le paragraphe 7.1). Tous les rapports de renseignement générés par les personnes autorisées doivent faire l’objet d’un audit de contrôle qualité.
7.19. Lorsqu’un facteur de sélection vise un individu dont on sait qu’il se trouve actuellement dans les îles Britanniques et que le but ou l’un des buts de la mesure envisagée est de découvrir des éléments contenus dans des communications dont cet individu est l’expéditeur ou le destinataire, la demande doit, pour répondre aux exigences de la RIPA exposées au paragraphe 6.3 ci‑dessus, être faite au ministre, ou à un haut responsable s’il s’agit d’un cas d’urgence, et elle doit comprendre une explication de la raison pour laquelle une modification du certificat relevant de l’article 8 § 4 à l’égard de cet individu est nécessaire dans un but relevant de l’article 5 § 3 et proportionnée au but visé par la conduite autorisée en vertu de l’article 8 § 4.
7.20. Le ministre doit veiller à ce que les garanties soient appliquées avant que l’interception réalisée dans le cadre d’un mandat émis en vertu de l’article 8 § 4 de la RIPA ne puisse commencer. Le Commissaire à l’interception des communications est tenu de vérifier le caractère adéquat des garanties.
(...)
10. SUPERVISION
10.1. La RIPA dispose qu’il doit y avoir un Commissaire à l’interception des communications, chargé de superviser de manière indépendante l’utilisation des pouvoirs conférés par le régime d’interception sur mandat découlant du chapitre I de la partie I de ce texte.
10.2. Le Commissaire inspecte deux fois par an chacune des neufs agences interceptrices. Ces inspections ont pour objectif principal de lui permettre de disposer des informations nécessaires à l’exercice des missions que lui attribue l’article 57 de la RIPA et d’établir son rapport en vertu de l’article 58. Elles peuvent comprendre l’inspection ou l’examen :
* des systèmes mis en place pour l’interception des communications ;
* des données pertinentes conservées par l’agence interceptrice ;
* de la licéité des interceptions réalisées ; et
* des éventuelles erreurs et des systèmes destinés à prévenir ces erreurs.
10.3. Toutes les personnes qui exercent des pouvoirs conférés par le chapitre I de la partie I de la RIPA doivent signaler au Commissaire toute action qu’elles pensent être contraire aux dispositions de la RIPA et tout défaut d’application des garanties posées à l’article 15 de la RIPA. Elles doivent également répondre à toute demande que leur adresse le Commissaire en lui fournissant les informations dont il a besoin pour s’acquitter de sa mission. »
5. La déposition du Directeur général de l’OSCT, Charles Farr
91. Dans la déposition qu’il a faite dans le cadre de l’affaire Liberty, le Directeur général de l’OSCT a indiqué que, à part ce qui était énoncé dans la RIPA, dans le code de 2010 et dans le projet de code de 2016 (qui avait alors été publié pour consultation), les détails complets des modalités visant à assurer le respect des garanties posées aux articles 15 et 16 étaient confidentiels. Il a précisé qu’il avait personnellement examiné ces modalités et qu’il estimait qu’il n’était pas possible de les rendre publiques en toute sécurité sans porter atteinte à l’efficacité des méthodes d’interception. Il a ajouté que toutefois, ces modalités avaient été communiquées au Commissaire, qui devait en vertu de la RIPA les contrôler régulièrement. Enfin, il a indiqué que chaque agence interceptrice était tenue de consigner les modalités en question et que tout manquement devait être signalé au Commissaire.
6. L’affaire Belhadj and Others v. Security Service, Secret Intelligence Service, Government Communications Headquarters, the Secretary of State for the Home Department, and the Secretary of State for the Foreign and Commonwealth Office (IPT/13/132-9/H et IPT/14/86/CH, « Belhadj et autres »)
92. Dans cette affaire, les plaignants s’estimaient victimes de violations des articles 6, 8 et 14 de la Convention car ils pensaient que leurs communications relevant du secret professionnel des avocats avaient été interceptées. Par ailleurs, dans l’affaire Liberty, Amnesty International alléguait que les modalités visant à protéger les éléments relevant du secret professionnel des avocats étaient inadéquates. Ce grief fut transféré de l’affaire Liberty à l’affaire Belhadj et autres et Amnesty ajoutée aux plaignants de cette affaire (paragraphe 47 ci‑dessus).
93. Au cours de la procédure, les défendeurs reconnurent que, étant donné qu’il n’avait pas été mis en place de système légal pour tenir compte du secret professionnel des avocats, depuis janvier 2010 le régime d’interception/obtention, d’analyse, d’utilisation, de divulgation et de destruction d’éléments couverts par ce secret professionnel n’était pas prévu par la loi au sens de l’article 8 § 2 de la Convention et était donc illicite. Le MI5 et le GCHQ affirmèrent qu’ils s’attacheraient dans les semaines qui suivraient à réviser leurs règles et procédures notamment à la lumière du projet de code de conduite en matière d’interception de communications.
94. L’IPT tint ensuite une audience à huis clos, avec l’assistance du Conseil près le Tribunal (paragraphe 142 ci-dessous), pour déterminer si les défendeurs avaient intercepté ou obtenu des documents ou informations relatifs à des éléments couverts par le secret professionnel des avocats. Le 29 mars 2015, il prononça une déclaration de conduite illicite dans laquelle il concluait que les agences en cause ne détenaient à l’égard des plaignants que deux documents renfermant des éléments couverts par le secret professionnel des avocats, et que ces documents ne contenaient ni ne concernaient aucun conseil juridique. Il considéra donc que le plaignant concerné n’avait subi aucun inconvénient ni aucun dommage, et que la déclaration de conduite illicite constituait une satisfaction équitable suffisante. Il exigea cependant que le GCHQ s’engage à ce que les parties de ces documents renfermant des éléments protégés par le secret professionnel des avocats soient détruites ou supprimées, qu’une copie des documents soit remise au Commissaire à l’interception des communications pour qu’il les conserve pendant cinq ans, et qu’un rapport confidentiel confirmant la destruction et la suppression des documents soit remis dans un délai de quatorze jours.
95. Les projets de modification du code de conduite en matière d’interception de communications et du code de conduite sur l’acquisition de données de communication furent ensuite publiés pour consultation, et les codes qui furent adoptés à la suite de cette consultation renfermaient des passages étoffés sur l’accès aux informations protégées par le secret ou la confidentialité.
B. L’échange de renseignements
1. L’accord d’échange de renseignements entre le Royaume-Uni et les États-Unis
96. Depuis le 5 mars 1946, un accord sur l’échange de renseignements entre le Royaume-Uni et les États-Unis régit l’échange entre les autorités britanniques et les autorités américaines de renseignements relatifs aux communications « à l’étranger », l’étranger désignant les pays autres que les États-Unis, le Royaume-Uni et les membres du Commonwealth. Dans le cadre de cet accord, les parties se sont engagées à échanger le produit de certaines opérations d’interception de communications à l’étranger.
2. Le cadre légal applicable aux activités des services de renseignement
97. Il y a trois services de renseignement au Royaume-Uni : le Security Service (« MI5 »), le Secret Intelligence Service (« MI6 ») et le GCHQ.
a) Activités du MI5
98. En vertu de l’article 2 de la loi sur les services de sécurité, le Directeur général du MI5, qui est nommé par le ministre, est tenu de veiller à ce que soient en place des modalités visant à assurer que le MI5 ne recueille aucune autre information que celles nécessaires au bon exercice de ses fonctions et qu’il ne divulgue aucune information sauf dans la mesure nécessaire à cette fin ou aux fins de la prévention et de la détection des infractions graves ou d’une procédure pénale.
99. En vertu de l’article 1 de la loi sur les services de sécurité, le MI5 a pour fonctions d’assurer la protection de la sécurité nationale et, en particulier, la protection contre les menaces provenant de l’espionnage, du terrorisme et du sabotage, des activités d’agents de puissances étrangères et des actions visant à renverser ou saper la démocratie parlementaire par des moyens politiques, industriels ou violents ; de protéger le bien-être économique du Royaume-Uni contre les menaces provenant des actions ou intentions de personnes situées hors des îles Britanniques ; et d’appuyer les activités de prévention et de détection des infractions graves menées par les forces de police, le service de lutte contre la criminalité et les autres services des forces de l’ordre.
b) Activités du MI6
100. L’article 2 de la loi sur les services de renseignement dispose que le Chef du MI6, qui est nommé par le ministre, est tenu de veiller à ce que soient en place des modalités visant à assurer que le MI6 ne recueille aucune autre information que celles nécessaires au bon exercice de ses fonctions et qu’il ne divulgue aucune information sauf dans la mesure nécessaire à cette fin, dans l’intérêt de la sécurité nationale, ou aux fins de la prévention et de la détection des infractions graves ou d’une procédure pénale.
101. En vertu de l’article 1 de la loi sur les services de renseignement, le MI6 a pour fonctions d’obtenir et de fournir des informations relatives aux actions et intentions de personnes situées hors des îles Britanniques, et d’accomplir d’autres tâches relatives à ces actions et intentions. Ces fonctions ne peuvent être exercées que dans l’intérêt de la sécurité nationale, en particulier pour la défense de l’État et l’application de sa politique étrangère ; dans l’intérêt du bien-être économique du Royaume-Uni ; ou à l’appui de la prévention et de la détection des infractions graves.
c) Activités du GCHQ
102. L’article 4 de la loi sur les services de renseignement dispose que le Directeur du GCHQ, qui est nommé par le ministre, est tenu de veiller à ce que soient en place des modalités visant à assurer que le GCHQ ne recueille aucune autre information que celles nécessaires au bon exercice de ses fonctions et qu’il ne divulgue aucune information sauf dans la mesure nécessaire.
103. En vertu de l’article 3 de la loi sur les services de renseignement, l’une des fonctions du GCHQ est de surveiller les émissions électromagnétiques, acoustiques et autres ainsi que les équipements qui les produisent et de s’y introduire, et d’obtenir et fournir des informations provenant de ces émissions ou équipements, liées à ceux-ci ou provenant d’éléments cryptés. Cette fonction ne peut être exercée que dans l’intérêt de la sécurité nationale, en particulier pour la défense de l’État et l’application de sa politique étrangère ; dans l’intérêt du bien-être économique du Royaume-Uni en ce qui concerne les actions et intentions de personnes se trouvant hors des îles Britanniques ; ou à l’appui de la prévention et de la détection des infractions graves.
d) La loi de 2008 sur la lutte contre le terrorisme (Counter-Terrorism Act 2008, « la loi sur la lutte contre le terrorisme »)
104. L’article 19 de la loi sur la lutte contre le terrorisme permet la divulgation d’informations à n’importe lequel des services de renseignement aux fins de l’exercice de ses fonctions. Les informations obtenues par un service de renseignement dans le cadre de l’exercice de certaines de ses fonctions peuvent être utilisées par ce service dans le cadre de l’exercice de ses autres fonctions.
105. Lorsque le MI5 a obtenu des informations, il peut les divulguer aux fins du bon exercice de ses fonctions, aux fins de la prévention ou de la détection des infractions graves, ou aux fins de toute procédure pénale. Lorsque le MI6 a obtenu des informations, il peut les divulguer aux fins du bon exercice de ses fonctions, dans l’intérêt de la sécurité nationale, aux fins de la prévention ou de la détection des infractions graves, ou aux fins de toute procédure pénale. Lorsque le GCHQ a obtenu des informations, il peut les divulguer aux fins du bon exercice de ses fonctions ou aux fins de toute procédure pénale.
e) La loi de 1998 sur la protection des données (Data Protection Act 1998, « la loi sur la protection des données »)
106. La loi sur la protection des données est le texte qui transpose en droit interne la directive 95/46/CE sur la protection des données à caractère personnel. Chaque service de renseignement est « responsable du traitement des données » aux fins de la loi sur la protection des données et, en cette qualité, est tenu de respecter – sauf dérogation prenant la forme d’un certificat émis par le ministre – les principes de protection des données énoncées dans la partie I de la section 1 de la loi, et notamment les suivants :
« (5) Les données personnelles faisant l’objet d’un traitement, quelles qu’en soient la ou les fins, ne sont pas conservées plus longtemps que nécessaire à cette ou ces fins (...)
et
« (7) Des mesures techniques et organisationnelles appropriées sont prises contre le traitement non autorisé ou illicite de données personnelles et contre la perte, la destruction et l’endommagement accidentels des données personnelles. »
f) La loi de 1989 sur les secrets officiels (Official Secrets Act 1989, « la loi sur les secrets officiels »)
107. Un membre des services de renseignement commet une infraction à l’article 1 § 1 de la loi sur les secrets officiels s’il divulgue, sans y avoir été dûment habilité, une information, un document ou un autre élément relatifs à la sécurité ou au renseignement dont il est en possession du fait de sa qualité de membre de ces services.
g) La loi de 1998 sur les droits de l’homme (Human Rights Act 1998, « la loi sur les droits de l’homme »)
108. En vertu de l’article 6 de la loi sur les droits de l’homme, il est illégal pour une autorité publique d’agir de manière incompatible avec un droit garanti par la Convention.
3. Le code de conduite en matière d’interception de communications
109. Après l’affaire Liberty, les informations figurant dans la note de divulgation du 9 octobre ont été incorporées dans le code de conduite en matière d’interception de communications. Les passages pertinents de ce code sont les suivants :
« 12. RÈGLES APPLICABLES AUX DEMANDES À UN GOUVERNEMENT ÉTRANGER ET À LA MANIPULATION DE COMMUNICATIONS INTERCEPTÉES NON ANALYSÉES
Champ d’application du présent chapitre
12.1. Le présent chapitre s’applique aux agences interceptrices qui réalisent des interceptions dans le cadre d’un mandat émis en vertu de l’article 8 § 4 de la RIPA.
Demandes d’assistance ne relevant pas d’un accord d’entraide internationale
12.2. Une agence interceptrice ne peut faire au gouvernement d’un pays ou territoire non britannique une demande aux fins de l’obtention de communications interceptées non analysées (et des données de communication associées) hors du cadre d’un accord d’entraide internationale que dans l’un des deux cas suivants :
* le ministre a déjà émis un mandat d’interception à cet égard en vertu de la RIPA, l’assistance du gouvernement étranger est nécessaire pour obtenir les communications en question car elles ne peuvent pas être obtenues dans le cadre du mandat d’interception émis en vertu de la RIPA, et il est nécessaire et proportionné au but visé que l’agence interceptrice les obtienne ; ou
* le fait de demander ces communications en l’absence de mandat d’interception émis à cet égard en vertu de la RIPA ne constitue pas un contournement délibéré de la RIPA et ne fait pas échec d’une autre manière aux objectifs de la RIPA (par exemple, il n’est pas faisable techniquement d’obtenir ces communications au moyen d’une interception réalisée en vertu de la RIPA), et il est nécessaire et proportionné au but visé que l’agence interceptrice les obtienne.
12.3. Une demande relevant du second cas visé au paragraphe 12.2 ne peut être faite que dans des circonstances exceptionnelles et doit faire l’objet d’un examen et d’une décision du ministre lui-même.
12.4. Aux fins des paragraphes ci-dessus, un « mandat d’interception émis à cet égard en vertu de la RIPA » désigne : i) un mandat émis en vertu de l’article 8 § 1 à l’égard du sujet en question ; ii) un mandat émis en vertu de l’article 8 § 4 accompagné, d’une part, d’un certificat qui comprend une ou plusieurs « descriptions des éléments à intercepter » (au sens de l’article 8 § 4 b)) couvrant les communications du sujet et, d’autre part, d’une modification appropriée émise en vertu de l’article 16 § 3 (pour les individus dont on sait qu’ils se trouvent dans les îles Britanniques) ; ou iii) un mandat émis en vertu de l’article 8 § 4 et accompagné d’un certificat qui comprend une ou plusieurs « descriptions des éléments à intercepter » couvrant les communications du sujet (pour les autres individus).
Garanties applicables à la manipulation des communications interceptées non analysées fournies par un gouvernement étranger
12.5. Si une demande relevant du second cas visé au paragraphe 12.2 est approuvée par le ministre sans être liée à des sélecteurs spécifiques, l’agence interceptrice ne peut examiner selon l’un quelconque des facteurs visés à l’article 16 § 2 a) et b) de la RIPA aucune des communications obtenues, à moins que le ministre n’ait personnellement examiné et approuvé le projet d’examen de ces communications en fonction de ces facteurs.
12.6. Lorsque les agences interceptrices obtiennent des communications interceptées ou des données de communication de la manière visée au paragraphe 12.2 ou qu’elles les reçoivent du gouvernement d’un pays ou territoire non britannique dans des circonstances où ces communications et données sont présentées comme le produit d’une interception (sauf dans le cadre d’un accord d’entraide internationale), le contenu et les données de communication ainsi obtenus ou reçus doivent être soumis aux mêmes règles et garanties internes que celles qui s’appliquent aux contenus et données de même catégorie lorsque ceux-ci sont obtenus directement par les agences interceptrices dans le cadre d’une interception réalisée en vertu de la RIPA.
12.7. Toutes les demandes faites au gouvernement d’un pays ou territoire non britannique aux fins de l’obtention de communications interceptées non analysées (et des données de communication associées) en l’absence de mandat d’interception émis à cet égard en vertu de la RIPA sont notifiées au Commissaire à l’interception des communications. »
C. L’acquisition de données de communication
1. Le chapitre II de la RIPA
110. Le chapitre II de la partie I de la RIPA pose le cadre dans lequel les autorités publiques peuvent obtenir des données de communication auprès des fournisseurs de services de communication.
111. En vertu de l’article 22, l’autorisation d’acquérir des données de communication auprès d’un fournisseur de services de communication est accordée par une « personne désignée », qui doit être titulaire au sein des autorités publiques compétentes d’une fonction, d’un rang ou d’une situation prévus par une ordonnance du ministre. La personne désignée peut soit autoriser des personnes relevant de la même « autorité publique compétente » qu’elle à « exercer la conduite à laquelle s’applique le présent chapitre » (autorisation relevant de l’article 22 § 3) soit, par un avis adressé au fournisseur de services de communication, ordonner à celui-ci de lui communiquer des données déjà en sa possession, ou d’obtenir des données afin de les lui communiquer (avis relevant de l’article 22 § 4). Aux fins de l’article 22 § 3, les « autorités publiques compétentes » comprennent la police, le service de lutte contre la criminalité, le service des recettes et douanes, tous les services de renseignement, et toute autorité publique déclarée compétente par une ordonnance du ministre.
112. L’article 22 § 2 dispose également que la personne désignée ne peut accorder une autorisation relevant de l’article 22 § 3 ou adresser un avis relevant de l’article 22 § 4 que si elle l’estime nécessaire pour l’un des motifs suivants :
« a) dans l’intérêt de la sécurité nationale ;
b) aux fins de la prévention ou de la détection des infractions ou du maintien de l’ordre ;
c) dans l’intérêt du bien-être économique du Royaume-Uni ;
d) aux fins de la sécurité publique ;
e) aux fins de la protection de la santé publique ;
f) aux fins du calcul ou du recouvrement de tout impôt, droit, redevance ou autre taxe, contribution ou charge payables à l’administration ;
g) en cas d’urgence, aux fins d’empêcher un décès, une blessure ou une atteinte à la santé physique ou mentale d’une personne, ou de limiter la gravité d’une blessure ou d’une atteinte à la santé physique ou mentale d’une personne ; ou
h) à toute fin (ne relevant pas des alinéas a) à g)) énoncée en vertu du présent alinéa dans une ordonnance prise par le ministre. »
113. Pour émettre une autorisation ou un avis en vertu de l’article 22, la personne désignée doit aussi estimer que l’obtention des données est une mesure proportionnée au but visé.
114. En vertu de l’article 23, l’autorisation ou l’avis doivent être délivrés par écrit, ou sous une forme qui laisse une trace. Ils doivent décrire la conduite autorisée et les données de communication à obtenir ou divulguer, et préciser les motifs pour lesquels la personne désignée a estimé nécessaire d’émettre l’autorisation ou l’avis, ainsi que la fonction, le rang ou la situation de cette personne.
115. Les autorisations relevant de l’article 22 § 3 et les avis relevant de l’article 22 § 4 sont valables un mois, mais ils peuvent être renouvelés à tout moment avant l’expiration de ce délai.
116. La personne qui a émis un avis relevant de l’article 22 § 4 peut l’annuler si elle estime qu’il n’est plus nécessaire pour les motifs indiqués ou plus proportionné au but visé.
2. Le code de conduite sur l’acquisition de données de communication
117. En ses parties pertinentes, le code de conduite sur l’acquisition et la divulgation de données de communication (Acquisition and Disclosure of Communications Data: Code of practice) établi en vertu de l’article 71 de la RIPA et mis à jour pour la dernière fois en 2015 prévoit ceci :
« 1 INTRODUCTION
1.1. Le présent code de conduite régit les pouvoirs conférés et les obligations imposées par le chapitre II de la partie I de la loi de 2000 portant réglementation des pouvoirs d’enquête (« la RIPA »). Il explique les procédures à suivre lorsque des données de communication sont acquises en vertu des dispositions de ce chapitre. La présente version du code remplace toutes les précédentes.
1.2. Le présent code s’applique aux autorités publiques compétentes au sens de la RIPA, à savoir celles visées à l’article 25 ou désignées dans des ordonnances ministérielles en vertu de ce même article.
1.3. Les autorités publiques compétentes au sens du chapitre II de la partie I de la RIPA (« le chapitre II ») ne doivent pas :
* utiliser un autre pouvoir légal pour obtenir des données de communication auprès d’un opérateur des postes ou télécommunications, à moins que ce pouvoir ne leur permette expressément d’obtenir des données de communication ou ne leur soit conféré par un mandat ou une ordonnance émanant du ministre ou d’une personne exerçant des fonctions judiciaires ; ni
* ordonner ou demander à un opérateur des postes ou télécommunications de divulguer des données de communication en dérogeant au principe de non‑divulgation de ces données énoncé dans la loi de 1998 sur la protection des données (« la loi sur la protection des données »).
(...)
1.7. La mise en œuvre des pouvoirs et obligations découlant du chapitre II de la RIPA est contrôlée par le Commissaire à l’interception des communications (« le Commissaire ») nommé en vertu de l’article 57 de cette loi et par ses inspecteurs du Commissariat à l’interception des communications (« le commissariat à l’interception »).
(...)
2 ÉTENDUE GÉNÉRALE DES POUVOIRS
Portée des pouvoirs, nécessité et proportionnalité
2.1. L’acquisition de données de communication en vertu de la RIPA constitue une ingérence dans les droits individuels garantis par l’article 8 de la Convention européenne des droits de l’homme et, dans certains cas, dans les droits garantis par l’article 10. Pareille ingérence n’est justifiable que si la conduite autorisée ou ordonnée est nécessaire, proportionnée au but visé et prévue par la loi.
2.2. En vertu de la RIPA, la conduite autorisée ou ordonnée doit être nécessaire dans l’un ou plusieurs des buts énoncés à l’article 22 § 2 de la RIPA, à savoir :
* dans l’intérêt de la sécurité nationale ;
* aux fins de prévenir ou détecter les infractions ou de maintenir l’ordre ;
* dans l’intérêt du bien-être économique du Royaume-Uni pour autant que celui-ci relève aussi de l’intérêt de la sécurité nationale ;
* aux fins de la sécurité publique ;
* aux fins de la protection de la santé publique ;
* aux fins du calcul ou du recouvrement de tout impôt, droit, redevance ou autre taxe, contribution ou charge payables à l’administration ;
* en cas d’urgence, aux fins d’empêcher un décès, une blessure ou une atteinte à la santé physique ou mentale d’une personne, ou de limiter la gravité d’une blessure ou d’une atteinte à la santé physique ou mentale d’une personne ;
* aux fins de contribuer aux enquêtes menées sur les allégations d’erreur judiciaire ;
* aux fins de contribuer à l’identification d’une personne décédée autrement que du fait d’une infraction ou d’une personne qui, en raison de son état de santé physique ou mentale, ne résultant pas d’une infraction, n’est pas en mesure de dire qui elle est (par exemple à la suite d’une catastrophe naturelle ou d’un accident) ;
* lorsqu’une personne est décédée ou incapable de dire qui elle est, aux fins d’obtenir des informations sur son parent le plus proche ou sur d’autres personnes à contacter, ou sur les causes de son décès ou de son état de santé ; et
* aux fins de l’exercice de fonctions relatives à l’encadrement des marchés et services financiers ou à la stabilité financière.
2.3. Les buts dans lesquels telle ou telle autorité publique peut chercher à obtenir des données de communication sont circonscrits par l’ordonnance correspondante. La personne désignée ne peut examiner que la nécessité correspondant à des motifs qui relèvent de la compétence de son autorité publique et à des questions qui relèvent des missions légales ou administratives de son autorité publique. L’autorité publique ne peut invoquer les buts indiqués ci‑dessus qu’en relation avec la conduite ou avec les infractions spécifiques (et souvent spéciales) sur lesquelles elle a pour fonction légale d’enquêter.
2.4. L’acquisition de données de communication est soumise à une restriction supplémentaire lorsqu’elle vise l’un des buts suivants :
* la défense de la sécurité publique ;
* la protection de la santé publique ;
* le calcul ou le recouvrement de tout impôt, droit, redevance ou autre taxe, contribution ou charge payables à l’administration.
Seules les données de communication visées à l’article 21 § 4 c) de la RIPA [les informations relatives à l’abonné] peuvent être acquises dans ces buts, et elles ne peuvent l’être que par les autorités publiques ayant reçu par ordonnance l’autorisation d’acquérir des données de communication dans un ou plusieurs de ces buts.
2.5. Lorsqu’une autorité publique souhaite acquérir des données de communication, la personne désignée doit, pour émettre une autorisation ou un avis d’acquisition de ces données, estimer que cette acquisition est nécessaire et que la conduite qu’elle va autoriser ou ordonner est proportionnée au but visé – c’est-à-dire que la conduite ne doit pas être plus intrusive que les circonstances ne l’exigent. Pour apprécier la nécessité et la proportionnalité de la conduite, elle doit mettre en balance la portée de l’ingérence dans les droits et libertés individuels en regard de l’avantage précis pour l’enquête ou l’opération menée dans l’intérêt public par l’autorité publique compétente.
2.6. Il faut tenir compte non seulement des droits de l’individu faisant l’objet de l’enquête, mais aussi de toute atteinte certaine ou potentielle à la vie privée et aux droits d’individus qui ne sont pas visés par l’enquête ou l’opération. Les demandes d’acquisition de données de communication doivent appeler l’attention du destinataire sur toutes les circonstances donnant lieu à une intrusion collatérale importante.
2.7. Il faut tenir particulièrement compte, lorsqu’il est en jeu, du droit à la liberté d’expression.
2.8. Compte tenu de l’ensemble de ces considérations dans chaque cas, il est possible qu’une ingérence dans les droits d’un individu ne soit pas justifiée car l’atteinte aux droits d’un autre individu ou groupe d’individus serait trop importante.
2.9. Dès lors que l’ingérence est excessive par rapport aux buts de l’enquête ou de l’opération, ou qu’elle est de quelque manière que ce soit arbitraire, la conduite n’est pas proportionnée au but visé.
2.10. Avant qu’une autorité publique ne puisse demander des données de communication, il faut que la personne désignée de cette autorité autorise la demande. La personne désignée est celle qui, titulaire au sein de l’autorité publique compétente d’une fonction, d’un rang ou d’une situation adéquats, a été désignée par ordonnance aux fins de l’acquisition de données de communication.
2.11. Les autorités publiques compétentes aux fins du chapitre II sont énumérées à l’article 25 § 1. Ce sont :
* les forces de police (telles que définies à l’article 81 § 1 de la RIPA) ;
* [le service de lutte contre la criminalité] ;
* [le service des recettes et douanes] ;
* [le MI5] ;
* [le MI6] ; et
* [le GCHQ].
Ces autorités et d’autres autorités publiques compétentes sont énumérées dans l’ordonnance no 201033 relative à la réglementation des pouvoirs d’enquête (données de communication) [Regulation of Investigatory Powers (Communications Data) Order] ; et d’autres ordonnances analogues prises en vertu de l’article 25 de la loi pourront à l’avenir mentionner d’autres autorités.
Données de communication
2.12. Le code s’applique à toute conduite relative à la mise en œuvre des pouvoirs et obligations découlant du chapitre II de la partie I de la RIPA en matière d’acquisition et de divulgation de données de communication. La notion de données de communication est définie à l’article 21 § 4 de la RIPA.
2.13. Les « données de communication » recouvrent les personnes concernées, le moment, le lieu et le mode de communication mais non le contenu de la communication, ce qui a été dit ou écrit.
2.14. La manière et la méthode par lesquelles une personne ou une machine communique avec une autre constituent aussi des données de communication. Ne sont pas des données de communication, en revanche, ce qui est dit dans la communication ni les données échangées, notamment le texte, les données audio et les données vidéo (à l’exception des données de trafic visant à établir une autre communication, par exemple celles créées lors de l’utilisation de cartes d’appel ou de services de redirection, ou lors de la commission de détournement de trafic téléphonique [dial through fraud] ou d’autres infractions où les données sont utilisées pour activer l’équipement de communication afin d’obtenir de manière frauduleuse des services de communication).
2.15. Peuvent aussi constituer des données de communication l’adresse figurant sur une enveloppe, l’heure et la durée d’une communication, le numéro de téléphone ou l’adresse email de l’appelant/de l’expéditeur et du destinataire, et parfois l’emplacement de l’appareil à partir duquel la communication a été faite. Les données de communication peuvent aussi être des données relatives aux tentatives d’appel infructueuses, c’est-à-dire au cas où la personne appelée ne répond pas mais où le réseau a pu établir la connexion. En revanche, les données relatives à un appel n’ayant pas abouti à une connexion, c’est-à-dire au cas où l’appel est passé mais où le réseau ne parvient pas à l’acheminer à son destinataire, ne sont pas des données de communication. Enfin, les données de communication recouvrent les communications électroniques (c’est-à-dire qu’elles ne concernent pas seulement la téléphonie vocale), ainsi que les services postaux.
2.16. Les données de communication sont générées, détenues ou obtenues lors de la fourniture, de l’acheminement et de la maintenance de services de communication, c’est-à-dire de services postaux ou de services de télécommunication. La [loi de 2014 sur la conservation des données et les pouvoirs d’enquête] a précisé la définition des services de télécommunication visés à l’article 2 de la RIPA, en énonçant expressément que la fourniture d’un accès à des systèmes aux fins de la création, de la gestion ou du stockage de communications relève de la fourniture de service.
2.17. La notion de « fournisseurs de services de communication » peut donc s’appliquer aux personnes qui fournissent des services dans le cadre desquels des personnes, clientes ou non du « fournisseur », bénéficient d’un accès à des services de communication en marge de la fourniture d’un autre service, par exemple dans un hôtel, un restaurant, une bibliothèque ou un aéroport.
2.18. Dans les cas où l’acquisition des données auprès du fournisseur de services ou leur divulgation par celui-ci seraient difficiles à obtenir ou auraient des implications en matière de sécurité, il est possible de demander les données au fournisseur du service de communication de ces hôtels, restaurants, bibliothèques ou aéroports. De même, certaines circonstances peuvent nécessiter l’acquisition d’autres données de communication, par exemple lorsqu’un hôtel est en possession de données relatives à certains appels téléphoniques émanant d’une chambre donnée.
2.19. Une consultation avec le point de contact unique de l’autorité publique permettra de déterminer la voie à suivre pour acquérir les données lorsque la fourniture d’un service de communication fait intervenir plusieurs acteurs, mais c’est la personne désignée qui décidera en définitive à quel fournisseur de services de communication l’avis doit être adressé. Avec la prolifération des moyens de communication modernes (téléphonie mobile, communications internet, réseaux sociaux), et compte tenu de ce qu’un même individu peut utiliser différentes formes de communication, les connaissances et l’expérience du point de contact unique qui conseille et guide la personne désignée sont une aide précieuse au choix du bon mode d’action pour acquérir les données nécessaires à une enquête. Si, après avoir reçu un avis, un fournisseur de services de communication estime qu’à l’avenir un autre fournisseur sera mieux placé que lui pour y donner suite, il doit contacter l’autorité pour l’en informer après avoir divulgué les données pertinentes qu’il détient.
2.20. Les dispositions du chapitre II ne s’appliquent pas à la conduite visant à déterminer quel fournisseur de services de communication détient ou est susceptible de détenir des données de communication spécifiques. Elles ne s’appliquent donc pas, par exemple, à la conduite consistant à établir à partir d’informations disponibles publiquement ou, si nécessaire, en demandant à un fournisseur de services, quel fournisseur propose un service donné, par exemple tel ou tel numéro de téléphone ou telle ou telle adresse IP.
2.21. On entend par données de communication :
* les données de trafic (telles que définies aux articles 21 § 4 a) et 21 § 6 de la RIPA) – c’est-à-dire les données comprises dans une communication ou jointes à celle-ci aux fins de sa transmission (voir la section commençant au paragraphe 2.24 du présent code pour plus de détails) ;
* les informations sur l’utilisation des services (telles que définies à l’article 21 § 4 b) de la RIPA) – c’est-à-dire les données relatives à l’utilisation faite d’un service de communication par une personne donnée (voir la section commençant au paragraphe 2.28 du présent code pour plus de détails) ; et
* les informations relatives à l’abonné (telles que définies à l’article 21 § 4 c) de la RIPA) – c’est-à-dire les informations détenues ou obtenues par un fournisseur de services de communication sur les personnes auxquelles il fournit ou a fourni des services de communication, y compris les abonnés à un service de communication qui n’utilisent pas ce service et les personnes qui utilisent un service de communication sans y être abonnées (voir la section commençant au paragraphe 2.30 du présent code pour plus de détails).
2.22. Les données disponibles sur les individus et le niveau d’intrusion ne sont pas les mêmes selon les catégories de données. Les autorités publiques qui peuvent acquérir les données et, dans certains cas, le niveau hiérarchique de la personne désignée ne sont pas les mêmes selon les catégories de données.
(...)
Données de trafic
2.24. La RIPA définit certaines données de communication comme des « données de trafic » (paragraphes 4 a) et 6 de l’article 21). Les données de trafic sont des données qui sont ou ont été comprises dans une communication ou jointes à celle-ci aux fins de sa transmission et qui, « pour une communication quelle qu’elle soit » :
* permettent ou semblent permettre de déterminer la personne, l’équipement ou le lieu dont elle émane ou auxquels elle est destinée ;
* permettent ou semblent permettre de déterminer ou de sélectionner l’appareil de transmission ;
* comprennent des signaux qui activent l’équipement utilisé, totalement ou partiellement, pour la transmission d’une communication quelle qu’elle soit (par exemple des données générées dans le cadre de l’utilisation de services de pré‑sélection de l’opérateur ou de redirection des communications, ou encore des données générées lors de la commission de la fraude appelée « détournement de trafic téléphonique ») ; ou
* permettent de déterminer que des données sont comprises dans une communication ou jointes à celle-ci. Cela comprend les données qui se trouvent au début de chaque paquet pour indiquer quelles données de communication vont avec quelle communication sur les réseaux à commutation de paquets.
2.25. Les données de trafic comprennent les données qui permettent de retrouver un fichier ou programme informatique auquel il a été accédé ou qui a été lancé au moyen de la communication – mais seulement dans la mesure où le fichier ou le programme sont reconnus parce qu’ils sont liés à l’appareil où ils sont enregistrés. En ce qui concerne les communications sur Internet, cela signifie que les données de trafic s’arrêtent à l’appareil sur lequel les fichiers ou programmes sont enregistrés : elles peuvent identifier un serveur ou un nom de domaine (site web) mais non une page web. Par exemple, elles peuvent révéler que le sujet a visité des pages à l’adresse http://www.gov.uk/ (si cette information est disponible auprès du fournisseur de services de communication), mais non qu’il a visité telle ou telle page sur ce site, par exemple http://www.gov.uk/government/collections/ripa‑‑forms‑2 (cela ne relève pas des données de trafic, mais du contenu).
2.26. Les données de trafic, au sens de l’article 21 § 6, comprennent :
* les informations permettant de retracer l’origine ou la destination d’une communication qui est ou a été transmise (y compris les appels reçus) ;
* les informations permettant de déterminer le lieu où l’appareil (par exemple un téléphone mobile) se trouve ou se trouvait lorsqu’une communication est, a été ou a pu être passée ou reçue ;
* les informations identifiant l’expéditeur ou le destinataire (y compris les destinataires en copie) d’une communication à partir des données comprises dans la communication ou jointes à celle-ci ;
* les informations de routage permettant de déterminer l’appareil par lequel une communication est ou a été transmise (par exemple, l’attribution d’une adresse IP dynamique, les journaux [logs] de transfert des fichiers et les en‑têtes des emails – dans la mesure où le contenu de la communication, notamment le titre de l’email, n’est pas divulguée) ;
* les informations relatives à la navigation sur Internet, dans la mesure où seule la machine hôte, le serveur, le nom de domaine ou l’adresse IP sont divulgués ;
* tout élément, notamment les adresses et annotations, figurant sur l’extérieur d’un courrier postal (lettre, paquet ou colis) en cours d’acheminement et révélant le trajet postal du courrier ;
* les enregistrements de vérification de correspondance comprenant les détails des données de trafic d’envois postaux acheminés à une adresse donnée ; et
* le suivi en ligne des communications (y compris les envois postaux).
(...)
Informations sur l’utilisation des services
2.28. Les données relatives à l’utilisation faite par toute personne d’un service postal ou d’un service de télécommunication, ou de toute partie d’un tel service, sont communément appelées « informations sur l’utilisation des services ». Elles relèvent de l’article 21 § 4 b) de la RIPA.
2.29. Les informations sur l’utilisation des services sont, ou peuvent être, mises régulièrement par le fournisseur de services de communication à la disposition de la personne qui utilise le service ou qui y est abonnée pour montrer l’utilisation qu’elle fait d’un ou plusieurs services et pour justifier les frais qui sont facturés pour ce service sur une période donnée. Les données relevant de la définition énoncée à l’article 21 § 4 b) comprennent par exemple :
* la liste détaillée des appels téléphoniques (numéros appelés) ;
* la liste détaillée des connexions à Internet ;
* la liste détaillée des heures et durées d’utilisation des services (appels et/ou connexions) ;
* des informations relatives aux volumes de données téléchargées et/ou mises en ligne ;
* des informations relatives à l’utilisation faite de services que l’utilisateur s’est vu attribuer ou auxquels il s’est abonné (ou a pu s’abonner), y compris les services de conférence téléphonique, de messagerie téléphonique, d’appel en attente et de blocage d’appels ;
* des informations relatives à l’utilisation faite des services de renvoi ou de redirection ;
* des informations relatives à la sélection de numéros préférés ou d’appels à prix réduit ; et
* les références d’envois postaux tels que les envois de lettre recommandée ou de lettre suivie ou prioritaire, et les informations relatives à l’envoi, à la livraison et à la remise de colis.
Informations relatives à l’abonné
2.30. Le troisième type de données de communication, communément appelé « informations relatives à l’abonné », est visé à l’article 21 § 4 c) de la RIPA. Il s’agit des informations détenues ou obtenues par un fournisseur de services de communication sur les personnes auxquelles il fournit ou a fourni des services de communication, y compris les personnes abonnées à un service de communication qui n’utilisent pas le service et les personnes qui utilisent le service sans y être abonnées.
2.31. Les données relevant de la définition énoncée à l’article 21 § 4 c) comprennent par exemple :
* les données correspondant à la « recherche d’abonné » (« annuaire inversé »), par exemple « qui est l’abonné du numéro de téléphone 01632 960 224 ? », « qui est le titulaire du compte email example@example.co.uk ? » ou « qui peut publier des données sur le site web www.example.co.uk ? » ;
* des informations relatives à l’abonné à une boîte postale ou à un service d’affranchissement port payé utilisé pour les envois groupés ;
* des informations relatives à la fourniture de services de renvoi ou de redirection à un abonné ou à un titulaire de compte, y compris des adresses de livraison et de renvoi ;
* les informations de compte des abonnés ou titulaires de compte, notamment leur nom, l’adresse d’installation et les données de facturation, y compris les méthodes de paiement et le détail des paiements ;
* des informations relatives à la connexion, à la déconnexion et à la reconnexion des services que l’abonné ou le titulaire du compte s’est vu attribuer ou auxquels il s’est abonné (ou a pu s’abonner), y compris les services de conférence téléphonique, de messagerie téléphonique, d’appel en attente et de blocage d’appels, et les adresses IP potentiellement statiques ;
* des informations relatives aux appareils utilisés par l’abonné ou le titulaire du compte ou mis à sa disposition, y compris le fabricant, le modèle, le numéro de série et le code des appareils ; et
* les informations fournies par l’abonné ou le titulaire du compte au fournisseur de services de communication, telles que les informations d’ordre démographique et les données de connexion (dans la mesure où les informations, par exemple les mots de passe, qui donnent accès au contenu des communications sauvegardées ne sont pas divulguées à moins que ce ne soit nécessaire dans l’intérêt de la sécurité nationale).
(...)
2.35. D’autres types de données peuvent relever de la catégorie des informations relatives à l’abonné au fur et à mesure du développement et de l’amplification des services de communication, par exemple lorsqu’un fournisseur de services de communication choisit de collecter des informations relatives aux appareils utilisés par ses clients. Avant l’acquisition de données qui ne sont pas dans la liste d’exemples des informations standard relatives à l’abonné figurant ci-dessus, il faut réfléchir soigneusement à la question de savoir si cette acquisition concernerait des données particulièrement sensibles ou serait particulièrement intrusive, afin de veiller à ce que la demande reste nécessaire et proportionnée, et conforme au chapitre II.
Autres éléments relatifs à la nécessité et à la proportionnalité
2.36. Des formations relatives à la nécessité et à la proportionnalité doivent être proposées à tous ceux qui participent à l’acquisition et à la divulgation de données de communication.
Nécessité
2.37. Pour justifier de sa nécessité, la demande doit mentionner au moins trois points :
* l’événement faisant l’objet de l’enquête, par exemple une infraction ou la disparition d’une personne vulnérable ;
* la personne (suspect, témoin, personne disparue) concernée et son lien avec l’événement ; et
* les données de communication recherchées, par exemple le numéro de téléphone ou l’adresse IP, et leur lien avec la personne et l’événement.
2.38. La nécessité doit être expliquée par une brève description de l’événement, de la personne et des données de communication, et du lien entre ces trois éléments. La demande doit établir le lien entre les trois éléments pour pouvoir démontrer que l’acquisition des données de communication est nécessaire dans le but légal spécifié.
Proportionnalité
2.39. Les demandes doivent expliquer en quoi l’obtention des données bénéficiera à l’enquête ou à l’opération. Si plusieurs données sont demandées, il faut expliquer la pertinence de toutes les données.
2.40. Il faut notamment expliquer pourquoi le niveau d’intrusion recherché est justifié compte tenu du bénéfice que les données apporteront à l’enquête. La justification doit comprendre une confirmation du fait que les investigations moins intrusives pertinentes ont déjà été entreprises dans la mesure du possible. Par exemple, les informations relatives à l’abonné correspondant à un numéro de téléphone peuvent être trouvables dans un annuaire ou une autre source publique.
2.41. Il faut expliquer la pertinence de toutes les périodes sur lesquelles on souhaite obtenir des données, en indiquant en quoi il est proportionné au but visé par l’enquête de s’intéresser à ces périodes.
2.42. L’examen de la proportionnalité de la demande doit en particulier tenir compte des droits de l’individu (notamment de son droit à la vie privée et, le cas échéant, de son droit à la liberté d’expression) et comprendre une mise en balance de ces droits au regard du bénéfice pour l’enquête.
2.43. L’intrusion collatérale est l’obtention d’informations relatives à d’autres individus que le ou les sujets de l’enquête. La prise en compte de l’intrusion collatérale fait partie de l’examen de la proportionnalité de la mesure, et c’est un élément particulièrement important lorsqu’on envisage de demander des données de trafic ou des données relatives à l’utilisation des services. Les demandes doivent préciser quelle intrusion collatérale risque d’avoir lieu et quel impact peut avoir sur cette intrusion le choix des périodes sur lesquelles on souhaite obtenir des données. Lorsqu’il n’y a pas de risque significatif d’intrusion collatérale, par exemple lorsqu’on demande les informations relatives à l’abonné concernant la personne faisant l’objet de l’enquête, il faut aussi indiquer cette absence de risque.
2.44. L’examen de la proportionnalité de la demande doit aussi comprendre une réflexion sur les possibles conséquences non souhaitées et, le cas échéant, la possibilité de ces conséquences doit être indiquée. Les conséquences non souhaitées d’une demande sont celles que la demande ne visait pas à obtenir.
2.45. Les conséquences non souhaitées sont plus susceptibles de survenir en cas de demande complexe de données de trafic ou de demande de données de personnes dont la profession impose un devoir de confidentialité. Par exemple, si un journaliste est victime d’une infraction, l’obtention dans le cadre de l’enquête pénale des données relatives à l’utilisation de services liée au numéro de téléphone de ce journaliste risque de faire apparaître aussi les numéros de téléphone de ses sources, et d’avoir ainsi un impact non souhaité sur la liberté d’expression. Cette mesure peut cependant être nécessaire et proportionnée, mais il faut tenir compte du risque de conséquences non souhaitées. Les considérations spéciales à prendre en compte en pareil cas sont exposées plus en détail dans la section relative aux « données de communication des personnes exerçant certaines professions ».
3 RÈGLES GÉNÉRALES EN MATIÈRE D’OCTROI D’AUTORISATIONS ET DE NOTIFICATION D’AVIS
3.1. L’acquisition de données de communication en vertu de la RIPA fait intervenir quatre personnes au sein de l’autorité publique compétente :
* le demandeur ;
* la personne désignée ;
* le point de contact unique ;
* le supérieur responsable.
3.2. La RIPA prévoit deux modes d’acquisition des données de communication, à savoir :
* l’autorisation relevant de l’article 22 § 3 ;
* l’avis relevant de l’article 22 § 4.
L’autorisation accordée à un membre d’une autorité publique permet à celui-ci de suivre une conduite donnée relativement à l’acquisition et à la divulgation de données de communication en vertu de la partie I du chapitre II de la RIPA. L’avis adressé à un opérateur des postes ou télécommunications commande à celui-ci de divulguer à l’autorité publique les données de communication pertinentes qu’il détient, ou de les obtenir et les divulguer, lorsqu’il lui est raisonnablement possible de le faire. Les autorisations et les avis font l’objet d’une explication plus détaillée dans le présent chapitre.
Le demandeur
3.3. Le demandeur est une personne qui participe à une enquête ou à une opération pour l’autorité publique compétente et qui demande par écrit ou par voie électronique l’acquisition de données de communication. Il remplit un formulaire de demande, où il expose pour examen par la personne désignée la nécessité et la proportionnalité de l’acquisition de données de communication demandée.
3.4. La demande peut être faite oralement dans des circonstances exceptionnelles, mais en pareil cas elle doit faire l’objet d’une régularisation écrite ou électronique le plus rapidement possible, et en tout cas dans un délai d’un jour ouvrable (on trouvera aux paragraphes 3.65 à 3.71 plus de détails sur les procédures urgentes).
3.5. La demande – dont le point de contact unique au sein de l’autorité publique doit conserver l’original ou une copie – doit :
* mentionner le nom (ou le titre) et la fonction, le rang ou la situation du demandeur ;
* porter un numéro de référence unique ;
* mentionner (s’il y en a un) le nom de l’opération à laquelle elle correspond ;
* préciser les fins, relevant d’un but légal visé à l’article 22 § 2 de la RIPA, auxquelles les données sont nécessaires ;
* décrire les données de communication recherchées et préciser, le cas échéant, la ou les dates passées ou futures et, s’il y a lieu, le ou les créneaux horaires concernés ;
* préciser si les données de communication sont celles d’une victime, d’un témoin, d’un plaignant, d’un suspect, d’un parent, d’une personne vulnérable ou d’une autre personne ayant un lien avec l’enquête ou l’opération ;
* expliquer pourquoi l’acquisition de ces données est jugée nécessaire et proportionnée au but visé ;
* comprendre un examen et, le cas échéant, une description de tout risque d’intrusion collatérale significative – c’est-à-dire de la mesure dans laquelle il est possible qu’il soit porté atteinte aux droits d’un individu non lié à l’enquête et des raisons pour lesquelles cette intrusion est justifiée compte tenu des circonstances ;
* comprendre un examen et, le cas échéant, une description de toutes les possibles conséquences non souhaitées de la demande ; et
* préciser et expliquer la période pour laquelle les données sont demandées.
3.6. La demande doit ensuite porter une mention de son approbation ou non par la personne désignée, de l’identité du décisionnaire et de la date de la décision. En cas d’approbation, le formulaire de demande doit, dans la mesure nécessaire, indiquer les références de l’autorisation accordée ou de l’avis signifié.
La personne désignée
3.7. La personne désignée est une personne titulaire d’une fonction précise au sein de l’autorité publique compétente. Elle est responsable de l’examen des demandes et doit dans ce cadre consigner sur-le-champ (ou aussitôt que c’est raisonnablement réalisable), par écrit ou sous forme électronique, les éléments sur la base desquels elle prend sa décision. Si elle estime que l’acquisition de données de communication est nécessaire et proportionnée dans les circonstances spécifiques de l’espèce, elle délivre une autorisation ou un avis.
3.8. Les individus qui exercent la fonction de personne désignée doivent avoir une connaissance actuelle et pratique des principes et des règles de droit applicables en ce qui concerne les droits de l’homme, en particulier des questions de nécessité et de proportionnalité, et de leur application à l’acquisition de données de communication en vertu du chapitre II de la RIPA et du présent code.
3.9. Lorsqu’elle examine la proportionnalité de l’acquisition de données, la personne désignée doit réfléchir en particulier au risque de conséquences non souhaitées. Son niveau hiérarchique, son expérience et sa formation lui donnent les outils nécessaires pour envisager les possibles conséquences non souhaitées.
3.10. La personne désignée doit veiller à ne délivrer d’autorisation ou d’avis qu’aux fins et pour les types de données de communication que ses fonctions, son rang ou sa situation au sein de l’autorité publique compétente lui permettent de délivrer.
3.11. La personne désignée apprécie la nécessité de toute conduite visant à acquérir ou obtenir des données de communication en tenant compte des conseils fournis par le point de contact unique.
3.12. La personne désignée doit être indépendante des opérations et enquêtes concernées lorsqu’elle délivre une autorisation ou un avis.
3.13. Sauf dans les cas où il est nécessaire d’agir d’urgence, lorsque l’autorité publique n’est pas en mesure de faire appel aux services d’une personne désignée indépendante de l’enquête ou de l’opération, le supérieur responsable doit informer le Commissaire à l’interception des communications des circonstances et des raisons pour lesquelles ce n’est pas possible (et indiquer qui sera la personne désignée, laquelle, dans ces conditions, ne sera pas indépendante). Cela peut se produire :
* dans les petits services d’enquête pénale spécialisés au sein d’autorités publiques qui ne font pas partie des forces de l’ordre ou des services de renseignement ;
* lorsque l’autorité publique mène une opération ou une enquête ayant un impact immédiat sur des questions de sécurité nationale et ne peut donc pas faire appel à une personne désignée indépendante de ses opérations et enquêtes.
3.14. À chaque fois qu’une autorité publique a fait appel à une personne désignée qui n’était pas indépendante de l’opération ou de l’enquête concernée, elle doit le signaler au Commissaire à l’inspection suivante. Les autorités publiques qui auront procédé ainsi et les raisons pour lesquelles elles l’auront fait pourront être indiquées dans des documents publics et dans le rapport du Commissaire.
3.15. Lorsqu’une personne désignée n’est pas indépendante de l’enquête ou de l’opération, son implication dans la procédure et les raisons qui justifient qu’elle joue le rôle de personne désignée doivent être expressément mentionnées dans le rapport qu’elle établit sur la nécessité et la proportionnalité de la mesure.
3.16. La personne désignée doit apporter un soin particulier à l’examen des demandes d’obtention de données de communications visant à déterminer l’identité d’un équipement (par exemple un téléphone mobile) utilisé en un ou plusieurs lieux précis et à un moment ou pendant une période précis. Si la demande ne repose pas sur des informations selon lesquelles l’équipement a été utilisé, ou est susceptible de l’avoir été, en un ou plusieurs lieux précis à un ou plusieurs moments précis, il y a peu de chances, en pratique, qu’une conduite visant à obtenir des données de communication soit proportionnée au but visé ou que l’intrusion collatérale soit justifiée.
(...)
Le point de contact unique
3.19. Le point de contact unique est un individu accrédité qui a été formé pour contribuer à l’acquisition licite de données de communication et à la coopération effective entre une autorité publique et les fournisseurs de services de communication. Même s’il est appelé point de contact « unique », en pratique bien des organisations en ont plusieurs, qui travaillent ensemble. Pour obtenir l’accréditation, il faut suivre une formation appropriée et se voir délivrer un identifiant d’authentification. Les points de contact uniques des autorités publiques doivent faire l’objet d’une habilitation de sécurité conforme aux exigences de leur organisation. La liste de toutes les personnes accréditées est mise à la disposition des fournisseurs de services de communication aux fins d’authentification.
3.20. Les données de communication sont des informations classifiées de niveau OFFICIEL portant l’avertissement SENSIBLE, mais elles peuvent faire l’objet d’un niveau de classification supérieur dans certains cas. Lorsqu’ils manipulent, traitent et distribuent ces informations, les points de contact uniques doivent respecter les règles de sécurité et procédures opérationnelles applicables dans leur organisation. La mention SENSIBLE est appliquée aux informations OFFICIEL soumises au principe du « besoin d’en connaître », de sorte que seul le personnel autorisé a accès aux éléments correspondants. Elle n’exclut pas, par exemple, la divulgation des éléments auxquels elle s’applique ni leur utilisation comme preuve lors d’une audience judiciaire publique si nécessaire. L’effet de la classification OFFICIEL assortie de la mention SENSIBLE est d’avertir clairement qu’il faut prendre soin des données de communication, et tenir compte de l’impact possible sur le droit à la vie privée des sujets visés et, le cas échéant, sur leur droit à la liberté d’expression, et éventuellement, selon les données, sur ceux de certains de leurs contacts. Les données de communication acquises par les autorités publiques doivent par ailleurs être stockées et manipulées dans le respect des obligations imposées par la loi sur la protection des données.
3.21. Le point de contact unique accrédité promeut l’efficience et les bonnes pratiques en veillant à ce que seules les demandes de données de communication légales et matériellement réalisables soient faites. Il incite ainsi l’autorité publique à s’auto-discipliner. Il délivre un jugement et un avis objectifs tant au demandeur qu’à la personne désignée. Il joue ainsi un rôle de « protecteur et gardien de l’accès » qui permet aux autorités publiques d’agir de manière informée et licite.
3.22. Le point de contact unique doit être en mesure :
* d’échanger en amont avec les demandeurs pour élaborer des stratégies aux fins de l’obtention des données de communication et de l’utilisation efficace de ces données à l’appui des opérations et des enquêtes ;
* de déterminer si l’acquisition de données de communication spécifiques auprès d’un fournisseur de services de communication est raisonnablement praticable ou si les données recherchées sont inextricablement liées à d’autres données ;
* de conseiller les demandeurs quant à la méthode d’acquisition des données la plus appropriée lorsque les données recherchées se trouvent chez plusieurs fournisseurs de services de communication ;
* de fournir aux demandeurs et aux personnes désignées des conseils sur l’interprétation de la RIPA, en particulier sur la question de savoir s’il vaut mieux passer par une autorisation ou par un avis ;
* d’assurer aux personnes désignées que les autorisations et avis délivrés sont conformes à la RIPA et dénués d’erreurs ;
* de déterminer les possibles conséquences non souhaitées de la demande et, le cas échéant, de conseiller la personne désignée à cet égard ;
* de donner aux fournisseurs de services de communication l’assurance que les autorisations et avis délivrés sont authentiques et légaux ;
* de déterminer si les données de communication divulguées par un fournisseur de services de communication en réponse à un avis répondent aux exigences de cet avis ;
* de déterminer si les données de communication obtenues au moyen d’une autorisation répondent aux exigences de cette autorisation ; et
* d’évaluer les implications de la recherche de données en termes de coûts et de ressources tant pour l’autorité publique que pour le fournisseur de services de communication.
3.23. Le point de contact unique est normalement la personne qui reçoit les données de communication acquises auprès d’un fournisseur de services de communication (voir les paragraphes 3.33 et 3.49) et qui est responsable de leur transmission au demandeur.
3.24. Les autorités publiques qui ne sont pas en mesure de faire appel aux services d’un point de contact unique accrédité ne doivent pas acquérir de données de communication. Néanmoins, dans le cadre d’une enquête menée conjointement par une autorité A qui n’a pas de point de contact unique et une autorité B qui jouit de pouvoirs d’acquisition de données de communication en vertu de la RIPA, l’autorité B peut, si c’est nécessaire et proportionné au but visé, acquérir des données de communication en vertu de la RIPA aux fins de l’enquête conjointe.
3.25. Lorsqu’un fournisseur de services de communication est contacté par une personne qui ne peut être authentifiée comme personne accréditée et qui souhaite obtenir des données en vertu des dispositions de la RIPA, il peut refuser d’obéir à ce qui paraît être une demande de divulgation de données tant qu’il n’a pas reçu du ministère de l’Intérieur l’accréditation de la personne et l’identifiant d’authentification du point de contact unique.
3.26. Pour chaque demande, le rôle de point de contact unique et le rôle de personne désignée sont normalement exercés par deux personnes différentes. Dans des cas exceptionnels, tels que ceux qui relèvent de la procédure orale urgente ou, en de rares occasions, pour des raisons de sécurité, la même personne peut assumer ces deux rôles. La même personne peut jouer pour des demandes différentes tantôt le rôle de point de contact unique, tantôt celui de personne désignée.
3.27. Pour chaque demande, le rôle de point de contact unique et celui de demandeur sont normalement exercés par deux personnes différentes. Dans des cas exceptionnels, tels que ceux qui relèvent de la procédure orale urgente ou, en de rares occasions, pour des raisons de sécurité, la même personne peut assumer ces deux rôles. La même personne peut jouer pour des demandes différentes tantôt le rôle de point de contact unique, tantôt celui de demandeur.
3.28. La même personne ne doit jamais être à la fois le demandeur et la personne désignée. La même personne ne peut donc jamais être à la fois demandeur, personne désignée et point de contact unique.
3.29. Lorsqu’une autorité publique souhaite obtenir des données de communication en se fondant sur des dispositions (autres que celles du chapitre II de la partie I de la RIPA) qui prévoient expressément l’obtention de données de communication ou sur des pouvoirs légaux conférés par un mandat ou une ordonnance du ministre ou d’une personne exerçant des fonction judiciaires, le point de contact unique doit participer au processus d’obtention des données afin d’assurer une coopération effective entre l’autorité publique et le fournisseur de services de communication.
3.30. Il peut arriver que les autorités publiques souhaitent demander aux fournisseurs de services de communication des données qui ne sont ni des données de communication ni le contenu de communications. Étant donné que le point de contact unique a été formé à ces questions et qu’il est en contact continu avec les fournisseurs de services de communication, il est de bonne pratique en pareil cas de lui demander d’assurer l’interface avec le fournisseur de services de communication.
Le supérieur responsable
3.31. Au sein de chaque autorité publique compétente, un supérieur responsable est chargé d’assurer :
* l’intégrité du processus d’acquisition de données de communication mis en place au sein de l’autorité publique ;
* le respect du chapitre II de la partie I de la RIPA et le respect du présent code ;
* la supervision du signalement des erreurs au commissariat à l’interception et la détermination de la cause ou des causes de ces erreurs ainsi que la mise en œuvre de processus visant à en éviter autant que possible la répétition ;
* l’interface avec les inspecteurs du commissariat à l’interception dans le cadre de leurs inspections ; et
* le cas échéant, la supervision de la mise en œuvre des plans d’action post‑inspection approuvés par le Commissaire.
Autorisations
3.32. L’autorisation permet à des personnes d’une autorité publique de suivre une certaine conduite relativement au système des postes ou télécommunications, afin d’obtenir des données de communication.
3.33. Les personnes désignées au sein d’une autorité publique peuvent seulement autoriser les personnes travaillant dans la même autorité publique à suivre une conduite donnée, par exemple à demander la communication de données au moyen de systèmes d’acquisition de données de communication sûrs et soumis à des contrôles de conformité. La personne autorisée est normalement le point de contact unique de l’autorité publique, toutefois les autorités locales doivent à présent passer par le réseau national de lutte contre la fraude [National Anti‑Fraud Network] (on trouvera plus de détails à ce sujet plus loin dans le présent chapitre).
3.34. La décision de la personne désignée quant au point de savoir si elle doit délivrer ou non une autorisation repose sur les informations figurant dans la demande correspondante.
3.35. Il peut y avoir lieu de délivrer l’autorisation dans les cas suivants :
* le fournisseur de services de communication n’est pas en mesure d’obtenir ou de divulguer les données de communication ;
* il y a un accord entre une autorité publique et un fournisseur de services de communication quant aux mécanismes appropriés de divulgation des données de communication ; ou
* la personne désignée considère qu’il est nécessaire d’identifier une personne bénéficiant du service mais il n’a pas été établi de manière concluante que le fournisseur de services de communication détient les données de communication.
3.36. L’autorisation n’est pas notifiée au fournisseur de services de communication, toutefois, dans certains cas, celui-ci peut demander ou recevoir l’assurance que la conduite qui est ou qui va être suivie est légale. Il est possible que pour lui donner cette assurance, on divulgue soit des informations figurant dans l’autorisation soit l’autorisation elle-même.
3.37. L’autorisation – dont le point de contact unique de l’autorité publique doit conserver l’original ou une copie – doit :
* être accordée par écrit, ou sous une forme qui laisse une trace de sa délivrance ;
* décrire la conduite autorisée et les données de communication qu’elle doit permettre d’acquérir, en précisant, le cas échéant, la ou les dates passées ou futures et, s’il y a lieu, le ou les créneaux horaires concernés ;
* préciser les fins auxquelles la conduite est autorisée, fins qui doivent relever d’un but légal visé à l’article 22 § 2 de la RIPA ;
* préciser la fonction, le rang ou la situation de la personne désignée qui la délivre – la personne désignée doit inscrire son nom (ou son titre) sur toutes les autorisations qu’elle accorde ; et
* indiquer la date et, le cas échéant, l’heure à laquelle la personne désignée l’a délivrée.
(...)
3.40. Lorsqu’elle délivre un avis ou une autorisation d’obtention de données de trafic ou de données d’utilisation des services spécifiques, la personne désignée peut aussi autoriser, dans la mesure nécessaire et proportionnée au but visé à ce moment-là, l’acquisition en conséquence d’informations relatives à l’abonné spécifiques relatives aux données de trafic ou d’utilisation des services à obtenir. Ce peut être le cas lorsqu’il est nécessaire et proportionné au but visé de déterminer avec qui le sujet a été en communication, par exemple :
* pour déterminer avec qui la victime d’un meurtre a été contact pendant une période précise ;
* pour déterminer qui la cible d’une enquête ou d’une opération a appelé lorsqu’elle a passé plusieurs appels depuis une cabine publique ;
* pour identifier l’auteur de demandes illicites et injustifiées (par exemple en cas d’enlèvement, d’extorsion, de chantage ou de menaces de violence) ; et
* lorsqu’une victime ou un témoin a fait état d’une ou plusieurs communications précises et qu’une vérification factuelle pourrait permettre de découvrir l’auteur de l’infraction ou d’autres témoins.
3.41. Lorsqu’elle délivre un avis ou une autorisation aux fins de l’obtention de données de trafic spécifiques, la personne désignée peut aussi autoriser, dans la mesure nécessaire et proportionnée au but visé à ce moment-là, l’acquisition en conséquence de données de trafic ou d’informations sur l’utilisation des services. Ce peut être le cas lorsqu’il est nécessaire et proportionné au but visé d’identifier la personne dont on souhaite acquérir les données de trafic et que pour ce faire, il faut que le fournisseur de services de communication concerné ou un autre fournisseur de services de communication fasse une recherche dans les données de trafic ou les informations sur l’utilisation des services, par exemple :
* si le fournisseur de services de communication ne collecte pas d’informations relatives au client dans son système d’informations client mais conserve ces informations dans leur forme originale en tant que données de trafic (par exemple en tant qu’adresse MAC, IMEI ou adresse IP) ; ou
* lorsque des éléments de preuve ou des renseignements indiquent que l’acheminement d’une communication est passé par plusieurs fournisseurs de services de communication et qu’il faut établir le destinataire de la communication.
3.42. Le supérieur responsable est tenu de s’assurer que la personne désignée, le demandeur ou une autre personne communique au point de contact unique les informations que le supérieur responsable estime nécessaires pour assurer l’intégrité de toutes les demandes d’obtention d’informations relatives à l’abonné dès l’acquisition ou la divulgation des données de trafic ou d’utilisation des services, ainsi que leur conformité au chapitre II de la RIPA et au présent code.
Avis
3.43. Il y a lieu de délivrer un avis lorsqu’un fournisseur de services de communication est en mesure de retrouver ou d’obtenir des données précises et de les divulguer, sauf lorsqu’il est plus approprié de passer par une autorisation. L’avis peut ordonner au fournisseur de services de communication d’obtenir les données de communication qui ne sont pas déjà en sa possession.
3.44. La décision de la personne désignée quant au point de savoir si elle doit délivrer un avis repose sur les informations qui lui sont présentées dans la demande correspondante.
3.45. La « délivrance d’un avis » désigne le moment auquel la personne désignée détermine qu’un avis doit être adressé à un fournisseur de services de communication. En pratique, une fois que la personne désignée a déterminé qu’il y avait lieu de délivrer un avis, celui-ci est notifié au fournisseur de services de communication par écrit ou, en cas d’urgence, lui est communiqué oralement.
3.46. L’avis doit renfermer suffisamment d’informations pour permettre au fournisseur de services de communication de répondre aux demandes qui y sont faites.
3.47. L’avis – dont le point de contact unique de l’autorité publique doit conserver l’original ou une copie – doit :
* être émis par écrit, ou sous une forme qui laisse, au sein de l’autorité publique, une trace de sa délivrance ;
* porter un numéro de référence unique et indiquer l’autorité publique concernée ;
* préciser les fins auxquelles il est délivré, fins qui doivent relever d’un but légal visé à l’article 22 § 2 de la RIPA ;
* décrire les données de communication à obtenir ou divulguer, en précisant, le cas échéant, la ou les dates passées ou futures et, s’il y a lieu, le ou les créneaux horaires concernés ;
* comprendre une mention expliquant que la RIPA oblige à s’y conformer ;
* préciser la fonction, le rang ou la situation de la personne désignée qui le délivre – le nom (ou le titre) de la personne désignée qui délivre l’avis doit aussi être indiqué ;
* préciser la manière dont les données doivent être divulguées – l’avis doit renfermer suffisamment d’informations, y compris les coordonnées du point de contact unique, pour permettre au fournisseur de services de communication de s’assurer qu’il est authentique et légal ;
* indiquer la date et, le cas échéant, l’heure à laquelle la personne désignée l’a émis ; et
* le cas échéant, renfermer une indication du degré d’urgence ou du délai dans lequel le fournisseur de services de communication doit s’y conformer.
3.48. L’avis ne doit pas imposer au fournisseur de services de communication de faire quelque chose que celui-ci ne peut pas raisonnablement réaliser. Les points de contact uniques doivent garder à l’esprit qu’il faut rédiger des avis qui décrivent les données demandées d’une manière correspondant à la façon dont le fournisseur de services de communication traite, conserve et retrouve ses données aux fins de divulgation légale. Les fournisseurs de services de communication ne peuvent pas forcément ou raisonnablement modifier ou adapter leurs systèmes pour tenir compte de toute variation possible des demandes pouvant être formulées dans les avis.
3.49. Lorsqu’elle émet un avis, la personne désignée peut seulement ordonner au fournisseur de services de communication de lui divulguer les données de communication ou de les divulguer à une personne précise travaillant dans la même autorité publique. Cette autre personne sera normalement le point de contact unique de l’autorité publique.
3.50. D’ordinaire, le fournisseur de services de communication a dix jours ouvrables à compter de la date à laquelle l’avis lui est notifié pour divulguer (par écrit ou électroniquement) les données de communication qui y sont demandées.
Durée des autorisations et des avis
3.51. L’autorisation ou l’avis sont valables à partir de la date où ils ont été délivrés, pour une durée maximale d’un mois. Cela signifie que dans ce délai d’un mois, la conduite autorisée doit avoir commencé ou l’avis doit avoir été notifié.
3.52. Toutes les autorisations et tous les avis doivent limiter à une ou plusieurs dates ou périodes précises l’acquisition ou la divulgation de données. Chaque période doit être clairement indiquée dans l’autorisation ou l’avis. La date de début et la date de fin doivent être indiquées et lorsque l’heure de début et de fin sont pertinentes elles doivent être précisées. Lorsque les données à acquérir ou divulguer sont les données « actuelles », la date pertinente est la date à laquelle l’autorisation ou l’avis ont été délivrés par la personne désignée. Il peut y avoir des cas où il n’est pas possible d’indiquer la date ou la période pertinente d’une manière plus précise que « la dernière transaction » ou « la dernière utilisation du service ».
3.53. Lorsqu’une autorisation ou un avis concerne l’acquisition ou l’obtention de données spécifiques qui seront générées à l’avenir, ou qui le seront peut-être, la période future ne peut dépasser un mois à partir de la date de délivrance de l’autorisation ou de l’avis.
3.54. Les personnes désignées doivent veiller à ce que la période sur laquelle porte l’autorisation ou l’avis soit la plus courte possible. À défaut, l’autorisation ou l’avis risqueraient de ne pas être proportionnés au but visé et de faire peser sur le ou les fournisseurs de services de communication concernés une charge inutile.
Renouvellement d’une autorisation ou d’un avis
3.55. Il est possible de renouveler une autorisation ou un avis en cours de validité pour un mois au maximum, en émettant une nouvelle autorisation ou un nouvel avis. Le document renouvelant l’autorisation ou l’avis prend effet à l’expiration de l’autorisation ou de l’avis qu’il renouvelle.
3.56. Il peut y avoir lieu de renouveler l’autorisation ou l’avis lorsqu’il reste nécessaire d’acquérir ou d’obtenir des données qui seront, ou seront peut-être, générées à l’avenir. Le demandeur doit exposer le raisonnement qui justifie la demande de renouvellement dans un addendum à la demande qui a donné lieu à l’autorisation ou à l’avis dont le renouvellement est demandé.
3.57. Lorsqu’elle renouvelle l’autorisation ou l’avis, la personne désignée doit :
* avoir examiné les raisons qui rendent nécessaire et proportionné au but visé de continuer à acquérir les données générées ; et
* indiquer la date et, le cas échéant, l’heure de renouvellement de l’autorisation ou de l’avis.
Révocation d’un avis ou d’une autorisation
3.58. La personne désignée qui a adressé un avis à un fournisseur de services de communication en vertu de l’article 22 § 4 de la RIPA doit révoquer l’avis si, à tout moment après qu’elle l’a délivré, il n’est plus nécessaire que le fournisseur de services de communication s’y conforme ou la conduite ordonnée par l’avis n’est plus proportionnée au but visé.
3.59. La notification au fournisseur de services de communication de la révocation de l’avis est faite directement par la personne désignée, ou au nom de celle-ci par le point de contact unique de l’autorité publique. Lorsque des considérations relatives au respect des droits de l’homme imposent de révoquer l’avis immédiatement, la personne désignée ou le point de contact unique en avertit le fournisseur de services de communication.
3.60. La notification au fournisseur de services de communication de la révocation de l’avis doit :
* être faite par écrit, ou sous une forme qui laisse une trace de la révocation ;
* indiquer, en précisant son numéro de référence unique, quel est l’avis révoqué ; et
* indiquer la date et, le cas échéant, l’heure de révocation de l’avis.
3.61. Lorsque le point de contact unique est à l’origine de la révocation de l’avis et qu’il l’a notifiée au fournisseur de services de communication, la personne désignée doit confirmer la décision du point de contact unique par écrit, ou sous une forme qui laisse une trace de cette confirmation. Lorsque la personne désignée qui a adressé l’avis au fournisseur de services de communication n’est plus disponible, il incombe à la personne qui la remplace temporairement ou définitivement de confirmer la révocation de l’avis.
3.62. De même, lorsqu’une personne désignée considère qu’une autorisation doit cesser de produire ses effets, parce que la conduite autorisée est devenue inutile ou qu’elle n’est plus proportionnée au but visé, l’autorisation doit être révoquée. Il peut arriver que ce soit le point de contact unique ou le demandeur qui sache d’abord que l’autorisation n’est plus nécessaire ou proportionnée au but visé. En pareil cas, le point de contact unique (contacté éventuellement par le demandeur) peut mettre fin à la conduite autorisée, puis en informer la personne désignée qui a délivré l’autorisation.
3.63. La révocation d’une autorisation doit :
* être faite par écrit, ou sous une forme qui en laisse une trace ;
* indiquer, en précisant son numéro de référence unique, quelle est l’autorisation révoquée ;
* indiquer la date et, le cas échéant, l’heure à laquelle l’autorisation a été révoquée ; et
* indiquer le nom et la fonction, le rang ou la situation de la personne désignée informée de la révocation de l’autorisation.
3.64. S’il y a lieu, le fournisseur de services de communication doit être avisé de la révocation de l’autorisation, par exemple lorsque tout ou partie de celle-ci lui avait été communiqué.
Délivrance d’un avis ou d’une autorisation de manière orale en cas d’urgence
3.65. En cas d’urgence exceptionnelle, il est possible que l’avis ou l’autorisation soient demandés, approuvés par la personne désignée, délivrés et, dans le cas de l’avis, notifié au fournisseur de services de communication oralement. Cela peut arriver dans les cas suivants :
* en cas de risque immédiat de perte de vie humaine, ou aux fins de la protection de la vie humaine, si le fait de suivre d’abord la procédure écrite risque de mettre en danger une vie humaine ;
* en cas d’urgence opérationnelle exceptionnelle où, dans un délai maximal de 48 heures à partir de la délivrance orale de l’avis ou de l’autorisation, l’acquisition de données de communication contribuera directement à la prévention ou à la détection de la commission d’une infraction grave et à des arrestations ou à la saisie de matériel illicite, et où cette occasion opérationnelle sera perdue si l’on suit d’abord la procédure écrite ; ou
* en cas de menace crédible et immédiate pour la sécurité nationale ou d’occasion unique et limitée dans le temps d’obtenir des informations d’une importance vitale pour la sécurité nationale ou d’en empêcher la perte, lorsque cette menace risque de se concrétiser ou que cette occasion risque de disparaître si l’on suit d’abord la procédure écrite.
3.66. Le recours à la procédure orale d’urgence doit être justifié pour chaque demande d’une même enquête ou opération. Le fait qu’une partie quelconque de l’enquête ou de l’opération se fasse dans l’urgence n’implique pas que la procédure orale d’urgence puisse être utilisée pour tous les besoins d’obtention de données de communication dans le cadre de cette enquête ou opération. À chaque fois que l’on a recours à cette procédure, les raisons pour lesquelles il n’était pas possible compte tenu des circonstances de suivre la procédure écrite ordinaire doivent être claires.
(...)
3.69. Un avis écrit rétroactif doit être adressé au fournisseur de services de communication dans un délai d’un jour ouvrable à partir de l’émission de l’avis oral. Le manquement à adresser cet avis rétroactif constitue une erreur qui devra être signalée au Commissaire par le fournisseur de services de communication et consignée par l’autorité publique (voir pour plus de détails la section relative aux erreurs au chapitre 6, Tenue des dossiers).
3.70. Une fois l’urgence passée, il faut établir un document écrit distinct qui explique la manière dont on a tenu compte des circonstances et les décisions qui ont été prises. Le demandeur ou le point de contact unique doit réunir les informations pertinentes ou les copies de journaux de bord de la salle de contrôle ou des journaux de bord opérationnels contenant les notes consignées au moment où il a été décidé d’acquérir les données et expliquant la ou les décisions prises par la personne désignée et les mesures adoptées relativement à cette ou ces décisions.
3.71. À chaque fois que l’on a délivré un avis ou une autorisation oralement pour cause d’urgence, il faut que soit consignée une explication de la raison pour laquelle on a appliqué la procédure d’urgence.
Données de communication des personnes exerçant certaines professions
3.72. Les données de communication ne font l’objet d’aucune forme de secret professionnel – le fait qu’une communication ait eu lieu ne permet pas de savoir ce qui a été dit, examiné ou conseillé.
3.73. Cependant, le degré d’ingérence dans les droits et libertés individuels peut être plus élevé lorsque les données de communication recherchées concernent une personne qui, de par sa profession, manipule des informations couvertes par le secret ou la confidentialité (par un exemple un médecin, un avocat, un journaliste, un parlementaire ou un ministre du culte). Par ailleurs, on peut déduire du fait que quelqu’un est en contact régulièrement avec, par exemple, un avocat ou un journaliste qu’il se pose une question de sensibilité des données.
3.74. Ces situations n’empêchent pas de faire une demande, mais le demandeur doit alors, en tenant compte particulièrement des questions de nécessité et de proportionnalité, appeler l’attention de la personne à laquelle il adresse sa demande sur les circonstances de ce type qui sont susceptibles de donner lieu à un degré inhabituel d’intrusion ou d’atteinte aux droits et libertés, notamment pour ce qui est du droit à la vie privée et, le cas échéant, du droit à la liberté d’expression. Lorsqu’elle examine ces demandes, la personne désignée doit être particulièrement attentive, et notamment réfléchir de manière plus approfondie à la possibilité de conséquences non souhaitées et à la question de savoir si en validant la demande elle servirait au mieux l’intérêt public.
3.75. À chaque fois qu’il sollicite l’obtention de données de communication de personnes dont il est connu que la profession impose le respect du secret professionnel ou d’une obligation de confidentialité (par exemple les données de communication d’un médecin, d’un avocat, d’un journaliste, d’un parlementaire ou d’un ministre du culte), l’auteur de la demande doit indiquer clairement que tel est le cas. De plus, les demandes de ce type doivent être consignées (voir pour plus de détails la section 6 sur la tenue des dossiers), avec une mention de la profession du sujet, et, à l’inspection suivante, elles doivent être signalées au Commissaire à l’interception des communications.
3.76. Lorsque la demande concerne les données de communication d’un journaliste, il peut se poser des questions relatives à l’atteinte au droit à la liberté d’expression. Il y a dans une société démocratique un fort intérêt public à protéger la liberté de la presse et la liberté d’expression, y compris le souhait des sources de fournir des informations aux journalistes de manière anonyme. Ainsi, lorsqu’une demande vise à déterminer la source d’une information journalistique, il faut accorder à l’intérêt public une importance prépondérante, et suivre les directives exposées aux paragraphes 3.78 à 3.24.
3.77. Lorsque la demande concerne les données de communication d’un journaliste, mais ne vise pas à déterminer la source d’une information journalistique (par exemple, lorsque le journaliste est victime d’une infraction ou soupçonné d’avoir commis une infraction sans rapport avec sa profession), il y a toujours un risque d’intrusion collatérale dans des sources journalistiques légitimes. En pareil cas, il faut dans la demande analyser avec un soin particulier et en tenant dûment compte de l’intérêt public la question de savoir si l’intrusion est justifiée. Pour apprécier la nécessité et la proportionnalité de la mesure, il faut aussi se demander si on ne pourrait pas utiliser plutôt d’autres preuves ou d’autres moyens d’obtenir les informations recherchées. La demande doit appeler l’attention du destinataire sur ces questions.
Demandes visant à déterminer la source d’une information journalistique
3.78. Dans le cas spécifique d’une demande de données de communication faite pour identifier la source d’un journaliste, et jusqu’à ce qu’une loi prévoie une autorisation judiciaire pour ces demandes, les agences des forces de l’ordre (y compris la police, le [service de lutte contre la criminalité] et [le service des recettes et douanes]) auxquelles la loi de 1984 sur la police et les preuves en matière pénale [Police and Criminal Evidence Act 1984] confère en Angleterre et au Pays-de-Galles des pouvoirs en ce sens doivent demander à un tribunal, selon les procédures prévues par cette loi, une ordonnance leur permettant d’obtenir ces données. En Irlande du Nord, les agences des forces de l’ordre concernées doivent demander une ordonnance selon les procédures prévues par l’ordonnance de 1989 sur la police et les preuves en matière pénale en Irlande du Nord [Police and Criminal Evidence (Northern Ireland) Order 1989]. En Écosse, les agences des forces de l’ordre doivent utiliser la législation appropriée ou leurs pouvoirs de common law pour obtenir l’autorisation judiciaire d’acquérir des données de communication aux fins de l’identification de sources journalistiques.
3.79. Peuvent être considérées comme révélatrices de sources journalistiques les données de communication relatives :
* aux adresses de communication de journalistes ;
* aux adresses de communication de personnes dont on pense qu’elles sont une source journalistique ; et
* aux adresses de communication de personnes dont on pense qu’elles jouent un rôle d’intermédiaire entre le journaliste et la source probable.
3.80. Chaque autorité doit consigner dans un registre centralisé toutes les fois où une telle demande a été faite, en mentionnant les considérations correspondantes.
3.81. Notamment, lorsque la police soupçonne un comportement illégal qui comprend des communications avec un journaliste, il faut indiquer dans la demande si la conduite en question est illégale et suffisamment grave pour justifier qu’il soit fait ingérence dans le droit à la liberté d’expression par l’acquisition de données de communication visant à déterminer la source d’un journaliste.
3.82. Comme indiqué au paragraphe 3.29 ci-dessus, le point de contact unique doit participer à ce processus, afin d’assurer la liaison adaptée avec le fournisseur de services de communication.
3.83. Si et seulement si on croit qu’il y a un risque immédiat de perte de vie humaine, qui est tel que, du fait du délai inhérent au processus, la demande d’autorisation judiciaire risquerait de mettre en danger la vie d’une personne, les agences concernées des forces de l’ordre peuvent continuer à utiliser le processus d’autorisation interne existant en vertu de la RIPA. Les demandes relevant de ce cas doivent être signalées au Commissaire à l’interception des communications dès qu’il est raisonnablement possible de le faire, selon les modalités convenues avec celui-ci. Si d’autres données de communication sont ensuite requises dans le cadre de la même enquête mais qu’il n’y a plus de menace pour la vie humaine, il faut demander une autorisation judiciaire.
3.84. L’obligation d’une supervision judiciaire ne s’applique pas lorsque la demande de données de communication concerne des personnes dont on sait qu’elles sont journalistes mais ne vise pas à déterminer la source d’informations journalistiques, par exemple dans les cas où le journaliste est victime d’une infraction ou soupçonné d’avoir commis une infraction sans lien avec sa profession.
Procédure d’autorisation pour les autorités locales
3.85. Les autorités locales doivent respecter deux exigences de plus que les autres autorités publiques lorsqu’elles acquièrent des données de communication : la demande doit être faite par un point de contact unique du réseau national de lutte contre la fraude ; et elle doit faire l’objet d’une approbation judiciaire préalable.
(...)
6 TENUE DES DOSSIERS
Informations à conserver par l’autorité publique compétente
6.1. L’autorité publique compétente doit conserver les demandes, autorisations et copies d’avis ainsi que les révocations d’autorisations et d’avis, sous forme écrite ou électronique ; et, lorsqu’elles ont un lien les unes avec les autres, elle doit les ranger dans le même dossier physique ou les relier par références croisées. Elle doit aussi conserver une trace de la date et, le cas échéant, de l’heure à laquelle chaque avis ou autorisation a été délivré, renouvelé ou révoqué. Les informations conservées par l’autorité publique doivent être détenues de manière centralisée par le point de contact unique ou selon les modalités convenues au préalable avec le Commissaire.
6.2. Ces informations doivent être disponibles aux fins d’inspection par le Commissaire et conservées pour permettre à l’IPT instauré par la RIPA (partie IV) de mener à bien sa mission.
6.3. Lorsque les informations conservées renferment ou concernent des éléments obtenus en conséquence directe de l’exécution d’un mandat d’interception, il faut leur appliquer les garanties approuvées par le ministre en vertu de l’article 15 de la RIPA.
(...)
6.5. Chaque autorité publique compétente doit aussi conserver les informations suivantes :
A. le nombre de demandes faites par un demandeur à un point de contact unique aux fins de l’acquisition de données de communication (y compris les demandes orales) ;
B. le nombre de demandes faites par un demandeur à un point de contact unique aux fins de l’acquisition de données de communication (y compris les demandes orales) que le point de contact unique a soit retournées au demandeur pour modification soit rejetées, et la raison de chacun de ces retours ou rejets ;
C. le nombre de demandes faites à une personne désignée afin qu’elle rende une décision sur l’obtention de données de communication (y compris les demandes orales) qui ont été approuvées après examen ;
D. le nombre de demandes faites à une personne désignée afin qu’elle rende une décision sur l’obtention de données de communication (y compris les demandes orales) qui ont été retournées au demandeur pour modification ou rejetées après examen, et la raison de chacun de ces retours ou rejets ;
E. le nombre d’avis ordonnant la divulgation de données de communication (à l’exception des demandes orales urgentes) ;
F. le nombre d’autorisations de conduite visant à acquérir des données de communication (à l’exception des demandes orales urgentes) ;
G. le nombre de fois où une demande urgente a été approuvée oralement ;
H. le nombre de fois où un avis urgent a été adressé oralement, ou une autorisation urgente accordée oralement, aux fins de la divulgation de données de communication ;
I. l’échelle de priorités des demandes de données de communication, au sens du paragraphe 3.5 et de la note 52 du présent code ;
J. les demandes dont une partie quelle qu’elle soit concernait une personne dont la profession impliquait la manipulation d’informations protégées par le secret professionnel ou la confidentialité (médecin, avocat, journaliste, parlementaire, ministre du culte), et la profession de la personne en question ; et
K. le nombre de données de communication recherchées, pour chaque avis ou autorisation délivrés (y compris les avis ou autorisations délivrés oralement).
6.6. Pour chaque donnée de communication visée par un avis ou une autorisation, l’autorité publique compétente doit aussi conserver les informations suivantes :
A. le numéro de référence unique attribué à la demande, l’avis et/ou l’autorisation ;
B. le but légal pour lequel la donnée de communication était demandée, au sens de l’article 22 § 2 de la RIPA ;
C. lorsque la donnée de communication a été demandée aux fins de la prévention ou de la détection d’infractions ou du maintien de l’ordre, au sens de l’article 22 § 2 b) de la RIPA, le type d’infraction concerné ;
D. la catégorie de la donnée de communication – donnée de trafic, information sur l’utilisation des services ou information relative à l’abonné – au sens de l’article 21 § 4 de la RIPA et du chapitre 2 du présent code ;
E. une description du type de chacune des données de communication visées dans l’avis ou l’autorisation ;
F. la qualité de la personne concernée par la donnée de communication (victime, témoin, plaignant, suspect, proche parent, personne vulnérable ou autre personne concernée par l’enquête ou l’opération) ;
G. l’ancienneté de la donnée de communication (lorsque les données portent sur plus d’une journée, l’ancienneté inscrite doit être celle de la plus vieille donnée recherchée) ;
H. lorsqu’une donnée est une information sur l’utilisation des services ou une donnée de trafic conservée par le fournisseur de services de communication, le nombre total de jours de données demandés dans le cadre de l’avis ou de l’autorisation ; et
I. le fournisseur de services de communication auprès duquel les données ont été acquises.
6.7. Ces informations doivent être envoyées au Commissaire par écrit ou sous forme électronique, selon sa préférence. Des directives sur la tenue des dossiers seront émises par le commissariat à l’interception ; elles pourront aussi être obtenues par les autorités publiques compétentes, les fournisseurs de services de communication ou les personnes qu’ils engagent pour développer ou maintenir leurs systèmes informatiques.
6.8. Le Commissaire à l’interception des communications ne fera pas la démarche de publier des statistiques s’il lui apparaît que ce serait contraire à l’intérêt public ou préjudiciable à la sécurité nationale.
Informations à conserver par le fournisseur de services de communication
6.9. Pour aider le Commissaire à mener à bien la mission légale que lui confie le chapitre II, le fournisseur de services de communication doit consigner les divulgations qu’il a faites ou qu’on lui a demandé de faire. Ces informations doivent être mises à la disposition du Commissaire et de ses inspecteurs pour leur permettre de les comparer avec celles conservées par les autorités publiques. Des directives sur la tenue des dossiers par les fournisseurs de services de communication pourront être émises par le commissariat à l’interception ou obtenues auprès de celui-ci.
6.10. Les informations que le fournisseur de services de communication doit conserver relativement à chaque avis ou autorisation sont les suivantes :
A. l’autorité publique dont ils émanent ;
B. le numéro de référence unique de l’avis ou de l’autorisation ;
C. la date à laquelle l’avis ou l’autorisation lui a été notifié ;
D. une description des données de communication demandées lorsqu’elles n’ont pas été ou pas pu être divulguées ;
E. la date à laquelle il a mis les données de communication à la disposition de l’autorité publique ou, lorsqu’il a fourni des systèmes sécurisés, la date à laquelle l’acquisition ou la divulgation des données de communication a eu lieu ; et
F. des informations suffisantes pour établir, en cas de procédure judiciaire ultérieure, l’origine des données de communication et les données exactes qui ont été divulguées.
Erreurs
6.11. La bonne application de la RIPA et la mise en œuvre de procédures précises aux fins de son application, y compris la préparation et la vérification soigneuses des demandes, avis et autorisations, devraient réduire le risque de commission d’erreurs tant par les autorités publiques que par les fournisseurs de services de communication.
6.12. Une erreur ne peut survenir qu’après que :
* la personne désignée a délivré une autorisation et l’acquisition de données a commencé ; ou
* la personne désignée a délivré un avis et l’avis a été signifié au fournisseur de services de communication par écrit, électroniquement ou oralement.
6.13. Tout manquement d’une autorité publique à appliquer correctement la procédure d’acquisition ou d’obtention de données de communication énoncée dans le présent code accroîtra la probabilité qu’une erreur survienne.
6.14. Si une erreur a lieu lors de la délivrance d’une autorisation ou d’un avis ou en conséquence d’une conduite autorisée ou d’une conduite suivie en exécution d’un avis, il faut le consigner.
6.15. Lorsque, par suite d’une erreur, des données de communication sont acquises ou divulguées alors qu’elles n’auraient pas dû l’être, il faut le signaler au Commissaire (« erreur à signaler »). Les erreurs de ce type peuvent avoir des conséquences très importantes sur les droits de l’individu concerné, et aboutir à ce que des détails de ses communications privées soient divulgués à une autorité publique ou même, dans des cas extrêmes, à ce qu’il soit arrêté à tort ou accusé d’une infraction qu’il n’a pas commise.
6.16. Lorsqu’une erreur s’est produite mais qu’elle est repérée par l’autorité publique ou le fournisseur de services de communication avant que des données ne soient acquises ou divulguées à tort, l’autorité publique doit la consigner dans ses dossiers (« erreur à consigner »). Les informations ainsi consignées doivent être disponibles pour inspection par le Commissaire.
6.17. Il est impossible de donner ici une liste exhaustive de toutes les causes possibles d’erreurs à signaler ou à consigner. On peut toutefois noter les exemples suivants.
Erreurs à signaler
* Une autorisation ou un avis ont été délivrés dans un but qui ne relève pas de la RIPA ou pour un type de données que la RIPA n’autorise pas l’autorité publique compétente à acquérir ;
* il y a eu une erreur humaine, par exemple une transposition incorrecte des informations depuis une demande vers une autorisation ou un avis, et les données de communication ont été acquises ou divulguées ;
* le fournisseur de services de communication n’a pas divulgué les bonnes données lorsqu’il a exécuté l’avis ;
* l’autorité publique n’a pas acquis les bonnes données lorsqu’elle a suivi une conduite prévue dans une autorisation.
Erreurs à consigner
* Il a été délivré un avis que le fournisseur de services de communication ne pouvait exécuter et l’autorité publique a tenté d’en imposer l’exécution ;
* on n’a pas vérifié les informations déjà détenues et, par exemple, on a demandé inutilement l’acquisition ou la divulgation de données qui avaient déjà été acquises ou obtenues pour la même enquête ou la même opération ;
* on savait qu’il n’était plus nécessaire d’acquérir ou d’obtenir les données ;
* il n’a pas été communiqué d’avis écrit (ou d’autorisation écrite) au fournisseur de services de communication dans un délai d’un jour ouvrable à compter de la délivrance orale d’un avis urgent ou d’une autorisation urgente ;
* il y a eu une erreur humaine, par exemple une transposition incorrecte des informations depuis une demande vers une autorisation ou un avis, et les données de communication n’ont pas été acquises ou divulguées.
6.18. Le signalement et la consignation des erreurs appelleront l’attention des personnes concernées sur les aspects de la procédure d’acquisition et de divulgation des données de communication qui doivent encore être améliorés pour éliminer les erreurs et le risque d’ingérence indue dans les droits individuels.
6.19. Lorsqu’une erreur à signaler a été commise, l’autorité publique qui a commis l’erreur, ou qui l’a découverte, doit établir les faits et signaler l’erreur au supérieur responsable puis au commissariat à l’interception dans un délai maximum de cinq jours ouvrables à compter de la découverte. Toutes les erreurs doivent être signalées immédiatement. Si le signalement concerne une erreur faite par un fournisseur de services de communication, l’autorité publique doit aussi informer le fournisseur de services de communication et le commissariat à l’interception du signalement, par écrit ou sous forme électronique. Cela permettra au fournisseur de services de communication et au commissariat à l’interception d’enquêter sur la ou les causes de l’erreur signalée.
6.20. Lorsqu’une autorité publique signale une erreur au commissariat à l’interception, elle doit indiquer les détails de l’erreur et le numéro de référence unique de l’autorisation ou de l’avis correspondant, expliquer comment l’erreur est survenue, et préciser si une intrusion collatérale non souhaitée a eu lieu et quelles mesures ont été ou vont être prises pour faire en sorte que l’erreur ne se reproduise pas. Lorsque l’erreur qu’elle signale est le fait du fournisseur de services de communication, l’autorité publique doit indiquer les détails de l’erreur et préciser si le fournisseur de services de communication a été informé du signalement (et, s’il ne l’a pas été, expliquer pourquoi).
6.21. À chaque fois qu’un fournisseur de services de communication divulgue des données de communication par erreur, il doit le signaler au commissariat à l’interception dans un délai maximum de cinq jours ouvrables à partir du moment où l’erreur a été découverte. Il est souhaitable que ce signalement soit fait par une personne d’un niveau de responsabilité suffisamment élevé chez le fournisseur de services de communication. Il faut indiquer le numéro de référence unique attribué par l’autorité publique à la demande de divulgation, ainsi que les mesures qui ont été ou vont être prises pour faire en sorte que l’erreur ne se reproduise pas. Un fournisseur de services peut par exemple commettre une erreur en divulguant, en réponse à un avis, les mauvaises données à la bonne autorité publique ou les bonnes données à la mauvaise autorité.
6.22. Lorsque l’erreur à signaler est jugée grave, le Commissaire peut enquêter sur les circonstances qui y ont abouti et évaluer l’impact de l’ingérence correspondante sur les droits de l’individu concerné. Il peut informer cet individu, et celui-ci peut déposer plainte devant le Tribunal des pouvoirs d’enquête (voir la section 9).
6.23. Les informations conservées par une autorité publique quant aux erreurs à consigner doivent indiquer les détails de l’erreur, expliquer comment elle est arrivée et préciser les mesures qui ont été ou vont être prises pour faire en sorte qu’elle ne se reproduise pas. Le supérieur responsable au sein de l’autorité doit contrôler régulièrement que ces erreurs sont dûment consignées.
6.24. Lorsqu’un fournisseur de services de communication divulgue par erreur des éléments qui n’ont ni lien avec l’enquête ou l’opération menées par l’autorité publique qui les reçoit, ni pertinence pour celles-ci, ces éléments et toutes les copies de ces éléments (y compris celles qui figurent dans des messages électroniques ou en pièces jointes à ces messages) doivent être détruits dès que l’erreur a été signalée au Commissaire.
(...)
Surplus de données
6.26. Lorsque la conduite autorisée suivie par une autorité publique aboutit à l’acquisition d’un surplus de données, ou à la divulgation d’un surplus de données par un fournisseur de services de communication qui exécute un avis, toutes les données acquises ou divulguées doivent être conservées par l’autorité publique.
6.27. Lorsqu’une autorité publique agit dans le cadre de la loi de 1996 sur la procédure pénale et les enquêtes et du code de conduite correspondant, elle est tenue de consigner et de conserver les données pertinentes pour l’enquête pénale, même si ces données ont été divulguées ou acquises hors du cadre d’un avis ou d’une autorisation valables. Si une enquête pénale aboutit à l’ouverture d’une procédure, tous les éléments susceptibles d’être pertinents doivent être conservés au moins jusqu’à ce que l’accusé soit acquitté ou condamné ou jusqu’à ce que le procureur décide d’abandonner les poursuites.
6.28. Si, après avoir examiné les données en surplus, on envisage de les utiliser dans le cadre de l’enquête ou de l’opération, il faut que le demandeur expose dans un addendum à la demande qui a donné lieu à l’autorisation ou à l’avis d’origine la ou les raisons qui rendent nécessaire d’utiliser ces données. La personne désignée doit alors examiner cette ou ces raisons et toutes les données, et rechercher s’il est nécessaire et proportionné que les données en surplus soient utilisées pour l’enquête ou l’opération. Comme pour toutes les données de communication acquises, les exigences de la loi sur la protection des données et les principes que pose cette loi en matière de protection des données doivent être respectés en ce qui concerne les données en surplus (voir la section suivante).
7 GARANTIES EN MATIÈRE DE PROTECTION DES DONNÉES
7.1. Les données de communication acquises ou obtenues en vertu des dispositions de la RIPA, et la totalité des copies, extraits et résumés qui en sont faits, doivent être manipulées et stockées de manière sécurisée. Il faut en outre respecter les exigences et les principes de protection des données posés par la loi sur la protection des données.
7.2. Il faut appliquer aux données de communication obtenues directement dans le cadre de l’exécution d’un mandat d’interception les garanties approuvées par le ministre en vertu de l’article 15 de la RIPA.
Divulgation des données de communication et droit d’accès des sujets concernés
7.3. La présente section du code explique la manière dont s’articulent, d’une part, les dispositions de la RIPA relatives à la divulgation de données de communication et celles de la loi sur la protection des données relatives aux demandes d’accès des sujets concernés et, d’autre part, l’obligation pour les fournisseurs de services de communication de se conformer aux avis de divulgation de données et le droit pour chaque individu d’accéder aux données personnelles le concernant en vertu de l’article 7 de la loi sur la protection des données.
7.4. Il n’y a dans la RIPA aucune disposition qui empêche les fournisseurs de services de communication, lorsqu’un individu fait une demande d’accès en vertu de l’article 7 de la loi sur la protection des données, de l’informer qu’ils ont divulgué ses données en exécution d’un avis notifié par une autorité publique. Cependant, la partie IV de la loi sur la protection des données leur permet d’appliquer certaines exceptions au droit d’accès individuel aux données.
7.5. L’article 28 de la loi sur la protection des données dispose que les données sont toujours soustraites au champ d’application de l’article 7 lorsqu’une telle exception est nécessaire pour la sauvegarde de la sécurité nationale.
7.6. L’article 29 de la loi sur la protection des données exclut du champ d’application de l’article 7 les données personnelles traitées aux fins de la prévention et de la détection des infractions, de l’arrestation ou de la poursuite des auteurs d’infraction, ou du calcul et du recouvrement de toute taxe ou impôt, dans la mesure où l’application des dispositions relatives aux droits des personnes concernées par les données serait susceptible de porter préjudice à la réalisation de l’une de ces fins.
7.7. L’exception au droit d’accès des personnes concernées par les données prévue à l’article 29 ne s’applique pas automatiquement à la divulgation de l’existence d’avis notifiés en vertu de la RIPA. Si un fournisseur de services de communication reçoit une demande d’accès d’une personne concernée par des données et que le fait qu’une divulgation a eu lieu en vertu de la RIPA est susceptible d’être révélé, il doit réfléchir soigneusement au point de savoir si dans ce cas précis, le fait de révéler qu’un avis lui a été notifié serait susceptible de porter préjudice à la prévention ou à la détection d’infractions.
7.8. Lorsque le fournisseur de services de communication n’arrive pas à déterminer avec certitude si le fait de révéler qu’un avis lui a été notifié serait susceptible de porter préjudice à une enquête ou une opération, il doit se rapprocher du point de contact unique de l’autorité publique qui lui a notifié l’avis – et ce suffisamment tôt pour pouvoir répondre à la demande d’accès aux données. Le point de contact unique pourra se renseigner auprès de l’autorité publique pour déterminer si le fait de révéler qu’un avis a été notifié serait susceptible de porter préjudice à la réalisation d’une fin visée à l’article 29.
7.9. Lorsqu’un fournisseur de services de communication s’abstient de communiquer une information en application des exceptions prévues aux articles 28 et 29 de la loi sur la protection des données, il n’est pas tenu d’en informer l’individu. Il peut simplement omettre l’information correspondante dans sa réponse à la personne qui a fait la demande d’accès aux données.
7.10. Les fournisseurs de services de communication doivent garder une trace des mesures qu’ils ont prises pour déterminer si le fait de révéler qu’un avis leur a été notifié serait susceptible de porter préjudice à l’arrestation ou à la détection d’auteurs d’infractions. Cela peut être utile si, par la suite, le responsable du traitement des données doit répondre à des questions posées par le commissaire aux informations, par les tribunaux et, en cas de préjudice, par la police. En vertu de l’article 42 de la loi sur la protection des données, un individu peut demander au commissaire aux informations de déterminer si sa demande d’accès aux données a été traitée conformément à la loi sur la protection des données.
Acquisition de données de communication pour des autorités étrangères
7.11. La majorité des autorités publiques qui obtiennent des données de communication en vertu de la RIPA n’ont pas besoin de divulguer ces données à des autorités étrangères, cependant il peut arriver que cela soit nécessaire, approprié et licite, dans le cadre de la coopération internationale.
7.12. Les données de communication, qu’elles aient ou non été obtenues en vertu de la RIPA, peuvent être acquises et divulguées à des autorités publiques étrangères :
* soit dans le cadre de la coopération judiciaire ;
* soit dans le cadre de la coopération non judiciaire.
Les autorités publiques britanniques ne sont obligées ni dans un cas ni dans l’autre de divulguer les données aux autorités étrangères. Les données ne peuvent être divulguées que lorsque l’autorité publique britannique estime qu’il est dans l’intérêt public de le faire et que toutes les conditions pertinentes imposées par le droit interne sont réunies.
La coopération judiciaire
7.13. Une autorité centrale du Royaume-Uni peut recevoir une demande d’entraide judiciaire comprenant une demande de données de communication de la part d’une juridiction pénale étrangère, d’une autorité de poursuite étrangère, ou d’une autre autorité étrangère qui a manifestement pour rôle de soumettre des demandes d’entraide judiciaire. La demande d’entraide judiciaire doit être liée à une procédure pénale ou à une enquête pénale menée hors du Royaume-Uni, et la demande de données de communication qu’elle renferme doit être propre à satisfaire aux exigences de la partie I du chapitre II de la RIPA.
7.14. Si la demande d’entraide judiciaire est acceptée par l’autorité centrale, elle est transmise pour examen à l’autorité publique britannique appropriée. Cette autorité pourra l’examiner et, s’il y a lieu, l’exécuter en vertu de l’article 22 de la RIPA et conformément aux directives figurant dans le présent code de conduite.
7.15. Pour que l’autorité publique britannique délivre un avis ou une autorisation, il faut qu’elle estime que la demande répond aux mêmes critères de nécessité et de proportionnalité que ceux appliqués en droit interne.
La coopération non judiciaire
7.16. Les autorités publiques britanniques peuvent recevoir des demandes directes d’assistance de leurs homologues étrangères, par exemple des demandes d’acquisition et de divulgation de données de communication aux fins de la prévention ou de la détection des infractions. À la réception d’une telle demande, l’autorité publique britannique peut envisager d’ordonner l’acquisition ou la divulgation des données demandées en conformément aux dispositions du chapitre II de la partie I de la RIPA.
7.17. Pour que l’autorité publique britannique accepte la demande, il faut qu’elle estime que celle-ci répond aux obligations imposées au Royaume-Uni par les règles de droit applicables en matière de respect des droits de l’homme. Dans chaque cas, elle doit vérifier la nécessité et la proportionnalité de la mesure avant de délivrer un avis ou une autorisation.
Divulgation de données de communication à des autorités étrangères
7.18. Lorsqu’une autorité publique britannique envisage d’acquérir des données de communication pour le compte d’une autorité étrangère et de les lui communiquer, elle doit rechercher si ces données seront dûment protégées hors du Royaume-Uni et quelles garanties peuvent être nécessaires à cette fin. Ces garanties peuvent consister à poser des conditions relatives au traitement, au stockage et à la destruction des données.
7.19. S’il est envisagé de communiquer les données à une autorité de l’Union européenne, celle-ci sera liée par la directive européenne sur la protection des données (95/46/CE) et par la législation nationale sur la protection des données. Toutes les données divulguées à une autorité de l’Union européenne seront protégées sans qu’il soit nécessaire de demander des garanties supplémentaires.
7.20. S’il est envisagé de communiquer les données à une autorité qui ne se trouve pas dans l’Union européenne ou l’Espace économique européen (Islande, Liechtenstein et Norvège), il ne faut le faire qu’à condition que l’autorité étrangère puisse garantir un niveau adéquat de protection de ces données. La Commission européenne a déterminé que certains pays, par exemple la Suisse, ont des lois qui assurent un niveau adéquat de protection et que l’on peut y transférer les données sans demander de garanties supplémentaires.
7.21. Dans toutes les autres circonstances, l’autorité publique britannique doit déterminer dans chaque cas, avant de transférer quelques données que ce soit à l’étranger, si elles y seront adéquatement protégées. Le commissaire aux informations a publié des directives relatives à l’envoi de données personnelles hors de l’Espace économique européen conformément au huitième principe de protection des données et, si nécessaire, son commissariat peut donner des conseils à ce sujet.
7.22. Il est reconnu dans la loi sur la protection des données qu’il n’est pas toujours possible de s’assurer que les données seront adéquatement protégées dans des pays qui ne font partie ni de l’Union européenne ni de l’Espace économique européen, et il y a des exceptions à ce principe, par exemple si le transfert des données est nécessaire pour des raisons « d’intérêt public important ». Il peut y avoir des cas où il est nécessaire, par exemple dans l’intérêt de la sécurité nationale, que des données de communication soient communiquées à un pays tiers, même si ce pays n’a pas mis en place de garanties adéquates pour protéger les données. Cette décision ne peut être prise que par l’autorité publique détentrice des données, au cas par cas.
8 SUPERVISION
8.1. La RIPA crée un Commissaire à l’interception des communications (« le Commissaire »), chargé de superviser de manière indépendante la mise en œuvre des pouvoirs et obligations découlant du chapitre II de la partie I de la RIPA. Le Commissaire est assisté par des inspecteurs qui travaillent au Commissariat à l’interception des communications (le commissariat à l’interception).
8.2. Le présent code ne porte pas sur l’exercice des fonctions du Commissaire. Toute personne qui met en œuvre des pouvoirs ou obligations découlant du chapitre II de la RIPA doit respecter toute demande faite par le Commissaire aux fins de la communication d’informations dont il a besoin pour pouvoir mener à bien sa mission.
8.3. Si le Commissaire établit qu’un individu a subi un préjudice du fait d’un manquement volontaire ou non aux règles en vigueur de la part de quelque personne que ce soit au sein d’une autorité publique compétente dans l’exercice de ses pouvoirs ou l’accomplissement de ses obligations découlant de la RIPA relativement à l’acquisition ou à la divulgation de données de communication, il informe l’individu concerné de l’existence de l’IPT et de son rôle, sous réserve de la sauvegarde de la sécurité nationale. Le Commissaire doit divulguer suffisamment d’informations à l’individu concerné pour lui permettre de défendre efficacement sa cause devant l’IPT.
8.4. Le Commissaire peut, afin de promouvoir les bonnes pratiques et de contribuer à la détermination des besoins de formation au sein des autorités publiques et des fournisseurs de services de communication, mettre à la disposition du ministère de l’Intérieur les rapports qu’il établit relativement à l’inspection des autorités publiques et à la mise en œuvre par celles-ci des pouvoirs que leur confère le chapitre II.
8.5. Sous réserve de l’approbation du Commissaire, les autorités publiques peuvent publier les rapports d’inspection les concernant, en totalité ou dans une version synthétisée, afin de rendre compte de la supervision dont elles font l’objet et de leur respect du chapitre II de la RIPA et du présent code. Il faut demander l’approbation du Commissaire au cas par cas au moins dix jours ouvrables avant la date prévue de publication, en indiquant si le rapport serait publié dans sa totalité et, sinon, quelles parties seraient publiées ou comment il serait résumé. »
3. Le jugement rendu par l’IPT dans l’affaire News Group and Others v. The Commissioner of Police of the Metropolis IPT/14/176/H (17 décembre 2015)
118. Cette affaire a été portée devant l’IPT par trois journalistes et leur employeur. Les plaignants dénonçaient quatre autorisations émises en vertu de l’article 22 de la RIPA qui permettaient à la police d’obtenir des données de communication susceptibles de révéler les sources d’informations recueillies par les journalistes. Ils soutenaient notamment que le régime découlant de l’article 22 (complété à l’époque par le code de conduite de 2007 sur l’acquisition de données de communication) avait donné lieu à une violation à leur égard des droits garantis par l’article 10 de la Convention car il ne protégeait pas dûment la confidentialité des sources des journalistes. L’IPT admit que le régime en vigueur à l’époque ne renfermait pas de garanties effectives protégeant les droits garantis par l’article 10 lorsque l’autorisation avait pour but d’obtenir la divulgation de l’identité de la source d’un journaliste. Il tint le raisonnement suivant :
« 107. En l’absence d’exigence de contrôle exercé en amont par un tribunal, il faut tenir particulièrement compte du caractère suffisant ou non des autres garanties prévues par la loi. La personne désignée n’est pas indépendante de la force de police, quoiqu’en pratique, si elle respecte bien les exigences posées à l’article 22, elle portera un jugement indépendant, comme elle l’a fait en l’espèce. De manière générale, l’exigence qu’une décision sur la nécessité et la proportionnalité de la mesure soit prise par un supérieur qui ne participe pas à l’enquête constitue bien une mesure de protection d’un point de vue procédural ; néanmoins le rôle de la personne désignée ne saurait être assimilé à celui d’un juge ou d’un tribunal indépendant et impartial.
108. La supervision exercée a posteriori par le Commissaire, ou, en cas de plainte, par ce Tribunal, ne peut empêcher rétroactivement la divulgation de la source d’un journaliste. Il y a là une différence avec les enquêtes pénales, où le juge peut lors du procès pénal écarter les preuves qui ont été obtenues de manière indue ou inéquitable sur la base d’une autorisation émise en vertu de l’article 22. Lorsqu’il est délivré une autorisation sur le fondement de laquelle la source d’un journaliste est divulguée, cette divulgation ne peut pas être ensuite défaite, ni ses effets annulés. Le code de 2007 ne renfermait pas non plus d’exigence imposant que les cas où les pouvoirs conférés par l’article 22 seraient utilisés aux fins de l’obtention de la divulgation de la source d’un journaliste soient signalés au Commissaire, de sorte que l’exercice de ce pouvoir ne pouvait alors faire l’objet d’aucun contrôle effectif. De plus, aucun des plaignants n’avait la moindre raison de se douter que l’on avait accédé à ses données jusqu’à la publication en septembre 2014 du rapport final sur l’opération Alice. Si le défendeur n’avait pas divulgué cette information – et il est à mettre à son crédit qu’il l’ait fait – les plaignants n’auraient jamais été en mesure d’engager la présente procédure.
109. Ainsi, dans les cas concernant la divulgation de la source d’un journaliste, les garanties prévues à l’article 22 et dans le code de 2007 se limitaient à exiger qu’une décision sur la nécessité et la proportionnalité soit prise par un officier de police supérieur qui n’était pas directement impliqué dans l’enquête et qui avait une connaissance pratique générale du droit des droits de l’homme. Le code de 2007 ne posait aucune exigence matérielle ou procédurale propre aux cas concernant la liberté de la presse. Il n’était pas impératif que la délivrance d’une autorisation soit soumise à la condition que la nécessité de la divulgation ait été établie de manière convaincante, ni que l’on procède à un examen très soigneux de la situation en mettant en balance l’intérêt public à enquêter sur les infractions pénales et la protection de la confidentialité des sources des journalistes. L’effet de l’article 22 et du code de 2007 était que la personne désignée devait, pour décider d’accorder ou non l’autorisation, appliquer les mêmes critères généraux de nécessité et de proportionnalité que ceux qui auraient été appliqués dans le cas d’une demande faite dans le cadre de n’importe quelle enquête pénale. »
119. L’IPT estima qu’il ne pouvait pas octroyer de réparation à raison du manquement à appliquer des garanties adéquates aux fins de la protection des droits découlant de l’article 10 car cette absence de garanties ne rendait pas en elle-même les autorisations illicites. En revanche, il jugea que l’une des autorisations était illicite car la mesure qu’elle permettait n’était ni proportionnée ni nécessaire. Examinant la question de la réparation à octroyer à cet égard, il reconnut qu’il avait le pouvoir d’accorder une indemnité, mais il ne le fit pas, car il estima qu’il n’était pas nécessaire d’octroyer aux plaignants une satisfaction équitable.
120. En mars 2015, le code de conduite de 2007 sur l’acquisition de données de communication fut remplacé par un nouveau code. Le paragraphe 3.78 de ce nouveau code énonce que dans le cas particulier d’une demande de données de communication faite afin d’identifier la source d’un journaliste, les agences des forces de l’ordre auxquelles la loi de 1984 sur la police et les preuves en matière pénale confère des pouvoirs en ce sens doivent appliquer les procédures énoncées dans cette loi pour demander à un tribunal une injonction leur permettant d’obtenir ces données.
4. La loi de 1984 sur la police et les preuves en matière pénale
121. L’annexe 1 de la loi de 1984 sur la police et les preuves en matière pénale régit la procédure de demande à un tribunal d’une injonction de produire. Elle dispose, en ses parties pertinentes :
« 1. Si, saisi d’une demande fait par un policier, un juge estime que l’un ou l’autre des ensembles de conditions d’accès est réuni, il peut émettre une injonction en vertu du paragraphe 4 ci-dessous.
(...)
4. L’injonction émise en vertu du présent paragraphe est une injonction en vertu de laquelle la personne qui, de l’avis du juge, est probablement en possession des éléments visés par la demande doit :
a) les remettre au policier pour qu’il les emporte, ou
b) permettre au policier d’y accéder,
dans un délai maximum de sept jours à compter de la date à laquelle elle est émise ou, le cas échéant, dans le délai plus long qui y est fixé.
(...)
7. La demande d’injonction relevant du paragraphe 4 ci-dessus introduite aux fins de la production d’éléments totalement ou partiellement journalistiques est faite inter partes. »
122. L’article 78 de la loi de 1984 sur la police et les preuves en matière pénale permet au tribunal de refuser d’admettre des éléments de preuve sur lesquels l’accusation souhaite s’appuyer s’il lui apparaît que, compte tenu de l’ensemble des circonstances, y compris celles dans lesquelles ces éléments ont été obtenus, l’admission de ces éléments nuirait à l’équité de la procédure au point qu’il ne doit pas les accueillir.
D. La pratique et la procédure de l’IPT
1. La RIPA
123. L’IPT a été instauré par l’article 65 § 1 de la RIPA pour examiner les allégations de citoyens croyant que les autorités avaient fait illicitement ingérence dans leurs communications au cours d’agissements relevant de cette loi. Les membres de l’IPT doivent exercer ou avoir exercé de hautes fonctions judiciaires et être des juristes diplômés ayant au moins dix ans d’expérience.
124. En vertu de l’article 65 § 2 de la RIPA, l’IPT est la seule instance compétente pour connaître des actions dirigées contre l’un quelconque des services de renseignement à raison d’actes supposément incompatibles avec les droits protégés par la Convention, et pour examiner les griefs de personnes estimant avoir été visées par une conduite relevant des pouvoirs d’enquête prévus par la RIPA. L’IPT est compétent pour enquêter sur tout grief d’une personne pensant que ses communications ont été interceptées et, si tel a été le cas, pour examiner la base de cette interception.
125. En vertu de l’article 67 §§ 2 et 3 c), l’IPT doit appliquer les mêmes principes que les tribunaux statuant dans le cadre d’une demande de contrôle juridictionnel. Il n’a toutefois pas le pouvoir de prononcer une déclaration d’incompatibilité s’il juge la législation primaire incompatible avec la Convention européenne des droits de l’homme car il n’est pas une juridiction (court) au sens de l’article 4 de la loi sur les droits de l’homme.
126. En vertu de l’article 67 § 8, les décisions rendues par l’IPT sont insusceptibles d’appel « sauf dans la mesure où le ministre de l’Intérieur en décide autrement par voie d’ordonnance », ce qui n’est jamais arrivé. Par ailleurs, la Court of Appeal a récemment confirmé, dans l’affaire R(Privacy International) v. Investigatory Powers Tribunal [2017] EWCA Civ 1868, que l’article 67 § 8 a aussi pour effet de faire obstacle à l’introduction d’une demande de contrôle juridictionnel d’une décision de l’IPT. Celui-ci est donc une instance de dernier ressort tenue, le cas échéant, de saisir la Cour de justice de l’Union européenne à titre préjudiciel en vertu de l’article 267 du Traité sur le fonctionnement de l’Union européenne (paragraphe 236 ci‑dessous).
127. En vertu de l’article 68 §§ 6 et 7, les personnes impliquées dans l’autorisation ou l’exécution d’un mandat d’interception sont tenues de se conformer à toute demande de divulgation ou de communication de documents ou d’informations faite par l’IPT.
128. Lorsque l’IPT prononce une déclaration de conduite illicite, il peut octroyer une indemnité et ordonner toute autre mesure qu’il juge appropriée. Il peut ainsi prononcer l’annulation rétroactive ou non d’un mandat et ordonner la destruction de tous les éléments obtenus dans le cadre de ce mandat ((article 67 § 7). Lorsqu’il fait droit à une plainte déposée devant lui, il doit en principe en aviser le Premier ministre (article 68 § 5).
129. L’article 68 § 1 donne compétence à l’IPT pour fixer les règles de la procédure suivie devant lui, toutefois l’article 69 § 1 dispose que le ministre peut aussi énoncer des règles de procédure.
2. Le règlement de 2000 du Tribunal des pouvoirs d’enquête (Investigatory Powers Tribunal Rules 2000, « le règlement »)
130. Ce règlement a été adopté par le ministre afin d’encadrer différents aspects de la procédure menée devant l’IPT.
131. En vertu de l’article 9 du règlement, l’IPT n’est nullement obligé de tenir des audiences mais il peut le faire : il peut tenir, à tout stade de son examen de l’affaire, des audiences dans le cadre desquelles le plaignant pourra formuler des observations, déposer et faire comparaître des témoins ; il peut aussi tenir des audiences séparées auxquelles pourront être tenues de comparaître la personne dont la conduite fait grief, l’autorité publique contre laquelle la procédure est dirigée ou toute autre personne impliquée dans l’autorisation ou l’exécution d’un mandat d’interception. L’article 9 énonce que les procédures de l’IPT, y compris les éventuelles audiences, se tiennent à huis clos.
132. En vertu de l’article 11, l’IPT peut recevoir des preuves sous n’importe quelle forme, même des preuves qui ne seraient pas recevables devant un tribunal. Il peut ordonner à un témoin de déposer sous serment mais nul ne peut être contraint de témoigner à une audience tenue en vertu de l’article 9 § 3.
133. L’article 13 expose la manière dont le plaignant est avisé des conclusions de l’IPT :
« (1) Outre les conclusions visées à l’article 68 § 4 de la loi, le Tribunal communique au plaignant les informations suivantes.
(2) Lorsqu’il statue en faveur du plaignant par une déclaration de conduite illicite, le Tribunal lui communique un résumé de cette déclaration, y compris ses éventuelles conclusions factuelles.
(...)
(4) Le devoir d’information imposé par le présent article est dans tous les cas subordonné à l’obligation générale à laquelle le Tribunal est tenu en vertu de l’article 6 § 1.
(5) Il ne peut être communiqué en vertu du présent article aucune information dont la divulgation serait restreinte en vertu de l’article 6 § 2, à moins que la personne dont le consentement serait nécessaire aux fins de la divulgation en vertu de cet article ait eu la possibilité d’exposer au Tribunal ses arguments à cet égard. »
134. En vertu de l’article 6 du règlement, l’IPT doit veiller, dans l’exercice de ses fonctions, à ce qu’il ne soit fait aucune divulgation d’informations contraire à l’intérêt public ou préjudiciable à la sécurité nationale, à la prévention ou à la détection des infractions graves, à la prospérité économique du Royaume-Uni ou à l’accomplissement des missions de l’un quelconque des services de renseignement. Il ne peut, en principe, divulguer ni le fait qu’il a tenu une audience en vertu de l’article 9 § 4, ni les informations qui lui ont été divulguées dans le cadre d’une telle audience ou l’identité des témoins y ayant comparu, ni les informations qui lui ont été divulguées autrement par une personne impliquée dans l’autorisation ou l’exécution de mandats d’interception ou les informations communiquées par un Commissaire, ni le fait que des informations quelles qu’elles soient lui ont été divulguées ou communiquées – à moins d’avoir obtenu le consentement respectif de la personne citée à comparaître à l’audience, de la personne qui a divulgué les informations, du Commissaire ou de la personne dont le consentement est requis pour la divulgation des informations. Il peut par ailleurs divulguer ces éléments dans le cadre des informations communiquées au plaignant en vertu de l’article 13 § 2, sous réserve des restrictions posées à l’article 13 §§ 4 et 5.
135. Dans l’affaire R(A) v. Director of Establishments of the Security Service [2009] EWCA Civ 24, le Lord Justice Laws a observé que l’IPT était « un organe judiciaire de même qualité et de même autorité que la High Court ». Plus récemment, dans l’affaire R(Privacy International) v. Investigatory Powers Tribunal (précitée), le Lord Justice Sales a estimé que « [l]a qualité des membres de l’IPT en termes de compétences juridiques et d’indépendance [était] très élevée ».
3. La décision avant-dire droit rendue par l’IPT le 23 janvier 2003
136. Le 23 janvier 2003, dans une affaire concernant une plainte déposée par British Irish Rights Watch, l’IPT a rendu une décision avant‑dire droit, dans laquelle il s’est prononcé sur la question de savoir si un certain nombre d’aspects de sa procédure relevaient des pouvoirs conférés au ministre et étaient conformes à la Convention. Pour la première fois, il a siégé en public.
137. Sur la question spécifique de l’applicabilité de l’article 6 § 1 de la Convention à la procédure suivie devant lui, il est parvenu à la conclusion suivante :
« 85. Le Tribunal conclut que l’article 6 s’applique aux actions relevant de l’article 65 § 2 a) de la RIPA et aux griefs relevant de l’article 65 § 2 b). En effet, il rend sur les unes comme sur les autres « une décision sur des droits de caractère civil » au sens de l’article 6 § 1. »
138. Il a observé également que l’article 9 de son règlement énonçait clairement qu’il lui était loisible de tenir ou non des audiences, mais que s’il le faisait, ce devait être conformément à cet article. Il a estimé que le fait que le règlement ne prévoyait pas de droit absolu à la tenue dans chaque affaire d’une audience contradictoire ou, à défaut, d’audiences séparées relevait du pouvoir normatif conféré par l’article 69 § 1 de la RIPA et était compatible avec les droits garantis par les articles 6, 8 et 10 de la Convention. Il a expliqué que la tenue d’audiences où seraient examinés des éléments de preuve ou le fond d’une action ou d’un grief risquerait de porter atteinte à la règle « ni [confirmer] ni [démentir] » ou à d’autres aspects de la sécurité nationale et de l’intérêt public, qu’il était donc nécessaire de prévoir des garanties contre cela, et que l’attribution d’un pouvoir discrétionnaire de décider quand et sous quelle forme il y avait lieu de tenir audience constituait une réponse proportionnée à cette nécessité.
139. Il a considéré que le libellé de l’article 9 § 6 du règlement, en vertu duquel les audiences devaient se tenir à huis clos, était clair et exempt de réserves, et ne lui laissait donc aucune latitude en la matière. Il a conclu que, par son étendue et son caractère général, ce paragraphe allait au‑delà de ce que permettait l’article 69 de la RIPA, qu’il outrepassait donc les limites de l’article 69, et qu’en conséquence il ne le liait pas.
140. Quant aux règles posées par l’article 6 du règlement en matière d’admission de preuves et de divulgation, il a considéré qu’il s’agissait de dérogations au principe de la procédure contradictoire dont l’adoption relevait des pouvoirs conférés au ministre et qui étaient compatibles avec les droits protégés par les articles 8 et 10 de la Convention, compte tenu des exceptions ménagées aux fins de l’intérêt public et de la sécurité nationale aux seconds paragraphes de l’un et l’autre article, exceptions dont relevait selon lui l’application pratique de la politique légitime consistant à ne confirmer ni démentir les allégations faites au sujet de l’utilisation des pouvoirs d’enquête. Il a précisé à cet égard que l’obtention de la divulgation d’informations n’était pas un droit absolu en présence d’intérêts concurrents, notamment de considérations relatives à la sécurité nationale.
141. Enfin, quant au fait qu’il n’était pas tenu de motiver ses décisions négatives, l’IPT a estimé que l’article 68 § 4 de la loi et l’article 13 du règlement étaient valables et contraignants et que la distinction entre les informations données aux plaignants qui avaient obtenu gain de cause et celles données aux autres plaignants (à l’égard desquels il fallait appliquer la règle « ni-ni ») était nécessaire et justifiable.
4. Le Conseil près le Tribunal
142. L’IPT peut désigner un Conseil près le Tribunal chargé de présenter des observations au nom des plaignants lors des audiences auxquelles ceux‑ci ne peuvent être représentés. Dans l’affaire Liberty, le Conseil près le Tribunal a décrit son rôle de la manière suivante :
« Le Conseil près le Tribunal joue un rôle différent [de celui des avocats spéciaux qui participent aux procédures à huis clos menées devant certains tribunaux spéciaux], qui s’apparente à celui d’amicus curiae. Il a pour fonction d’assister le Tribunal en répondant à toutes ses demandes. Il arrive (par exemple relativement à des questions sur lesquelles toutes les parties sont représentées) que le Tribunal ne précise pas de quel point de vue les observations doivent être faites. En pareil cas, le Conseil présente des observations qui correspondent à sa propre analyse des points de fait et de droit en cause, en s’efforçant de mettre l’accent plus particulièrement sur des points que les parties n’ont pas pleinement développés. Il arrive aussi (en particulier lorsqu’un ou plusieurs intérêts ne sont pas représentés) que le Tribunal invite le Conseil à lui présenter des observations d’un point de vue particulier (normalement du point de vue de la ou des parties dont les intérêts ne sont pas représentés). »
143. Cette description a été admise et validée par l’IPT.
E. La supervision
144. La partie IV de la RIPA prévoyait à l’origine la désignation par le Premier ministre d’un Commissaire à l’interception des communications (Interception of Communications Commissioner) et d’un Commissaire aux services de renseignement (Intelligence Services Commissioner), chargés de superviser les activités des services de renseignement.
145. Le Commissaire à l’interception des communications avait pour rôle de contrôler l’interception des communications ainsi que l’acquisition et la divulgation des données de communication par les services de renseignement, les forces de police et les autres autorités publiques. Il rendait compte au Premier ministre deux fois par an de l’exercice de sa mission, dans un rapport public (expurgé des annexes confidentielles) remis au Parlement. Dans l’exercice de cette mission de contrôle des pratiques suivies en matière de surveillance, le Commissaire à l’interception des communications et ses inspecteurs avaient accès à tous les documents pertinents, y compris les éléments confidentiels ; et toutes les personnes participant à des activités d’interception étaient tenues de leur divulguer tous les éléments qu’ils demandaient. L’obligation pour les agences interceptrices de tenir des dossiers garantissait l’accès effectif du Commissaire aux détails des activités de surveillance entreprises.
146. Le Commissaire aux services de renseignement assurait pour sa part une supervision externe indépendante qui portait sur l’utilisation des pouvoirs intrusifs des services de renseignement et de certaines parties du ministère de la Défense. Il rendait également au Premier ministre des rapports annuels qui étaient remis au Parlement.
147. Pour autant qu’elles étaient applicables en Angleterre, en Écosse et au pays de Galles, ces dispositions ont été abolies par la loi de 2016 sur les pouvoirs d’enquête (paragraphes 195 à 201 ci-dessous). Depuis septembre 2017, c’est le Commissariat aux pouvoirs d’enquête (Investigatory Powers Commissioner’s Office) qui supervise l’exercice des pouvoirs d’enquête. Ce commissariat est composé : d’une quinzaine de commissaires judiciaires, qui sont des juges en exercice ou récemment retraités de la High Court, de la Court of Appeal ou de la Cour suprême ; d’un panel consultatif technique composé d’experts scientifiques ; et de près de 50 agents (inspecteurs, juristes, experts en communications). Une fois que les dispositions de la loi de 2016 seront entrées en vigueur, les mesures les plus intrusives (interception, interférence dans le fonctionnement des équipements, surveillance dans des environnements sensibles) seront soumises à l’approbation préalable d’un commissaire judiciaire (Judicial Commissioner). L’application de ces mesures de surveillance et d’autres mesures analogues, dont l’acquisition de données de communication et l’utilisation de sources humaines de renseignement infiltrées, sont également soumis à une supervision exercée dans le cadre d’un programme d’inspections et d’audits réalisés a posteriori par les commissaires judiciaires et les inspecteurs du Commissariat aux pouvoirs d’enquête.
F. Le contrôle des opérations d’interception réalisées par les services de renseignement
1. La déclaration faite en juillet 2013 par la Commission parlementaire sur le renseignement et la sécurité relativement aux allégations d’interception de communications par le GCHQ dans le cadre du programme américain PRISM
148. La Commission parlementaire sur le renseignement et la sécurité (« la commission parlementaire ») a été instaurée par la loi de 1994 sur les services de renseignement afin d’examiner les règles, l’administration et les dépenses du MI5, du MI6 et du GCHQ. La loi de 2013 sur la justice et la sécurité (Justice and Security Act 2013) lui a attribué expressément la qualité de commission parlementaire, dotée de pouvoirs plus étendus, et a étendu son champ de compétence notamment à la supervision des activités opérationnelles et des activités plus larges de renseignement et de sécurité du gouvernement. En vertu des articles 1 à 4 de la loi de 2013, la commission comprend neuf membres issus des deux chambres du Parlement et, dans l’exercice de leurs fonctions, ces membres ont couramment accès à des éléments classifiés d’un niveau de confidentialité élevé pour mener à bien leur mission.
149. Après les révélations d’Edward Snowden, la commission parlementaire a enquêté sur l’accès du GCHQ au contenu de communications interceptées dans le cadre du programme américain PRISM, sur le cadre juridique régissant cet accès et sur les modalités que le GCHQ avait mises en place avec son homologue étranger pour le partage d’informations. Dans le cadre de cette enquête, elle a recueilli des informations détaillées auprès du GCHQ et discuté du programme avec la NSA.
150. Elle a conclu que les allégations selon lesquelles le GCHQ avait contourné les lois du Royaume-Uni en utilisant le programme PRISM de la NSA pour accéder au contenu de communications privées étaient infondées, le GCHQ ayant respecté les obligations légales que lui imposait la loi sur les services de renseignement. Elle a conclu également que dans chacun des cas où le GCHQ avait demandé des informations États-Unis, un mandat d’interception signé par un ministre était déjà en place. Elle a cependant estimé nécessaire d’examiner plus avant la question de savoir si le cadre légal qui régissait l’accès aux communications privées demeurait adapté.
2. Le rapport « Privacy and security: a modern and transparent legal framework » (Vie privée et sécurité : un cadre juridique moderne et transparent)
151. Après sa déclaration de juillet 2013, la commission parlementaire a mené des investigations plus approfondies sur l’ensemble des capacités des services de renseignement. À l’issue de ces investigations, elle a publié, le 12 mars 2015, un rapport renfermant un volume sans précédent d’informations relatives aux capacités d’intrusion des services de renseignement (paragraphes 11 à 13 ci-dessus).
152. La commission parlementaire estimait que les services de renseignement et de sécurité du Royaume-Uni n’essayaient pas de contourner leurs obligations légales, notamment les exigences posées par la loi sur les droits de l’homme, à laquelle sont soumises toutes leurs activités. Elle considérait toutefois que, s’étant développé petit à petit, le cadre juridique était inutilement compliqué. Elle exprimait de fortes préoccupations quant au manque de transparence qui en découlait, et estimait que celui-ci n’était pas dans l’intérêt public. Sa recommandation principale était donc de remplacer le cadre juridique en vigueur par une nouvelle loi qui énoncerait clairement les pouvoirs d’intrusion conférés aux services de renseignement, les buts dans lesquels ils pouvaient les exercer et les autorisations requises au préalable.
153. Relativement à la capacité d’interception en masse du GCHQ, la commission parlementaire indiquait que ses investigations avaient montré que les services de renseignement n’avaient ni le mandat, ni les ressources, ni la capacité technique, ni le souhait d’intercepter toutes les communications des citoyens britanniques ou toutes les communications Internet dans leur ensemble : le GCHQ ne lisait pas les emails de chaque individu se trouvant au Royaume‑Uni. Au contraire, les systèmes d’interception en masse du GCHQ n’étaient appliqués qu’à une très faible proportion des canaux de transmission qui constituaient le réseau Internet, et la commission estimait établi que le GCHQ appliquait des niveaux de filtrage et de sélection tels que seule une partie des éléments transitant par ces canaux de transmission était collectée. Elle notait également que le filtrage était suivi de recherches ciblées qui garantissaient que seuls les éléments dont on pensait qu’ils présentaient le plus grand intérêt pour le renseignement étaient finalement transmis à un analyste pour examen, de sorte que seule une part minime des éléments collectés était finalement consultée par un être humain.
154. Pour ce qui était des communications Internet, la commission parlementaire considérait que la manière dont étaient distinguées les communications « intérieures » des communications « extérieures » était déroutante et manquait de transparence. Elle suggérait donc que le gouvernement publie une explication permettant de comprendre quelles communications Internet relevaient de quelle catégorie, avec une liste claire et complète des différentes communications.
155. Elle notait néanmoins que les investigations avaient établi que l’interception en masse ne pouvait pas être utilisée pour cibler les communications d’un individu se trouvant au Royaume-Uni en l’absence d’autorisation spécifique nommant l’intéressé et signée par un ministre.
156. Elle constatait par ailleurs que les mandats émis en vertu de l’article 8 § 4 de la RIPA étaient en eux-mêmes très brefs et que, lorsque le certificat accompagnant le mandat énonçait les catégories de communications susceptibles d’être examinées, ces catégories étaient exprimées en termes très généraux (par exemple, « des éléments fournissant des renseignements sur le terrorisme (conformément à la définition figurant dans la loi de 2000 sur le terrorisme (version modifiée)), notamment et sans que cette liste soit exhaustive sur des organisations terroristes, des terroristes, des sympathisants actifs, la préparation d’attentats et la collecte de fonds »). Eu égard au caractère très générique de ce type de certificat, la commission parlementaire se demandait s’il était nécessaire qu’il reste secret ou si, dans l’intérêt de la transparence, il ne pouvait pas être publié.
157. Même si le certificat émis en vertu de l’article 8 § 4 de la RIPA précisait les catégories générales d’informations susceptibles d’être examinées, la commission parlementaire observait qu’en pratique, c’étaient la sélection des canaux de transmission, l’application de sélecteurs simples et de critères de recherches initiaux, puis les recherches complexes qui déterminaient quelles communications étaient examinées. Elle aurait donc souhaité avoir l’assurance que ces méthodes étaient soumises au contrôle et à la vérification des ministres et/ou des Commissaires ; or les éléments dont elle disposait indiquaient que ni les ministres ni les Commissaires n’avaient de visibilité significative sur ces questions. Elle recommandait donc que la loi charge le Commissaire à l’interception des communications de vérifier les différents critères de sélection utilisés dans le cadre des interceptions en masse afin de s’assurer qu’ils correspondent directement au certificat et à des exigences de sécurité nationale valables.
158. La commission parlementaire notait que les données de communication étaient capitales pour la plupart des enquêtes menées par les services de renseignement : on pouvait les analyser pour dégager des schémas reflétant certains comportements en ligne particuliers associés à des activités telles que la préparation d’attentats, et établir ainsi des liens, afin de se concentrer sur les individus susceptibles de représenter une menace, de faire en sorte que les interceptions soient correctement ciblées et de repérer les réseaux et les associations relativement rapidement. Ces données étaient particulièrement utiles aux premiers stades d’une enquête, où les services de renseignement devaient pouvoir déterminer si les personnes associées à une cible étaient liées au projet criminel (et devaient donc faire l’objet d’une enquête plus approfondie) ou s’il s’agissait de personnes sans lien avec ce projet. Selon le ministre de l’Intérieur, elles avaient « joué un rôle important dans toutes les opérations de contre‑terrorisme du [MI5] au cours des dix dernières années ». Néanmoins, la commission parlementaire exprimait une inquiétude au sujet de la définition des « données de communication » : si elle admettait qu’il y avait une catégorie de données de communication dont l’interception était moins intrusive que l’interception de contenu, et qui n’appelait donc pas le même niveau de protection, elle considérait qu’il existait aussi certaines catégories de données de communication susceptibles de révéler des détails plus intimes de la vie privée d’une personne et, dès lors, appelant des garanties plus importantes.
159. Enfin, la commission parlementaire déclarait expressément qu’il était important que les décisions de l’IPT puissent faire l’objet d’un recours au niveau national.
3. Le rapport « A Question of Trust » (Une question de confiance) établi par le contrôleur indépendant de la législation sur le terrorisme à l’issue du contrôle des pouvoirs d’enquête (« le rapport Anderson »)
160. Le contrôleur indépendant de la législation sur le terrorisme, qui existe depuis la fin des années 1970, est une personne indépendante, nommée par le ministre de l’Intérieur et par le Trésor pour un mandat de trois ans renouvelable. Il est chargé de rendre compte au ministre de l’Intérieur et au Parlement de la mise en œuvre de la législation relative à la lutte contre le terrorisme au Royaume-Uni. Ses rapports sont remis au Parlement, pour éclairer le débat public et politique. Le contrôleur indépendant a en effet pour rôle d’éclairer le débat public et politique sur la législation relative à la lutte contre le terrorisme au Royaume-Uni. La particularité de ce rôle réside dans le fait que le contrôleur est totalement indépendant du gouvernement et a accès à des personnes et à des informations relatives à la sécurité nationale secrètes et sensibles nécessitant un niveau d’habilitation très élevé.
161. L’objet du rapport Anderson, qui a été publié en juin 2015 et qui porte le nom du contrôleur indépendant de l’époque, était d’éclairer le débat public et politique sur les menaces auxquelles était exposé le Royaume-Uni, les capacités nécessaires pour y faire face, les garanties mises en place pour la protection de la vie privée, les défis liés à l’évolution de la technologie, les questions relatives à la transparence et à la supervision, et la nécessité éventuelle de modifier la loi ou d’adopter un nouveau texte. Aux fins de l’établissement de ce rapport, le contrôleur indépendant avait disposé d’un accès sans restriction, au plus haut niveau d’habilitation, aux autorités publiques et services gouvernementaux concernés. Il avait également échangé avec des fournisseurs de services, des experts techniques indépendants, des ONG, des universitaires, des juristes, des juges et des autorités de régulation.
162. Dans le rapport, le contrôleur indépendant notait que le cadre légal régissant les pouvoirs d’enquête s’était développé petit à petit et qu’en conséquence, « peu [de lois étaient] plus impénétrables que la RIPA et les textes en découlant ».
163. Relativement à l’importance des données de communication, il observait que ces données permettaient aux services de renseignement de se faire une idée des activités de la personne concernée et que, ce qui était extrêmement important, elles permettaient de disposer d’informations relatives à des activités criminelles ou terroristes. Il notait qu’elles permettaient de mieux déterminer les cibles de futures activités et qu’elles contribuaient aussi à établir que quelqu’un était complètement innocent. Il concluait que la capacité d’utiliser les données de communication (sous réserve des principes de nécessité et de proportionnalité) était d’une importance capitale :
a) pour relier un individu à un compte ou à une action (par exemple, la visite d’un site web, l’envoi d’un email) grâce à la résolution de son adresse IP ;
b) pour déterminer le lieu où se trouvait une personne, généralement grâce au bornage de son téléphone ou aux données GPRS ;
c) pour déterminer comment les suspects ou les victimes communiquaient (par quelles applications ou services) ;
d) pour observer la criminalité en ligne (par exemple, déterminer quels sites web étaient visités à des fins de terrorisme, d’exploitation sexuelle des enfants ou d’acquisition d’armes à feu ou de drogues illicites) ; et
e) pour exploiter les données (par exemple, pour déterminer où, quand et avec qui ou quoi quelqu’un communiquait, comment des logiciels malveillants (malware) ou des attaques par déni de service (denial of service attack) étaient mis en œuvre, ou encore pour corroborer d’autres éléments de preuve).
164. Il notait également que l’analyse des données de communication pouvait être réalisée rapidement, ce qui la rendait extrêmement utile pour des opérations où la situation évoluait vite, et que l’utilisation des données de communication pouvait fournir les éléments nécessaires pour justifier une mesure plus intrusive ou pour rendre d’autres mesures inutiles.
165. Ses propositions de réforme peuvent se résumer comme suit :
a) élaborer une nouvelle loi complète et compréhensible qui remplacerait « la multitude de mandats actuelle » et encadrerait par des limites et des garanties claires tout pouvoir d’intrusion que les autorités publiques pourraient devoir exercer ;
b) revoir, clarifier et mettre à jour la définition du « contenu » et la définition des « données de communication » ;
c) maintenir la possibilité pour les agences de sécurité et de renseignement d’intercepter en masse des éléments et les données de communication associées, mais en l’encadrant par des garanties supplémentaires strictes, notamment en soumettant tous les mandats à l’autorisation d’un commissaire judiciaire, membre d’une Commission indépendante de la surveillance et du renseignement (« la commission surveillance et renseignement ») à créer ;
d) énoncer dans le certificat accompagnant le mandat les buts pour lesquels des éléments ou des données pourraient être recherchés par référence à des opérations ou des objectifs de mission précis (par exemple, « projet d’attentat de l’EIIL contre les intérêts britanniques en Irak/en Syrie ») ;
e) créer une nouvelle forme de mandat d’interception en masse limité à l’acquisition de données de communication pour les cas où cette mesure constituerait une solution proportionnée au but visé ;
f) poser une obligation légale selon laquelle les personnes désignées devraient être indépendantes des opérations et enquêtes pour lesquelles l’autorisation d’acquérir des données de communication est demandée ;
g) transmettre à la commission surveillance et renseignement pour décision par un commissaire judiciaire les demandes nouvelles ou contentieuses de données de communication et les demandes visant à découvrir des éléments protégés par le secret ou la confidentialité ;
h) confier à la commission surveillance et renseignement la supervision des activités des services de renseignement et rendre la commission accessible au public, transparente et accessible aux médias ; et
i) donner à l’IPT le pouvoir de prononcer des déclarations d’incompatibilité et rendre ses décisions susceptibles de recours sur des points de droit.
4. Le rapport « A Democratic Licence to Operate » (Un permis d’opérer démocratique), établi à l’issue du contrôle indépendant des activités de surveillance (« le contrôle de la surveillance »)
166. Le contrôle de la surveillance a été réalisé, à la demande du vice‑Premier ministre de l’époque, par un groupe de réflexion indépendant, le Royal United Services Institute (« l’Institut royal »), en partie en réaction aux révélations d’Edward Snowden. L’Institut royal avait pour mandat de vérifier la légalité des programmes de surveillance mis en œuvre par le Royaume-Uni et l’efficacité des régimes qui les encadraient, et de proposer les réformes qui pourraient être nécessaires pour protéger à la fois la vie privée des individus et les capacités que devaient conserver la police et des services de sécurité et de renseignement.
167. Malgré les révélations d’Edward Snowden, l’Institut royal n’a décelé dans le cadre du contrôle de la surveillance aucun élément de nature à indiquer que le gouvernement britannique ait agi sciemment de manière illégale en interceptant des communications privées, ou qu’il ait utilisé la possibilité de collecter des données en masse pour disposer en permanence d’une fenêtre ouverte sur la vie privée des citoyens britanniques. En revanche, il a estimé que le cadre juridique autorisant l’interception des communications n’était pas clair, qu’il n’était pas à jour de l’évolution de la technologie des communications et qu’il n’était satisfaisant ni pour le Gouvernement ni pour le public. Il a donc conclu qu’il fallait mettre en place un nouveau cadre, complet et plus clair.
168. En particulier, il a appuyé l’avis énoncé tant dans le rapport de la commission parlementaire que dans le rapport Anderson selon lequel il fallait certes que les autorités conservent leurs pouvoirs de surveillance, mais aussi qu’un nouveau cadre législatif et un nouveau régime de supervision soient mis en place. Il considérait également que la définition du « contenu » et celle des « données de communication » devaient être révisées dans le cadre de l’élaboration de la nouvelle législation, afin que l’une et l’autre notion soient clairement délimitées par la loi.
169. L’Institut royal a observé que pour chaque individu, le volume de données de communication disponible était supérieur au volume de données de contenu, car chaque contenu s’accompagnait de multiples données de communication. Il a noté également que l’agrégation d’ensembles de données permettait de brosser un tableau extrêmement précis de la vie d’un individu car, alimentés par suffisamment de données brutes, des algorithmes et des ordinateurs puissants pouvaient générer un portrait relativement complet de la personne et de ses habitudes sans même accéder au contenu des données. Il a souligné en outre que l’utilisation de méthodes de cryptage de plus en plus élaborées avait rendu le contenu de plus en plus difficile d’accès.
170. L’Institut royal considérait également que la possibilité pour les services de sécurité et de renseignement de collecter et d’analyser en masse des éléments interceptés devait être maintenue, mais encadrée par des garanties plus fortes conformément aux recommandations du rapport Anderson. En particulier, il était lui aussi d’avis que les mandats aux fins d’interception en masse devaient comprendre bien plus de détails que ce n’était le cas au moment de l’établissement du rapport, et qu’ils devaient faire l’objet d’un processus d’autorisation judiciaire, sauf en cas d’urgence.
171. L’Institut royal souscrivait par ailleurs aux conclusions figurant tant dans le rapport de la commission parlementaire que dans le rapport Anderson selon lesquelles il fallait qu’il y ait différents types de mandat d’interception et d’acquisition des communications et des données associées. Il proposait que les mandats émis à des fins liées à la détection et à la prévention de la criminalité grave et organisée fassent toujours l’objet d’une autorisation délivrée par un commissaire judiciaire, et que les mandats émis à des fins liées à la sécurité nationale fassent l’objet d’une autorisation délivrée par le ministre et soumise au contrôle juridictionnel d’un commissaire judiciaire.
172. L’Institut royal a recommandé que l’IPT tienne des audiences publiques, sauf dans les cas où il estimerait qu’une audience à huis clos est nécessaire dans l’intérêt de la justice ou dans un autre intérêt public précis. Il a estimé également que l’IPT devait avoir la possibilité de vérifier les preuves secrètes produites devant lui, éventuellement en désignant un Conseil spécial. Enfin, il a souscrit aux conclusions du rapport de la commission parlementaire et du rapport Anderson selon lesquelles il était important que les décisions de l’IPT soient susceptibles de recours au niveau national et il fallait envisager de créer un tel droit dans la future législation.
5. Le rapport établi à l’issue du contrôle des pouvoirs de manipulation des données de masse
173. Le contrôle des pouvoirs de manipulation des données de masse a été réalisé en mai 2016 pour évaluer la justification pratique des quatre pouvoirs de manipulation des données de masse (interception en masse, acquisition en masse de données de communication, interférence massive dans le fonctionnement des équipements, acquisition d’ensembles de données personnelles de masse) prévus par ce qui était alors le projet de loi sur les pouvoirs d’enquête (désormais la loi de 2016 sur les pouvoirs d’enquête, voir les paragraphes 195 à 201 ci-dessous).
174. Comme le contrôle des pouvoirs d’enquête, le contrôle des pouvoirs de manipulation des données de masse a été réalisé par le contrôleur indépendant de la législation sur le terrorisme. Pour mener à bien cette mission, celui-ci recruta une équipe de trois personnes, toutes trois habilitées sécurité au niveau requis pour accéder à des éléments classifiés d’un niveau de confidentialité élevée : une personne qui avait les connaissances techniques nécessaires pour comprendre les systèmes et techniques utilisés par le GCHQ et les utilisations qui pouvaient en être faites, un enquêteur qui avait l’expérience de l’utilisation de renseignements secrets et notamment de renseignements générés par le GCHQ, et un conseil indépendant très qualifié qui avait les compétences et l’expérience nécessaires pour vérifier d’un point de vue scientifique et technique les éléments et les cas pratiques soumis par les services de sécurité et de renseignement.
175. Dans le cadre de ce contrôle, l’équipe eut des échanges abondants et détaillés avec les services de renseignement à tous les niveaux hiérarchiques ainsi qu’avec les organes de supervision compétents (dont l’IPT et le Conseil près le Tribunal selon que de besoin), avec des ONG et avec des experts techniques indépendants.
176. Le contrôle portait sur le projet de loi sur les pouvoirs d’enquête, mais plusieurs des conclusions auxquelles l’équipe a abouti en ce qui concerne l’interception en masse sont pertinentes pour la présente affaire. Notamment, après avoir examiné de nombreux éléments confidentiels, l’équipe a conclu que la possibilité de procéder à ce type d’interceptions était une nécessité essentielle : d’une part, parce que les terroristes, les criminels et les services de renseignement étrangers hostiles avaient acquis des capacités de plus en plus sophistiquées d’échapper à la détection opérée par des moyens classiques, et d’autre part, parce que la nature mondiale d’Internet avait pour conséquence que la voie qu’emprunterait une communication donnée était devenue fortement imprévisible. Après avoir examiné les possibilités autres que l’interception en masse (interceptions ciblées, recours à des sources humaines, utilisation de produits de cyberdéfense commerciaux), l’équipe a conclu qu’aucune de ces possibilités ni aucune combinaison de plusieurs de ces possibilités n’aurait été suffisante pour remplacer l’interception en masse en tant que méthode d’obtention des renseignements nécessaires.
6. L’examen indépendant des contrôles internes réalisés au sein du MI5 et des forces de police après les attentats commis à Londres et à Manchester entre mars et juin 2017
177. Entre mars et juin 2017, le Royaume-Uni fut frappé par une série de quatre attentats terroristes : ainsi, dans un laps de temps relativement court, 36 innocents trouvèrent la mort et près de 200 autres furent blessés. Le ministre de l’Intérieur demanda alors au contrôleur indépendant de la législation sur le terrorisme récemment retraité, David Anderson, d’examiner les contrôles internes classifiés réalisés au sein des forces de police et des services de renseignement concernés. Le rapport issu de cet examen retraçait ainsi le contexte des attentats :
« 1.2 Les attentats faisant l’objet du présent examen ont été les plus meurtriers commis sur le sol britannique depuis ceux du métro et du bus de Londres en juillet 2005 (« les attentats du 7 juillet »). Ces quatre attentats étaient d’une barbarie et d’une cruauté choquantes. L’impact des trois premiers a été amplifié par le fait qu’ils ont eu lieu à l’issue d’une longue période pendant laquelle le terrorisme islamiste avait déjà fait de nombreux morts dans les pays voisins (France, Belgique, Allemagne), sans toutefois qu’un drame équivalent ne se produise en Grande-Bretagne.
1.3 Ces attentats s’inscrivent dans un schéma de plus en plus familier d’attaques terroristes islamistes et (dans une moindre mesure) antimusulmanes dans les pays occidentaux, en particulier en Europe du Nord. On trouvera ci-après des éléments de contexte, et on verra que les leçons à tirer de ces événements peuvent être transposables à d’autres circonstances.
1.4 Premièrement, le centre conjoint d’analyse du terrorisme [Joint Terrorism Analysis Centre] (JTAC) a évalué le niveau de menace que pose au Royaume-Uni ce que l’on appelle le « terrorisme international » (expression qui désigne en pratique le terrorisme islamiste, qu’il émane du territoire national ou de l’étranger). Il a jugé qu’il était élevé [SEVERE] depuis août 2014, ce qui signifie qu’il est « très probable » que des attentats terroristes islamistes aient lieu au Royaume-Uni. Les commentateurs qui ont accès aux renseignements pertinents ont toujours dit clairement que cette évaluation était réaliste. Ils ont souligné également la menace plus restreinte mais néanmoins meurtrière que représente le terrorisme d’extrême-droite, et qu’illustrent par exemple l’assassinat de la députée Jo Cox en juin 2016 ou encore l’interdiction du groupe néo-nazi « National Action » en décembre 2016.
1.5 Deuxièmement, l’ampleur croissante de la menace que représente le terrorisme islamiste est frappante. Le Directeur général du MI5, Andrew Parker, a évoqué en octobre 2017 « une accélération spectaculaire de la menace cette année », indiquant qu’il fallait faire face au « rythme le plus soutenu que j’aie vu au cours de mes 34 années de carrière ». Même si le terrorisme islamiste tue principalement en Afrique, au Moyen-Orient et en Asie du Sud, la menace s’est propagée récemment dans le monde occidental, et elle a été qualifiée de « particulièrement diffuse et diverse au Royaume-Uni ». On ne sait pas encore quels effets, bons ou mauvais, l’effondrement matériel de l’« État islamique » en Syrie et en Irak aura sur cette tendance.
1.6 Troisièmement, les profils des auteurs des attentats (...) présentent plusieurs caractéristiques connues. Si l’on compare ceux des cinq auteurs des attentats de Westminster, Manchester et London Bridge avec ceux des auteurs des 269 infractions liées au terrorisme islamiste commises au Royaume-Uni entre 1998 et 2015 (« le total des auteurs »), selon l’analyse d’Hannah Stuart, on constate ceci :
a) tous les cinq étaient de sexe masculin, comme 93 % du total des auteurs ;
b) trois (Masood, Abedi, Butt) étaient britanniques, comme 72 % du total des auteurs ;
c) un (Masood) était converti à l’Islam, comme 16 % du total des auteurs ;
d) trois résidaient à Londres (comme 43 % du total des auteurs) et un dans le nord‑ouest de l’Angleterre (comme 10 % du total des auteurs) ;
e) trois (Masood et, dans une moindre mesure, Abedi et Butt) étaient connus des services de police, comme 38 % du total des auteurs ;
f) les trois mêmes étaient connus du MI5, comme 48 % du total des auteurs ;
g) au moins un (Butt) avait des liens directs avec une organisation terroriste prohibée, comme 44 % du total des auteurs. Cette organisation était, comme pour 56 % du total des auteurs qui avaient des liens avec une organisation terroriste, Al‑Muhajiroun (ALM).
Étant donné qu’ils sont susceptibles d’être jugés prochainement, je ne dirai rien de Hashem Abedi, qui est actuellement détenu en Libye pour l’attentat de Manchester, ni de l’auteur de l’attentat de Finsbury Park, Darren Osborne, dont on pense (comme pour Khalid Masood à Westminster) qu’il n’avait pas de complices.
1.7 Quatrièmement, même si les cibles des trois premiers attentats ne représentaient pas toute la palette actuelle, elles présentaient des ressemblances importantes avec celles d’autres attentats commis récemment en Occident : centres politiques (Oslo 2011, Ottawa 2014, Bruxelles 2016), concerts, endroits festifs et foule (Orlando 2016, Paris 2016, Barcelone 2017), policiers (Melbourne 2014, Berlin 2015, Charleroi 2016). Il y a aussi eu des cas d’attentats visant des musulmans pratiquants ; le terrorisme s’inscrit alors dans le prolongement des crimes de haine, ce fut le cas par exemple du meurtre de Mohammed Saleem dans les Midlands de l’Ouest en 2013.
1.8 Cinquièmement, le mode opératoire des attentats terroristes s’est diversifié et simplifié au fil des années, Daech ayant employé ses formidables efforts de propagande pour inspirer plutôt qu’ordonner la commission d’actes terroristes en Occident. Les attentats examinés ici étaient typiques par le moment et le lieu où ils ont été commis :
a) Contrairement aux attentats islamistes à grande échelle commis sur ordre, qui étaient typiques de la décennie passée, ces quatre attentats ont été commis par des personnes agissant seules ou par de petits groupes, et ne présentent guère de signes de préparation soignée ou de ciblage précis.
b) Du fait du fort contrôle des armes au Royaume-Uni, les armes blanches sont plus fréquemment utilisées que les armes à feu dans les infractions en bande organisée et les infractions terroristes.
c) Depuis qu’un camion a tué 86 innocents à Nice (juillet 2016), les véhicules – présents dans trois des quatre attentats examinés – sont de plus en plus utilisés comme des armes.
d) C’est déjà par l’utilisation combinée d’un véhicule et d’armes blanches, comme à Westminster et à London Bridge, que le soldat Lee Rigby avait été tué à Woolwich en 2013.
e) Comme à Manchester, les explosifs ont été l’arme la plus utilisée par les terroristes islamistes qui ont ciblé l’Europe entre 2014 et 2017. L’explosif « TATP » [triperoxyde de triacétone] s’est révélé fabricable (à l’aide d’achats en ligne et d’instructions de réalisation) plus aisément que ce que l’on croyait auparavant. »
7. Le rapport annuel 2016 du Commissaire à l’interception des communications
a) Mandats émis en vertu de l’article 8 § 4 de la RIPA
178. Dans ce rapport, le Commissaire a noté que lorsqu’elle procède à une interception sur le fondement d’un mandat émis en vertu de l’article 8 § 4 de la RIPA, l’agence interceptrice utilise la connaissance qu’elle a de la manière dont les communications internationales sont acheminées, en la combinant avec des études régulières des liens de communication pertinents, afin de déterminer les canaux de transmission des communications les plus susceptibles de contenir des communications extérieures répondant aux descriptions certifiées par le ministre en vertu de l’article 8 § 4 de la RIPA. Elle doit aussi procéder à l’interception de manière à limiter la collecte de communications non extérieures au minimum compatible avec le but de l’interception des communications extérieures désirées.
179. Le Commissaire a observé également qu’avant que les analystes ne puissent lire, consulter ou écouter des éléments, ils doivent fournir une justification, et notamment préciser la raison pour laquelle ils doivent accéder à ces éléments, conformément à l’article 16 de la RIPA et en vertu du certificat applicable, et pourquoi cet accès est proportionné au but visé. Il a indiqué qu’il ressortait des inspections et des audits que même si la procédure de sélection était suivie soigneusement et consciencieusement, elle reposait sur le jugement professionnel des analystes, sur leur formation et sur la supervision de leur hiérarchie.
180. Selon le rapport, 3007 mandats d’interception avaient été émis en 2016 et cinq demandes avaient été refusées par un ministre. De l’avis du Commissaire, ces chiffres ne faisaient pas apparaître le rôle capital d’assurance qualité exercé en amont par le personnel et les juristes de l’agence interceptrice ou du service de délivrance des mandats (les services de délivrance des mandats fournissaient au ministre des conseils indépendants, et ils examinaient soigneusement les demandes de mandat et les demandes de renouvellement pour veiller à ce que les mesures sollicitées soient (et demeurent) nécessaires et proportionnées au but visé). Sur la base de ses inspections, le Commissaire était convaincu que le faible nombre de demandes rejetées était dû à ce que l’on réfléchissait soigneusement avant de chercher à utiliser ces pouvoirs.
181. Le rapport exposait qu’une inspection normale d’une agence interceptrice comprenait les étapes suivantes :
* les inspecteurs contrôlaient la mise en œuvre des recommandations et instructions formulées à l’issue de l’inspection précédente ;
* ils évaluaient les systèmes mis en place pour l’interception de communications, afin de s’assurer que ces systèmes étaient adéquats aux fins du chapitre 1 de la partie I de la RIPA et que toutes les informations pertinentes étaient consignées ;
* ils examinaient plusieurs demandes d’interception, afin de vérifier que ces demandes étaient nécessaires et qu’elles répondaient aux exigences de nécessité et de proportionnalité ;
* ils s’entretenaient avec des agents chargés du traitement des affaires, avec des analystes et/ou avec des linguistes ayant participé à certaines enquêtes ou opérations, afin de déterminer si l’interception et la justification de l’acquisition de tous les éléments répondaient aux exigences de proportionnalité ;
* ils examinaient les éventuelles approbations orales urgentes, afin de vérifier que le recours à la procédure d’urgence avait été justifié et approprié ;
* ils examinaient les cas où l’on avait intercepté et conservé des communications protégées par le secret ou la confidentialité, ainsi que tous les cas où un avocat avait fait l’objet d’une enquête ;
* ils vérifiaient que les garanties et modalités mises en place en vertu des articles 15 et 16 de la RIPA étaient adéquates ;
* ils examinaient les procédures mises en place pour la conservation, le stockage et la destruction des éléments interceptés et des données de communication associées ; et
* ils examinaient les erreurs signalées, et vérifiaient que les mesures mises en place pour empêcher que ces erreurs ne se reproduisent étaient suffisantes.
182. À l’issue de chaque inspection, les inspecteurs établissaient un rapport, qui comprenait :
* une évaluation de la mesure dans laquelle les recommandations de l’inspection précédente avaient été suivies ;
* un récapitulatif du nombre et du type de documents d’interception sélectionnés pour l’inspection, y compris une liste détaillée des mandats ;
* des commentaires détaillés sur tous les mandats sélectionnés pour examen plus approfondi et discussion au cours de l’inspection ;
* une évaluation des erreurs signalées au Commissariat pendant la période couverte par l’inspection ;
* un compte rendu de l’examen des procédures de conservation, de stockage et de destruction ;
* un compte rendu des autres questions politiques ou opérationnelles soulevées par l’agence ou le service de délivrance des mandats pendant l’inspection ;
* une évaluation de la manière dont, le cas échéant, les éléments soumis au secret professionnel des avocats (ou les autres éléments confidentiels) avaient été manipulés ;
* un certain nombre de recommandations visant à améliorer le respect du cadre juridique et la performance.
183. En 2016, le commissariat avait inspecté les neuf agences interceptrices une fois et les quatre principaux services de délivrance de mandats deux fois. Ajoutées à ces chiffres, les visites supplémentaires au GCHQ portaient le nombre de visites d’inspection à 22 au total. En outre, le Commissaire et ses inspecteurs avaient réalisé d’autres visites ad hoc dans les agences.
184. Selon le rapport, l’inspection des systèmes mis en place pour la demande et la délivrance de mandats d’interception se déroulait normalement en trois étapes. D’abord, pour disposer d’un échantillon représentatif, les inspecteurs sélectionnaient des mandats visant différents types d’infractions et différents types de menaces pour la sécurité nationale, en recherchant en priorité des mandats d’un intérêt particulier ou particulièrement sensibles (tels que ceux qui donnaient lieu à un degré inhabituel d’intrusion collatérale, ceux qui avait été prolongés pendant longtemps, ceux qui avaient été approuvés oralement, ceux qui avait abouti à l’interception de communications protégées par le secret ou la confidentialité, ou encore les mandats dits « thématiques »). Ensuite, au cours des jours qui précédaient les inspections, ils examinaient en détail les mandats sélectionnés et les documents associés. Puis ils déterminaient les mandats, opérations ou parties de la procédure pour lesquels il leur fallait des informations ou des précisions complémentaires, et ils organisaient un entretien avec le personnel opérationnel, juridique ou technique concerné. Si nécessaire, ils examinaient plus avant la documentation ou les systèmes concernant ces mandats.
185. Au cours des 22 inspections réalisées en 2016, 970 mandats avaient été examinés, soit 61 % du nombre de mandats en vigueur à la fin de l’année et 32 % du total des nouveaux mandats émis en 2016.
186. Selon le rapport, les agences interceptrices avaient toutes un avis différent quant à ce qui constituait une durée de conservation appropriée des éléments interceptés et des données de communication associées. Il n’y avait pas de durée prévue par la loi, mais les agences devaient se baser sur l’article 15 § 3 de la RIPA, qui disposait que les éléments ou données devaient être détruits dès que leur conservation n’était plus nécessaire dans l’un des buts autorisés en vertu de l’article 15 § 4. La grande majorité du contenu était examinée et supprimée automatiquement dans un délai bref, à moins qu’une mesure spécifique ne soit prise pour le conserver plus longtemps parce que cette conservation était nécessaire. Les durées de conservation différaient en fonction des agences interceptrices ; elles allaient de 30 jours à un an. Les durées de conservation des données de communication associées différaient aussi selon les agences ; elles allaient de six mois à un an.
187. Dans leurs rapports d’inspection, les inspecteurs avaient fait au total 28 recommandations, dont 18 quant à la procédure de demande. La majorité des recommandations relatives à la procédure de demande concernaient la nécessité, la proportionnalité et/ou les justifications avancées dans les demandes à l’appui d’une intrusion collatérale, ou encore la manipulation d’éléments protégés par le secret ou la confidentialité en raison du caractère sensible de la profession du sujet.
188. En 2016, 108 erreurs d’interception au total avaient été signalées au Commissaire. Les causes les plus fréquentes d’erreur d’interception étaient la collecte trop large (en général, il s’agissait d’erreurs techniques au niveau logiciel ou matériel qui aboutissaient à une collecte trop large d’éléments interceptés et de données de communication associées), la sélection et l’examen non autorisés, la diffusion indue, le manquement à annuler une interception, ou encore l’interception de données à la mauvaise adresse ou pour la mauvaise personne.
b) Acquisition de données de communication en vertu du chapitre II de la RIPA
189. Selon le rapport, en 2016, 93 % du total des données avaient été acquis par les forces de police et les agences des forces de l’ordre, 6 % par les services de renseignement, et le pourcent restant par d’autres autorités publiques, dont les autorités locales. Sur l’ensemble des données acquises, 50 % étaient des informations relatives à l’abonné, 48 % des données de trafic et 2 % des informations sur l’utilisation des services. La plupart des données acquises (81 %) étaient des données téléphoniques, de téléphone fixe ou mobile. Les identifiants Internet, par exemple l’adresse email ou l’adresse IP, représentaient 15 % des données acquises ; et 2 % des demandes concernaient des identifiants postaux.
190. En ce qui concerne le but de la demande, 83 % des données avaient été acquises aux fins de la prévention ou de la détection des infractions ou du maintien de l’ordre, 11 % aux fins d’empêcher un décès, des blessures, ou l’atteinte à la santé mentale d’une personne, ou de limiter autant que possible des blessures ou l’atteinte à la santé physique ou mentale d’une personne, et 6 % dans l’intérêt de la sécurité nationale.
191. Environ 70 % des demandes avaient porté sur des données datant de moins de trois mois, 25 % sur des données datant de trois mois à un an, et 6 % sur des données datant de plus de douze mois. Sur l’ensemble des demandes, 81 % avaient visé à obtenir les données d’une adresse de communication pendant trois mois ou moins (par exemple, les données des appels entrants et sortants à une adresse de communication donnée pendant trois mois), et 25 % avaient visé à obtenir des données sur une période inférieure à un jour.
192. Dans 27 % des cas, le point de contact unique avait renvoyé la demande au demandeur pour qu’il la complète. Dans 5 % des cas, il avait rejeté la demande. Les raisons pour lesquelles le point de contact unique avait rejeté des demandes d’obtention de données étaient les suivantes : manque de clarté ; absence de lien démontré entre l’infraction et l’adresse de communication ; justification insuffisante d’une intrusion collatérale. Dans 4 % des cas, la personne désignée avait renvoyé la demande au demandeur pour qu’il la complète, et dans 1 % des cas elle l’avait rejetée. La principale raison pour laquelle les personnes désignées avaient renvoyé ou rejeté des demandes était qu’elles n’étaient pas convaincues par les justifications avancées pour démontrer la nécessité ou la proportionnalité de la mesure (52 % des cas). Un nombre important de demandes avaient été renvoyées parce que la personne désignée avait estimé que la demande manquait globalement de clarté ou n’était pas d’une qualité suffisante (21 % des cas). Parmi les autres raisons pour lesquelles la demande avait été rejetée se trouvait le fait que la personne désignée avait déclaré ne pas être indépendante de l’enquête et demandé que la demande soit transmise à une personne désignée indépendante pour qu’elle l’examine (6 % des cas).
193. En 2016, 47 autorités publiques avaient signalé avoir fait une demande concernant une personne exerçant une profession sensible, soit 948 demandes au total. Une proportion importante de ces 948 demandes avait été classée à tort dans la catégorie des demandes sensibles (c’est-à-dire que le demandeur avait considéré que le sujet exerçait une profession sensible alors que ce n’était pas le cas). Cela s’expliquait généralement par le fait que le demandeur avait préféré se montrer prudent et risquer de qualifier de sensible une profession qui ne l’était pas plutôt que l’inverse, ce qui donnait au Commissaire « la certitude que [les personnes désignées] tiennent systématiquement compte du fait que le sujet exerce une profession sensible ». Le Commissaire notait également que la plupart des demandes concernant des personnes exerçant une profession sensible étaient soumises parce que le sujet avait été victime d’une infraction ou qu’il était suspect dans une enquête pénale, et qu’en pareil cas la profession de l’individu n’était normalement pas pertinente pour l’enquête, mais que les autorités publiques démontraient qu’elles avaient dûment tenu compte de la profession du sujet en la portant à l’attention de la personne devant délivrer l’autorisation.
194. À l’issue de son examen des « erreurs à signaler », le Commissaire notait que le nombre d’erreurs graves était demeuré très bas (0,004%).
G. La loi de 2016 sur les pouvoirs d’enquête
195. La loi de 2016 sur les pouvoirs d’enquête (Investigatory Powers Act 2016, « la loi sur les pouvoirs d’enquête ») a reçu la sanction royale le 29 novembre 2016.
196. Le 30 décembre 2016, la partie 4 de cette loi, qui prévoit un pouvoir d’émettre des « avis de conservation » imposant aux opérateurs de télécommunication de conserver des données, est entrée en vigueur (en partie seulement). Après l’action engagée par Liberty, le Gouvernement admit que cette partie de la loi était, en l’état, incompatible avec les exigences du droit de l’Union européenne. Le texte ne fut toutefois pas modifié et, le 27 avril 2018, la High Court le jugea incompatible avec les droits fondamentaux protégés par le droit de l’Union européenne car, en matière de justice pénale, l’accès aux données conservées n’était pas limité au but de lutter contre les « infractions graves » et, de manière générale, l’accès aux données conservées n’était pas soumis au contrôle préalable d’un tribunal ou d’une instance administrative indépendante. La High Court conclut donc que la loi devait être modifiée pour le 1er novembre 2018.
197. Le 13 février 2017, les dispositions de la loi sur les pouvoirs d’enquête relatives à la nomination du Commissaire aux pouvoirs d’enquête et d’autres commissaires judiciaires sont entrées en vigueur. Le 3 mars 2017, le Gouvernement a nommé le premier Commissaire aux pouvoirs d’enquête (un juge de la Court of Appeal, ancien juge de la Cour pénale internationale), pour un mandat de trois ans. Le Commissaire est entré en fonctions immédiatement. Le Commissariat aux pouvoirs d’enquêtes nouvellement créé a commencé ses activités le 8 septembre 2017. Il doit à terme être composé d’environ 70 personnes (dont une quinzaine de commissaires judiciaires, juges actifs ou récemment retraités de la High Court, de la Court of Appeal ou de la Cour suprême, et un panel consultatif technique d’experts scientifiques).
198. Les autres dispositions de la loi sur les pouvoirs d’enquête ne sont pas encore entrées en vigueur.
199. La loi pose un certain nombre de garanties qui s’appliqueront lorsqu’elle entrera en vigueur en totalité. Ainsi, il ne pourra être émis de mandats d’interception en masse ou de mandats d’interférence massive dans le fonctionnement des équipements que lorsque le but principal de l’interception sera d’acquérir des renseignements relatifs à des individus se trouvant hors du Royaume-Uni, même si la conduite a lieu au Royaume‑Uni. De même, l’ingérence dans la vie privée de personnes se trouvant au Royaume-Uni ne sera autorisée que dans la mesure où elle sera nécessaire dans ce but. La loi prévoit aussi un système de « double sécurité » pour l’exercice des pouvoirs de surveillance les plus intrusifs : les mandats émis par le ministre devront aussi être approuvés par un commissaire judiciaire. Il y aura aussi de nouvelles protections pour les éléments journalistiques et les éléments relevant du secret professionnel des avocats. Notamment, l’acquisition de données de communication identifiant les sources de journalistes sera subordonnée à l’obtention d’une autorisation judiciaire, l’abus de pouvoir sera sévèrement sanctionné, de nouvelles infractions pénales seront créées, et les décisions de l’IPT seront susceptibles de recours.
200. De plus, cette nouvelle loi consolide et met à jour les pouvoirs qu’a l’État d’obtenir des communications et données de communication. Elle pose un cadre actualisé qui régira la manière dont les services de sécurité et de renseignement, les forces de l’ordre et les autres autorités publiques pourront utiliser leurs pouvoirs d’enquête (l’interception de communications, la conservation et l’acquisition de données de communication, l’interférence dans le fonctionnement des équipements aux fins de l’obtention de données de communications et d’autres données) pour obtenir des communications et des données de communication. Elle encadre aussi la conservation et l’examen par les services de sécurité et de renseignement d’ensembles de données personnelles de masse.
201. Le 23 février 2017, le ministère de l’Intérieur a lancé une consultation publique sur les cinq projets de codes de conduite qu’il entend publier en vertu de la loi de 2016 (code sur l’interception de communications, code sur l’interférence dans le fonctionnement des équipements, code sur l’acquisition de données de communication en masse, code sur la conservation et l’utilisation d’ensembles de données personnelles de masse par les agences de sécurité et de renseignement et code sur les avis adressés dans l’intérêt de la sécurité nationale). Ces codes énonceront les procédures et garanties régissant l’exercice par les autorités publiques de leurs pouvoirs d’enquête. Ils expliqueront en détail comment les différents pouvoirs doivent être utilisés, et donneront des exemples de bonnes pratiques. Ils visent à assurer une plus grande clarté et à garantir le respect des normes les plus élevées de professionnalisme et le respect de la législation pertinente. Après la clôture de la consultation le 6 avril 2017, les projets de code ont été encore modifiés. Les règlements qui les feront entrer en vigueur seront déposés et débattus au Parlement, et ils n’entreront eux-mêmes en vigueur qu’après avoir été débattus par les deux chambres du Parlement et approuvés par une résolution des deux chambres.
H. Le droit international pertinent
1. Nations unies
a) La résolution no 68/167 sur le droit à la vie privée à l’ère du numérique
202. La résolution no 68/167, adoptée par l’Assemblée générale le 18 décembre 2013, est ainsi libellée :
« L’Assemblée générale,
(...)
4. Invite tous les États :
(...)
c) À revoir leurs procédures, leurs pratiques et leur législation relatives à la surveillance et à l’interception des communications, et à la collecte de données personnelles, notamment à grande échelle, afin de défendre le droit à la vie privée en veillant à respecter pleinement toutes leurs obligations au regard du droit international ;
d) À créer des mécanismes nationaux de contrôle indépendants et efficaces qui puissent assurer la transparence de la surveillance et de l’interception des communications et de la collecte de données personnelles qu’ils effectuent, le cas échéant, et veiller à ce qu’ils en répondent, ou à les maintenir en place s’ils existent déjà ;
(...) »
b) La Constitution de l’Union internationale des télécommunications (1992)
203. Les articles 33 et 37 de ce texte sont ainsi libellés :
Article 33
Droit du public à utiliser le service international de télécommunication
« Les Membres reconnaissent au public le droit de correspondre au moyen du service international de correspondance publique. Les services, les taxes et les garanties sont les mêmes pour tous les usagers, dans chaque catégorie de correspondance, sans priorité ni préférence quelconque. »
Article 37
Secret des télécommunications
« 1. Les Membres s’engagent à prendre toutes les mesures possibles, compatibles avec le système de télécommunication employé, en vue d’assurer le secret des correspondances internationales.
2. Toutefois, ils se réservent le droit de communiquer ces correspondances aux autorités compétentes, afin d’assurer l’application de leur législation nationale ou l’exécution des conventions internationales auxquelles ils sont parties. »
c) Le Rapport 2006 de la Commission du droit international (A/61/10)
204. Dans son rapport annuel de 2006, la Commission du droit international a décidé d’inscrire à son programme de travail à long terme le sujet « La protection des données personnelles dans la circulation transfrontière de l’information ». Le rapport établi par le Secrétariat sur cette question (Annexe D, p. 517) dégage un certain nombre de principes fondamentaux du droit international public (p. 533) :
Principes fondamentaux
« 23. Un certain nombre de principes fondamentaux peuvent être dégagés des changements observés dans ce domaine en l’espace de près de 40 ans. Ce sont les suivants :
• Licéité et loyauté de la collecte et du traitement : Ce principe présuppose que la collecte de données personnelles serait limitée au minimum indispensable. En particulier, ces données ne devraient pas être obtenues de manière illicite ou par des moyens déloyaux.
• Exactitude : Le principe de la qualité de l’information est une obligation, mettant en jeu la responsabilité de faire en sorte que les données soient exactes et si nécessaire complétées et mises à jour pour les fins auxquelles elles sont destinées.
• Spécification des finalités et limitation : Suivant ce principe, il faut que la finalité pour laquelle les données sont recueillies soit précisée à la personne concernée. Les données ne doivent pas être divulguées, rendues accessibles ou utilisées d’une autre manière à des fins autres que celles qui ont été précisées. Cela doit se faire avec le consentement ou au su de la personne concernée, ou en vertu de la loi. Tout usage subséquent est limité à cette fin, ou à toute autre fin qui n’est pas incompatible avec elle. Les différences résident dans les démarches retenues par les États. Dans certains cas, l’obligation du consentement est perçue comme une condition préalable.
• Proportionnalité : La proportionnalité exige que les mesures nécessaires prises soient proportionnées aux objectifs légitimes poursuivis.
• Transparence : Le terme dénote une politique générale d’ouverture aux faits nouveaux, pratiques et politiques en matière de protection des données de caractère personnel.
• Participation de la personne concernée et, en particulier, droit d’accès : Ce principe est sans doute le plus important aux fins de la protection des données. La personne concernée devrait avoir accès à ces données − de même qu’à la possibilité de déterminer si le maître du fichier détient ou non des données à son sujet, d’obtenir cette information ou de se la faire communiquer sous une forme, d’une manière et à un coût qui soient raisonnables. Cela cadre avec le droit de toute personne de connaître l’existence de tout fichier de données la concernant et son contenu, de contester ces données et de les faire rectifier, modifier ou effacer.
• Non-discrimination : Ce principe signifie que les données appelées à donner lieu à une discrimination illicite et arbitraire ne doivent pas être recueillies. Cela recouvre les informations compilées sur l’origine raciale ou ethnique, la couleur de la peau, la vie sexuelle, les opinions politiques, les croyances religieuses, philosophiques et autres, de même que l’appartenance à une association ou à un syndicat.
• Responsabilité : Ce principe recouvre la sécurité des données : celles-ci doivent être protégées par des mesures raisonnables et appropriées pour éviter leur perte, leur destruction ainsi que leur accès, utilisation, modification ou divulgation sans autorisation − et le maître du fichier devrait avoir à en répondre.
• Contrôle indépendant et sanctions : Le contrôle et les sanctions exigent qu’il y ait un mécanisme assurant le respect des garanties fondamentales et de la légalité et celui de l’obligation redditionnelle. Il devrait y avoir une autorité tenue de donner effet aux prescriptions visant la protection des données et d’en répondre.
• Équivalence des données dans le cas de la circulation transfrontière de données personnelles : C’est un principe de compatibilité ; il est destiné à éviter la création d’obstacles et restrictions injustifiés à la liberté de circulation des données, pour autant que leurs mouvements soient compatibles avec la norme ou jugés adéquats à cette fin.
• Le principe de la possibilité de dérogations : Ce principe implique le pouvoir de faire des exceptions et d’imposer des limitations si elles sont nécessaires pour protéger la sécurité nationale, l’ordre public, la santé ou la moralité publiques ou pour protéger les droits des tiers. »
Possibilité de dérogations
« 24. Si le souci de la vie privée est d’une importance décisive, il n’en doit pas moins être mis en balance avec l’intérêt qui s’attache à d’autres valeurs. La valeur du respect de la vie privée pour éviter les situations embarrassantes, bâtir son intimité et se protéger contre les abus, qui va de pair avec la nécessité de protéger l’individu, doit être mise en balance avec d’autres valeurs contraires, qui vont à l’encontre du droit de regard de chacun sur les renseignements personnels le concernant, comme la nécessité de ne pas dérégler le cours des échanges commerciaux internationaux et intérieurs et la circulation de l’information, l’importance de la manifestation de la vérité et la nécessité de vivre dans un environnement sûr. Il y a des restrictions admissibles, par exemple au nom de la sécurité nationale, de l’ordre public, de la santé ou la moralité publiques, ou en vue de protéger les droits et libertés des tiers, ainsi qu’à cause de la nécessité d’une répression et d’une coopération judiciaire efficaces pour combattre la criminalité au niveau international, et notamment les menaces que font planer le terrorisme international et la criminalité organisée.
25. Il faut que le traitement des données personnelles soit interprété dans le sens des principes qui gouvernent les droits de l’homme. En conséquence, n’importe lequel des objectifs d’intérêt général justifierait une ingérence dans la vie privée dès lors que celle-ci a) est prévue par la loi ; b) est nécessaire dans une société démocratique à la poursuite d’objectifs légitimes ; et c) n’est pas disproportionnée à l’objectif visé. L’expression « prévue par la loi » va au-delà du formalisme qui impose l’existence d’une base en droit interne, en exigeant que cette base légale soit « accessible » et « prévisible ». Pour être prévisible, il faut que la norme soit rédigée avec assez de précision pour permettre à toute personne de régler sa conduite. »
2. Conseil de l’Europe
a) La Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (1981, STE no 108)
205. Cette Convention, qui est entrée en vigueur à l’égard du Royaume‑Uni le 1er décembre 1987, pose des normes en matière de protection des données dans le domaine du traitement automatique des données à caractère personnel dans les secteurs public et privé. En ses parties pertinentes, elle prévoit ceci :
Préambule
« Les États membres du Conseil de l’Europe, signataires de la présente Convention,
Considérant que le but du Conseil de l’Europe est de réaliser une union plus étroite entre ses membres, dans le respect notamment de la prééminence du droit ainsi que des droits de l’homme et des libertés fondamentales ;
Considérant qu’il est souhaitable d’étendre la protection des droits et des libertés fondamentales de chacun, notamment le droit au respect de la vie privée, eu égard à l’intensification de la circulation à travers les frontières des données à caractère personnel faisant l’objet de traitements automatisés ;
Réaffirmant en même temps leur engagement en faveur de la liberté d’information sans considération de frontières ;
Reconnaissant la nécessité de concilier les valeurs fondamentales du respect de la vie privée et de la libre circulation de l’information entre les peuples,
Sont convenus de ce qui suit : »
Article 1er . Objet et but
« Le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l’égard du traitement automatisé des données à caractère personnel la concernant ("protection des données"). »
Article 8 - Garanties complémentaires pour la personne concernée
« Toute personne doit pouvoir :
a. connaître l’existence d’un fichier automatisé de données à caractère personnel, ses finalités principales, ainsi que l’identité et la résidence habituelle ou le principal établissement du maître du fichier ;
b. obtenir à des intervalles raisonnables et sans délais ou frais excessifs la confirmation de l’existence ou non dans le fichier automatisé, de données à caractère personnel la concernant ainsi que la communication de ces données sous une forme intelligible ;
c. obtenir, le cas échéant, la rectification de ces données ou leur effacement lorsqu’elles ont été traitées en violation des dispositions du droit interne donnant effet aux principes de base énoncés dans les articles 5 et 6 de la présente Convention ;
d. disposer d’un recours s’il n’est pas donné suite à une demande de confirmation ou, le cas échéant, de communication, de rectification ou d’effacement, visée aux paragraphes b et c du présent article. »
Article 9 - Exceptions et restrictions
« 1. Aucune exception aux dispositions des articles 5, 6 et 8 de la présente Convention n’est admise, sauf dans les limites définies au présent article.
2. Il est possible de déroger aux dispositions des articles 5, 6 et 8 de la présente Convention lorsqu’une telle dérogation, prévue par la loi de la Partie, constitue une mesure nécessaire dans une société démocratique :
a. à la protection de la sécurité de l’État, à la sûreté publique, aux intérêts monétaires de l’État ou à la répression des infractions pénales ;
b. à la protection de la personne concernée et des droits et libertés d’autrui. »
Article 10 - Sanctions et recours
« Chaque Partie s’engage à établir des sanctions et recours appropriés visant les violations aux dispositions du droit interne donnant effet aux principes de base pour la protection des données énoncés dans le présent chapitre. »
206. Le rapport explicatif de cette convention précise ceci :
Article 9 - Exceptions et restrictions
« 55. Les exceptions aux principes de base pour la protection des données sont limitées à celles nécessaires pour la protection des valeurs fondamentales dans une société démocratique. Le texte du deuxième paragraphe de cet article a été inspiré par celui des deuxièmes paragraphes des articles 6, 8, 10 et 11 de la Convention européenne des Droits de l’Homme. Il ressort des décisions de la Commission et de la Cour des Droits de l’Homme concernant la notion de "mesure nécessaire" que les critères pour une telle notion ne peuvent pas être fixés pour tous les pays et tous les temps, mais qu’il y a lieu de les considérer par rapport à une situation donnée de chaque pays.
56. La lettre a du paragraphe 2 énumère les intérêts majeurs de l’État qui peuvent exiger des exceptions. Ces exceptions ont été formulées de façon très précise pour éviter qu’en ce qui concerne l’application générale de la Convention les États aient une marge de manœuvre trop large.
Les États conservent, aux termes de l’article 16, la faculté de refuser l’application de la Convention dans des cas individuels pour des motifs majeurs y compris ceux énumérés à l’article 9.
La notion de « sécurité de l’État » doit être entendue dans le sens traditionnel de protection de sa souveraineté nationale contre des menaces tant internes qu’externes y compris la protection des relations internationales de l’État. »
b) Le Protocole additionnel à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, concernant les autorités de contrôle et les flux transfrontières de données (8 novembre 2001, STCE no 181)
207. Ce protocole, qui n’a pas été ratifié par le Royaume-Uni, renferme, en ses parties pertinentes, les dispositions suivantes :
Article 1 – Autorités de contrôle
« 1. Chaque Partie prévoit qu’une ou plusieurs autorités sont chargées de veiller au respect des mesures donnant effet, dans son droit interne, aux principes énoncés dans les chapitres II et III de la Convention et dans le présent Protocole.
2.a. À cet effet, ces autorités disposent notamment de pouvoirs d’investigation et d’intervention, ainsi que de celui d’ester en justice ou de porter à la connaissance de l’autorité judiciaire compétente des violations aux dispositions du droit interne donnant effet aux principes visés au paragraphe 1 de l’article 1 du présent Protocole.
b. Chaque autorité de contrôle peut être saisie par toute personne d’une demande relative à la protection de ses droits et libertés fondamentales à l’égard des traitements de données à caractère personnel relevant de sa compétence.
3. Les autorités de contrôle exercent leurs fonctions en toute indépendance.
4. Les décisions des autorités de contrôle faisant grief peuvent faire l’objet d’un recours juridictionnel.
(...) »
Article 2 – Flux transfrontières de données à caractère personnel vers un destinataire n’étant pas soumis à la juridiction d’une Partie à la Convention
« 1. Chaque Partie prévoit que le transfert de données à caractère personnel vers un destinataire soumis à la juridiction d’un État ou d’une organisation qui n’est pas Partie à la Convention ne peut être effectué que si cet État ou cette organisation assure un niveau de protection adéquat pour le transfert considéré.
2. Par dérogation au paragraphe 1 de l’article 2 du présent Protocole, chaque Partie peut autoriser un transfert de données à caractère personnel :
a. si le droit interne le prévoit :
– pour des intérêts spécifiques de la personne concernée, ou
– lorsque des intérêts légitimes prévalent, en particulier des intérêts publics importants, ou
b. si des garanties pouvant notamment résulter de clauses contractuelles sont fournies par la personne responsable du transfert, et sont jugées suffisantes par les autorités compétentes, conformément au droit interne. »
c) La recommandation no R (95) 4 du Comité des Ministres sur la protection des données à caractère personnel dans le domaine des services de télécommunication, eu égard notamment aux services téléphoniques
208. En ses parties pertinentes, cette recommandation, qui a été adoptée le 7 février 1995, est ainsi libellée :
« 2.4. Il ne peut y avoir ingérence des autorités publiques dans le contenu d’une communication, y compris l’utilisation de tables d’écoute ou d’autres moyens de surveillance ou d’interception des communications, que si cette ingérence est prévue par la loi et constitue une mesure nécessaire, dans une société démocratique :
a. à la protection de la sécurité de l’État, à la sûreté publique, aux intérêts monétaires de l’État ou à la répression des infractions pénales ;
b. à la protection de la personne concernée et des droits et libertés d’autrui.
2.5. En cas d’ingérence des autorités publiques dans le contenu d’une communication, le droit interne devrait réglementer :
a. l’exercice des droits d’accès et de rectification par la personne concernée ;
b. les conditions dans lesquelles les autorités publiques compétentes seront en droit de refuser de donner des renseignements à la personne concernée ou d’en différer la délivrance ;
c. la conservation ou la destruction de ces données.
Lorsqu’un exploitant de réseau ou un fournisseur de services est chargé par une autorité publique d’effectuer une ingérence, les données ainsi collectées ne devraient être communiquées qu’à l’organisme désigné dans l’autorisation pour cette ingérence. »
d) La Convention sur la cybercriminalité (Budapest, 2001, STE no 185)
209. En ses parties pertinentes, cette convention prévoit ceci :
Préambule
« Les États membres du Conseil de l’Europe et les autres États signataires,
(...)
Convaincus de la nécessité de mener, en priorité, une politique pénale commune destinée à protéger la société de la criminalité dans le cyberespace, notamment par l’adoption d’une législation appropriée et par l’amélioration de la coopération internationale ;
Conscients des profonds changements engendrés par la numérisation, la convergence et la mondialisation permanente des réseaux informatiques ;
Préoccupés par le risque que les réseaux informatiques et l’information électronique soient utilisés également pour commettre des infractions pénales et que les preuves de ces infractions soient stockées et transmises par le biais de ces réseaux ;
Reconnaissant la nécessité d’une coopération entre les États et l’industrie privée dans la lutte contre la cybercriminalité, et le besoin de protéger les intérêts légitimes dans l’utilisation et le développement des technologies de l’information ;
Estimant qu’une lutte bien menée contre la cybercriminalité requiert une coopération internationale en matière pénale accrue, rapide et efficace ;
Convaincus que la présente Convention est nécessaire pour prévenir les actes portant atteinte à la confidentialité, à l’intégrité et à la disponibilité des systèmes informatiques, des réseaux et des données, ainsi que l’usage frauduleux de tels systèmes, réseaux et données, en assurant l’incrimination de ces comportements, tels que décrits dans la présente Convention, et l’adoption de pouvoirs suffisants pour permettre une lutte efficace contre ces infractions pénales, en en facilitant la détection, l’investigation et la poursuite, tant au plan national qu’au niveau international, et en prévoyant des dispositions matérielles en vue d’une coopération internationale rapide et fiable ;
Gardant à l’esprit la nécessité de garantir un équilibre adéquat entre les intérêts de l’action répressive et le respect des droits de l’homme fondamentaux, tels que garantis dans la Convention de sauvegarde des Droits de l’Homme et des Libertés fondamentales du Conseil de l’Europe (1950), dans le Pacte international relatif aux droits civils et politiques des Nations Unies (1966), ainsi que dans d’autres conventions internationales applicables en matière de droits de l’homme, qui réaffirment le droit à ne pas être inquiété pour ses opinions, le droit à la liberté d’expression, y compris la liberté de rechercher, d’obtenir et de communiquer des informations et des idées de toute nature, sans considération de frontière, ainsi que le droit au respect de la vie privée ;
Conscients également du droit à la protection des données personnelles, tel que spécifié, par exemple, par la Convention de 1981 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
(...) »
Article 2 – Accès illégal
« Chaque Partie adopte les mesures législatives et autres qui se révèlent nécessaires pour ériger en infraction pénale, conformément à son droit interne, l’accès intentionnel et sans droit à tout ou partie d’un système informatique. Une Partie peut exiger que l’infraction soit commise en violation des mesures de sécurité, dans l’intention d’obtenir des données informatiques ou dans une autre intention délictueuse, ou soit en relation avec un système informatique connecté à un autre système informatique. »
Article 3 – Interception illégale
« Chaque Partie adopte les mesures législatives et autres qui se révèlent nécessaires pour ériger en infraction pénale, conformément à son droit interne, l’interception intentionnelle et sans droit, effectuée par des moyens techniques, de données informatiques, lors de transmissions non publiques, à destination, en provenance ou à l’intérieur d’un système informatique, y compris les émissions électromagnétiques provenant d’un système informatique transportant de telles données informatiques. Une Partie peut exiger que l’infraction soit commise dans une intention délictueuse ou soit en relation avec un système informatique connecté à un autre système informatique. »
Article 4 – Atteinte à l’intégrité des données
« 1. Chaque Partie adopte les mesures législatives et autres qui se révèlent nécessaires pour ériger en infraction pénale, conformément à son droit interne, le fait, intentionnel et sans droit, d’endommager, d’effacer, de détériorer, d’altérer ou de supprimer des données informatiques.
2. Une Partie peut se réserver le droit d’exiger que le comportement décrit au paragraphe 1 entraîne des dommages sérieux. »
Article 15 – Conditions et sauvegardes
« 1. Chaque Partie veille à ce que l’instauration, la mise en œuvre et l’application des pouvoirs et procédures prévus dans la présente section soient soumises aux conditions et sauvegardes prévues par son droit interne, qui doit assurer une protection adéquate des droits de l’homme et des libertés, en particulier des droits établis conformément aux obligations que celle-ci a souscrites en application de la Convention de sauvegarde des Droits de l’Homme et des Libertés fondamentales du Conseil de l’Europe (1950) et du Pacte international relatif aux droits civils et politiques des Nations Unies (1966), ou d’autres instruments internationaux applicables concernant les droits de l’homme, et qui doit intégrer le principe de la proportionnalité. »
210. Le rapport explicatif indique ceci :
« 38. Les infractions énumérées ont un trait particulier, à savoir que leurs auteurs doivent expressément agir « sans droit ». Cette expression rend compte du fait que le comportement décrit n’est pas toujours punissable en soi, mais peut être légal ou justifié non seulement par des exceptions légales classiques (consentement, légitime défense ou nécessité), mais dans les cas où d’autres principes ou intérêts excluent toute responsabilité pénale. L’expression « sans droit » tire son sens du contexte dans lequel elle est utilisée. Ainsi, sans restreindre la marge de manœuvre qu’ont les Parties pour interpréter ce concept dans leur droit interne, cette expression peut renvoyer à un comportement qui ne repose sur aucune compétence (législative, exécutive, administrative, judiciaire, contractuelle ou consensuelle) ou à un comportement qui n’est couvert ni par des exceptions légales, excuses et faits justificatifs établis, ni par des principes de droit interne pertinents. La Convention ne concerne pas, par conséquent, les comportements conformes aux compétences gouvernementales légales (par exemple, lorsque le gouvernement de la Partie concernée agit dans un but de maintien de l’ordre public, de protection de la sécurité nationale ou dans le cadre d’une instruction pénale). De plus, les activités légitimes et ordinaires inhérentes à la conception des réseaux ainsi que les pratiques d’exploitation ou de commerce légitimes et ordinaires ne devraient pas être érigées en infractions pénales. On trouvera dans la partie correspondante du texte du rapport explicatif ci-après des exemples précis de telles exceptions au principe de l’incrimination. Il appartient aux Parties de déterminer les modalités d’application desdites exceptions dans leur ordre juridique interne (en droit pénal ou autre).
(...)
58. Pour que la responsabilité pénale soit engagée, l’interception illégale doit être « intentionnelle » et « sans droit ». L’acte est justifié, par exemple, si la personne qui effectue l’interception est en droit de le faire, si elle agit sur ordre ou avec l’autorisation des participants à la transmission (y compris dans le cadre d’activités autorisées de contrôle ou de protection approuvées par les participants) ou si la surveillance est légalement autorisée par les autorités chargées d’une enquête dans l’intérêt de la sécurité nationale ou de la détection d’infractions. (...) »
e) Le rapport 2015 de la Commission européenne pour la démocratie par le droit (« Commission de Venise ») sur le contrôle démocratique des agences de collecte de renseignements d’origine électromagnétique (CDL-AD(2015)011)
211. La Commission de Venise a noté d’emblée la valeur que pouvait présenter l’interception en masse pour les opérations de sécurité, observant que cette méthode permettait aux services de sécurité d’agir en amont, en recherchant des dangers jusque-là inconnus plutôt que d’enquêter sur des dangers connus. Toutefois, elle a aussi noté que le fait d’intercepter des données de masse au cours de leur transmission ou d’ordonner à une société de télécommunications de stocker puis de communiquer aux agences des forces de l’ordre ou des services de sécurité le contenu ou les métadonnées des données de télécommunications portait atteinte aux droits de l’homme et notamment au droit à la vie privée d’une grande partie de la population mondiale. À cet égard, elle a considéré que la principale ingérence dans la vie privée survenait lorsque les agences accédaient aux données personnelles stockées et/ou les traitaient. Pour cette raison, elle a estimé qu’il était important de recourir à l’analyse informatique (généralement réalisée à l’aide de sélecteurs) pour ménager un juste équilibre entre le souci de protéger l’intégrité personnelle et les autres intérêts.
212. La Commission a considéré que les deux garanties les plus importantes résidaient dans le processus d’autorisation (de la collecte et de l’accès aux données collectées) et dans le processus de supervision. Elle a estimé qu’il ressortait nettement de la jurisprudence de la Cour que le processus de supervision devait être confié à un organe indépendant et extérieur. Elle a noté que si la Cour avait montré une préférence pour le système d’autorisation juridictionnelle, elle n’avait pas dit que ce fût une obligation mais elle avait jugé qu’il fallait évaluer le système dans son ensemble et que, en l’absence de contrôles indépendants au stade de l’autorisation, il devait y avoir des garanties extrêmement solides au stade de la supervision. À cet égard, la Commission a examiné l’exemple du système américain, où l’autorisation est donnée par une juridiction spécialisée, le Foreign Intelligence Surveillance Court. Elle a noté que même si ce système requérait l’obtention d’une autorisation juridictionnelle, il ne prévoyait pas de supervision indépendante du suivi des conditions énoncées par la juridiction en question, ce qu’elle a estimé problématique.
213. La Commission a indiqué par ailleurs que l’article 8 de la Convention n’imposait pas expressément de notifier aux intéressés qu’ils avaient fait l’objet d’une surveillance stratégique, et que lorsque le droit interne prévoyait une procédure générale de recours devant un organe de supervision indépendant, ce mécanisme pouvait compenser l’absence de notification.
214. Elle a aussi estimé que les contrôles internes constituaient la « principale garantie ». À cet égard, elle considérait que les procédures de recrutement et de formation revêtaient une importance clé et qu’il était indispensable que les agences concernées tiennent compte de la protection de la vie privée et des autres droits de l’homme lorsqu’elles promulguaient des règles internes.
215. Dans son rapport, la Commission examinait aussi la situation des journalistes. Elle reconnaissait qu’il s’agissait d’un groupe méritant une protection spéciale, puisqu’en cherchant dans leurs contacts, on pouvait découvrir leurs sources, ce qui risquait d’avoir un effet fortement dissuasif sur les lanceurs d’alerte potentiels. Elle estimait néanmoins qu’on ne pouvait édicter une interdiction absolue de recherche dans les contacts d’un journaliste, applicable même en présence de fortes raisons de recourir à une telle pratique. Elle reconnaissait par ailleurs qu’il n’était pas toujours aisé de déterminer que quelqu’un devait être considéré comme un journaliste, les ONG vouées à la formation de l’opinion publique ou même les blogueurs pouvant selon elle revendiquer à juste titre des protections équivalentes.
216. Enfin, elle examinait brièvement la question du partage de renseignements, et en particulier le risque que les États utilisent cette pratique pour contourner les procédures internes applicables en matière de surveillance et/ou les éventuelles limites juridiques auxquelles leurs agences pourraient être soumises en matière d’opérations relevant du renseignement intérieur. Elle considérait qu’une garantie adaptée aurait été de prévoir que les données de masse transférées ne puissent faire l’objet d’une analyse que si les conditions matérielles pesant sur toute investigation au niveau national étaient réunies et si l’agence de renseignement d’origine électromagnétique avait obtenu les mêmes autorisations que celles requises pour une analyse de données de masse qu’elle aurait réalisée avec ses propres techniques.
I. Le droit de l’Union européenne
1. La Charte des droits fondamentaux de l’Union européenne
217. Les articles 7, 8 et 11 de la Charte des droits fondamentaux de l’Union européenne (« la Charte ») sont ainsi libellés :
Article 7 – Respect de la vie privée et familiale
« Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications. »
Article 8 – Protection des données à caractère personnel
« 1. Toute personne a droit à la protection des données à caractère personnel la concernant.
2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.
3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante. »
Article 11 – Liberté d’expression et d’information
« 1. Toute personne a droit à la liberté d’expression. Ce droit comprend la liberté d’opinion et la liberté de recevoir ou de communiquer des informations ou des idées sans qu’il puisse y avoir ingérence d’autorités publiques et sans considération de frontières.
2. La liberté des médias et leur pluralisme sont respectés. »
2. Les directives et règlements de l’Union européenne relatifs à la protection et au traitement des données personnelles
218. La directive sur la protection des données (directive 95/46/CE du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données), adoptée le 24 octobre 1995, a régi pendant des années la protection et le traitement des données personnelles au sein de l’Union européenne. Elle ne s’appliquait toutefois pas aux activités des États membres concernant la sécurité publique, la défense et la sûreté de l’État, celles-ci ne relevant pas du champ d’application du droit communautaire (article 3 § 2).
219. Le règlement général sur la protection des données (RGPD), adopté en avril 2016, a remplacé la directive sur la protection des données. Il est entré en vigueur le 25 mai 2018, et est d’application directe dans les États membres[1]. Il renferme des dispositions et des garanties relatives au traitement au sein de l’Union européenne des informations permettant d’identifier personnellement les personnes qu’elles concernent. Il s’applique à toutes les entreprises qui ont des activités dans l’Espace économique européen, quel que soit l’endroit où elles se trouvent. Il prévoit que les processus opérationnels dans le cadre desquels sont manipulées des données personnelles doivent assurer la protection des données dès la conception et par défaut. Ainsi, les données personnelles doivent, avant d’être stockées, faire l’objet d’une pseudonymisation voire d’une anonymisation totale, et les paramètres par défaut doivent être ceux qui assurent le plus grand respect de la vie privée, afin que les données ne soient pas disponibles publiquement sans le consentement express de la personne concernée et qu’elles ne puissent pas être utilisées pour identifier la personne en l’absence d’informations supplémentaires conservées séparément. Aucune donnée personnelle ne peut être traitée autrement que sur une base légale prévue par le règlement ou sur accord express par adhésion (opt in) du titulaire des données (data owner), recueilli par celui qui procède au traitement des données (data processor) ou par celui qui en est responsable (data controller). Le titulaire des données a le droit de révoquer cette permission à tout moment.
220. Quiconque traite des données personnelles doit clairement avertir qu’il recueille des données, mentionner la base légale sur laquelle il agit et le but du traitement des données ainsi que la durée pendant laquelle celles-ci seront conservées et, le cas échéant, le fait qu’elles sont partagées avec des tiers ou des acteurs externes à l’Union européenne. L’utilisateur a le droit de demander une copie dans un format courant et interopérable des données collectées aux fins de traitement, et le droit à ce que ses données soient effacées dans certaines circonstances. Les autorités publiques et les entreprises dont les activités sont centrées sur le traitement régulier ou systématique des données personnelles sont tenues d’employer un délégué à la protection des données chargé d’assurer le respect du RGPD. Les entreprises doivent signaler les éventuelles violations des données dans un délai de 72 heures si ces violations ont un effet négatif sur le respect de la vie privée des utilisateurs.
221. La directive vie privée et communications électroniques (directive 2002/58/CE du Parlement européen et du Conseil concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques), adoptée le 12 juillet 2002, énonce ceci dans ses considérants 2 et 11 :
« (2) La présente directive vise à respecter les droits fondamentaux et observe les principes reconnus notamment par la charte des droits fondamentaux de l’Union européenne. En particulier, elle vise à garantir le plein respect des droits exposés aux articles 7 et 8 de cette charte. »
« (11) À l’instar de la directive 95/46/CE, la présente directive ne traite pas des questions de protection des droits et libertés fondamentaux liées à des activités qui ne sont pas régies par le droit communautaire. Elle ne modifie donc pas l’équilibre existant entre le droit des personnes à une vie privée et la possibilité dont disposent les États membres de prendre des mesures telles que celles visées à l’article 15, paragraphe 1, de la présente directive, nécessaires pour la protection de la sécurité publique, de la défense, de la sûreté de l’État (y compris la prospérité économique de l’État lorsqu’il s’agit d’activités liées à la sûreté de l’État) et de l’application du droit pénal. Par conséquent, la présente directive ne porte pas atteinte à la faculté des États membres de procéder aux interceptions légales des communications électroniques ou d’arrêter d’autres mesures si cela s’avère nécessaire pour atteindre l’un quelconque des buts précités, dans le respect de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, telle qu’interprétée par la Cour européenne des droits de l’homme dans ses arrêts. Lesdites mesures doivent être appropriées, rigoureusement proportionnées au but poursuivi et nécessaires dans une société démocratique. Elles devraient également être subordonnées à des garanties appropriées, dans le respect de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. »
222. Les dispositions pertinentes de cette directive se lisent ainsi :
Article premier – Champ d’application et objectif
« 1. La présente directive harmonise les dispositions des États membres nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et des services de communications électroniques dans la Communauté.
2. Les dispositions de la présente directive précisent et complètent la directive 95/46/CE aux fins énoncées au paragraphe 1. En outre, elles prévoient la protection des intérêts légitimes des abonnés qui sont des personnes morales.
3. La présente directive ne s’applique pas aux activités qui ne relèvent pas du traité instituant la Communauté européenne, telles que celles visées dans les titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux activités concernant la sécurité publique, la défense, la sûreté de l’État (y compris la prospérité économique de l’État lorsqu’il s’agit d’activités liées à la sûreté de l’État) ou aux activités de l’État dans des domaines relevant du droit pénal. »
Article 15 – Application de certaines dispositions de la directive 95/46/CE
« 1. Les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l’article 8, paragraphes 1, 2, 3 et 4, et à l’article 9 de la présente directive lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale - c’est-à-dire la sûreté de l’État - la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive 95/46/CE. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit communautaire, y compris ceux visés à l’article 6, paragraphes 1 et 2, du traité sur l’Union européenne. »
223. La directive sur la conservation des données (directive 2006/24/CE du Parlement européen et du Conseil sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE), qui n’est plus en vigueur (voir ci-dessous), avait été adoptée le 15 mars 2006. En ses parties pertinentes, elle était ainsi libellée :
Article premier . Objet et champ d’application
« 1. La présente directive a pour objectif d’harmoniser les dispositions des États membres relatives aux obligations des fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications en matière de conservation de certaines données qui sont générées ou traitées par ces fournisseurs, en vue de garantir la disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions graves telles qu’elles sont définies par chaque État membre dans son droit interne.
2. La présente directive s’applique aux données relatives au trafic et aux données de localisation concernant tant les entités juridiques que les personnes physiques, ainsi qu’aux données connexes nécessaires pour identifier l’abonné ou l’utilisateur enregistré. Elle ne s’applique pas au contenu des communications électroniques, notamment aux informations consultées en utilisant un réseau de communications électroniques. »
Article 3 – Obligation de conservation de données
« 1. Par dérogation aux articles 5, 6 et 9 de la directive 2002/58/CE, les États membres prennent les mesures nécessaires pour que les données visées à l’article 5 de la présente directive soient conservées, conformément aux dispositions de cette dernière, dans la mesure où elles sont générées ou traitées dans le cadre de la fourniture des services de communication concernés par des fournisseurs de services de communications électroniques accessibles au public ou d’un réseau public de communications, lorsque ces fournisseurs sont dans leur ressort. »
3. La jurisprudence pertinente de la Cour de justice de l’Union européenne
a) Digital Rights Ireland Ltd contre Minister for Communications, Marine and Natural Resources e.a. et Kärntner Landesregierung e.a. (« Digital Rights Ireland et Seitlinger e.a. », affaires jointes C-293/12 et C-594/12 ; ECLI:EU:C:2014:238)
224. Dans un arrêt du 8 avril 2014, la Cour de justice de l’Union européenne (« CJUE ») a déclaré invalide la directive 2006/24/CE sur la conservation des données prévoyant l’obligation pour les fournisseurs de services de communications électroniques accessibles au public ou les réseaux publics de communications de conserver toutes les données relatives au trafic et les données de localisation pour une durée de six mois à deux ans afin de faire en sorte que ces données soient disponibles aux fins de la recherche, de la détection et de la poursuite d’infractions graves telles que définies par chaque État membre dans son droit interne. Elle a noté que, même si la directive n’autorisait pas la conservation du contenu des communications, les données relatives au trafic et les données de localisation qu’elle visait étaient susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données avaient été conservées. Elle en a déduit que l’obligation de conserver ces données constituait en elle-même une ingérence dans le droit au respect de la vie privée et des communications et dans le droit à la protection des données à caractère personnel garantis respectivement par l’article 7 et par l’article 8 de la Charte des droits fondamentaux de l’Union européenne.
225. Elle a jugé également que l’accès des autorités nationales compétentes aux données constituait une ingérence supplémentaire dans ce droit fondamental, et que cette ingérence était « particulièrement grave ». Elle a considéré que la circonstance que la conservation des données et l’utilisation ultérieure de celles-ci étaient effectuées sans que l’abonné ou l’utilisateur inscrit en fussent informés était susceptible de générer dans l’esprit des personnes concernées le sentiment que leur vie privée faisait l’objet d’une surveillance constante. Elle a conclu que l’ingérence répondait à un objectif d’intérêt général, à savoir contribuer à la lutte contre la criminalité grave et le terrorisme et ainsi, en fin de compte, à la sécurité publique, mais qu’elle ne respectait pas le principe de proportionnalité.
226. En premier lieu, la directive couvrait de manière généralisée toute personne et tous les moyens de communication électronique ainsi que l’ensemble des données relatives au trafic sans qu’aucune différenciation, limitation ni exception ne soient opérées en fonction de l’objectif de lutte contre les infractions graves. Elle comportait donc, selon la CJUE, une ingérence dans les droits fondamentaux de la quasi-totalité de la population européenne. Elle s’appliquait même à des personnes pour lesquelles il n’existait aucun indice de nature à laisser croire que leur comportement pût avoir un lien, même indirect ou lointain, avec des infractions graves.
227. En deuxième lieu, la directive ne contenait pas les conditions matérielles et procédurales afférentes à l’accès des autorités nationales compétentes aux données et à l’utilisation ultérieure de ces données : elle visait simplement, de manière générale, les infractions graves telles que définies par chaque État membre dans son droit interne, mais elle ne prévoyait aucun critère objectif permettant de déterminer quelles infractions pouvaient être considérées comme suffisamment graves pour justifier une ingérence aussi poussée dans les droits fondamentaux consacrés par les articles 7 et 8 de la Charte. Surtout, l’accès aux données par les autorités nationales compétentes n’était pas subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante dont la décision aurait visé à limiter l’accès aux données et leur utilisation à ce qui serait strictement nécessaire aux fins d’atteindre l’objectif poursuivi.
228. En troisième lieu, la directive imposait la conservation de toutes les données pendant une période d’au moins six mois sans que soit opérée une quelconque distinction entre les catégories de données en fonction de leur utilité éventuelle aux fins de l’objectif poursuivi ou selon les personnes concernées. La CJUE a donc conclu que la directive comportait une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte, sans que cette ingérence ne soit précisément encadrée par des dispositions permettant de garantir qu’elle serait effectivement limitée au strict nécessaire. Elle a considéré également que la directive ne prévoyait pas des garanties permettant d’assurer, par des mesures techniques et organisationnelles, une protection efficace des données conservées contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites.
b) Tele2 Sverige AB contre Post- och telestyrelsen et Secretary of State for the Home Department contre Tom Watson e.a. (affaires jointes C-203/15 et C‑698/15 ; ECLI:EU:C:2016:970)
229. Dans l’affaire Secretary of State for the Home Department contre Tom Watson e.a., M. Watson et deux autres personnes avaient sollicité le contrôle juridictionnel de la légalité de l’article 1er de la loi de 2014 sur la conservation des données et les pouvoirs d’enquête (Data Retention and Investigatory Powers Act 2014, « DRIPA »), en vertu duquel le ministre de l’Intérieur pouvait, s’il estimait cette mesure nécessaire et proportionnée à un ou plusieurs des buts visés aux alinéas a) à h) de l’article 22 § 2 de la RIPA, ordonner à un opérateur de télécommunications publiques de conserver des données de communication. M. Watson et les deux autres personnes soutenaient notamment que cet article était incompatible avec les articles 7 et 8 de la Charte et avec l’article 8 de la Convention.
230. Le 17 juillet 2015, la High Court avait jugé que l’arrêt rendu par la CJUE dans l’affaire Digital Rights énonçait des « exigences impératives en droit de l’Union » applicables à la législation des États membres relative à la conservation des données de communication et à l’accès à ces données. Elle avait estimé que puisque, dans cet arrêt, la CJUE avait dit que la directive 2006/24 était incompatible avec le principe de proportionnalité, un texte national au contenu identique à celui de cette directive ne pouvait pas non plus être compatible avec ce principe. Selon la High Court, il découlait de la logique sous-tendant l’arrêt Digital Rights qu’une législation établissant un régime généralisé de conservation des données de communication était contraire aux droits garantis aux articles 7 et 8 de la Charte si elle n’était pas complétée par un régime d’accès aux données défini par le droit national et prévoyant des garanties suffisantes pour la sauvegarde de ces droits, et dès lors, l’article 1er de la DRIPA n’était pas compatible avec les articles 7 et 8 de la Charte puisqu’il n’établissait pas de règles claires et précises relatives à l’accès aux données conservées et à l’utilisation de ces données et il ne subordonnait pas l’accès à ces données au contrôle préalable d’une juridiction ou d’une instance administrative indépendante.
231. Le ministre de l’Intérieur ayant contesté devant la Court of Appeal la décision de la High Court, la Court of Appeal sollicitait de la CJUE une décision préjudicielle.
232. Devant la CJUE, l’affaire Secretary of State for the Home Department contre Tom Watson e.a. fut jointe avec l’affaire C‑203/15, Tele2 Sverige AB contre Post- och telestyrelsen, dans laquelle la cour administrative d’appel de Stockholm (Kammarrätten i Stockholm) sollicitait une décision préjudicielle. À la suite d’une audience à laquelle une quinzaine d’États membres de l’Union européenne intervinrent, la CJUE rendit son arrêt, le 21 décembre 2016. Elle conclut que l’article 15 § 1 de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, devait être interprété en ce sens qu’il s’opposait à l’existence d’une législation nationale régissant la protection et la sécurité des données de trafic et des données de localisation, y compris l’accès des autorités nationales compétentes aux données conservées, qui ne restreindrait pas l’accès à ces données dans le cadre de la lutte contre la criminalité aux fins de la seule lutte contre la criminalité grave, qui ne soumettrait pas cet accès au contrôle préalable d’un tribunal ou d’une autorité administrative indépendante, et qui n’imposerait pas que les données concernées soient conservées sur le territoire de l’Union.
233. La CJUE déclara par ailleurs irrecevable la question, posée par la Court of Appeal, de savoir si la protection conférée par les articles 7 et 8 de la Charte allait au-delà de celle garantie par l’article 8 de la Convention.
234. Après que la CJUE eut rendu cet arrêt, l’affaire revint devant la Court of Appeal. Le 31 janvier 2018, celle-ci rendit une décision de redressement déclaratoire selon laquelle l’article 1er de la DRIPA était incompatible avec le droit de l’Union européenne dans la mesure où il permettait d’accéder aux données conservées sans que cet accès ne soit limité aux seules fins de lutte contre la criminalité grave ni soumis au contrôle préalable d’un tribunal ou d’une autorité administrative indépendante.
c) Privacy International c. Secretary of State for Foreign and Commonwealth Affairs e.a. (IPT/15/110/CH ; EU OJ C 22, 22.01.2018, pp. 29–30)
235. Le 8 septembre 2017, l’IPT statua dans l’affaire Privacy International, qui concernait l’acquisition par les services de sécurité et de renseignement de données de communications de masse en vertu de l’article 94 de la loi de 1984 sur les télécommunications (Telecommunications Act 1984) – qui pose un cadre différent de ceux faisant l’objet des présents griefs – et de données personnelles de masse. Il estima que, puisque leur existence avait été reconnue, ces régimes d’acquisition de données étaient conformes à l’article 8 de la Convention. Il énonça toutefois quatre exigences, qui découlaient apparemment de l’arrêt rendu par la CJUE dans l’affaire Watson et autres et qui semblaient aller au-delà des exigences de l’article 8 de la Convention : la restriction de l’accès aux données de masse non ciblées ; la nécessité d’une autorisation préalable (sauf en cas d’urgence dûment établie) à l’accès aux données ; l’existence de mesures prévoyant la notification ultérieure des personnes concernées ; et la conservation de toutes les données sur le territoire de l’Union européenne.
236. Le 30 octobre 2017, l’IPT adressa une demande de décision préjudicielle à la CJUE, afin que celle-ci précise la mesure dans laquelle les exigences posées dans l’arrêt Watson seraient applicables dans le cas où l’acquisition de données de masse et le recours à des techniques de traitement automatisé seraient nécessaires pour protéger la sécurité nationale. Dans cette demande, il exprimait de fortes préoccupations pour le cas où la CJUE considérerait que les exigences Watson étaient effectivement applicables aux mesures prises pour protéger la sécurité nationale : il estimait que cela aurait fait échec à ces mesures et mis en péril la sécurité nationale des États membres. Il affirmait que l’acquisition en masse présentait d’importants avantages pour la protection de la sécurité nationale (il s’appuyait à cet égard sur le rapport établi à l’issue du contrôle des pouvoirs de manipulation des données de masse – voir les paragraphes 173 à 176 ci-dessus) ; que l’exigence d’une autorisation préalable risquerait de porter atteinte à la capacité des services de sécurité et de renseignement à faire face aux menaces pour la sécurité nationale ; qu’il serait dangereux et difficile en pratique d’appliquer une exigence d’avertissement à l’égard de l’acquisition ou de l’utilisation de données de masse, en particulier lorsque la sécurité nationale était en jeu ; et qu’une interdiction absolue de transférer ces données hors de l’Union européenne risquerait d’avoir un impact considérable sur l’exécution des obligations internationales conventionnelles des États membres.
EN DROIT
I. SUR L’ÉPUISEMENT DES VOIES DE RECOURS INTERNES
237. Le Gouvernement soutient que les requérantes des deux premières affaires n’ont pas épuisé les voies de recours internes au sens de l’article 35 § 1 de la Convention, qui est ainsi libellé :
« 1. La Cour ne peut être saisie qu’après l’épuisement des voies de recours internes, tel qu’il est entendu selon les principes de droit international généralement reconnus, et dans un délai de six mois à partir de la date de la décision interne définitive. »
A. Thèses des parties
1. Le Gouvernement
238. Le Gouvernement soutient que les requérantes des deux premières affaires n’ont pas épuisé les voies de recours internes car elles n’ont pas soulevé leurs griefs devant l’IPT. Il argue que l’IPT est une instance interne instaurée expressément dans le but d’enquêter sur les questions telles que celles que les requérantes soulèvent à présent devant la Cour, de les examiner et de statuer à leur égard. Il fait valoir que dans l’arrêt Kennedy c. Royaume-Uni (précité), la Cour a dit le recours devant l’IPT était conforme à l’article 6, et il ajoute que l’affaire Liberty a montré que l’IPT est en mesure de redresser la situation faisant grief. Il avance qu’il est préférable pour la Cour de bénéficier de l’appréciation détaillée du fonctionnement du régime juridique interne réalisée par l’instance nationale qui, étant spécialisée sur la question, connaît bien ce régime, surtout lorsque, comme en l’espèce, non seulement le droit interne est complexe, mais encore il implique une évaluation de questions de nécessité et de proportionnalité qui est particulièrement difficile à réaliser si les faits pertinents pour la mise en balance des droits de l’individu face aux intérêts de la collectivité dans son ensemble n’ont pas été dûment établis au niveau national.
239. Sur la question de l’effectivité du recours interne ouvert devant l’IPT, le Gouvernement indique que le régime de recours devant cette instance constitue « l’un des systèmes de supervision judiciaire des activités de renseignement les plus ambitieux au monde ». L’IPT jouirait d’une large compétence et de pouvoirs de réparation étendus. Il rendrait des jugements publics pour autant qu’il puisse le faire sans porter atteinte à l’intérêt public. Il pourrait enquêter et examiner à huis clos tous les éléments sensibles pertinents pour l’appréciation des griefs portés devant lui, puis statuer en tenant compte de ces éléments. Grâce à sa capacité d’apprécier et d’évaluer le caractère suffisant ou non des garanties internes, il serait « particulièrement bien placé » pour apprécier avec justesse la proportionnalité des mesures dénoncées devant lui. En l’espèce, les requérantes se plaindraient sur le terrain des articles 8 et 10 de la Convention d’une absence de garanties publiquement connues et d’un défaut de proportionnalité. L’IPT aurait la compétence et les pouvoirs requis pour connaître de l’ensemble de ces griefs. Il pourrait préciser la mesure dans laquelle régime interne applicable est compatible avec la Convention et, s’il ne l’était pas, déterminer ses lacunes. En cas de défaut de prévisibilité, il pourrait dire avec précision quelles parties des garanties applicables ne sont pas publiques alors qu’elles devraient l’être, ce qui permettrait au Gouvernement de remédier aux défaillances constatées en divulguant des informations supplémentaires et/ou en modifiant le code de conduite. Enfin, ayant la possibilité d’examiner les renseignements pertinents dans le cadre d’une procédure à huis clos, il offrirait un recours effectif face à un éventuel défaut de proportionnalité : il pourrait remédier à un tel défaut en ordonnant l’annulation de mandats émis en vertu de l’article 8 § 4 de la RIPA et la destruction des données acquises indûment.
240. Quant à la compétence déclaratoire plus générale de l’IPT, le Gouvernement soutient qu’elle ne constitue pas une carence au regard de la Convention. Au contraire, cette compétence permettrait à l’IPT de statuer sur la licéité générale du régime faisant l’objet des griefs portés devant lui et, le cas échéant, de déclarer contraire à la Convention tel ou tel élément de ce régime – ce qu’il ferait effectivement. À cet égard, le Gouvernement affirme que la réaction des autorités à ce type de conclusion a été constante : comme le montrerait la réponse apportée aux conclusions auxquelles l’IPT est parvenu dans les affaires Liberty et Belhadj (paragraphes 92-94 ci‑dessus), elles veilleraient à ce que les éventuelles lacunes soient rectifiées et corrigées. Ainsi, bien que l’IPT ne soit pas compétent pour prononcer une déclaration d’incompatibilité en vertu de l’article 4 de la loi sur les droits de l’homme, en pratique lorsqu’il parviendrait à un constat d’incompatibilité, cela déclencherait concrètement l’adoption des modifications nécessaires pour mettre le régime concerné en conformité avec la Convention. Compte tenu de cela et de l’importance croissante que la Cour accorde au principe de subsidiarité, le Gouvernement soutient que la situation a évolué depuis l’arrêt Kennedy (précité), dans lequel la Cour avait considéré que l’IPT n’avait pas offert au requérant un recours effectif pour son grief général selon lequel l’article 8 § 1 de la RIPA n’était pas conforme à la Convention.
2. Les requérantes
241. Les requérantes des deux premières affaires soutiennent qu’elles ont fait tout ce qu’elles étaient tenues de faire pour épuiser les voies de recours internes. Elles reconnaissent qu’elles n’ont pas saisi l’IPT avant d’introduire leur requête devant la Cour, mais elles soutiennent qu’elles se sont fondées sur les conclusions auxquelles la Cour est parvenue dans l’arrêt Kennedy, selon lesquelles il n’était pas nécessaire d’avoir saisi l’IPT pour contester devant elle le cadre juridique applicable au Royaume-Uni. Elles comprennent qu’il reste toujours loisible à la Cour de réexaminer le point de savoir si une voie de droit interne constitue un recours effectif, mais elles font valoir que la Cour a dit que l’on ne pouvait exiger des requérants qu’ils exercent les recours ouverts après l’introduction de leur requête qu’à la double condition qu’ils puissent encore exercer ces recours et qu’il ne soit pas injuste de déclarer leur requête irrecevable (Campbell et Fell c. Royaume-Uni, 28 juin 1984, §§ 62-63, série A no 80).
242. En toute hypothèse, les requérantes affirment que les circonstances n’ont pas changé au point de rendre effectif le recours ouvert devant l’IPT. À l’appui de cette thèse, elles renvoient en particulier aux arguments avancés par les requérantes de la troisième affaire dans le cadre du grief que celles-ci formulent sur le terrain de l’article 6, et elles soulignent que l’IPT n’a pas le pouvoir de prononcer une déclaration d’incompatibilité. Par ailleurs, elles estiment que le recours ouvert devant cette instance ne saurait être qualifié d’« effectif », puisqu’il ne peut aboutir à l’invalidation du texte attaqué.
B. Observations des tiers
243. Dans sa tierce intervention, le Réseau européen des Institutions nationales des droits de l’Homme affirme que le cadre juridique international – notamment le Pacte international relatif aux droits civils et politiques et la Convention américaine relative aux droits de l’homme – et la jurisprudence confirment qu’il n’est pas nécessaire d’exercer les voies de droit internes qui ne constituent pas un recours effectif.
C. Appréciation de la Cour
1. Les principes généraux
244. Le mécanisme de sauvegarde instauré par la Convention revêt, et c’est primordial, un caractère subsidiaire par rapport aux systèmes nationaux de garantie des droits de l’homme. La Cour a la charge de surveiller le respect par les États contractants de leurs obligations découlant de la Convention. Elle ne doit pas se substituer aux États contractants, auxquels il incombe de veiller à ce que les droits et libertés fondamentaux consacrés par la Convention soient respectés et protégés au niveau interne (Vučković et autres c. Serbie (exception préliminaire) [GC], nos 17153/11 et 29 autres, § 69, 25 mars 2014). Toutefois, elle doit appliquer la règle de l’épuisement des recours internes avec une certaine souplesse et sans formalisme excessif, en tenant dûment compte du contexte : le mécanisme de sauvegarde des droits de l’homme que les Parties contractantes sont convenues d’instaurer (Vučković et autres, précité, § 76 ; voir aussi Akdivar et autres c. Turquie, 16 septembre 1996, § 69, Recueil des arrêts et décisions 1996‑IV, et Gough c. Royaume-Uni, no 49327/11, § 140, 28 octobre 2014).
245. Les États n’ont pas à répondre de leurs actes devant un organisme international avant d’avoir eu la possibilité de redresser la situation dans leur ordre juridique interne. Les personnes désireuses de se prévaloir de la compétence de contrôle de la Cour relativement à des griefs dirigés contre un État ont donc l’obligation d’utiliser auparavant les recours qu’offre le système juridique de celui-ci (voir, parmi beaucoup d’autres, Vučković et autres, précité, § 70, et Akdivar et autres, précité, § 65). La Cour n’est pas une juridiction de première instance ; elle n’a pas la capacité, et il ne sied pas à sa fonction de juridiction internationale, de se prononcer sur un grand nombre d’affaires qui supposent d’établir les faits de base, tâche qui, par principe et dans un souci d’effectivité, incombe aux juridictions internes (Demopoulos et autres c. Turquie (déc.) [GC], nos 46113/99, 3843/02, 13751/02, 13466/03, 10200/04, 14163/04, 19993/04 et 21819/04, § 69, CEDH 2010). De même, dans les affaires appelant une mise en balance d’intérêts contraires protégés respectivement par l’article 8 et par l’article 10 de la Convention, il est particulièrement important que les juridictions internes aient d’abord l’occasion de ménager l’équilibre « complexe et délicat » qui doit être préservé entre les intérêts en présence. Ces juridictions sont en principe mieux placées que la Cour pour procéder à cette appréciation, et leurs conclusions jouent donc un rôle essentiel dans l’examen qu’elle-même fait de l’affaire (MGN Limited c. Royaume-Uni, no 39401/04, §§ 140-155, 18 janvier 2011 ; Palomo Sánchez et autres c. Espagne [GC], nos 28955/06, 28957/06, 28959/06 et 28964/06, § 57, 12 septembre 2011 ; Axel Springer AG c. Allemagne [GC], no 39954/08, §§ 85-88, 7 février 2012 ; Courtney c. Irlande (déc.), no 69558/10, 18 décembre 2012 ; et Charron et Merle Montet c. France (déc.), no 22612/15, § 30, 16 janvier 2018).
246. L’obligation d’épuiser les recours internes impose aux requérants de faire un usage normal des recours disponibles et suffisants pour leur permettre d’obtenir réparation des violations qu’ils allèguent. Ces recours doivent exister à un degré suffisant de certitude, en pratique comme en théorie, sans quoi leur manquent l’effectivité et l’accessibilité voulues (Vučković et autres, précité, § 71 et Akdivar et autres, précité, § 66).
247. Cependant, rien n’impose d’user de recours qui ne sont ni adéquats ni effectifs. Pour pouvoir être jugé effectif, un recours doit être susceptible de remédier directement à la situation incriminée et présenter des perspectives raisonnables de succès (Vučković et autres, précité, §§ 73-74, et Sejdovic c. Italie [GC], no 56581/00, § 46, CEDH 2006‑II). Le simple fait de nourrir des doutes quant aux perspectives de succès d’un recours donné qui n’est pas de toute évidence voué à l’échec ne constitue pas une raison propre à justifier la non-utilisation du recours en question (Vučković et autres, précité, § 74, et Scoppola c. Italie (no 2) [GC], no 10249/03, § 70, 17 septembre 2009).
248. En ce qui concerne la charge de la preuve, il incombe au Gouvernement excipant du non-épuisement de convaincre la Cour que le recours était effectif et disponible tant en théorie qu’en pratique à l’époque des faits. Une fois cela démontré, c’est au requérant qu’il revient d’établir que le recours évoqué par le Gouvernement a en fait été employé ou bien que, pour une raison quelconque, il n’était ni adéquat ni effectif compte tenu des faits de la cause, ou encore que certaines circonstances particulières dispensaient l’intéressé de l’exercer (Vučković et autres, précité, § 77 ; McFarlane c. Irlande [GC], no 31333/06, § 107, 10 septembre 2010 ; Demopoulos et autres, précitée, § 69 ; et Akdivar et autres, précité, § 68).
249. La Cour a déjà dit que lorsqu’un requérant se plaint du régime juridique général encadrant des mesures de surveillance secrètes, la disponibilité d’un recours interne effectif est un facteur pertinent pour déterminer si l’intéressé peut se prétendre « victime » de la violation alléguée car, en l’absence d’un tel recours, la population pourrait à juste titre nourrir soupçons et craintes quant à l’usage abusif susceptible d’être fait des pouvoirs de surveillance secrète (Roman Zakharov c. Russie [GC], no 47143/06, § 171, CEDH 2015).
2. Application de ces principes au cas d’espèce
250. L’IPT est une instance spécialisée qui est seule compétente pour examiner les allégations selon lesquelles une conduite relevant de la RIPA aurait donné lieu à une ingérence illicite dans des communications (paragraphe 124 ci‑dessus). La Court of Appeal a récemment dit que l’IPT est « un organe judiciaire de même qualité et de même autorité que la High Court » et que « [l]a qualité des membres de l’IPT en termes de compétences juridiques et d’indépendance est très élevée » (paragraphe 135 ci-dessus). Les membres de l’IPT doivent exercer ou avoir exercé de hautes fonctions judiciaires et être des juristes diplômés ayant au moins dix ans d’expérience (paragraphe 123 ci-dessus). La formation qui a statué en l’espèce était composée de deux juges de la High Court (dont le président), un Circuit Judge et deux avocats seniors (paragraphe 24 ci-dessus). L’IPT est compétent pour enquêter sur tout grief d’une personne pensant que ses communications ont été interceptées (paragraphe 124 ci-dessus). Pour ce faire, il part généralement du principe que les faits allégués par le plaignant sont véridiques puis, à partir de cette présomption, il détermine si la conduite alléguée serait licite ou illicite. À cette fin, il vérifie d’abord le respect général du régime d’interception applicable (en présumant que l’interception alléguée a bien eu lieu), puis il examine la question spécifique de savoir si les droits individuels du plaignant ont effectivement été violés. Les personnes qui ont participé à l’autorisation et à l’exécution du mandat d’interception sont tenues de lui divulguer tous les documents qu’il juge utile de leur demander, y compris les « œuvres vives », c’est‑à‑dire les documents qui, pour des raisons de sécurité nationale, ne peuvent pas être rendus publics (paragraphe 127 ci-dessus), et ce, que ces documents corroborent leur défense ou qu’ils l’infirment. L’IPT peut, à sa discrétion, tenir des audiences, publiques si possibles (paragraphes 131, 138 et 139 ci‑dessus), ou à huis clos. Pour les audiences à huis clos, il peut désigner un Conseil près le Tribunal chargé de présenter des observations au nom des plaignants lors des audiences auxquelles ceux‑ci ne peuvent être représentés (paragraphe 142 ci-dessus). Lorsqu’il prononce une déclaration de conduite illicite, il peut octroyer une indemnité et ordonner toute autre mesure qu’il juge appropriée. Il peut ainsi infirmer ou annuler un mandat et ordonner la destruction de toute donnée obtenue dans le cadre de ce mandat (paragraphe 128 ci-dessus). Lorsqu’il a examiné le grief porté devant lui par les requérantes de la troisième affaire (« l’affaire Liberty »), il a exercé l’ensemble de ces pouvoirs au bénéfice des intéressées.
251. La Cour a examiné dans l’affaire Kennedy (arrêt précité), rendu en 2010, le rôle joué par l’IPT dans les affaires de surveillance secrète. Dans cette affaire, le requérant alléguait que ses communications avaient été interceptées dans le cadre d’un mandat ciblé délivré en vertu de l’article 8 § 1 de la RIPA (grief spécial), et que le régime d’interceptions ciblées relevant de cette disposition n’était pas conforme à l’article 8 de la Convention (grief général). La Cour a jugé que la procédure menée devant l’IPT avait été conforme à l’article 6 car les restrictions procédurales avaient toutes été proportionnées à la nécessité de garder secrètes des informations sensibles et confidentielles et n’avaient pas porté atteinte à l’essence même du droit du requérant à un procès équitable. Sur la question de l’effectivité du recours ouvert devant l’IPT, elle a admis que l’article 35 § 1 revêtait « une importance particulière en matière de surveillance secrète étant donné les pouvoirs étendus dont [l’IPT disposait] pour enquêter sur les plaintes qui lui [étaient] adressées et accéder à des informations confidentielles ». Elle a considéré que ces pouvoirs étendus étaient un facteur à prendre en compte pour l’appréciation du grief spécial du requérant car il fallait pour examiner ce grief procéder à des investigations factuelles afin de déterminer si les communications de l’intéressé avaient été interceptées. En revanche, elle n’était pas persuadée que ces pouvoirs aient un intérêt pour l’appréciation du grief général. En effet, celui-ci portait sur des points de droit et l’IPT avait déjà statué sur le grief spécial : il aurait donc été peu probable qu’il parvienne, quant au fonctionnement général du régime de surveillance et aux garanties applicables, à des conclusions plus poussées qui auraient été utiles à la Cour pour son examen de la conformité de ce régime avec la Convention. Tout en admettant que l’IPT pouvait examiner un grief relatif à la conformité générale à la Convention d’un régime de surveillance et, si nécessaire, conclure à l’incompatibilité de ce régime avec la Convention, la Cour observa que le Gouvernement n’avait pas expliqué dans ses observations en quoi une telle conclusion aurait bénéficié au requérant, puisqu’elle n’aurait apparemment pas fait naître d’obligation contraignante pour l’État de remédier à cette incompatibilité.
252. Même si la Cour a distingué dans l’arrêt Kennedy un grief spécial et un grief général, il ressort clairement de sa jurisprudence plus récente que ces deux griefs sont certes distincts, mais néanmoins liés. Dans l’arrêt Roman Zakharov (précité, § 171), la Cour a estimé que le fait qu’une personne pensant avoir fait l’objet d’une surveillance secrète dispose d’un recours interne effectif (donc d’un recours interne effectif pour un grief spécial) était un élément à prendre en compte pour déterminer si cette personne pouvait se prétendre « victime » d’une violation dans le cadre d’un grief dénonçant le cadre juridique général de surveillance secrète : en l’absence d’un tel recours, les soupçons et les craintes de la population quant à l’usage abusif qui pourrait être fait des pouvoirs de surveillance secrète n’auraient pas été injustifiés. Ainsi, eu égard à l’importance qu’elle a attachée à l’existence d’un tel recours interne, il serait problématique que les requérants ne soient pas tenus de l’exercer avant de pouvoir porter devant elle un grief spécial ou un grief général. La Cour ne devrait pas avoir à examiner un grief relatif à un régime législatif in abstracto lorsque les requérants disposent d’une voie de droit interne qui leur permet de contester tout au moins la possibilité que les mesures en cause leur soient appliquées.
253. Par ailleurs, l’IPT rendait dans l’affaire Kennedy l’une de ses toutes premières décisions. C’est dans le cadre de cette affaire, où il a examiné la plainte de M. Kennedy avec une autre plainte introduite par British and Irish Rights Watch, qu’il a siégé en public pour la première fois, qu’il a rendu sa décision avant-dire droit fondatrice et qu’il a posé le cadre de sa pratique actuelle (paragraphes 136 à 141 ci-dessus). Ainsi, pour les raisons exposées ci-dessous, la Cour considère que compte tenu tant de la manière dont l’IPT a exercé ses pouvoirs au cours des quinze années qui se sont écoulées depuis cette décision que de l’impact très réel que les jugements qu’il a rendus ont eu sur le droit et la pratique internes, les préoccupations exprimées dans l’arrêt Kennedy quant à l’effectivité du recours ouvert devant cette instance relativement à la conformité à la Convention en général d’un régime de surveillance secrète ne sont plus valables.
254. Premièrement, dans l’affaire Kennedy, l’IPT avait examiné l’intégralité du grief spécial formulé par M. Kennedy relativement à l’interception de ses communications. La Cour n’avait exprimé une préoccupation que relativement au point de savoir si l’examen du grief général aurait pu apporter des précisions supplémentaires. Dans cette affaire, elle n’était donc pas appelée à examiner le grief général entièrement in abstracto comme elle l’est dans le cas présent.
255. Deuxièmement, un examen de l’abondante jurisprudence de l’IPT postérieure à l’affaire Kennedy démontre le rôle important que cette instance peut jouer et joue effectivement en matière d’analyse et d’éclaircissement du fonctionnement général des régimes de surveillance secrète. Par exemple, dans l’affaire B v. the Security Services (IPT/03/01/CH, 21 mars 2004), l’IPT a examiné, aux fins d’une décision avant-dire droit, la question de savoir si la politique du ministre consistant à ne confirmer ni démentir les allégations de surveillance était compatible avec l’article 8 de la Convention. De même, dans l’affaire A Complaint of Surveillance (IPT/A1/2013, 24 juillet 2013), il a précisé le sens que revêtait le terme « surveillance » dans la partie II de la RIPA. De plus, compte tenu de la nature « secrète » de la plupart des régimes de surveillance, la simple consultation des éléments publics (les « œuvres mortes ») ne permet pas toujours de comprendre le fonctionnement de ces régimes. Par exemple, dans l’affaire Liberty, l’IPT a joué un rôle crucial, d’abord en déterminant les aspects des régimes de surveillance qui pouvaient et devaient être éclaircis, puis en recommandant la divulgation, dans ce but, de certaines modalités non publiques. On peut donc dire que cette instance, qui est la seule compétente pour obtenir et examiner des éléments non publics, est non seulement le seul organe à même d’éclaircir le fonctionnement général d’un régime de surveillance mais aussi le seul capable de déterminer si des précisions doivent être apportées à cet égard.
256. Ce rôle d’« éclaircissement » constitue une aide précieuse pour la Cour lorsqu’elle examine la conformité à la Convention d’un régime de surveillance secrète. La Cour a dit à plusieurs reprises qu’elle n’a pas pour rôle de trancher des questions de fait ou d’interpréter le droit interne. Cela est particulièrement vrai lorsque le droit interne est complexe et que, pour des raisons tenant à la sécurité nationale, l’État n’est pas libre de lui communiquer les informations pertinentes. Étant donné la nature confidentielle des documents pertinents, si les requérants portaient devant elle des griefs relatifs à une surveillance secrète qu’ils n’auraient pas d’abord soulevés devant l’IPT, la Cour n’aurait pour alternative que d’établir les faits en première instance ou d’apprécier en l’absence de toute base factuelle la nécessité et la proportionnalité des mesures critiquées. Cette difficulté est particulièrement manifeste dans le cas des griefs qui n’ont pas été examinés par l’IPT dans l’affaire Liberty, en particulier le grief relatif au chapitre II de la RIPA et le grief relatif à la réception d’éléments ne provenant pas d’une interception réalisée par les autorités britanniques mais communiqués par des services de renseignement étrangers. Pour examiner ces griefs, qui dénoncent des régimes sur la portée et le fonctionnement desquels elle ne dispose que d’informations très limitées, la Cour devrait soit considérer comme des faits avérés les allégations des requérantes soit entreprendre de procéder elle‑même à l’établissement des faits. Il est donc particulièrement important en pareil cas que les juridictions internes, qui ont accès aux documents confidentiels, ménagent d’abord l’équilibre « complexe et délicat » qui doit être préservé entre les intérêts en présence (paragraphe 245 ci‑dessus).
257. En conséquence, sur la base des informations qui lui ont été communiquées, la Cour considère que l’IPT peut éclaircir le fonctionnement général des régimes de surveillance, notamment lorsqu’il l’estime nécessaire pour assurer la conformité du régime à la Convention – et qu’il le fait régulièrement.
258. De plus, il ressort des informations communiquées en l’espèce, qu’à chaque fois que l’IPT a jugé un régime de surveillance incompatible avec la Convention, le Gouvernement a veillé à ce que tous les défauts constatés soient rectifiés et corrigés. Dans l’affaire Liberty, une fois que l’IPT a déterminé lesquelles des modalités non publiques pouvaient et devaient être rendues publiques pour que le régime de partage de renseignements soit conforme à la Convention, le Gouvernement a accepté la divulgation proposée (note de divulgation du 9 octobre), et les éléments divulgués ont ensuite été ajoutés au code de conduite modifié (paragraphes 26-30 ci-dessus). De plus, ayant conclu à la violation de l’article 8 de la Convention à raison du fait que les communications par email d’Amnesty International avaient, après avoir fait l’objet d’une interception et d’un accès « licites et proportionnés », été conservées plus longtemps que la durée permise par les règles internes du GCHQ, l’IPT a ordonné à celui-ci de détruire ces communications dans un délai de sept jours, et de produire dans un délai de quatorze jours un rapport confidentiel confirmant leur destruction (paragraphe 54 ci-dessus).
259. De même, le Gouvernement ayant reconnu dans l’affaire Belhadj que le régime encadrant l’interception, l’obtention, l’analyse, l’utilisation, la divulgation et la destruction d’éléments relevant du secret professionnel des avocats n’était plus prévu par la loi au sens de l’article 8 § 2 de la Convention depuis janvier 2010 et qu’il était donc illégal, le MI5 et le GCHQ ont confirmé qu’ils s’attacheraient dans les semaines qui suivraient à réviser leurs règles et procédures (paragraphe 93 ci-dessus).
260. Dans l’affaire News Group and Others v. The Commissioner of Police of the Metropolis, l’IPT a conclu que le régime découlant du chapitre II de la RIPA (qui encadre l’acquisition de données de communication) ne renfermait pas de garanties effectives aux fins de la protection des droits découlant de l’article 10. Il ne pouvait octroyer aucune réparation pour le manquement à poser des garanties adéquates, cette circonstance ne rendant pas en elle-même illicites les autorisations d’acquisition de données de communication ; en revanche, en mars 2015, le code de conduite de 2007 sur l’acquisition de données de communication a été remplacé par un nouveau code posant des garanties renforcées pour les demandes de données de communication destinées à identifier la source d’un journaliste (paragraphes 118-120 ci-dessus). Les plaignants de cette affaire ont ensuite saisi la Cour d’un grief formulé sur le fondement de l’article 10 de la Convention. Ce grief a récemment été déclaré irrecevable : la Cour a jugé que les requérants n’avaient pas subi de « préjudice important » au sens de l’article 35 § 3 b) de la Convention (Anthony France et autres c. Royaume‑Uni (déc.), nos 25357/16, 25514/16, 25552/16 et 25597/16, 26 septembre 2016) ; en particulier, elle a observé qu’ils avaient « bénéficié d’un jugement de l’IPT détaillé et complet, qui [énonçait] clairement tous les aspects de l’atteinte portée à leurs droits », et que, même si « l’IPT ne pouvait pas constater une violation de leurs droits, il [avait] néanmoins dit clairement qu’il y avait eu atteinte à ces droits », et la loi avait ensuite été modifiée (Anthony France et autres, décision précitée, §§ 43-46).
261. Enfin, pour citer un exemple plus ancien, dans l’affaire Paton and Others v. Poole Borough Council (IPT/09/01/C, IPT/09/02/C, IPT/09/03/C, IPT/09/04/C et IPT/09/05/C, 29 juillet 2010), l’IPT a jugé que la surveillance réalisée par une autorité locale était à la fois illicite et contraire à l’article 8 de la Convention car elle ne visait pas un but autorisé et n’était ni nécessaire ni proportionnée à un tel but. Il n’a fait aucun constat quant à la conformité à la Convention du régime dans son ensemble, mais l’affaire a été fortement publicisée et a alimenté un débat public général sur les pouvoirs de surveillance des autorités locales. Très peu de temps après que l’IPT eut rendu ce jugement, le Gouvernement a annoncé une révision de la RIPA qui couvrirait son utilisation par les autorités locales. Deux ans plus tard, la RIPA a été modifiée pour restreindre le pouvoir des autorités locales de procéder à une surveillance.
262. Ainsi, même si les éléments soumis par le Gouvernement ne démontrent peut-être pas encore l’existence d’une « obligation contraignante » imposant aux autorités de remédier à toute incompatibilité constatée par l’IPT, la Cour admet, à la lumière de « l’importance particulière » qu’a cette instance dans les affaires de surveillance secrète grâce aux « pouvoirs étendus (...) dont [elle] dispose pour enquêter sur les plaintes qui lui sont adressées et accéder à des informations confidentielles » (Kennedy, précité, § 110), que la pratique consistant à donner effet aux conclusions auxquelles elle aboutit quant à l’incompatibilité du droit interne avec la Convention est suffisamment certaine pour que soit jugé établi le caractère effectif du recours ouvert devant elle.
263. Le caractère effectif de ce recours est aussi démontré par le fait que l’IPT peut, dans le cadre de l’application du droit de l’Union européenne, ordonner le renvoi devant la CJUE des affaires portées devant lui lorsque se pose une question de droit européen pertinente pour la résolution du litige (voir l’affaire Privacy International c. Secretary of State for Foreign and Commonwealth Affairs e.a., exposée au paragraphe 236 ci-dessus). Or la Cour a dit que la protection des droits fondamentaux offerte par le droit communautaire peut être considérée comme « équivalente » à celle assurée par le mécanisme de la Convention (Bosphorus Hava Yolları Turizm ve Ticaret Anonim Şirketi c. Irlande [GC], no 45036/98, § 165, CEDH 2005‑VI). Il y aurait donc lieu de s’étonner si des requérants pouvaient contourner une instance à même de jouer un rôle important dans l’application du droit communautaire et des garanties posées par celui‑ci en matière de droits fondamentaux.
264. Les requérantes font valoir que l’IPT ne peut prononcer de déclaration d’incompatibilité (paragraphe 242 ci‑dessus). À cet égard, il suffit de rappeler que la Cour ne considère pas encore que la pratique consistant à modifier la législation pour donner effet aux déclarations d’incompatibilité prononcée par les juridictions nationales soit « à ce point certaine qu’elle indiquerait que l’article 4 de la loi sur les droits de l’homme doit être interprété comme imposant une obligation contraignante » (Burden c. Royaume-Uni [GC], no 13378/05, § 43, CEDH 2008). La question pertinente n’est donc pas de savoir si l’IPT peut prononcer une déclaration d’incompatibilité, mais si la pratique consistant à donner effet à ses conclusions est suffisamment certaine.
265. À la lumière de ce qui précède, la Cour considère que de manière générale, l’IPT s’est avéré offrir un recours, disponible en théorie comme en pratique, propre à remédier aux griefs des requérants portant soit sur des cas spécifiques de surveillance soit sur la conformité générale à la Convention d’un régime de surveillance. Il s’ensuit que les griefs formulés par les requérantes des deux premières affaires devraient être déclarés irrecevables pour non-épuisement des voies de recours internes, à moins que ces requérantes ne soient en mesure de démontrer que certaines circonstances particulières les dispensaient de saisir l’IPT.
266. Les requérantes soutiennent que tel était effectivement le cas : elles arguent que lorsqu’elles ont introduit leur requête devant la Cour, elles pouvaient légitimement se fonder sur l’arrêt Kennedy (précité) pour considérer que l’IPT n’offrait pas un recours effectif pour les griefs portant sur la conformité générale à la Convention d’un régime de surveillance.
267. À première vue, la présente affaire pourrait sembler très différente de l’affaire Kennedy (par exemple, dans l’affaire Kennedy, le requérant avait saisi l’IPT d’un grief spécial – la Cour n’avait donc pas à examiner le grief général totalement dans l’abstrait –, et il dénonçait la législation primaire que constituaient les dispositions de la RIPA, et non l’ensemble du cadre juridique régissant le régime de surveillance en cause). Cependant le Gouvernement n’a pas argué que l’une et l’autre affaire se distinguent. Par ailleurs, la jurisprudence de l’IPT sur laquelle il s’est appuyé pour démontrer l’effectivité du recours ouvert devant cette instance est postérieure à l’introduction devant la Cour – le 4 septembre 2013 et le 11 septembre 2014 – des griefs formulés par les requérantes des deux premières affaires. Ainsi, l’arrêt au principal dans l’affaire Liberty a été rendu le 5 décembre 2014, l’affaire Belhadj s’est conclue 26 février 2015 et l’affaire News Group and Others a été tranchée le 17 décembre 2015). La Cour a certes constaté que certaines affaires plus anciennes (par exemple, B, A Complaint of Surveillance, ou encore Paton and Others) illustraient l’effectivité du recours ouvert devant l’IPT, mais aucune de ces affaires ne concernait un grief général relatif à la conformité à la Convention d’un régime de surveillance, tandis que les affaires Liberty, Belhadj et News Group and Others démontrent toutes le rôle important et unique joué par l’IPT, que ce soit pour éclaircir le fonctionnement de ces régimes ou pour remédier à d’éventuelles violations de la Convention.
268. En conséquence, si elle reconnaît que, depuis l’arrêt Kennedy de 2010, l’IPT a démontré qu’il offrait un recours effectif, recours que les requérants qui se plaignent des actions des services de renseignement et/ou du fonctionnement général des régimes de surveillance sont donc tenus d’exercer pour épuiser les voies de recours internes conformément à l’article 35 § 1 de la Convention, la Cour admet néanmoins que lorsque les requérantes des deux premières affaires ont introduit leur requête, on ne pouvait leur reprocher de s’appuyer sur l’arrêt Kennedy pour considérer que le recours ouvert devant l’IPT ne constituait pas un recours effectif pour les griefs relatifs à la conformité générale à la Convention d’un régime de surveillance. Elle conclut donc que des circonstances particulières dispensaient ces requérantes de l’obligation d’exercer ce recours avant de porter leur affaire devant elle et que, en conséquence, leurs griefs ne peuvent être déclarés irrecevables en vertu de l’article 35 § 1 de la Convention.
II. SUR LA VIOLATION ALLÉGUÉE DE L’ARTICLE 8 DE LA CONVENTION
269. Les requérantes des trois affaires jointes estiment que sont incompatibles avec l’article 8 de la Convention trois régimes de surveillance discrète : le régime d’interception en masse de communications relevant de l’article 8 § 4 de la RIPA, le régime de partage de renseignements et le régime d’acquisition de données de communication en vertu du chapitre II de la RIPA. La Cour examinera séparément chacun de ces trois régimes.
A. Sur le régime découlant de l’article 8 § 4 de la RIPA
270. Les requérantes de toutes les affaires jointes soutiennent que le régime d’interception en masse de communications découlant de l’article 8 § 4 de la RIPA est incompatible avec le respect de leurs droits garantis par l’article 8 de la Convention, qui est ainsi libellé :
« 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
2. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui. »
271. Le Gouvernement conteste cette thèse. Il ne soulève toutefois pas d’exception sur le terrain de l’article 1 de la Convention, et il n’argue pas que l’interception de communications réalisée en vertu de l’article 8 § 4 de la RIPA échappe à la compétence territoriale du Royaume-Uni. La Cour partira donc du principe que les faits dénoncés relèvent de la juridiction de l’État défendeur.
1. Sur la recevabilité du grief
272. Constatant que ce grief n’est pas manifestement mal fondé au sens de l’article 35 § 3 a) de la Convention et qu’il n’est pas irrecevable pour d’autres raisons, la Cour le déclare recevable.
2. Sur le fond du grief
a) Thèses des parties
i. Les requérantes
273. Les requérantes admettent que le régime d’interception en masse a une base en droit interne. Elles arguent toutefois que cette base ne répond pas aux exigences de qualité de la loi car elle est tellement complexe qu’elle est inaccessible au public et au Gouvernement, de sorte que les autorités s’appuient sur des modalités qui, pour l’essentiel, ne sont pas publiques et non sur des directives légales claires et contraignantes, et que ce régime ne présente pas de garanties suffisantes contre les abus.
274. En particulier, les requérantes soutiennent que le régime découlant de l’article 8 § 4 de la RIPA ne répond pas aux six critères énoncés par la Cour dans la décision Weber et Saravia (précitée). Premièrement, elles estiment que les buts pour lesquels l’interception peut être autorisée (« l’intérêt de la sécurité nationale », « la prospérité économique du Royaume-Uni ») sont trop vagues pour pouvoir constituer une limite claire aux activités des services de renseignement.
275. Deuxièmement, elles affirment qu’en pratique n’importe qui peut subir une interception de ses communications en vertu de l’article 8 § 4 de la RIPA : même si le régime vise les communications « extérieures », il n’y aurait pas de définition claire de ce qui constitue une communication « intérieure » ou une communication « extérieure » et, en toute hypothèse, l’évolution des technologies modernes aurait ôté tout sens à la distinction entre les unes et les autres. Selon les requérantes, même si le ministre est tenu de décrire les éléments qu’il estime nécessaire d’examiner, la commission parlementaire a constaté que les mandats émis en vertu de l’article 8 § 4 de la RIPA étaient formulés en termes génériques.
276. Troisièmement, en ce qui concerne les limites de la durée de la surveillance, les requérantes arguent qu’en pratique, un mandat émis en vertu de l’article 8 § 4 de la RIPA peut être reconduit indéfiniment, en étant renouvelé tous les six mois par le ministre en vertu de l’article 9 § 1 b) de la RIPA.
277. Quatrièmement, les requérantes estiment que la procédure de filtrage, de stockage et d’analyse des éléments interceptés ne présente pas les garanties adéquates et donne lieu à un risque inacceptable d’ingérence arbitraire et disproportionnée dans les droits garantis par l’article 8 de la Convention. Elles font valoir d’abord que rien n’oblige le ministre à préciser dans le certificat accompagnant le mandat émis en vertu de l’article 8 § 4 de la RIPA les sélecteurs à utiliser pour le filtrage des communications interceptées, et que ces sélecteurs ne sont par ailleurs soumis à aucune supervision ; ensuite, que les garanties énoncées à l’article 16 de la RIPA ne s’appliquent que lorsque que l’on « sait que la personne se trouve actuellement dans les îles Britanniques » ; et enfin, que les protections prévues à l’article 16 de la RIPA ne s’appliquent qu’au « contenu » des communications interceptées, et non au filtrage, au stockage et à l’analyse des « données de communication associées », alors même que ces données permettent au gouvernement d’établir un profil détaillé des aspects les plus intimes de la vie privée d’une personne.
278. Cinquièmement, les requérantes soutiennent que l’obligation pour le ministre de veiller à ce que la divulgation des éléments interceptés soit limitée au « minimum nécessaire dans les buts autorisés » est une garantie ineffective, les buts autorisés visés à l’article 15 § 4 de la RIPA étant extrêmement larges et comprenant des cas où les informations sont ou « sont susceptibles de devenir » nécessaires dans l’un des buts visés à l’article 5 § 3.
279. Sixièmement, les requérantes soutiennent qu’il n’y a pas de garanties efficaces ou contraignantes contre la conservation disproportionnée des données interceptées. Selon elles, il ressort clairement du troisième jugement rendu par l’IPT dans l’affaire Liberty que les communications d’Amnesty International ont été stockées sans que les procédures de suppression (automatique) appropriées ne soient suivies, et que ni les services de renseignement ni les mécanismes de supervision et d’audit ne l’ont détecté.
280. Outre leur thèse selon laquelle les critères Weber n’auraient pas été respectés, les requérantes avancent qu’en toute hypothèse, ces critères ne suffisent plus à assurer la compatibilité avec l’article 8 de la Convention des régimes de surveillance des communications. Elles soulignent que la décision Weber date de 2006, et elles affirment que l’évolution qu’a connue la technologie depuis lors permet désormais au gouvernement d’établir des profils détaillés et intrusifs d’aspects intimes de la vie privée des personnes surveillées en analysant leurs habitudes de communication à partir de données de masse. Elles estiment donc que plusieurs garanties supplémentaires sont désormais nécessaires pour qu’un cadre juridique de surveillance soit conforme à la Convention, à savoir : l’exigence de la présence d’éléments objectifs justifiant un soupçon raisonnable à l’égard des personnes dont les données sont recherchées, une autorisation préalable des mandats d’interception délivrée par une instance judiciaire indépendante, et la notification a posteriori de la surveillance à la personne qui en a fait l’objet.
281. Enfin, les requérantes soutiennent que le régime découlant de l’article 8 § 4 de la RIPA est disproportionné au but visé. Selon elles, les services de renseignement collectent systématiquement du contenu et des données de communication à une échelle massive, et ils les conservent pour pouvoir ultérieurement les analyser et les utiliser. Cette approche sans nuances serait contraire aux principes posés dans les arrêts S. et Marper c. Royaume-Uni ([GC], nos 30562/04 et 30566/04, CEDH 2008) et M.K. c. France (no 19522/09, 18 avril 2013).
ii. Le Gouvernement
282. Avant tout, le Gouvernement soutient que les informations et les renseignements obtenus en vertu du régime découlant de l’article 8 § 4 de la RIPA sont d’une importance cruciale pour la protection du Royaume-Uni contre les menaces pour la sécurité nationale, dont (mais non exclusivement) la menace terroriste. Ce serait d’autant plus vrai que les terroristes et les criminels auraient atteint un niveau de sophistication élevé dans leurs communications sur Internet, qui leur permettrait d’échapper à la détection, par exemple en cryptant leurs communications, en utilisant des systèmes de communications spéciaux, ou simplement en profitant de ce que le trafic sur Internet serait à présent tellement développé que leurs communications pourraient y passer inaperçues. Selon le Gouvernement, si l’on imposait des entraves supplémentaires à l’interception de communications, on porterait atteinte à la capacité de l’État à protéger la sécurité nationale et à lutter contre les infractions graves, au moment même où les avancées dans les technologies des communications auraient rendu plus prégnante la menace émanant des terroristes et des criminels qui utilisent Internet.
283. Citant les attentats commis au pont de Westminster (22 mars 2017), au Manchester Arena (22 mai 2017), à London Bridge (3 juin 2017), à Barcelone et Cambrils (17 août 2017) ou encore dans le métro de Londres (15 septembre 2017), le Gouvernement soutient que cette vague d’actions violentes qui a frappé récemment le Royaume-Uni et l’Europe démontre la gravité de la menace terroriste. Il argue à cet égard qu’en vertu du système de la Convention c’est aux États qu’il appartient de juger de ce qui nécessaire pour protéger la collectivité dans son ensemble de pareilles menaces. Les systèmes mis en place dans ce but seraient certes soumis au contrôle de la Cour, mais celle-ci aurait toujours – et à raison – laissé aux États une ample marge d’appréciation dans ce domaine, afin de ne pas porter atteinte à l’efficacité des systèmes mis en œuvre pour l’obtention de renseignements de nature à sauver des vies qui ne peuvent être recueillis d’une autre manière.
284. Le Gouvernement affirme que le régime découlant de l’article 8 § 4 de la RIPA ne permet pas la surveillance de masse ni l’accès généralisé aux communications. Il admet toutefois qu’il permet, dans le cadre de l’autorité légitime conférée par des mandats, d’intercepter des données de masse sur les canaux de transmission aux fins de recueillir certaines communications extérieures. Il estime que la distinction entre les communications « intérieures » et les communications « extérieures » est suffisamment claire, et qu’en toute hypothèse, elle sert principalement de garantie au niveau macroscopique, c’est-à-dire pour la détection des canaux de transmission à cibler pour interception. Il ajoute que l’interception en masse est d’une importance cruciale pour la découverte de menaces ainsi que de sources potentielles de menace jusque-là inconnues. Il précise que même lorsqu’on connaît l’identité des cibles de la surveillance, celles-ci peuvent toujours utiliser un grand nombre de moyens de communication différents, et en changer fréquemment. Il explique que les voies d’acheminement des communications électroniques sur Internet ne sont pas forcément prévisibles, car les communications suivent la voie la plus efficace, déterminée par des facteurs tels que le coût et le volume du trafic passant par telle ou telle partie d’Internet à tel ou tel moment de la journée, et que de plus, dans le cadre de cet acheminement, les communications sont divisées en petits morceaux (« paquets »), qui sont transmis séparément les uns des autres, souvent par des voies d’acheminement différentes. Il considère donc qu’il est nécessaire d’intercepter toutes les communications acheminées sur plusieurs canaux pour maximiser les chances de repérer et d’obtenir les communications envoyées à des cibles connues.
285. Sur la question de savoir si l’ingérence litigieuse était « prévue par la loi », le Gouvernement souligne qu’elle avait une base dans la législation primaire, à savoir l’article 8 § 4 de la RIPA, complété par le code de conduite en matière d’interception de communications, et précisé par les rapports du Commissaire à l’interception des communications, documents qui seraient publics.
286. Sur la question du respect des critères Weber, le Gouvernement argue que l’article 5 de la RIPA, qui définit les buts pour lesquels le ministre peut émettre un mandat d’interception, satisfait à la première exigence de prévisibilité, qui concerne les « infractions » susceptibles de donner lieu à un mandat d’interception. Il fait valoir que dans l’affaire Kennedy, où le requérant critiquait les termes « sécurité nationale » et « infractions graves », la Cour a jugé suffisamment claire la description des infractions qui pouvaient donner lieu à un mandat d’interception (Kennedy, précité, § 159).
287. Le Gouvernement soutient que la deuxième exigence de prévisibilité énoncée dans la décision Weber (la définition des catégories de personnes dont les communications sont susceptibles d’être interceptées) est respectée tant au stade de l’interception qu’au stade de la sélection. En ce qui concerne le stade de l’interception, il expose qu’un mandat émis en vertu de l’article 8 § 4 de la RIPA vise normalement des communications « extérieures », même si en principe, il peut aussi autoriser l’interception de communications « intérieures » dans la mesure où cela serait nécessaire pour intercepter les communications extérieures sur lesquelles il porte. En ce qui concerne le stade de la sélection, le Gouvernement souligne que l’article 16 § 1 de la RIPA dispose qu’aucun élément intercepté ne peut être lu, consulté ou écouté par qui que ce soit à moins que cela ne relève du certificat établi par le ministre et que ce ne soit proportionné aux circonstances. Il ajoute que l’article 16 § 2 pose des limites suffisamment précises quant à la mesure dans laquelle les éléments interceptés peuvent être sélectionnés pour être lus, consultés ou écoutés selon un facteur lié à un individu dont on sait qu’il se trouve actuellement dans les îles Britanniques, et dans le but d’identifier des éléments contenus dans des communications dont il est l’émetteur ou le destinataire.
288. Le Gouvernement ajoute que les paragraphes 6.22 à 6.24 du code de conduite en matière d’interception de communications énoncent de manière suffisamment précise la durée et le mode de renouvellement des mandats émis en vertu de l’article 8 § 4 de la RIPA, et qu’ils respectent donc la troisième exigence énoncée dans la décision Weber. Il précise qu’en vertu de l’article 9 § 2 de la RIPA, un mandat émis en vertu de l’article 8 § 4 ne peut être renouvelé que si le ministre estime qu’il reste nécessaire, tandis que lorsque le ministre estime que le mandat n’est plus nécessaire, l’article 9 § 3 de la RIPA impose de l’annuler.
289. Le Gouvernement explique que les éléments interceptés qui ne peuvent pas être lus, consultés ou écoutés par qui que ce soit en vertu de l’article 16 de la RIPA ne peuvent pas être utilisés du tout, et que le paragraphe 7.7 du code de conduite en matière d’interception de communications impose qu’ils soient stockés de manière sécurisée jusqu’à leur destruction. Il soutient que le régime applicable aux éléments qui peuvent être lus, consultés et écoutés en vertu de l’article 16 de la RIPA répond aussi à la quatrième exigence Weber. Il indique à cet égard qu’avant que l’on n’accède à ces éléments, ils doivent être sélectionnés pour examen au moyen de l’application automatique par une machine de termes de recherche, et que si un analyste souhaite ensuite sélectionner des éléments pour les examiner, les paragraphes 7.14 à 7.16 du code de conduite en matière d’interception de communications imposent qu’il crée une entrée dans un dossier expliquant en quoi cet accès est nécessaire, proportionné au but visé et conforme au certificat applicable, et indiquant le cas échéant les circonstances susceptibles de donner lieu à une atteinte collatérale au droit à la vie privée, ainsi que les mesures prises pour réduire la portée de cette atteinte. Ces informations devraient être conservées aux fins du prochain audit. Les paragraphes 7.11 à 7.20 prévoiraient en outre que ces éléments ne peuvent être lus, consultés ou écoutés que par des personnes autorisées suivant régulièrement des formations sur l’application de l’article 16 de la RIPA et les exigences de nécessité et de proportionnalité. Enfin, ces éléments pourraient seulement être utilisés par les services de renseignement dans le cadre de leurs fonctions légales et dans la mesure où cette utilisation serait proportionnée au but visé au sens de l’article 6 § 1 de la loi sur les droits de l’homme.
290. Le Gouvernement estime que le régime découlant de l’article 8 § 4 de la RIPA répond également à la cinquième exigence Weber. Il explique que l’article 15 § 2 de la RIPA énonce les précautions à prendre lorsque l’on communique à des tiers des éléments interceptés, et que ces précautions visent à assurer que seuls les éléments interceptés dans la communication est « nécessaire » dans le but autorisé puissent être divulgués. Il indique que les paragraphes 7.4 et 7.5 du code de conduite en matière d’interception de communications prévoient aussi que lorsque les éléments interceptés doivent être divulgués à un État étranger, les services de renseignement doivent prendre des mesures raisonnables pour s’assurer que les autorités de cet État appliquent et continueront d’appliquer les procédures nécessaires pour protéger les éléments interceptés, et que ces éléments ne seront divulgués, copiés, distribués et conservés que dans la stricte mesure nécessaire. De plus, ces éléments ne peuvent selon lui être divulgués aux autorités d’un troisième pays que si les autorités britanniques ont donné leur accord express à cette fin. Enfin, toute divulgation devrait respecter les contraintes imposées par les articles 1 et 2 de la loi sur les services de sécurité, les articles 1 à 4 de la loi sur les services de renseignement combinés à l’article 19 §§ 3 à 5 de la loi sur la lutte contre le terrorisme et l’article 6 § 1 de la loi sur les droits de l’homme.
291. En ce qui concerne la dernière exigence Weber, le Gouvernement soutient que l’article 15 § 3 de la RIPA et les paragraphes 7.8 à 7.9 du code de conduite en matière d’interception de communications énoncent de manière suffisamment précise les circonstances dans lesquelles les éléments interceptés doivent être effacés ou détruits. Il indique que ces dispositions imposent notamment de réexaminer régulièrement la nécessité de conserver ces éléments, et prévoient des durées maximales de conservation qui ne doivent normalement pas dépasser deux ans.
292. Le Gouvernement reconnaît que les garanties posées à l’article 16 de la RIPA ne s’appliquent pas aux « données de communication associées », mais il argue que l’acquisition secrète de données de communication associées est une mesure moins intrusive que l’acquisition secrète de contenu et que, d’ailleurs, la Cour n’a jamais appliqué les critères Weber aux pouvoirs d’acquisition de données de communication. Il estime donc qu’au lieu de la liste des six exigences de prévisibilité, le critère applicable en ce qui concerne les données de communication devrait être un critère plus général en vertu duquel il faudrait que la loi indique la portée de tout pouvoir discrétionnaire et la manière dont il peut être exercé de manière suffisamment claire pour fournir à l’individu une protection adéquate contre les ingérences arbitraires dans sa vie privée.
293. Selon lui, le régime d’obtention et d’utilisation de données de communication associées qui découle de l’article 8 § 4 de la RIPA répond à ce critère. Premièrement, l’expression « données de communication associées », telle que définie aux articles 20 et 21 de la RIPA, ne serait pas synonyme de « métadonnées » ; les données associées ne constitueraient qu’un sous-ensemble limité des métadonnées. Deuxièmement, le régime découlant de l’article 8 § 4 de la RIPA énoncerait de manière suffisamment claire les circonstances dans lesquelles les services de renseignement peuvent obtenir des données de communication associées (ils ne pourraient le faire que par l’interception de données transitant sur les canaux de transmission, dans le cadre d’un mandat émis en vertu de l’article 8 § 4). Une fois obtenues les données de communication associées, on ne pourrait y accéder que si cet accès est nécessaire et proportionné au but visé conformément à l’article 6 § 1 de la loi sur les droits de l’homme, et en respectant les contraintes énoncées aux articles 1 et 2 de la loi sur les services de sécurité et aux articles 1 à 4 de la loi sur les services de renseignement. Le stockage, la manipulation, l’utilisation et la divulgation de données de communication associées, y compris la possibilité pour des services de renseignement étrangers alliés d’accéder à ces données, seraient limités par l’article 15 de la RIPA et les paragraphes 7.1 à 7.10 du code de conduite en matière d’interception de communications. Enfin, il y aurait une bonne raison d’exclure les données de communication associées de l’application des garanties posées à l’article 16 de la RIPA : pour que cet article puisse fonctionner, les services de renseignement devraient pouvoir déterminer si une cible potentielle de surveillance « se trouve actuellement dans les îles Britanniques ».
294. Enfin, répondant à la thèse des requérantes selon laquelle il faudrait « mettre à jour » les critères Weber, le Gouvernement soutient que soumettre l’application de mesures de surveillance à l’existence d’un « soupçon raisonnable » ferait largement obstacle au fonctionnement des régimes d’interception en masse de données, dont la Cour aurait pourtant permis l’utilisation dans la décision Weber. Il ajoute que dans l’arrêt Kennedy (précité, § 167), la Cour a clairement dit que l’autorisation judiciaire pouvait être soit antérieure soit postérieure à l’interception : dans cette affaire, elle aurait jugé que la supervision exercée par le Commissaire, la commission parlementaire et l’IPT compensait l’absence d’autorisation judiciaire préalable. Enfin, il affirme que toute obligation d’aviser un suspect de l’utilisation à son égard d’outils manipulant des données de masse risquerait, d’une part, de nuire gravement aux activités des services de renseignement et de mettre en danger la vie de sources d’intelligence humaine infiltrées proches du suspect, et serait, d’autre part, absolument impossible à mettre en œuvre dans le contexte de l’article 8 § 4 de la RIPA, car, selon lui, bien des cibles se trouvent à l’étranger et leurs coordonnées personnelles ne sont pas toujours connues ou parfaitement connues.
b) Observations des tiers
i. Article 19
295. Article 19 avance que les pouvoirs d’interception en masse sont de par leur nature même et de manière intrinsèque impossibles à exercer de manière proportionnée et, en tant que tels, fondamentalement incompatibles avec les exigences de la Convention. Elle exhorte donc la Cour à conclure que seule une surveillance ciblée reposant sur un soupçon raisonnable et autorisée par un juge constitue une restriction légitime du droit à la vie privée.
ii. Access Now
296. Access Now avance que la surveillance massive en cause en l’espèce n’est pas conforme au Pacte international relatif aux droits civils et politiques ni aux Principes internationaux sur l’application des droits de l’homme à la surveillance des communications, le Royaume-Uni n’ayant pas démontré que cette surveillance soit strictement nécessaire et proportionnée au but visé. Elle ajoute que les programmes de surveillance ne doivent pas être envisagés de manière isolée, mais considérés dans le contexte de l’intégralité des activités de surveillance d’une nation, car l’apprentissage automatique (machine learning), par lequel des algorithmes mathématiques tirent des conclusions à partir d’ensembles de données, a accru le caractère invasif des mégadonnées (big data) et du forage de données (data mining).
iii. Réseau européen des Institutions nationales des droits de l’Homme
297. Le Réseau européen des Institutions nationales des droits de l’Homme appelle lui aussi l’attention de la Cour sur les instruments internationaux : Pacte international relatif aux droits civils et politiques, Convention américaine relative aux droits de l’homme, Charte des droits fondamentaux de l’Union européenne. Il observe que lorsque, en 2015, le Comité des droits de l’homme (ONU) a examiné le rapport d’État partie soumis par le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord, il a exprimé sa préoccupation quant au fait que la RIPA permettait d’émettre des mandats non ciblés aux fins de l’interception de communications extérieures sans prévoir à cet égard les mêmes garanties que celles appliquées aux communications intérieures, et il a formulé plusieurs recommandations détaillées, notamment l’adoption de dispositions légales suffisamment précises et prévisibles, et l’implication de l’autorité judiciaire dans l’autorisation de ces mesures.
iv. La Fondation Helsinki pour les droits de l’homme (« Fondation Helsinki »)
298. La Fondation Helsinki fait part de la manière dont elle a contesté la surveillance des communications opérée par les autorités publiques en Pologne, exposant que le Tribunal constitutionnel polonais a finalement jugé inconstitutionnels certains aspects de la législation pertinente, et que cette législation a ensuite été modifiée.
v. La Commission internationale de juristes
299. La Commission internationale de juristes avance que compte tenu de l’échelle et de l’ampleur de l’ingérence dans la vie privée que constitue la surveillance de masse, la distinction entre l’acquisition de métadonnées et l’acquisition de contenu est une notion dépassée. Elle ajoute que le fait que, dans les opérations de surveillance de masse, l’ingérence dans les droits individuels puisse avoir lieu en partie dans une zone échappant à la compétence territoriale de l’État n’exclut pas la responsabilité de cet État, puisque celui-ci contrôle suffisamment les informations en question pour que sa juridiction se trouve établie.
vi. Open Society Justice Initiative (« OSJI »)
300. OSJI estime que le volume de données pouvant être interceptées de nos jours et l’appétit des gouvernements pour ces données sont de loin supérieurs à ce qui était envisageable par le passé, et que l’interception en masse constitue donc une ingérence dans la vie privée particulièrement grave, qui peut, par son « effet inhibiteur », potentiellement porter atteinte à d’autres droits, par exemple le droit à la liberté d’expression et le droit à la liberté d’association. Elle considère que pour être licite, l’interception en masse devrait dès lors respecter plusieurs conditions préalables : le cadre juridique devrait être suffisamment précis, la collecte des informations devrait être limitée dans le temps et dans l’espace, et elle ne devrait avoir lieu qu’en présence d’un « soupçon raisonnable ».
vii. European Digital Rights (« EDRi ») et d’autres associations de défense des droits de l’homme dans la société de l’information
301. EDRi et d’autres associations estiment que la présente affaire offre à la Cour une occasion cruciale de réviser son cadre de protection des métadonnées. Elles expliquent que les gouvernements ont construit leurs programmes de surveillance en partant de la distinction établie entre contenu et métadonnées dans l’arrêt Malone (précité), mais que lorsque cet arrêt a été rendu, ni Internet ni les téléphones mobiles n’existaient. Aujourd’hui, les métadonnées permettraient de brosser un portrait détaillé et intime d’une personne : elles permettraient de suivre son activité sur les réseaux sociaux, ses déplacements, ses navigations sur Internet ou encore ses habitudes de communication, et de savoir avec qui elle interagit. De plus, le niveau de détail pouvant être obtenu serait démultiplié par l’analyse sur une grande échelle. Ainsi, le directeur des services juridiques de la NSA, Stewart Baker, aurait indiqué que les métadonnées pouvaient tout révéler de la vie d’une personne, et que si l’on disposait de suffisamment de métadonnées, on n’avait pas besoin du contenu. Les associations concluent qu’il ne faut pas appliquer différents degrés de protection aux données personnelles en fonction de la distinction selon elles arbitraire et dénuée de pertinence entre contenu et métadonnées, mais en fonction des conclusions pouvant être tirées de ces données.
viii. The Law Society of England and Wales
302. The Law Society of England and Wales exprime une profonde préoccupation quant aux implications pour le principe du secret professionnel des avocats qu’a selon elle le régime découlant de l’article 8 § 4 de la RIPA. Elle observe en particulier que ce régime permet l’interception de communications protégées par la confidentialité et par le secret professionnel qu’échangent les avocats et leurs clients, même si les premiers comme les seconds se trouvent au Royaume-Uni, ainsi que la collecte régulière des métadonnées correspondant à ces communications. De plus, une fois interceptées, ces communications relevant du secret professionnel des avocats seraient utilisables dès lors que l’objectif principal et l’objet du mandat seraient la collecte de communications extérieures. Cette modalité – tout comme l’absence de restrictions adéquates à l’utilisation de tels éléments – serait de nature à avoir un effet inhibiteur potentiellement très fort sur le caractère franc et ouvert des communications entre les avocats et leurs clients.
c) Appréciation de la Cour
i. Les principes généraux relatifs aux mesures secrètes de surveillance, y compris l’interception de communications
303. La Cour a élaboré un grand nombre de principes quant aux mesures secrètes de surveillance, mais sa jurisprudence à cet égard concerne bien des formes différentes de surveillance, dont l’interception des communications n’est qu’une parmi d’autres, et bien des formes différentes d’« ingérence » dans le droit au respect de la vie privée. Par exemple, certaines affaires concernaient l’interception du contenu de communications tandis que d’autres portaient sur l’interception ou l’obtention de données de communication, ou encore sur le suivi d’individus au moyen des données GPS. La Cour a parfois distingué différents types de surveillance et différentes formes d’ingérence, et il n’y a donc pas un ensemble unique de principes généraux applicables à toutes les affaires concernant des mesures secrètes de surveillance. On peut toutefois déduire de la jurisprudence les principes ci‑après.
304. Une ingérence dans les droits garantis par l’article 8 ne peut se justifier au regard du paragraphe 2 de cet article que si elle est prévue par la loi, vise un ou plusieurs des buts légitimes énumérés dans ce paragraphe et est nécessaire, dans une société démocratique, pour atteindre ce ou ces buts (Roman Zakharov, précité, § 227, et Kennedy, précité, § 130).
305. Selon la jurisprudence constante de la Cour, les termes « prévue par la loi » signifient que la mesure litigieuse doit avoir une base en droit interne (et qu’il ne doit pas s’agir seulement d’une pratique ne reposant pas sur une base légale spécifique – voir Heglas c. République tchèque, no 5935/02, § 74, 1er mars 2007). La mesure doit aussi être compatible avec la prééminence du droit, expressément mentionnée dans le préambule de la Convention et inhérente à l’objet et au but de l’article 8. La loi doit donc être accessible à la personne concernée et prévisible quant à ses effets (Roman Zakharov, précité, § 228 ; voir aussi, parmi bien d’autres, Rotaru c. Roumanie [GC], no 28341/95, § 52, CEDH 2000-V, S. et Marper, précité, § 95, et Kennedy, précité, § 151).
306. La Cour a jugé à plusieurs reprises que, en matière de surveillance secrète, la « prévisibilité » ne pouvait se comprendre de la même façon que dans beaucoup d’autres domaines. Dans le contexte particulier des mesures de surveillance secrète, telle l’interception de communications, la prévisibilité ne saurait signifier qu’un individu doit se trouver à même de prévoir quand les autorités sont susceptibles de recourir à ce type de mesures de manière à ce qu’il puisse adapter sa conduite en conséquence. Cependant, le risque d’arbitraire apparaît avec netteté là où un pouvoir de l’exécutif s’exerce en secret. En matière de mesures de surveillance secrète, il est donc indispensable qu’existent des règles claires et détaillées, d’autant que les procédés techniques utilisables ne cessent de se perfectionner. Le droit interne doit être suffisamment clair pour indiquer à tous de manière adéquate en quelles circonstances et sous quelles conditions la puissance publique est habilitée à recourir à pareilles mesures (Roman Zakharov, précité, § 229 ; voir aussi Malone, précité, § 67, Leander, précité, § 51, Huvig c. France, 24 avril 1990, § 29, série A no 176‑B, Valenzuela Contreras c. Espagne, 30 juillet 1998, § 46, Recueil 1998-V, Rotaru, précité, § 55, Weber et Saravia, décision précitée, § 93, et Association pour l’intégration européenne et les droits de l’homme et Ekimdjiev c. Bulgarie, no 62540/00, § 75, 28 juin 2007). En outre, la loi doit définir l’étendue et les modalités d’exercice du pouvoir d’appréciation accordé aux autorités compétentes avec une clarté suffisante pour fournir à l’individu une protection adéquate contre l’arbitraire (Roman Zakharov, précité, § 230 ; voir aussi, entre autres, Malone, précité, § 68, Leander, précité, § 51, Huvig, précité, § 29, et Weber et Saravia, décision précitée, § 94).
307. Au fil de sa jurisprudence relative à l’interception de communications dans le cadre des enquêtes pénales, la Cour a déterminé que pour prévenir les abus de pouvoir, la loi doit au minimum énoncer les éléments suivants : la nature des infractions susceptibles de donner lieu à un mandat d’interception ; la définition des catégories de personnes dont les communications sont susceptibles d’être interceptées ; la limite à la durée d’exécution de la mesure ; la procédure à suivre pour l’examen, l’utilisation et la conservation des données recueillies ; les précautions à prendre pour la communication des données à d’autres parties ; et les circonstances dans lesquelles les données interceptées peuvent ou doivent être effacées ou détruites (Huvig, précité, § 34 ; Valenzuela Contreras, précité, § 46 ; Weber et Saravia, décision précitée, § 95 ; et Association pour l’intégration européenne et les droits de l’homme et Ekimdjiev, précité, § 76). Dans l’arrêt Roman Zakharov (précité, § 231), elle a confirmé que ces mêmes garanties minimales, au nombre de six, s’appliquaient aussi dans les cas où l’interception était faite pour des raisons de sécurité nationale ; toutefois, pour déterminer si la loi litigieuse était contraire à l’article 8, elle a tenu compte également des éléments suivants : les modalités du contrôle de l’application de mesures de surveillance secrète, l’existence éventuelle d’un mécanisme de notification et les recours prévus en droit interne (Roman Zakharov, précité, § 238).
308. En ce qui concerne la question de savoir si une ingérence est « nécessaire dans une société démocratique » à la réalisation d’un but légitime, la Cour a reconnu que, lorsqu’elles mettent en balance l’intérêt de l’État défendeur à protéger la sécurité nationale au moyen de mesures de surveillance secrète, d’une part, et la gravité de l’ingérence dans l’exercice par un requérant du droit au respect de la vie privée, d’autre part, les autorités nationales disposent d’une certaine marge d’appréciation dans le choix des moyens propres à atteindre le but légitime que constitue la protection de la sécurité nationale. Cette marge d’appréciation va toutefois de pair avec un contrôle européen portant à la fois sur la loi et sur les décisions qui l’appliquent. La Cour doit être convaincue de l’existence de garanties adéquates et effectives contre les abus, car un système de surveillance secrète destiné à protéger la sécurité nationale risque de saper, voire de détruire, la démocratie au motif de la défendre. L’appréciation de cette question est fonction de toutes les circonstances de la cause, par exemple la nature, la portée et la durée des mesures éventuelles, les raisons requises pour les ordonner, les autorités compétentes pour les permettre, les exécuter et en assurer la supervision, et le type de recours ouvert en droit interne. La Cour doit rechercher si les procédures de supervision de la décision et de la mise en œuvre de mesures restrictives sont de nature à circonscrire « l’ingérence » à ce qui est « nécessaire dans une société démocratique » (Roman Zakharov, précité, § 232 ; voir aussi Klass et autres c. Allemagne, 6 septembre 1978, §§ 49, 50 et 59, série A no 28, Weber et Saravia, décision précitée, § 106, et Kennedy, précité, §§ 153 et 154).
309. Le contrôle et la supervision des mesures de surveillance secrète peuvent intervenir à trois stades : lorsqu’on ordonne la surveillance, pendant qu’on la mène ou après qu’elle a cessé. Pendant les deux premiers stades, la nature et la logique même de la surveillance secrète commandent d’exercer à l’insu de l’intéressé non seulement la surveillance elle-même, mais aussi le contrôle qui l’accompagne. Puisque l’intéressé sera donc forcément empêché d’introduire un recours effectif de sa propre initiative ou de participer directement à une éventuelle procédure de contrôle, il est indispensable que les procédures existantes procurent en elles-mêmes des garanties appropriées et équivalentes sauvegardant les droits de l’individu. En un domaine où les abus sont potentiellement si aisés dans des cas individuels et pourraient entraîner des conséquences préjudiciables pour la société démocratique tout entière, il est en principe souhaitable que le contrôle soit confié à un juge, car le contrôle juridictionnel offre les meilleures garanties d’indépendance, d’impartialité et de procédure régulière (Roman Zakharov, précité, § 233 ; voir aussi Klass et autres, précité, §§ 55 et 56).
310. Au troisième stade, c’est-à-dire lorsque la surveillance a cessé, la question de la notification a posteriori de mesures de surveillance est indissolublement liée à celle de l’effectivité des recours judiciaires et donc à l’existence de garanties effectives contre les abus des pouvoirs de surveillance. La personne concernée ne peut guère, en principe, contester rétrospectivement devant la justice la légalité des mesures prises à son insu, sauf si on l’avise de celles-ci (Roman Zakharov, précité, § 234 ; voir aussi Klass et autres, précité, § 57, et Weber et Saravia, décision précitée, § 135) ou si – autre cas de figure –, toute personne pensant avoir fait l’objet d’une surveillance a la faculté de saisir les tribunaux, ceux-ci étant compétents même si le sujet de la surveillance n’a pas été informé des mesures prises (Roman Zakharov, précité, § 234 ; voir aussi Kennedy, précité, § 167).
ii. La jurisprudence relative à l’interception en masse de communications
311. La Cour a examiné la compatibilité avec la Convention de régimes autorisant expressément l’interception en masse de communications en deux occasions : d’abord dans l’affaire Weber et Saravia (décision précitée), puis dans l’affaire Liberty et autres c. Royaume-Uni (no 58243/00, 1er juillet 2008).
312. Dans l’affaire Weber et Saravia, les requérants dénonçaient le procédé de surveillance stratégique prévu par la loi G10 modifiée, qui autorisait la surveillance de télécommunications sans fil internationales. Des signaux émis depuis des pays étrangers étaient surveillés par des sites d’interception situés sur le sol allemand à l’aide de certains mots-clés énumérés dans le mandat de surveillance. Seules les communications contenant ces mots-clés étaient enregistrées et utilisées. Compte tenu en particulier des six « exigences minimales » exposées au paragraphe 307 ci‑dessus, la Cour a considéré que ce système présentait des garanties adéquates et effectives contre les abus éventuels des pouvoirs de surveillance stratégique de l’État. Elle a donc déclaré manifestement mal fondés les griefs que les requérants formulaient sur le terrain de l’article 8.
313. Dans l’affaire Liberty et autres, la Cour a examiné le régime découlant de l’article 3 § 2 de la loi de 1985 sur l’interception de communications, qui était le prédécesseur du régime découlant de l’article 8 § 4 de la RIPA. L’article 3 § 2 de la loi de 1985 permettait à l’exécutif d’intercepter des communications passées entre une personne se trouvant au Royaume-Uni et une personne se trouvant à l’étranger. Lorsqu’il émettait un mandat fondé sur l’article 3 § 2, le ministre de l’Intérieur devait établir un certificat décrivant les communications interceptées dont il jugeait l’examen nécessaire. Les données pouvaient faire l’objet de ce certificat, et donc être écoutées ou lues, dès lors que le ministre jugeait leur examen nécessaire à la protection de la sécurité nationale, à la prévention d’infraction graves ou à la sauvegarde du bien-être économique du Royaume-Uni. Toutefois, les communications extérieures émises depuis une adresse située au Royaume-Uni ne pouvaient faire l’objet d’un certificat aux fins d’examen que si le ministre estimait que cela était nécessaire à la prévention ou à la détection d’actes terroristes. La Cour a jugé que la loi en vigueur à l’époque pertinente (loi qui était antérieure à l’adoption du code de conduite en matière d’interception de communications – voir, en particulier, le paragraphe 109 ci-dessus) ne définissait pas avec assez de clarté pour offrir une protection suffisante contre les abus de pouvoir l’étendue et les modalités d’exercice du pouvoir d’appréciation considérable conféré à l’État en matière d’interception et d’analyse des communications à destination ou en provenance de l’étranger. Elle a noté en particulier qu’aucune précision sur la procédure à suivre pour la sélection aux fins de l’examen, du partage, de la conservation et de la destruction des données interceptées n’y figurait sous une forme accessible au public.
iii. Le critère à appliquer en l’espèce
314. La Cour a expressément reconnu que les autorités nationales disposent d’une ample marge d’appréciation pour choisir la meilleure manière de réaliser le but légitime que constitue la sauvegarde de la sécurité nationale (Weber et Saravia, décision précitée, § 106). De plus, elle a admis dans la décision Weber et Saravia et dans l’arrêt Liberty et autres (tous deux précités) que les régimes d’interception en masse ne sont pas nécessairement exclus de l’application de cette marge d’appréciation. Même si ces deux affaires ont maintenant plus de dix ans, compte tenu du raisonnement qu’elle y a tenu et eu égard aux menaces auxquelles sont actuellement confrontés bon nombre d’États contractants (dont le fléau que représentent le terrorisme mondial et la grande criminalité – trafic de drogue, traite des êtres humains, exploitation sexuelle des enfants, cybercriminalité), au fait qu’en raison des progrès de la technologie il est désormais plus facile pour les terroristes et les criminels d’échapper à la détection sur Internet, et au caractère imprévisible des voies d’acheminement empruntées par les communications électroniques, la Cour considère que la décision d’utiliser un système d’interception en masse pour repérer des menaces pour la sécurité nationale précédemment inconnues demeure dans le cadre de la marge d’appréciation des États.
315. Cela étant, comme indiqué précédemment, il ressort clairement de sa jurisprudence des dernières décennies que tous les régimes d’interception (qu’ils visent des données de masse ou des données ciblées) comportent un potentiel d’abus, en particulier lorsque la véritable étendue du pouvoir discrétionnaire des autorités en matière d’interception n’est pas clairement énoncée dans la législation pertinente (voir, par exemple, les arrêts Roman Zakharov, précité, et Szabó et Vissy c. Hongrie, no 37138/14, 12 janvier 2016). Dès lors, même si les États jouissent d’une ample marge d’appréciation pour décider quel type de régime d’interception est nécessaire pour protéger leur sécurité nationale, le pouvoir discrétionnaire qui leur est accordé lorsqu’ils mettent en œuvre ce régime d’interception doit nécessairement être plus restreint. À cet égard, la Cour a énoncé six exigences minimales que doivent respecter tant les régimes d’interception en masse que les autres régimes d’interception pour être suffisamment prévisibles pour minimiser le risque d’abus de pouvoir (paragraphe 307 ci‑dessus).
316. Les requérantes arguent en l’espèce que la Cour devrait « mettre à jour » ces exigences en disant qu’il faut que soient présents des éléments objectifs justifiant un soupçon raisonnable à l’égard des personnes dont les données sont recherchées, que les mandats d’interception fassent l’objet d’une autorisation préalable délivrée par une instance judiciaire indépendante, et que les autorités soient tenues d’aviser a posteriori le sujet de la surveillance (paragraphe 280 ci-dessus). Elles estiment que ces modifications refléteraient le fait que, en raison des dernières évolutions technologiques, l’interception de communications permet aujourd’hui plus que jamais auparavant de brosser un portrait intime et détaillé de la vie privée d’une personne et de son comportement. La Cour ne doute pas de l’impact de la technologie moderne sur le caractère intrusif des interceptions, et elle l’a d’ailleurs souligné dans sa jurisprudence, mais elle considère qu’il serait faux de présumer automatiquement que les interceptions en masse constituent une plus grande intrusion dans la vie privée d’un individu que les interceptions ciblées : de par leur nature même, celles-ci sont plus susceptibles d’aboutir à ce qu’un grand nombre des communications d’une même personne soient acquises et examinées. En toute hypothèse, même si elle peut admettre que les exigences supplémentaires proposées par les requérantes constitueraient des garanties importantes dans certains cas, la Cour ne juge pas opportun en l’espèce de les ajouter à la liste des exigences minimales, pour les raisons exposées ci-dessous.
317. Premièrement, exiger la présence d’éléments objectifs justifiant un soupçon raisonnable à l’égard des personnes dont les données sont recherchées ainsi que la notification subséquente aux intéressés de la surveillance dont ils ont fait l’objet ne s’accorderait pas avec la conclusion de la Cour selon laquelle le fonctionnement des régimes d’interception en masse relève en principe de la marge d’appréciation de l’État. L’interception en masse est par définition non ciblée, et la subordonner à la présence d’un « soupçon raisonnable » en rendrait la mise en œuvre impossible. De même, l’exigence de « notification subséquente » repose sur le principe de l’existence de cibles de surveillance clairement définies, ce qui n’est tout simplement pas le cas dans un régime d’interception en masse.
318. L’exigence d’autorisation judiciaire n’est quant à elle pas intrinsèquement incompatible avec le fonctionnement effectif d’un système d’interception en masse. Cependant, comme la Commission de Venise l’a constaté dans son rapport sur le contrôle démocratique des agences de collecte de renseignements d’origine électromagnétique (paragraphe 212 ci‑dessus), la Cour a certes admis que l’autorisation judiciaire préalable constituait une « importante garantie contre l’arbitraire » (Roman Zakharov, précité, § 249) mais, jusqu’à présent, elle n’a pas considéré que ce soit une « exigence nécessaire » ni que l’exclusion du contrôle judiciaire transgresse « les limites de ce qui peut passer pour nécessaire dans une société démocratique » (voir, par exemple, Roman Zakharov, précité, § 258 ; voir également Klass et autres, précité, §§ 51 et 56, Weber et Saravia, décision précitée, § 115, Kennedy, précité, § 167, et Szabó et Vissy, précité, § 77). Il y a une bonne raison à cela. La Cour a estimé « souhaitable que le contrôle soit confié à un juge » car, du fait de la nature secrète de la surveillance, l’individu est en général incapable de la contester de lui‑même (Roman Zakharov, précité, § 233) ; mais tel n’est pas le cas dans tous les États contractants. Au Royaume-Uni, par exemple, toute personne qui pense avoir fait l’objet d’une surveillance secrète peut saisir l’IPT (paragraphe 250 ci-dessus). En conséquence, la Cour a admis dans l’arrêt Kennedy (précité, §§ 167-169) que malgré l’absence d’autorisation judiciaire préalable, la supervision indépendante exercée par l’IPT et le Commissaire à l’interception des communications fournissait des garanties adéquates contre les abus. À cet égard, la Commission de Venise a estimé également que lorsque le droit interne prévoit une procédure générale de recours devant un organe de supervision indépendant, ce mécanisme peut compenser l’absence d’autorisation judiciaire (paragraphe 212 ci-dessus).
319. Deuxièmement, la Cour a reconnu que « l’on ne peut jamais, quel que soit le système, écarter complètement l’éventualité de l’action irrégulière d’un fonctionnaire malhonnête, négligent ou trop zélé » (Klass et autres, précité, § 59), et il suffit de consulter sa jurisprudence la plus récente pour y trouver des exemples de cas où la protection apportée par l’autorisation judiciaire préalable a été limitée voire nulle. Par exemple, dans l’affaire Roman Zakharov (arrêt précité), toute interception de communications devait être autorisée par un tribunal, et le juge devait motiver la décision d’autorisation. Cependant, la portée du contrôle opéré par les juges était limitée, et la police avait techniquement les moyens de contourner la procédure d’autorisation et d’intercepter n’importe quelles communications sans avoir obtenu au préalable une autorisation judiciaire. En conséquence, la Cour a jugé que le droit russe ne permettait pas de maintenir l’« ingérence » au strict niveau « nécessaire dans une société démocratique ». De même, dans l’affaire Association pour l’intégration européenne et les droits de l’homme et Ekimdjiev (arrêt précité), le droit pertinent soumettait les interceptions à une autorisation judiciaire préalable. Néanmoins, la Cour a constaté qu’il y avait eu de nombreux abus (selon un rapport établi peu de temps auparavant, plus de 10 000 mandats avaient été émis sur une période de vingt‑quatre mois environ). Plus récemment, dans l’affaire Mustafa Sezgin Tanrıkulu c. Turquie (no 27473/06, § 64, 18 juillet 2017), où une cour d’assises avait accordé à l’Agence nationale du renseignement l’autorisation d’intercepter toutes les communications intérieures et internationales pendant un mois et demi afin d’identifier des suspects de terrorisme, la Cour a conclu à la violation de l’article 8.
320. Ainsi, la Cour considère que l’autorisation judiciaire est certes une garantie importante, et peut-être même la « meilleure pratique », mais qu’elle ne peut être en elle-même ni nécessaire ni suffisante pour assurer le respect de l’article 8 de la Convention (Klass et autres, précité, § 56). Il faut plutôt apprécier le fonctionnement concret du système d’interception, en tenant compte de l’existence ou de l’absence de freins et de contrepoids à l’exercice du pouvoir et de signes d’abus réels (Association pour l’intégration européenne et les droits de l’homme et Ekimdjiev, précité, § 92). La Cour examinera donc en l’espèce la justification des éventuelles ingérences au regard des six exigences minimales qu’elle a déjà posées, en adaptant ces exigences si nécessaire eu égard au fonctionnement des régimes d’interception en masse. Elle tiendra compte également des autres facteurs qu’elle a jugés pertinents dans l’arrêt Roman Zakharov, mais qu’elle n’a pas qualifiés d’« exigences minimales » : les modalités du contrôle de l’application de mesures de surveillance secrète, l’existence éventuelle d’un mécanisme de notification et les recours prévus en droit interne (paragraphe 307 ci-dessus).
α) Sur l’existence d’une ingérence
321. Le Gouvernement ne conteste pas qu’il a été fait ingérence dans les droits des requérantes garantis par l’article 8.
β) Sur la justification de l’ingérence
322. La Cour rappelle qu’une ingérence ne peut se justifier au regard du paragraphe 2 de l’article 8 que si elle est prévue par la loi, vise un ou plusieurs buts légitimes et est nécessaire, dans une société démocratique, pour atteindre ce ou ces buts (paragraphe 304 ci-dessus). Dans les affaires où la législation autorisant la surveillance secrète est contestée devant la Cour, la question de la légalité de l’ingérence est étroitement liée à celle de savoir s’il a été satisfait au critère de la « nécessité », raison pour laquelle la Cour doit vérifier en même temps que la mesure était « prévue par la loi » et qu’elle était « nécessaire » (Roman Zakharov, précité, § 236, et Kennedy, précité, § 155). La « qualité de la loi » en ce sens implique que le droit interne doit non seulement être accessible et prévisible dans son application, mais aussi garantir que les mesures de surveillance secrète soient appliquées uniquement lorsqu’elles sont « nécessaires dans une société démocratique », notamment en offrant des garanties et des garde‑fous suffisants et effectifs contre les abus.
323. Il ne fait pas controverse entre les parties que le régime découlant de l’article 8 § 4 de la RIPA a une base en droit interne, ni qu’il a pour buts légitimes la protection de la sécurité nationale, la prévention des infractions et la sauvegarde du bien-être économique du Royaume-Uni. En revanche, les requérantes soutiennent que le droit interne ne présente pas la qualité de la loi requise et, en particulier, qu’il n’est pas suffisamment accessible et prévisible.
324. La Cour vérifiera donc d’abord, au regard des six exigences minimales établies dans sa jurisprudence, si le droit interne était suffisamment accessible, puis s’il était suffisamment prévisible et si les dispositions critiquées étaient nécessaires. Elle examinera ensuite les modalités du contrôle de l’application de mesures de surveillance secrète, les éventuels mécanismes de notification et les recours prévus en droit interne (paragraphe 307 ci-dessus).
- Sur l’accessibilité du droit interne
325. Les requérantes estiment que le droit interne n’est pas suffisamment accessible : d’une part il serait trop complexe pour être compréhensible par le public, d’autre part il reposerait sur des modalités non publiques. Il est vrai que la plupart des rapports établis sur les régimes de surveillance secrète mis en œuvre au Royaume-Uni ont critiqué le fait que le cadre juridique avait été élaboré de manière fractionnée – et qu’en conséquence il manquait de clarté – (paragraphes 152, 162 et 167 ci‑dessus). Toutefois, comme dans d’autres affaires où le droit interne a été examiné in abstracto et où la législation a été modifiée après l’introduction de la requête (voir, par exemple, Association pour l’intégration européenne et les droits de l’homme et Ekimdjiev), la Cour doit ici vérifier la conformité à la Convention du droit en vigueur au moment où elle examine les griefs des requérantes. En conséquence, elle peut, et elle doit, tenir compte du code de conduite en matière d’interception de communications qui a été modifié en 2016 pour préciser le cadre juridique et intégrer les éléments divulgués à la suite des révélations faites par M. Snowden et examinés en détail dans le rapport de la commission parlementaire, le rapport Anderson et le rapport établi à l’issue du contrôle de la surveillance (paragraphes 90, 148-150, 160-165 et 166-172 ci-dessus). Ce code étant un document public, soumis à l’approbation des deux chambres du Parlement, et dont doivent tenir compte les personnes qui exercent des missions d’interception ainsi que les tribunaux, la Cour a déjà expressément admis que ses dispositions pouvaient être prises en considération lors de l’examen de la prévisibilité du régime découlant de la RIPA (Kennedy, précité, § 157).
326. Les requérantes se plaignent de l’existence de modalités non publiques. À cet égard, la Cour rappelle qu’elle a reconnu que les États n’ont pas à rendre publics tous les détails du fonctionnement des régimes de surveillance secrète si des informations suffisantes sont publiquement disponibles (Roman Zakharov, précité, §§ 243-244 et 247 ; voir aussi, parmi bien d’autres exemples, Szabó et Vissy, précité, § 64, et Kennedy, précité, § 159). Dans le contexte de la surveillance secrète, il est inévitable qu’existent des modalités non publiques (des « œuvres vives »), et la vraie question pour la Cour est celle de savoir si elle peut estimer établi, à partir des éléments publics (les « œuvres mortes »), que la loi est suffisamment prévisible pour réduire autant que possible le risque d’abus de pouvoir. Il s’agit plutôt de la prévisibilité et de la nécessité du droit pertinent que son accessibilité.
327. En conséquence, même si elle peut convenir avec les auteurs de plusieurs des rapports internes susmentionnés que la RIPA et le cadre de surveillance qui l’accompagne sont extrêmement complexes, la Cour concentrera son attention en l’espèce sur les exigences de « prévisibilité » et de « nécessité ».
- Sur le champ d’application des mesures de surveillance secrète
328. Les deux premières exigences minimales concernent la nature des infractions susceptibles de donner lieu à un mandat d’interception et la définition des catégories de personnes susceptibles d’être mises sur écoute. Dans l’arrêt Roman Zakharov, la Cour a dit clairement qu’en vertu de ces deux exigences, « le droit national doit définir le champ d’application des mesures de surveillance secrète en fournissant aux citoyens des indications appropriées sur les circonstances dans lesquelles les pouvoirs publics peuvent recourir à de telles mesures » (Roman Zakharov, précité, § 243).
329. Dans un régime d’interceptions ciblées, la nature des communications à intercepter doit être étroitement définie, mais une fois que l’interception a eu lieu, toutes les communications interceptées – ou presque toutes – peuvent être analysées. Un régime d’interception en masse fonctionne normalement de la manière inverse : le pouvoir d’intercepter est plus large, mais des contrôles plus stricts sont appliqués au stade de la sélection pour examen. En l’espèce, il ressort clairement du chapitre 6 du code de conduite en matière d’interception de communications (paragraphe 90 ci-dessus), du rapport de la commission parlementaire (paragraphes 151-159 ci-dessus), du premier jugement rendu par l’IPT dans l’affaire Liberty (paragraphes 41-49 ci-dessus) et des observations du Gouvernement que le régime découlant de l’article 8 § 4 de la RIPA comprend quatre stades distincts :
1. Une petite partie des données acheminées sur des canaux de transmission Internet sélectionnés parce qu’ils étaient les plus susceptibles de contenir des communications extérieures présentant un intérêt pour le renseignement sont interceptées.
2. Les communications interceptées sont filtrées et une grande partie d’entre elles (celles qui sont le moins susceptibles de présenter un intérêt pour le renseignement) sont automatiquement écartées, pratiquement en temps réel.
3. Des critères de recherche simples ou complexes sont appliqués (par ordinateur) aux communications restantes, afin de conserver celles qui correspondent aux sélecteurs pertinent et d’écarter les autres.
4. Un analyste examine tout ou partie des éléments retenus à l’issue du troisième stade.
330. Pour vérifier le respect des deux premières exigences minimales, la Cour recherchera donc d’abord si les motifs pour lesquels un mandat peut être émis sont suffisamment clairs, ensuite si le droit interne fournit aux citoyens des indications appropriées sur les circonstances dans lesquelles leurs communications sont susceptibles d’être interceptées, et enfin s’il leur fournit des indications appropriées sur les circonstances dans lesquelles leurs communications sont susceptibles d’être sélectionnées pour examen (paragraphe 328 ci-dessus).
331. Selon la RIPA et le code de conduite en matière d’interception de communications, le ministre ne peut émettre un mandat que s’il estime que cela est nécessaire dans l’intérêt de la sécurité nationale, aux fins de la prévention ou de la détection des infractions graves, ou pour la sauvegarde de la prospérité économique du Royaume-Uni dans la mesure où celle-ci relève aussi de la sécurité nationale, et que la conduite autorisée par le mandat est proportionnée au but visé. En vertu du droit interne, pour examiner la nécessité et la proportionnalité de la mesure, il faut se demander s’il ne serait pas raisonnablement possible d’obtenir par d’autres moyens les informations que le mandat vise à obtenir (article 5 § 3 de la RIPA et chapitre 6 du code de conduite en matière d’interception de communications, paragraphes 57 et 90 ci-dessus). Il est clair que l’emploi dans la RIPA et le code de conduite des termes « nécessité » et « proportionnalité » vise à assurer le respect des exigences découlant des articles 8 et 10 de la Convention et que ces termes doivent donc être compris dans le sens qui est le leur dans la Convention (voir le paragraphe 3.5 du code de conduite en matière d’interception de communications, au paragraphe 90 ci-dessus).
332. La Cour a dit que le critère de la prévisibilité n’exige pas des États qu’ils énumèrent exhaustivement en les nommant les infractions précises qui peuvent donner lieu à une mesure d’interception, mais qu’ils fournissent des précisions suffisantes sur la nature des infractions en question (Roman Zakharov, précité, §§ 243-244 ; voir aussi, parmi bien d’autres exemples, Szabó et Vissy, précité, § 64, et Kennedy, précité, § 159). De plus, elle a expressément reconnu la nécessité d’éviter une rigidité excessive dans le libellé de certaines lois et de s’adapter aux changements de situation (Szabó et Vissy, précité, § 64 ; Kokkinakis c. Grèce, 25 mai 1993, § 40, série A no 260‑A).
333. Dans l’affaire Kennedy, la Cour devait examiner la question de savoir si les motifs énoncés à l’article 5 § 3 de la RIPA (qui s’appliquent aussi bien aux mandats émis en vertu de l’article 8 § 1 de cette loi qu’à ceux émis en vertu de l’article 8 § 4) étaient suffisamment détaillés quant à la nature des infractions susceptibles de donner lieu à un mandat d’interception. Elle a observé que l’expression « sécurité nationale » était fréquemment employée, tant en droit interne qu’en droit international, et qu’elle constituait l’un des buts légitimes visés à l’article 8 § 2 de la Convention. Elle a ensuite noté que les menaces dirigées contre la sécurité nationale pouvaient d’une part être de différentes natures et d’autre part être imprévues et difficiles à définir à l’avance. Elle a rappelé en outre que le Commissaire à l’interception des communications avait indiqué que concrètement, la « sécurité nationale » autorisait la surveillance d’activités menaçant la sécurité ou la prospérité de l’État ou visant à saper ou à renverser la démocratie parlementaire par des moyens politiques, par des actions collectives ou par la violence. Elle a donc jugé cette expression suffisamment claire (Kennedy, précité, § 159).
334. La Cour observe par ailleurs que l’expression « infractions graves » est clairement définie à l’article 81 de la RIPA (paragraphes 58-59 ci‑dessus ; voir aussi l’arrêt Kennedy, précité, § 159) et qu’il a été précisé dans le code de conduite en matière d’interception de communications que le but de sauvegarde de la prospérité économique du Royaume-Uni ne concerne que les intérêts qui relèvent aussi de la sécurité nationale (paragraphe 90 ci‑dessus).
335. Elle considère donc que l’article 5 § 3 de la RIPA est suffisamment clair, car il fournit aux citoyens des indications appropriées sur les circonstances et les conditions d’émission d’un mandat relevant de l’article 8 § 4 de la RIPA.
336. Quant aux personnes susceptibles de voir leurs communications interceptées, il est clair qu’il s’agit d’une vaste catégorie. L’article 8 § 4 de la RIPA permet seulement au ministre d’émettre un mandat aux fins de l’interception de communications extérieures, ce qui exclut en principe les communications dont les deux parties se trouvent dans les îles Britanniques. Même s’il y a eu une certaine confusion quant à l’application aux formes modernes de communication des termes « communications extérieures » et « communication intérieures », le ministre des Affaires étrangères et du Commonwealth a expliqué, lorsqu’il a déposé devant la commission parlementaire sur le renseignement et la sécurité en octobre 2014, de quelle catégorie relevaient respectivement les emails, la navigation sur Internet, l’utilisation des médias sociaux et le stockage de données dans le Cloud (paragraphe 71 ci-dessus). Cela étant, même si une communication est à l’évidence « intérieure » car elle a lieu entre deux personnes qui se trouvent dans les îles Britanniques, en pratique elle peut être totalement ou partiellement acheminée via un ou plusieurs pays étrangers, et elle risque donc d’être interceptée en vertu du régime découlant de l’article 8 § 4 de la RIPA. Cette possibilité est expressément permise par l’article 5 § 6, qui autorise l’interception de communications non mentionnées dans le mandat (paragraphe 63 ci‑dessus).
337. Néanmoins, les canaux de transmission ciblés ne sont évidemment pas choisis au hasard. Ils sont sélectionnés parce que l’on croit qu’ils sont les plus susceptibles de transmettre des communications extérieures présentant un intérêt pour le renseignement (paragraphe 6.7 du code de conduite en matière d’interception de communications, cité au paragraphe 90 ci-dessus ; rapport annuel 2016 du Commissaire à l’interception des communications, cité au paragraphe 178 ci-dessus). Ainsi, même si nul ne peut être assuré que ses communications ne seront jamais interceptées en vertu du régime découlant de l’article 8 § 4 de la RIPA, il est clair que les services de renseignement n’interceptent pas les communications de toute la population et qu’ils n’exercent pas un pouvoir sans limite qui leur permettrait d’intercepter n’importe quelles communications selon leur bon plaisir. Concrètement, les mesures d’interception doivent viser l’un des buts énoncés à l’article 5 § 3 de la RIPA, l’interception en masse doit être proportionnée au but visé et – au moins au niveau macroscopique de la sélection des canaux de transmission sur lesquels se feront les interceptions – seules les communications extérieures peuvent être ciblées.
338. Comme l’a observé la commission parlementaire, il serait souhaitable que les critères de sélection des canaux de transmission fassent l’objet d’une plus grande supervision du Commissaire (paragraphe 157 ci‑dessus). Cependant, ainsi que la Cour l’a déjà noté, de par sa nature même un régime d’interception en masse laisse aux autorités une grande latitude d’interception des communications, et en lui-même ce seul fait ne rend pas le régime découlant de l’article 8 § 4 de la RIPA irrémédiablement contraire à l’article 8 de la Convention. Le pouvoir d’interception ne doit certes pas être illimité – car l’interception et le filtrage d’une communication, même suivis de la suppression des données quasiment en temps réel, constituent déjà une ingérence dans les droits garantis par l’article 8 de la Convention –, et des garanties plus rigoureuses seront exigées pour les troisième et quatrième stades (paragraphe 329 ci-dessus), où l’ingérence est bien plus grande.
339. Au stade de la sélection des communications pour examen, qui fait suite aux stades de l’interception et du filtrage, les données qui n’ont pas été écartées quasiment en temps réel sont soumises à des recherches supplémentaires : d’abord l’application automatique informatisée de sélecteurs simples (par exemple, adresse email, numéro de téléphone) et de critères de recherches initiaux, puis l’application de recherches complexes (voir le paragraphe 6.4 du code de conduite en matière d’interception de communications, cité au paragraphe 90 ; voir aussi le rapport de la commission parlementaire aux paragraphes 151 à 159 ci‑dessus et les observations communiquées par le Gouvernement en l’espèce). Dans l’affaire Liberty et autres, la Cour a comparé le régime qui précédait celui instauré par l’article 8 § 4 de la RIPA au système allemand qu’elle avait examiné dans l’affaire Weber et Saravia, et elle a jugé que le régime britannique n’était pas aussi bon que l’allemand, notant que la loi G10 autorisait le service fédéral du renseignement à appliquer des mesures de surveillance uniquement à l’aide de mots-clés utiles et adaptés aux investigations portant sur les dangers décrits dans le mandat de surveillance et énumérés dans celui-ci (arrêt Liberty et autres, § 68, et décision Weber et Saravia, § 32, tous deux précités).
340. Il ne s’ensuit pas que les sélecteurs et les critères de recherche doivent nécessairement être rendus publics, ni même énumérés dans le mandat ordonnant l’interception. Dans l’affaire Liberty, l’IPT a jugé que l’inclusion des sélecteurs dans le mandat ou le certificat l’accompagnant « aurait inutilement compromis et limité la mise en œuvre du mandat tout en risquant de ne pas être du tout réaliste » (paragraphe 44 ci-dessus). La Cour n’a pas de raison de remettre en question cette conclusion. Il n’en reste pas moins que les critères de recherche et les sélecteurs utilisés pour filtrer les communications interceptées doivent faire l’objet d’une supervision indépendante ; or il apparaît que cette garantie n’est pas prévue dans le régime découlant de l’article 8 § 4 de la RIPA. La commission parlementaire a d’ailleurs critiqué dans son rapport l’absence de toute supervision significative tant des sélecteurs que des critères de recherche (paragraphe 157 ci-dessus).
341. L’application des sélecteurs et des recherches automatisées aboutit à la création d’un index. Les éléments qui ne se trouvent pas dans cet index sont écartés. Seuls les éléments figurant dans l’index peuvent être examinés par un analyste, sous réserve qu’ils répondent aux deux critères énoncés à l’article 16 de la RIPA, c’est-à-dire qu’ils relèvent du certificat du ministre attestant de la nécessité de leur examen (article 16 § 1 de la RIPA, paragraphes 78 à 85 ci-dessus) et que le sujet ne se trouve pas actuellement dans les îles Britanniques (article 16 § 2 de la RIPA).
342. En ce qui concerne la certification par le ministre, la commission parlementaire a observé que les catégories énoncées dans les certificats étaient désignées en termes très généraux (par exemple, « des éléments fournissant des renseignements sur le terrorisme (conformément à la définition figurant dans la loi de 2000 sur le terrorisme (version modifiée)), notamment et sans que cette liste soit exhaustive sur des organisations terroristes, des terroristes, des sympathisants actifs, la préparation d’attentats et la collecte de fonds » – paragraphe 156 ci-dessus). De même, le contrôleur indépendant de la législation sur le terrorisme a recommandé que les buts pour lesquels des éléments ou données pouvaient être recherchés soient énoncés par référence à des opérations ou des buts de missions spécifiques (par exemple, « projet d’attentat de l’EIIL en Irak/en Syrie contre les intérêts britanniques » – paragraphe 162 ci-dessus). Pour que cette garantie soit effective, la Cour considère elle aussi qu’il serait hautement souhaitable que le certificat soit libellé en termes plus spécifiques que ce qui semble être le cas actuellement.
343. Par ailleurs, la Cour estime que l’exclusion des communications passées entre individus dont on sait qu’ils se trouvent actuellement dans les îles Britanniques est une garantie importante, car lorsque ces individus intéressent les services de renseignement, ils peuvent faire l’objet d’un mandat ciblé en vertu de l’article 8 § 1 de la RIPA : les services de renseignement ne devraient pas pouvoir obtenir par un mandat de masse ce qu’ils peuvent obtenir par un mandat ciblé.
344. En vertu du paragraphe 7.18 du code de conduite en matière d’interception de communications, des audits doivent être menés périodiquement pour vérifier le respect des garanties énoncées à l’article 16 de la RIPA, et toute violation de ces garanties doit être signalée au Commissaire à l’interception des communications (paragraphe 90 ci‑dessus). Dans son rapport annuel 2016, comme précédemment dans ses rapports 2014 et 2015, le Commissaire a observé que le processus par lequel les analystes sélectionnaient les éléments à examiner ne nécessitait pas d’autorisation préalable d’un supérieur hiérarchique, et reposait ainsi principalement sur le jugement professionnel de l’analyste, sa formation et la supervision a posteriori de sa hiérarchie (paragraphe 179 ci-dessus).
345. Dans l’absolu, la Cour estime qu’il serait préférable que la sélection d’éléments par les analystes soit soumise à tout le moins à l’autorisation préalable d’un supérieur hiérarchique opérationnel. Toutefois, étant donné que les analystes sont soigneusement formés et sélectionnés, que la sélection d’éléments est consignée dans des dossiers et que ces dossiers sont vérifiés dans le cadre d’une supervision indépendante et d’un audit (voir les paragraphes 7.15 et 7.18 du code de conduite en matière d’interception de communications, cités au paragraphe 90 ci-dessus), l’absence d’autorisation préalable ne constitue pas automatiquement, en elle-même, un défaut de garanties adéquates contre les abus.
346. Cela étant, la Cour doit apprécier dans son ensemble le fonctionnement du régime découlant de l’article 8 § 4 de la RIPA, en tenant compte notamment du fait que la liste à partir de laquelle les analystes sélectionnent les éléments à examiner est elle-même générée par l’application de sélecteurs et de critères de sélection qui n’ont fait l’objet d’aucune supervision indépendante. En pratique, la seule supervision indépendante du processus de filtrage et de sélection pour examen des données interceptées est celle opérée a posteriori par le Commissaire à l’interception des communications et, s’il est saisi, par l’IPT. Dans l’arrêt Kennedy, la Cour a dit que la procédure prévue par la RIPA pour l’examen des éléments interceptés était suffisamment claire, mais elle a expressément fondé cette conclusion sur le fait que contrairement à l’affaire Liberty et autres, qui concernait la captation non sélective de données, l’affaire Kennedy concernait un mandat d’interception visant seulement un ensemble de bâtiments, fait qui limitait en lui-même la latitude dont disposaient les autorités pour intercepter et écouter des communications privées (Kennedy, précité, § 162). Dans un régime d’interception en masse, où la possibilité d’intercepter des données n’est pas significativement limitée par les termes du mandat, les garanties applicables au filtrage et à la sélection pour examen doivent nécessairement être plus solides.
347. Ainsi, même si rien n’indique que les services de renseignement abusent de leurs pouvoirs – au contraire, le Commissaire à l’interception des communications a observé que les analystes sélectionnaient soigneusement et consciencieusement les éléments à examiner (paragraphe 179 ci‑dessus) –, la Cour n’est pas persuadée que les garanties applicables à la sélection des canaux de transmission aux fins de l’interception de données et de leur sélection pour examen soient suffisamment solides pour constituer des garde-fous adéquats contre les abus. Cependant, l’élément le plus préoccupant est l’absence de supervision indépendante solide des sélecteurs et des critères de recherche utilisés pour filtrer les communications interceptées.
- Sur l’exclusion des données de communication associées des garanties applicables à la recherche et à l’examen du contenu
348. Le régime découlant de l’article 8 § 4 de la RIPA permet l’interception en masse à la fois du contenu des communications et des données de communication associées (c’est-à-dire des données indiquant qui a participé à la communication, quand et où). Or l’article 16 de la RIPA ne s’applique qu’aux « éléments interceptés », c’est-à-dire, selon la définition donnée à l’article 20 de cette même loi, au contenu des communications interceptées (paragraphe 78 ci-dessus). Les données associées à toutes les communications interceptées – même aux communications intérieures accidentellement « prises dans les filets » des interceptions réalisées sur la base d’un mandat émis en vertu de l’article 8 § 4 de la RIPA – peuvent donc faire l’objet de recherches et être sélectionnées pour examen sans restriction.
349. Le Gouvernement soutient qu’il est nécessaire d’accéder aux données de communication pour pouvoir donner effet à l’une des garanties posées par l’article 16 de la RIPA, à savoir celle qui concerne le fait qu’une personne se trouve ou non dans les îles Britanniques. Il ajoute que, la manipulation des données de communication étant moins intrusive que celle des données de contenu (toutes choses égales par ailleurs), leur interception, leur stockage et leur utilisation ne devrait pas être soumis aux six exigences minimales applicables aux données de contenu (paragraphe 307 ci-dessus), et la Cour devrait simplement se demander si la loi est suffisamment claire pour fournir à l’individu une protection adéquate contre les ingérences arbitraires.
350. La Cour a établi une distinction entre les différentes méthodes d’investigation selon le niveau d’intrusion dans la vie privée de l’individu qui en découle. Dans l’affaire Uzun (Uzun c. Allemagne, no 35623/05, § 52, CEDH 2010 (extraits)), elle a dit que l’interception des communications constitue l’une des intrusions les plus graves, car elle révèle plus d’informations sur la conduite, les opinions ou les sentiments de la personne qui en fait l’objet ; et qu’il s’agit donc d’une plus grande intrusion dans la vie privée d’un individu que le suivi GPS de la position de son véhicule. Dans l’arrêt Ben Faiza c. France (no 31446/12, § 74, 8 février 2018), elle a établi une distinction supplémentaire entre la géolocalisation d’un véhicule en temps réel et la transmission à une autorité judiciaire de données existantes détenues par un organisme public ou privé : elle a considéré que la seconde constituait une moindre intrusion dans la vie privée que la première.
351. Jusqu’à présent, la Cour n’a renoncé à appliquer le critère des exigences minimales dans les affaires de surveillance secrète que lorsqu’il n’y avait pas eu interception de communications et qu’elle estimait que le degré d’intrusion n’était pas comparable à celui causé par une interception (voir, par exemple, R.E. c. Royaume-Uni, no 62498/11, 27 octobre 2015, et Uzun, précité).
352. Quoi qu’il en soit, il n’est pas nécessaire qu’elle tranche ici la question de savoir si les six exigences minimales s’appliquent à l’interception de données de communication car, sauf pour ce qui est des garanties posées à l’article 16 de la RIPA, le régime découlant de l’article 8 § 4 de cette loi traite de la même manière le contenu et les données de communication associées. La Cour portera donc son attention sur le point de savoir si, au regard du motif invoqué par le Gouvernement pour justifier le fait que ces garanties ne s’appliquent pas aux données de communication associées, cette exclusion est proportionnée au but légitime visé, qui est d’assurer l’effectivité de la garantie protégeant le contenu des communications.
353. Il ne fait aucun doute que les données de communication sont une ressource précieuse pour les services de renseignement. On peut les analyser rapidement pour repérer des schémas faisant apparaître des comportements en ligne particuliers associés à des activités telles que la préparation d’un attentat terroriste, ou encore des réseaux et associations de personnes impliqués dans des attentats, ce qui en fait des éléments précieux pour des opérations où la vitesse est un facteur important ; et, contrairement à beaucoup de données de contenu, elles ne sont généralement pas cryptées (paragraphes 158, 163, 169, 176 et 301 ci‑dessus).
354. Par ailleurs, la Cour admet que l’effectivité des garanties posées à l’article 16 § 2 de la RIPA dépend de la possibilité pour les services de renseignement de déterminer si une personne se trouve dans les îles Britanniques ; et l’accès aux données de communication associées leur donne cette possibilité.
355. Toutefois, il est préoccupant que les services de renseignement puissent faire des recherches dans les « données de communication associées » et les examiner apparemment sans restriction. Même si ces données ne doivent pas être confondues avec la catégorie bien plus large que constituent les « données de communication », elles représentent une quantité importante de données. Le Gouvernement a affirmé à l’audience que les « données de communication associées » obtenues en vertu du régime découlant de l’article 8 § 4 de la RIPA ne sont que des données de trafic. Or, en vertu des paragraphes 2.24 à 2.27 du code de conduite sur l’acquisition de données de communication (paragraphe 117 ci-dessus), les données de trafic comprennent des informations révélant où se trouve l’équipement lorsqu’une communication est passée ou reçue, l’a été ou peut l’être (par exemple l’emplacement d’un téléphone mobile) ; des informations identifiant l’émetteur et le ou les destinataires d’une communication (y compris les destinataires en copie) à partir des données qu’elle comprend ou qui y sont jointes ; des informations d’acheminement révélant l’équipement par lequel une communication est ou a été transmise (par exemple, l’allocation d’une adresse IP dynamique, les journaux de transfert des fichiers et les en-têtes des emails – sauf le titre, qui est considéré comme du contenu) ; des informations relatives à la navigation sur le web (exclusivement la machine hôte, le serveur, le nom de domaine et l’adresse IP – c’est-à-dire les adresses et les URL des sites visités jusqu’à la première barre oblique (/), les données suivant cette barre étant des données de contenu) ; et des données de correspondance comprenant les détails des données de trafic des envois postaux acheminés à une adresse précise, ainsi que le suivi en ligne des communications, y compris les envois et colis postaux (paragraphe 117 ci‑dessus).
356. Par ailleurs, la Cour n’est pas persuadée que l’acquisition de données de communication associées soit nécessairement moins intrusive que l’acquisition de contenu. Par exemple, le contenu d’une communication électronique pourrait être crypté et, même s’il était décrypté, ne rien révéler d’utile sur l’expéditeur ou le destinataire. Les données de communication associées, en revanche, peuvent révéler l’identité et l’emplacement géographique de l’expéditeur et du destinataire ainsi que l’équipement par lequel la communication a été acheminée. Avec les données de masse, l’intrusion est démultipliée, car l’analyse combinée des activités d’une personne sur les réseaux sociaux, des lieux où elle se rend, de son historique de navigation Internet, de ses habitudes de communication et des données concernant les personnes avec lesquelles elle interagit dessine un schéma qui brosse d’elle un portrait intime (paragraphe 301 ci‑dessus).
357. En conséquence, même si la Cour ne doute pas que les données de communication associées constituent un outil essentiel pour les services de renseignement aux fins de leur activité de lutte contre le terrorisme et les infractions graves, elle considère qu’en les excluant intégralement des garanties applicables à l’analyse et à l’examen des données de contenu, les autorités n’ont pas ménagé un juste équilibre entre les intérêts publics et privés concurrents. Il ne s’agit pas de dire que les données de communication associées ne doivent être accessibles qu’aux fins de déterminer si un individu se trouve ou non dans les îles Britanniques, car cela reviendrait à exiger l’application de normes plus strictes aux données de communication associées qu’aux données de contenu, mais il faut que des garanties suffisantes assurent que les données de communication associées ne soient exclues des exigences posées à l’article 16 de la RIPA que dans la limite de ce qui est nécessaire pour déterminer si un individu se trouve actuellement dans les îles Britanniques.
- Sur la durée des mesures de surveillance secrète
358. En vertu de l’article 9 de la RIPA (paragraphe 62 ci-dessus), un mandat émis en vertu de l’article 8 § 4 cesse de produire ses effets à l’issue de la « durée pertinente », à moins qu’il ne soit renouvelé. Lorsque le ministre a émis le mandat pour des raisons tenant à la sécurité nationale ou économique, la « durée pertinente » est de six mois ; lorsqu’il l’a émis dans le but de prévenir les infractions graves, la « durée pertinente » est de trois mois. Le mandat est renouvelable pour la même durée (six mois et trois mois respectivement). Le renouvellement peut intervenir à tout moment avant la date d’expiration du mandat, sur demande faite au ministre. La demande de renouvellement doit contenir les mêmes informations que la demande originale, ainsi qu’une évaluation de l’utilité qu’a eue l’interception jusqu’alors et un exposé des raisons pour lesquelles la mesure reste nécessaire, au sens de l’article 5 § 3 de la RIPA, et proportionnée au but visé (voir les paragraphes 6.22 à 6.24 du code de conduite en matière d’interception de communications, cités au paragraphe 90 ci-dessus). Le paragraphe 6.7 du code de conduite en matière d’interception de communications impose d’étudier régulièrement les différentes liaisons de communication (paragraphe 90 ci-dessus). Toute demande de renouvellement d’un mandat devrait donc démontrer que l’interception opérée sur ces liaisons a toujours un intérêt et reste nécessaire et proportionnée au but visé (au sens de la Convention).
359. De plus, le ministre doit annuler le mandat s’il estime que celui-ci n’est plus nécessaire pour des motifs relevant de l’article 5 § 3 de la RIPA (voir l’article 9 de la RIPA au paragraphe 62 ci-dessus).
360. Dans l’affaire Kennedy (arrêt précité, § 161), la Cour a examiné ces mêmes dispositions relatives à la durée et au renouvellement des mandats d’interception (les interceptions en cause dans cette affaire relevaient du régime découlant de l’article 8 § 1 de la loi). Elle a jugé que les règles en vigueur étaient suffisamment claires pour fournir des garanties adéquates contre les abus. En particulier, elle a noté que l’obligation pour le ministre d’annuler les mandats qui n’étaient plus nécessaires impliquait, en pratique, que les services de renseignement devaient constamment réexaminer leurs mandats. À la lumière de ce qui précède, elle ne voit pas de raison de parvenir à une conclusion différente en l’espèce. En particulier, elle ne décèle aucun élément permettant de dire comme les requérantes qu’une fois émis, les mandats relevant de l’article 8 § 4 de la RIPA peuvent demeurer valables indéfiniment même s’ils ne sont plus nécessaires et proportionnés au but visé.
- Sur la procédure à suivre pour le stockage des données interceptées, l’accès à ces données, leur examen et leur utilisation
361. Comme indiqué précédemment, les analystes ne peuvent examiner que les éléments qui figurent dans l’index généré automatiquement. Avant de pouvoir lire, consulter ou écouter les éléments figurant dans l’index, ils doivent consigner les raisons pour lesquelles l’accès à ces éléments est nécessaire dans l’un des buts légaux énoncés à l’article 5 § 3 de la RIPA et proportionné à ce but, compte tenu de l’existence ou de l’absence d’une possibilité raisonnable d’obtenir les informations recherchées par un moyen moins intrusif (article 16 §§ 1 et 2 de la RIPA et paragraphes 7.15 et 7.16 du code de conduite en matière d’interception de communications, voir les paragraphes 78-79 et 90 ci-dessus). En vertu de l’article 16 § 2 de la RIPA (paragraphe 79 ci‑dessus), les analystes ne peuvent pas sélectionner des éléments pour examen en appliquant des critères visant les communications d’individus dont on sait qu’ils se trouvent dans les îles Britanniques. De plus, le paragraphe 7.16 du code de conduite (paragraphe 90 ci-dessus) leur impose d’indiquer, s’il y en a, les circonstances susceptibles de donner lieu à une atteinte collatérale à la vie privée, ainsi que les mesures prises pour réduire la portée de cette intrusion. L’accès subséquent par l’analyste est limité à une période déterminée, et même si cette période peut être renouvelée, il faut à cette fin que le dossier correspondant soit mis à jour avec les motifs du renouvellement (voir le paragraphe 7.17 du code de conduite, cité au paragraphe 90 ci-dessus).
362. Le paragraphe 7.15 du code de conduite (paragraphe 90 ci-dessus) impose par ailleurs que les analystes qui examinent les éléments interceptés soient spécialement autorisés à cette fin ; qu’ils suivent régulièrement une formation obligatoire sur les dispositions de la RIPA, en particulier sur les modalités d’application de l’article 16, et sur les exigences de nécessité et proportionnalité ; et qu’ils aient l’habilitation nécessaire. De plus, il est mené régulièrement des audits qui comprennent notamment des contrôles dans le cadre desquels on vérifie que les dossiers relatifs aux demandes d’accès aux éléments interceptés sont correctement tenus et que les éléments demandés relèvent des sujets visés dans le certificat du ministre (voir le paragraphe 7.18 du code de conduite, au paragraphe 90 ci-dessus).
363. Le paragraphe 7.7 du code de conduite (paragraphe 90 ci‑dessus), qui concerne le stockage des éléments interceptés, prévoit que jusqu’à leur destruction, ces éléments doivent être stockés de manière sécurisée et être inaccessibles aux personnes n’ayant pas le niveau d’habilitation requis.
364. À la lumière de ce qui précède, et sous réserve des conclusions qu’elle a formulées aux paragraphes 347 et 357 ci-dessus, la Cour admet que les dispositions relatives au stockage des données interceptées, à l’accès à ces données, à leur examen et à leur utilisation sont suffisamment claires.
- Sur la procédure à suivre pour la communication des données interceptées à d’autres parties
365. Tant que les éléments interceptés sont conservés, il faut, en vertu de l’article 15 § 2 de la RIPA et du paragraphe 7.2 du code de conduite en matière d’interception de communications (paragraphes 73 et 90 ci-dessus), que soient limités au minimum nécessaire pour la réalisation des « buts autorisés » : le nombre de personnes auxquelles les éléments ou les données associées sont divulgués ou accessibles ; la mesure dans laquelle ces éléments ou données sont divulgués ou accessibles ; la mesure dans laquelle ils sont copiés ; et le nombre de copies qui en sont faites. En vertu de l’article 15 § 4 de la RIPA et du paragraphe 7.2 du code de conduite (paragraphes 75 et 90 ci-dessus), une chose est nécessaire dans l’un des buts autorisés si et seulement si elle reste nécessaire aux fins visées à l’article 5 § 3 de la RIPA ou est susceptible de le devenir, elle est nécessaire pour faciliter l’accomplissement de l’une quelconque des missions d’interception du ministre, elle est nécessaire pour faciliter l’accomplissement de l’une quelconque des missions du Commissaire à l’interception des communications ou de l’IPT, elle est nécessaire pour qu’une personne qui est en charge de poursuites pénales dispose des informations dont elle a besoin pour déterminer ce qu’elle est tenue de faire en vertu de son obligation d’assurer l’équité de la procédure, ou elle est nécessaire pour l’exécution de toute obligation imposée à toute personne par la législation relative aux archives publiques.
366. Le paragraphe 7.3 du code de conduite (paragraphe 90 ci-dessus) interdit la divulgation des éléments interceptés aux personnes qui n’ont pas l’habilitation nécessaire ou pas le besoin d’en connaître : les éléments interceptés ne doivent être divulgués à personne d’autre que ceux dont la mission – qui doit relever de l’un des buts autorisés – est telle qu’ils ont besoin pour l’accomplir d’avoir connaissance de ces éléments. De même, le destinataire ne doit recevoir que la partie des éléments interceptés qu’il a besoin de connaître. Ce paragraphe s’applique aussi bien à la divulgation au sein de l’agence qu’à la divulgation hors de l’agence et, en vertu du paragraphe 7.4 (paragraphe 90 ci-dessus), il s’applique non seulement à la personne qui a intercepté les éléments mais aussi à toute personne à qui ils sont ensuite divulgués.
367. En vertu du paragraphe 7.5 du code de conduite (paragraphe 90 ci‑dessus), lorsque des éléments interceptés sont divulgués à des autorités d’un pays ou territoire non britannique, l’agence doit prendre des mesures raisonnables pour s’assurer que ces autorités ont mis en place et appliquent les procédures nécessaires pour protéger les éléments interceptés et pour garantir qu’ils ne seront divulgués, copiés, distribués et conservés que dans la stricte mesure du nécessaire. Les éléments interceptés ne doivent pas être divulgués aux autorités d’un troisième pays ou territoire sans l’accord express de l’agence dont ils émanent, et ils doivent être restitués à celle-ci ou détruits de manière sécurisée lorsqu’ils ne sont plus nécessaires.
368. La Cour a examiné des dispositions très semblables dans l’affaire Kennedy : si le paragraphe 7.5 est nouveau, les paragraphes 7.3, 7.4 et 7.6 du code de conduite de 2016 sont identiques aux paragraphes 6.4, 6.5 et 6.6 de la version précédente. Dans l’affaire Kennedy (arrêt précité, § 163), la Cour a estimé que les dispositions relatives au traitement et à la divulgation des éléments interceptés fournissaient des garanties adéquates pour la protection des données obtenues. Cependant, les requérantes de la présente affaire ont exprimé des préoccupations quant à un aspect de la procédure qui n’avait pas été traité dans l’affaire Kennedy, à savoir le fait qu’aux fins de la règle selon laquelle la divulgation et la copie doivent être « limitées au minimum nécessaire pour la réalisation des « buts autorisés » », une chose peut être considérée comme « nécessaire » dans un « but autorisé » si elle est « susceptible de devenir nécessaire ». L’expression « susceptible de devenir nécessaire » n’ayant été définie ni dans la RIPA ni dans le code de conduite en matière d’interception de communications, ni d’ailleurs nulle part, elle pourrait en pratique conférer aux autorités un large pouvoir de divulgation et de copie des éléments interceptés. Cependant, il n’y a pas d’ambiguïté quant au fait que même si la divulgation ou la copie sont « susceptibles de devenir nécessaires » dans un « but autorisé », les éléments ne peuvent de toute façon être divulgués qu’à une personne ayant le niveau d’habilitation requis et le « besoin d’en connaître ». De plus, seuls les éléments interceptés que l’individu a besoin de connaître peuvent lui être divulgués : lorsqu’un résumé est suffisant, seul le résumé doit être divulgué.
369. Ainsi, il serait certes souhaitable que l’expression « susceptible de devenir nécessaire » soit plus clairement définie dans la RIPA ou dans le code de conduite en matière d’interception de communications, mais la Cour considère que, dans l’ensemble, l’article 15 de la RIPA et le chapitre 7 du code de conduite fournissent des garanties adéquates en matière de protection des données obtenues.
- Sur les circonstances dans lesquelles les éléments interceptés doivent être effacés ou détruits
370. L’article 15 § 3 de la RIPA et le paragraphe 7.8 du code de conduite en matière d’interception de communications (paragraphes 74 et 90 ci-dessus) imposent que toute copie d’éléments interceptés ou de données de communication associées (ainsi que les éventuels extraits et résumés) soit détruite de manière sécurisée dès que la conservation n’en est plus nécessaire dans l’un des buts relevant de l’article 5 § 3 de la RIPA. En pratique, cela signifie que les éléments interceptés qui sont écartés quasiment en temps réel sont détruits. De même, après l’application de sélecteurs et de critères de recherche, les éléments qui ne sont pas ajoutés à l’index de l’analyste sont aussi détruits (paragraphes 72-77 et 90 ci-dessus).
371. Le paragraphe 7.9 du code de conduite (paragraphe 90 ci-dessus) prévoit que lorsqu’un service de renseignement reçoit des éléments interceptés non analysés et les données de communication associées obtenus au moyen d’une interception faite dans le cadre d’un mandat émis en vertu de l’article 8 § 4 de la RIPA, il doit fixer les durées maximales de conservation pour les différentes catégories de données, en fonction de leur nature et de leur caractère plus ou moins intrusif. Ces durées ne doivent normalement pas dépasser deux ans, et elles doivent être fixées en accord avec le Commissaire à l’interception des communications. Dans la mesure du possible, toutes les durées de conservation des données doivent être mises en œuvre par un processus de suppression automatisée, déclenché lorsque la durée maximale de conservation des données concernées est atteinte (paragraphes 72-77 ci-dessus). En vertu du paragraphe 7.8 (paragraphe 90 ci-dessus), si les éléments interceptés sont conservés, il faut vérifier régulièrement que la raison justifiant leur conservation demeure valable au regard de l’article 15 § 3 de la RIPA.
372. Selon le rapport annuel 2016 du Commissaire à l’interception des communications, la notion de durée de conservation appropriée des éléments interceptés et des données de communication associées variait d’une agence interceptrice à l’autre. La durée de conservation allait de trente jours à un an pour le contenu et de six mois à un an pour les données de communication associées (paragraphe 186 ci‑dessus). Ainsi, même si les durées de conservation précises ne sont pas publiques, il apparaît qu’elles ne peuvent pas être plus longues que deux ans et qu’en pratique, elles ne dépassent pas un an (beaucoup de données de contenu et de données de communication associées sont conservées pendant bien moins longtemps).
373. Par ailleurs, lorsque l’IPT est saisi, il peut vérifier si les délais maximum de conservation des données ont été respectés et, s’ils ne l’ont pas été, conclure à la violation de l’article 8 de la Convention et ordonner la destruction des éléments correspondants. Lorsque la conservation des données a fait naître un dommage, un inconvénient ou un préjudice, l’IPT peut aussi octroyer une indemnité. Dans l’affaire Liberty, portée devant lui par les requérantes de la troisième affaire, il a conclu qu’il y avait eu violation de l’article 8 de la Convention à raison du fait que les communications par email d’Amnesty International – qui avaient été interceptées et qui avaient fait l’objet d’un accès « légal et proportionné au but visé » – avaient été conservées plus longtemps que ce que permettaient les règles internes du GCHQ. Il a ordonné au GCHQ de détruire les communications en cause dans un délai de sept jours, et de produire dans un délai de quatorze jours un rapport confidentiel confirmant leur destruction. Une copie papier des communications devait également être remise au Commissaire (paragraphe 54 ci-dessus).
374. La Cour estime donc que les dispositions relatives à l’effacement et à la destruction des éléments interceptés sont suffisamment claires.
- Sur la supervision, la notification et les recours
375. La supervision du régime d’interceptions est exercée à plusieurs niveaux. Premièrement, selon le Commissaire à l’interception des communications, un « rôle capital d’assurance qualité [est] exercé en amont par le personnel et les juristes de l’agence interceptrice ou du service de délivrance des mandats ». Les services de délivrance des mandats fournissent au ministre des conseils indépendants, et ils examinent soigneusement les demandes de mandat et les demandes de renouvellement pour veiller à ce que les mesures sollicitées soient (et demeurent) nécessaires et proportionnées au but visé » (paragraphe 180 ci-dessus).
376. Deuxièmement, les mandats émis en vertu de l’article 8 § 4 de la RIPA doivent faire l’objet d’une autorisation du ministre. Comme la Cour l’a déjà dit, si elle a reconnu que l’autorisation judiciaire constituait une « garantie importante contre l’arbitraire » (Roman Zakharov, précité, § 249), jusqu’à présent elle n’a jamais considéré qu’il s’agît d’une « exigence nécessaire » (voir, par exemple, Roman Zakharov, précité, § 258 ; voir aussi Klass et autres, précité, § 51, Weber et Saravia, décision précitée, § 115, Kennedy, précité, § 31, et Szabó et Vissy, précité, § 77). Même si elle est souhaitable en principe, en elle-même cette autorisation n’est ni nécessaire ni suffisante pour garantir le respect de l’article 8 de la Convention (paragraphes 318-320 ci-dessus).
377. Il est vrai que la Cour a généralement exigé que l’autorité non judiciaire soit suffisamment indépendante de l’exécutif (Roman Zakharov, précité, § 258). Cependant, elle doit surtout apprécier le fonctionnement concret du système d’interception dans son ensemble, en tenant compte de l’existence ou de l’absence de freins et de contrepoids à l’exercice du pouvoir et de signes d’abus réels (paragraphe 320 ci-dessus), tels que le fait que des mesures secrètes de surveillance soient autorisées au hasard, irrégulièrement ou sans examen approprié et convenable (Roman Zakharov, précité, § 267).
378. En l’espèce, rien n’indique que le ministre ait autorisé la délivrance de mandats en l’absence d’examen approprié et convenable. La procédure d’autorisation faisait l’objet d’une supervision indépendante exercée par le Commissaire à l’interception des communications (remplacé par le Commissaire aux pouvoirs d’enquête depuis l’entrée en vigueur, il y a peu, de la loi de 2016 sur les pouvoirs d’enquête – voir le paragraphe 147 ci‑dessus), qui était indépendant de l’exécutif et du législateur, qui exerçait ou avait exercé de hautes fonctions judiciaires, et qui était chargé de superviser le fonctionnement du régime de surveillance en général et la délivrance de mandats d’interception dans des cas spécifiques. Le Commissaire rendait compte au Premier ministre de l’exercice de sa mission chaque année, dans un rapport public (expurgé des annexes confidentielles) remis au Parlement. Dans l’exercice de sa mission de contrôle des pratiques suivies en matière de surveillance, il avait accès à tous les documents pertinents, y compris les éléments confidentiels, et toutes les personnes participant à des activités d’interception étaient tenues de lui communiquer tous les éléments qu’il demandait. L’obligation pour les services de renseignement de tenir des dossiers garantissait l’accès effectif du Commissaire aux détails des activités de surveillance entreprises (paragraphe 145 ci-dessus). En 2016, 970 mandats avaient été examinés en 22 inspections des agences interceptrices, soit 61 % du nombre de mandats en vigueur à la fin de l’année et 32 % du total des nouveaux mandats émis en 2016 (paragraphe 185 ci-dessus). La Cour a donc admis dans l’arrêt Kennedy que, même si la délivrance du mandat relevant de l’article 8 § 1 était autorisée par le ministre, le Commissaire à l’interception des communications jouissait d’une indépendance suffisante (Kennedy, précité, § 166).
379. De plus, l’IPT est compétent pour connaître des allégations d’interception illicite : contrairement à la situation qui prévaut dans bien d’autres pays, sa compétence ne dépend pas de la notification de l’interception à la personne concernée (paragraphe 124 ci-dessus), et il peut donc être saisi par quiconque pense avoir fait l’objet d’une surveillance secrète (paragraphe 318 ci-dessus). Ses membres doivent exercer ou avoir exercé de hautes fonctions judiciaires et être des juristes diplômés ayant au moins dix ans d’expérience (paragraphe 123 ci-dessus). Les personnes impliquées dans l’autorisation ou dans l’exécution d’un mandat d’interception sont tenues de lui divulguer tous les documents qu’il demande, y compris les documents concernant les modalités non publiques (les « œuvres vives »), qui ne peuvent pas être rendus publics pour des raisons de sécurité nationale (paragraphe 127 ci‑dessus). L’IPT peut choisir de tenir audience, en public si possible (paragraphes 131, 138 et 139 ci‑dessus) ; dans les procédures à huis clos il peut désigner un Conseil près le Tribunal pour lui présenter des observations au nom des plaignants qui ne peuvent pas être représentés (paragraphe 142 ci‑dessus). Lorsqu’il prononce une déclaration de conduite illicite, il peut octroyer une indemnité et ordonner toute autre mesure qu’il juge appropriée, notamment prononcer l’annulation rétroactive ou non d’un mandat et ordonner la destruction d’éléments (paragraphe 128 ci-dessus). La publication de ses décisions renforce encore le niveau de contrôle exercé sur les activités de surveillance secrète au Royaume-Uni (Kennedy, précité, § 167).
380. En toute hypothèse, la Cour note qu’en vertu de la nouvelle loi de 2016 sur les pouvoirs d’enquête, les mandats devront être approuvés par un commissaire judiciaire après avoir été autorisés par le ministre. Cette nouvelle procédure n’a pas encore été mise en œuvre, mais le Commissaire aux pouvoirs d’enquête et le Commissaire adjoint aux pouvoirs d’enquête ont déjà été nommés (paragraphe 197 ci-dessus).
381. En conséquence, même si elle considère qu’une autorisation judiciaire est hautement souhaitable et si, en l’absence d’une telle autorisation, il faut en principe que l’autorité non judiciaire qui autorise la mesure soit indépendante de l’exécutif, en l’espèce, compte tenu de l’examen soigneux dont font l’objet les demandes de mandat avant l’autorisation, du contrôle postérieur à l’autorisation réalisé par le Commissariat (indépendant) et par l’IPT, ainsi que des modifications imminentes du régime litigieux, la Cour admet que le fait que les autorisations de mandat relevant de l’article 8 § 4 de la RIPA soit délivrées par le ministre n’emporte pas en lui-même violation de l’article 8 de la Convention.
382. Enfin, la Cour rappelle qu’à la lumière des révélations faites par Edward Snowden, trois contrôles indépendants approfondis des régimes d’interception existants ont été réalisés, et qu’aucun des organes qui ont procédé à ces contrôles n’a décelé d’élément indiquant qu’aient lieu des abus délibérés des pouvoirs d’interception (paragraphes 148-172 ci‑dessus).
383. À la lumière de ce qui précède, la Cour est d’avis que la supervision et le contrôle auxquels sont soumises les interceptions en masse fournissent des garanties adéquates et effectives contre les abus.
- Sur la proportionnalité
384. En ce qui concerne la proportionnalité du régime d’interception en masse, la Cour note que le contrôleur indépendant de la législation sur le terrorisme a conclu après avoir examiné de nombreux éléments confidentiels que la possibilité de procéder à ce type d’interceptions était une nécessité essentielle : d’une part, parce que les terroristes, les criminels et les services de renseignement étrangers hostiles avaient acquis des capacités de plus en plus sophistiquées d’échapper à la détection opérée par des moyens classiques, et d’autre part, parce que la nature mondiale d’Internet avait pour conséquence que la voie qu’emprunterait une communication donnée était devenue fortement imprévisible. L’équipe de contrôle (composée d’une personne qui avait les connaissances techniques nécessaires pour comprendre les systèmes et techniques utilisés par le GCHQ et les utilisations qui pouvaient en être faites, un enquêteur qui avait l’expérience de l’utilisation de renseignements secrets et notamment de renseignements générés par le GCHQ, et un conseil indépendant très qualifié qui avait les compétences et l’expérience nécessaires pour vérifier d’un point de vue scientifique et technique les éléments et les cas pratiques soumis par les services de sécurité et de renseignement) a examiné les possibilités autres que l’interception en masse (interceptions ciblées, recours à des sources humaines, utilisation de produits de cyberdéfense commerciaux), mais elle a conclu qu’aucune de ces possibilités ni aucune combinaison de plusieurs de ces possibilités n’aurait été suffisante pour remplacer l’interception en masse (paragraphe 176 ci‑dessus).
385. De même, tout en reconnaissant les risques que l’interception en masse pouvait poser du point de vue des droits individuels, la Commission de Venise a reconnu la valeur intrinsèque de cette méthode pour les opérations de sécurité, observant qu’elle permettait aux services de sécurité d’agir en amont, en recherchant des dangers jusque-là inconnus plutôt que d’enquêter sur des dangers connus (paragraphe 211 ci-dessus).
386. La Cour ne voit pas de raison de contredire les examens approfondis réalisés par ces organes ou les conclusions auxquelles ils ont abouti. Il est clair que l’interception en masse est un moyen précieux d’atteindre les objectifs légitimes poursuivis, compte tenu en particulier du niveau de menace que posent actuellement le terrorisme mondial et la criminalité grave.
γ) Conclusions
387. À la lumière de ce qui précède, la Cour considère que la décision de mettre en œuvre un régime d’interceptions en masse relève de l’ample marge d’appréciation laissée à l’État contractant. De plus, compte tenu de la supervision indépendante exercée par le Commissaire à l’interception des communications et l’IPT, et des vastes enquêtes indépendantes qui ont suivi les révélations d’Edward Snowden, elle estime que les services de renseignement du Royaume-Uni prennent au sérieux les obligations que leur impose la Convention et n’abusent pas des pouvoirs que leur confère l’article 8 § 4 de la RIPA. Néanmoins, l’examen de ces pouvoirs soulève deux principaux points de préoccupation : premièrement, le fait que le processus de sélection ne fait pas l’objet d’une supervision d’ensemble, portant aussi sur la sélection des canaux de transmission sur lesquels l’interception aura lieu, les sélecteurs et les critères de recherche à appliquer pour le filtrage des communications interceptées et la sélection des éléments pour examen par un analyste ; et deuxièmement, l’absence de garanties réelles applicables à la sélection pour examen de données de communication associées.
388. Au vu de ces lacunes et dans la mesure indiquée ci-dessus, la Cour conclut que le régime découlant de l’article 8 § 4 de la RIPA ne répond pas à l’exigence de « qualité de la loi » et ne permet pas de conserver l’« ingérence » au niveau « nécessaire dans une société démocratique ». Partant, il y a eu violation de l’article 8 de la Convention à cet égard.
B. Sur le régime d’échange de renseignements
389. Les requérantes de la troisième affaire soutiennent que le fait que l’État défendeur reçoive des éléments interceptés par la NSA en vertu des programmes PRISM et Upstream emporte violation à leur égard des droits protégés par l’article 8 de la Convention. Les requérantes de la première affaire se plaignent plus généralement de ce que des informations soient reçues de services de renseignement étrangers.
1. Sur la recevabilité du grief
a) Thèses des parties
390. Le Gouvernement argue que les requérantes ne peuvent pas se prétendre victimes de la violation alléguée au sens de l’article 34 de la Convention car est impossible qu’elles aient été affectées par le régime d’échange de renseignements. Il fait valoir qu’elles ne prétendent pas que leurs communications aient effectivement été interceptées dans le cadre des programmes PRISM et Upstream puis communiquées aux services de renseignement britanniques et qu’elles n’ont avancé aucun élément en ce sens, mais qu’elles affirment simplement qu’« il est possible » que leurs communications aient été interceptées par des puissances étrangères puis communiquées aux autorités britanniques, ou qu’elles « croient » que tel est le cas. Selon lui, elles formulent donc un grief abstrait dirigé contre le régime en lui‑même, et la Cour ne doit pas accueillir pareil grief lorsque, comme ce serait le cas en l’espèce, les requérants disposent d’un recours effectif en droit interne, en l’occurrence le recours ouvert devant l’IPT.
391. Les requérantes affirment pour leur part qu’en raison des activités d’intérêt public qu’elles mènent au niveau mondial et du très grand nombre de personnes et d’organisations avec lesquelles elles sont en contact, elles sont exposées à un risque réel que leurs communications soient obtenues par un service de renseignement étranger et demandées par les autorités britanniques. Elles ajoutent qu’il n’y a pas de recours adéquat disponible en droit interne pour la violation des droits garantis par la Convention dont elles se plaignent.
b) Appréciation de la Cour
392. La Cour a admis qu’un requérant peut se prétendre victime d’une violation entraînée par la simple existence de mesures de surveillance secrète ou d’une législation permettant de telles mesures si un certain nombre de conditions sont remplies : premièrement, elle recherche si le requérant peut éventuellement être touché par la législation autorisant les mesures de surveillance secrète ; deuxièmement, elle tient compte de la disponibilité de recours au niveau national et ajuste le niveau de son contrôle en fonction de l’effectivité de ces recours. Lorsque l’ordre interne n’offre pas de recours effectif, un contrôle accru de la Cour est nécessaire, et la personne concernée n’a pas besoin d’établir l’existence d’un risque que des mesures de surveillance secrète lui aient été appliquées. Si en revanche l’ordre interne comporte des recours effectifs, l’intéressé ne peut se prétendre victime d’une violation entraînée par la simple existence de mesures secrètes ou d’une législation permettant de telles mesures que s’il est à même de montrer qu’en raison de sa situation personnelle il est potentiellement exposé au risque de subir pareilles mesures (Roman Zakharov, précité, § 171).
393. Dans le cas présent, la Cour a admis que le recours ouvert devant l’IPT constitue un recours effectif pour toute personne désirant se plaindre d’une ingérence des autorités britanniques dans ses communications (paragraphes 250 à 266 ci-dessus). Cette instance est compétente pour enquêter sur tout grief d’une personne pensant que ses communications ont été interceptées et, si tel a été le cas, pour examiner la base de cette interception (paragraphe 124 ci‑dessus). Cette compétence s’étend indéniablement aux griefs concernant la réception de renseignements provenant de services de renseignement étrangers. Ainsi, dans l’affaire Liberty, l’IPT a examiné avec la même diligence les griefs formulés par les requérantes quant au régime découlant de l’article 8 § 4 de la RIPA et leurs griefs relatifs au régime d’échange de renseignements (paragraphes 32 à 40 ci-dessus). En conséquence, les requérantes ne pourront se prétendre « victimes » d’une violation entraînée par la simple existence du régime d’échange de renseignements que si elles parviennent à démontrer qu’en raison de leur situation personnelle elles sont potentiellement exposées au risque que les autorités britanniques obtiennent leurs communications en les demandant à un service de renseignement étranger (Roman Zakharov, précité, § 171).
394. En vertu du chapitre 12 du code de conduite en matière d’interception de communications, on ne peut, sauf circonstances exceptionnelles, demander à un pays étranger que des renseignements déjà visés par un mandat émis en vertu de l’article 8 § 1 ou de l’article 8 § 4 de la RIPA. Cela signifie qu’il doit y avoir soit un mandat émis en vertu de l’article 8 § 1 qui vise le sujet en cause, soit un mandat émis en vertu de l’article 8 § 4 et un certificat qui visent les communications du sujet (paragraphe 90 ci‑dessus). Cependant, les mandats émis en vertu de l’article 8 § 4 de la RIPA ont une portée relativement large, et la Cour a déjà constaté que ces mandats ainsi que les certificats qui les accompagnent sont rédigés en termes très généraux (paragraphes 156 et 341 ci-dessus). De plus, il ressort nettement de l’affaire Liberty que les communications d’au moins deux des requérantes de la troisième affaire ont été légalement interceptées et sélectionnées pour examen par les services de renseignement du Royaume-Uni en vertu du régime découlant de l’article 8 § 4 de la RIPA (paragraphes 54 et 55 ci-dessus). Même s’il n’y a pas de raison de croire que ces requérantes aient elles-mêmes présenté un intérêt pour les services de renseignement, leurs communications peuvent avoir été obtenues légalement en vertu du régime découlant de l’article 8 § 4 de la RIPA si, comme elles l’affirment, elles ont été en contact avec des personnes présentant un tel intérêt. De même, leurs communications peuvent avoir été légalement demandées à un pays étranger en vertu du régime d’échange de renseignements si elles ont été en contact avec un individu faisant l’objet d’une telle demande.
395. La Cour admet donc, sur la base des informations qui lui ont été communiquées, qu’il y a potentiellement un risque que les communications des requérantes aient été demandées à un service de renseignement étranger. Elle est également disposée à admettre qu’il y a potentiellement un risque que leurs communications aient été obtenues par un service de renseignement étranger. Même si les États-Unis ne sont pas le seul pays auprès duquel les autorités de l’État défendeur sont susceptibles de demander des renseignements, les observations présentées à la Cour – et à l’IPT – portaient principalement sur la réception d’informations provenant de la NSA. Le programme PRISM est un programme ciblé qui permet d’obtenir des renseignements auprès des prestataires de services Internet. En revanche il apparaît qu’Upstream est un programme d’interception en masse similaire à ce qui se fait dans le cadre du régime découlant de l’article 8 § 4 de la RIPA : il permet un large accès aux données mondiales, notamment à celles d’individus qui ne sont pas des citoyens américains, et ces données peuvent ensuite faire l’objet d’une collecte, d’un stockage et de recherches par mots-clés.
396. À la lumière de ce qui précède, la Cour admet qu’il y a potentiellement un risque que les communications des requérantes aient été obtenues par les services de renseignement de l’État défendeur dans le cadre du régime d’échange de renseignements. Elle considère donc que les intéressées peuvent se prétendre victimes, au sens de l’article 34 de la Convention, de la violation qu’elles estiment découler du régime d’échange de renseignements.
397. Constatant que ce grief n’est pas manifestement mal fondé au sens de l’article 35 § 3 a) de la Convention ni irrecevable pour d’autres motifs, la Cour le déclare recevable.
2. Sur le fond du grief
a) Thèses des parties
i. Les requérantes
398. Les requérantes soutiennent que même après la note de divulgation du 9 octobre, il n’y avait toujours pas de base légale pour l’échange de renseignements pratiqué par les services de renseignement, et assurément pas de régime satisfaisant aux exigences de « qualité de la loi » appliquées par la Cour.
399. En ce qui concerne le critère à appliquer pour déterminer s’il y a eu violation, elles considèrent qu’une ingérence dans leurs droits protégés par l’article 8 de la Convention est tout aussi grave lorsqu’un État étranger partage des renseignements avec l’État défendeur que lorsque l’État défendeur procède à la surveillance lui‑même. Arguant que dans l’arrêt R.E. (précité, § 130), la Cour a dit que pour déterminer si les six exigences minimales s’appliquaient, l’élément déterminant était le niveau d’ingérence dans le droit de l’individu au respect de sa vie privée, et non la définition technique de l’ingérence, elles soutiennent que, le niveau d’ingérence qui résulte de la réception de renseignements en provenance de pays étrangers étant similaire à celui causé par l’interception directement réalisée par l’État défendeur, la question de savoir comment cette ingérence a été réalisée techniquement devrait être sans pertinence.
400. Enfin, elles estiment que la publication de la version révisée du code de conduite en matière d’interception de communications en 2016 n’a pas suffi à remédier aux défauts du régime constatés par l’IPT : selon elles, il s’agissait simplement d’appliquer le régime défaillant de la RIPA à l’obtention de données interceptées par un gouvernement étranger.
ii. Le Gouvernement
401. Le Gouvernement soutient que le régime d’échange de renseignements a aujourd’hui une base en droit interne, constituée par un corpus juridique clairement accessible, à savoir : la loi sur les services de sécurité et la loi sur les services de renseignement combinées à la loi sur la lutte contre le terrorisme ; la loi sur les droits de l’homme ; la loi sur la protection des données ; la loi sur les secrets officiels ; et le chapitre 12 du code de conduite en matière d’interception de communications.
402. Il ajoute que le droit applicable est prévisible, la loi indiquant la portée et les modalités d’exercice de tout pouvoir discrétionnaire avec suffisamment de clarté pour fournir à l’individu une protection adéquate contre les ingérences arbitraires. Il considère que les six exigences énoncées dans la décision Weber et Saravia (paragraphe 307 ci-dessus) ne sauraient s’appliquer à un régime d’échange de renseignements de la même manière qu’à un régime d’interception. Il argue à cet égard que la Cour a expressément reconnu que les critères stricts énoncés dans les affaires d’interception ne s’appliquaient pas nécessairement aux autres affaires de surveillance (il renvoie, par exemple, à l’arrêt Uzun précité). Il ajoute que s’il est possible que certains des éléments obtenus auprès de gouvernements étrangers soient le produit d’une interception, tel n’est pas nécessairement le cas et les services de renseignement ne savent même pas forcément si les communications qui leur sont fournies par un gouvernement étranger proviennent d’une interception.
403. Le Gouvernement considère par ailleurs que même si les six exigences minimales étaient applicables à la présente affaire, elles seraient respectées en l’espèce. Il affirme d’abord que le régime d’échange de renseignements est suffisamment clair quant aux circonstances dans lesquelles les services de renseignement peuvent en principe obtenir des informations auprès d’autres États, et que ces services ne peuvent obtenir ces informations que dans la mesure nécessaire au bon accomplissement de leurs missions de défense de la sécurité nationale, de protection de la prospérité économique du Royaume‑Uni et de prévention et de détection des infractions graves.
404. Le Gouvernement argue ensuite que les circonstances dans lesquelles les agences de renseignement peuvent obtenir des informations dans le cadre du régime d’échange de renseignements sont définies et circonscrites par le code de conduite en matière d’interception de communications. Ainsi, le chapitre 12 du code confirmerait que, sauf circonstances exceptionnelles, les services de renseignement ne peuvent demander à un gouvernement étranger que des « données d’interception brutes », qui concernent des cibles faisant déjà l’objet d’un mandat d’interception émis en vertu de la partie I de la RIPA, qu’ils ne peuvent pas obtenir eux-mêmes, et qu’il est nécessaire et proportionné au but visé d’obtenir. En l’absence de mandat, il ne serait possible de faire une telle demande que si celle-ci ne constitue pas un contournement délibéré de la RIPA et ne fait pas échec aux objectifs de ce texte. De plus, tout demande faite en l’absence de mandat devrait faire l’objet d’une décision du ministre lui-même, et lorsque la demande viserait des éléments « non ciblés », les communications obtenues ne pourraient être examinées selon aucun des facteurs visés à l’article 16 § 2 de la RIPA.
405. Le Gouvernement ajoute que le régime d’échange de renseignements est suffisamment clair en ce qui concerne la manipulation, l’utilisation et l’éventuelle divulgation à d’autres parties pouvant être faites des éléments communiqués. Non seulement les services de renseignement seraient liés par les règles générales de proportionnalité posées par la loi sur les droits de l’homme et par les cinquième et septième principes en matière de protection des données, mais encore le chapitre 12 du code de conduite en matière d’interception de communications prévoirait que, indépendamment du fait qu’ils aient été ou non sollicités ou analysés, les données de communication et le contenu interceptés reçus d’un autre État relèveraient exactement des mêmes règles et garanties que les éléments obtenus directement par les services de renseignement au moyen d’une interception réalisée dans le cadre de la RIPA. En d’autres termes, les garanties énoncées à l’article 15 de la RIPA s’appliqueraient aussi aux éléments interceptés obtenus dans le cadre du régime d’échange de renseignements.
406. Enfin, le Gouvernement souligne que le régime d’échange de renseignements est soumis aux mêmes mécanismes de supervision que le régime relevant de l’article 8 § 4 de la RIPA, et qu’à ce jour, aucun des organes de supervision n’a constaté d’abus de pouvoir délibéré de la part des services de renseignement ni décelé d’éléments permettant de penser que ceux-ci auraient utilisé le régime d’échange de renseignements pour contourner la RIPA, ou tenté de le faire.
b) Observations des tiers
i. Electronic Privacy Information Center (« EPIC »)
407. EPIC avance que l’évolution des technologies qu’utilisent la NSA et les autres agences de renseignement a créé une capacité pratiquement illimitée d’accéder aux informations personnelles et aux communications privées et de stocker et utiliser les données correspondantes sur une échelle mondiale, sans qu’aucun texte législatif ou réglementaire américain n’interdise à la NSA d’opérer une surveillance injustifiée des citoyens d’autres pays à l’étranger. Il ajoute que les États-Unis n’ont adopté ces dernières années aucune réforme significative de nature à fournir des garanties adéquates en matière de protection de la vie privée et des données des citoyens étrangers.
ii. Access Now
408. Access Now avance qu’alors que les traités d’entraide judiciaire offrent un processus transparent et officiel permettant à un État partie de demander des renseignements à un autre, le fonctionnement des programmes secrets de renseignement d’origine électromagnétique (par exemple, le réseau d’échange de renseignements Five Eyes, qui regroupe le Royaume‑Uni, les États-Unis, l’Australie, le Canada et la Nouvelle‑Zélande) est opaque et contraire aux normes internationales en matière de droits de l’homme. Ces programmes secrets ne seraient par ailleurs pas nécessaires, les renseignements pertinents pouvant être obtenus dans le cadre des traités d’entraide judiciaire.
iii. Bureau Brandeis
409. Le Bureau Brandeis rapporte que ses membres ont engagé une procédure contre les Pays‑Bas ; et que les autorités néerlandaises ont admis qu’elles échangeaient des données avec des services de renseignement étrangers alliés (dont les États-Unis) et que l’on ne pouvait pas exclure qu’elles aient reçu des informations acquises par des services étrangers au moyen de méthodes pouvant aller à l’encontre des droits de l’homme. Il expose que dans le cadre de cette procédure, il soutenait que les programmes de collecte massive de données opérés par la NSA emportaient violation des droits de l’homme garantis par la Convention, mais que le tribunal d’arrondissement de La Haye a considéré que le droit néerlandais autorisait les services de renseignement néerlandais à collaborer avec la NSA, que la NSA était elle-même liée par le droit américain, lequel, de manière générale, n’était pas contradictoire avec les exigences découlant de la Convention en matière de protection de la vie privée, et que puisque les données brutes étaient partagées en masse, des garanties moins strictes étaient nécessaires que celles qui se auraient dû être appliquées si les données avaient été examinées et utilisées car il y avait une différence entre recevoir des données et les utiliser dans des cas individuels. Le Bureau Brandeis précise qu’il a formé contre cette décision un recours qui a été rejeté en mars 2017.
410. Le Bureau Brandeis estime que l’échange de renseignements ne devrait être autorisé qu’accompagné de garanties suffisantes et à condition que l’autorité étrangère ait une base légale solide pour l’interception de données, à défaut de quoi il y aurait un risque de contournement de la protection apportée par l’article 8 de la Convention. En d’autres termes, les États ne devraient pas, selon lui, être autorisés à obtenir auprès d’autorités étrangères des éléments qu’ils ne peuvent pas légalement intercepter eux-mêmes.
iv. Center for Democracy and Technology (« CDT ») et Pen American Center (« PEN America »)
411. CDT et PEN America estiment que les régimes d’interception appliqués par la NSA ne sont conformes ni à l’exigence de base légale ni à l’exigence de proportionnalité découlant de l’article 8 de la Convention, et que ces lacunes rendent illicite le régime d’échange de renseignements du Royaume-Uni.
v. La Commission internationale de juristes
412. La Commission internationale de juristes porte à l’attention de la Cour les articles 15 et 16 des articles sur la responsabilité de l’État pour fait internationalement illicite élaborés par la Commission du droit international (« les articles de la CDI »). Elle estime qu’un État contractant pourrait voir sa responsabilité engagée pour la surveillance massive réalisée par un État non contractant d’une part en vertu de l’article 15 si la coopération de l’un avec l’autre est organisée et structurée, et d’autre part en vertu de l’article 16 si l’État contractant a contribué au programme de surveillance alors qu’il savait ou aurait dû savoir que celui-ci était intrinsèquement contraire aux obligations internationales des États en matière de droits de l’homme. Selon elle, les États contractants qui participent ou contribuent à un programme de surveillance de masse sont tenus de mettre en place un système de garanties aux fins de la protection des droits découlant de l’article 8 de la Convention, et de protéger les personnes relevant de leur juridiction contre les violations de ces droits causées par des programmes de surveillance de masse.
vi. Open Society Justice Initiative (« OSJI »)
413. OSJI estime que les États ne devraient ni recevoir ni demander de données émanant de tiers en contournement des droits individuels protégés par l’article 8. Pour faire en sorte que cela n’arrive pas, ils doivent selon elle mettre en place des garanties qui s’appliquent au moment où les éléments sont collectés – notamment un contrôle préalable des antécédents en matière de droits de l’homme de l’État étranger et du droit et de la pratique de cet État en matière d’interception, ainsi qu’une supervision indépendante a posteriori, de préférence judiciaire, de tous les modalités d’échange, afin de vérifier que des garanties existent et qu’elles sont appliquées.
vii. The Law Society of England and Wales
414. The Law Society of England and Wales considère que le régime découlant de la RIPA et des codes correspondants n’offre pas de garanties solides ni transparentes en ce qui concerne les éléments relevant du secret professionnel des avocats. Les garanties applicables aux éléments relevant du secret professionnel obtenus par des États étrangers puis communiqués aux services de renseignement du Royaume-Uni étant les mêmes, elle estime que le régime d’échange de renseignements présente les mêmes lacunes.
viii. Human Rights Watch (« HRW »)
415. HRW observe que les requêtes examinées en l’espèce portent essentiellement sur la réception de renseignements en provenance des États-Unis, mais elle pense que le réseau d’États au sein duquel les renseignements en matière de communications sont échangés est bien plus vaste. Elle souligne que, par exemple, l’alliance « Five Eyes » comprend le Royaume-Uni, les États‑Unis, l’Australie, le Canada et la Nouvelle-Zélande, mais qu’on pense qu’il y a aussi d’autres groupes d’échange de renseignements moins connus (par exemple, « Nine Eyes », qui, en plus des cinq pays précédents, compterait le Danemark, la France, les Pays-Bas et la Norvège ; « Fourteen Eyes », qui comprendrait les neuf pays de Nine Eyes plus l’Allemagne, la Belgique, l’Italie, l’Espagne et la Suède ; et « Forty-One Eyes », qui comprendrait les précédents plus d’autres pays de la coalition alliée en Afghanistan).
c) Appréciation de la Cour
i. Portée des griefs des requérantes
416. La Cour est appelée ici pour la première fois à examiner la conformité à la Convention d’un régime d’échange de renseignements. Le fonctionnement d’un tel régime pourrait poser différents problèmes au regard de la Convention mais en l’espèce, les requérantes allèguent uniquement que le régime dans le cadre duquel les autorités britanniques demandent et obtiennent des renseignements auprès de gouvernements étrangers n’est pas conforme à l’article 8. Elles ne se plaignent pas du transfert de renseignements par les services de renseignement britanniques à leurs homologues étrangers et n’invoquent pas d’autre article de la Convention.
417. Dans l’affaire Liberty (où l’IPT était seulement appelé à examiner la réception d’informations en provenance des États-Unis), les requérantes soutenaient que les informations acquises par la NSA relevaient de trois catégories différentes : les éléments que la NSA avait communiqués aux services de renseignement britanniques sans que ceux-ci ne les aient demandés, et qui provenaient manifestement d’interceptions ; les communications que les services de renseignement britanniques avaient demandé à la NSA soit d’intercepter, soit de lui permettre d’intercepter ; et les éléments obtenus par la NSA autrement que par l’interception de communications. Même si le grief formulé devant la Cour est un peu plus large que celui qui avait été porté devant l’IPT (les requérantes de la première des affaires jointes s’étant plaintes de la réception d’informations provenant de n’importe quel gouvernement étranger), les catégories définies au niveau de l’IPT restent pertinentes. Le Gouvernement ayant informé la Cour à l’audience qu’il était « peu probable et rare » que des éléments interceptés soient communiqués aux autorités britanniques sans que celles-ci n’en aient fait la demande, la Cour restreindra son examen aux éléments relevant des deux autres catégories.
418. Les éléments relevant de la deuxième catégorie peuvent eux-mêmes être répartis en deux sous-catégories : d’une part, les communications que l’État défendeur a demandé à un service de renseignement étranger d’intercepter, et d’autre part, les communications qui ont déjà été interceptées par un service de renseignement étranger et qui sont communiquées aux autorités de l’État défendeur à sa demande. La Cour examinera d’abord ces deux sous‑catégories ensemble, avant d’examiner la troisième catégorie séparément.
ii. Nature de l’ingérence
419. La Cour a déjà conclu que les requérantes pouvaient se prétendre victimes de la violation alléguée de l’article 8 de la Convention due à l’existence d’un régime d’échange de renseignements. Il importe toutefois de préciser d’emblée la nature de l’ingérence examinée.
420. Même si le régime litigieux concerne des communications interceptées, l’ingérence examinée ici ne réside pas dans l’interception elle‑même, interception qui, de toute façon, n’a pas eu lieu sous la juridiction du Royaume-Uni et n’est pas imputable à celui-ci en droit international. Les communications étant interceptées par des agences de renseignement étrangères, cette interception ne pourrait engager la responsabilité de l’État défendeur que si celui-ci exerçait son autorité ou son contrôle sur ces agences (voir, par exemple, Jaloud c. Pays-Bas [GC], no 47708/08, §§ 139 et 151, CEDH 2014, et Al-Skeini et autres c. Royaume‑Uni [GC], no 55721/07, §§ 130-139, CEDH 2011). Même lorsque les autorités britanniques demandent l’interception de communications (plutôt que simplement la communication du produit d’interceptions), cette interception se fait apparemment sous le plein contrôle des agences de renseignement étrangères. Certains des tiers intervenants ont invoqué les articles de la CDI, mais ceux-ci ne seraient pertinents que si les agences de renseignement étrangères étaient mises à la disposition de l’État défendeur et agissaient dans l’exercice de prérogatives de puissance publique de celui-ci (article 6) ; si l’État défendeur aidait ou assistait les agences de renseignement étrangères à intercepter les communications lorsque cela constituerait un fait internationalement illicite de la part de l’État responsable de ces agences, que l’État défendeur en aurait connaissance et que l’interception aurait constitué un fait internationalement illicite si elle avait été faite par l’État défendeur (article 16) ; ou si l’État défendeur donnait des directives à l’État étranger ou exerçait son contrôle sur celui-ci (article 17). Or rien n’indique que ce soit le cas.
421. L’ingérence réside donc dans le fait que les services de renseignement de l’État défendeur reçoivent les éléments interceptés puis les conservent, les examinent et les utilisent.
iii. Le critère applicable
422. Les mesures par lesquelles sont obtenues auprès de gouvernements étrangers des informations acquises au moyen de procédés de surveillance doivent, comme celles de tout régime prévoyant l’acquisition de telles informations, être « prévues par la loi ». En d’autres termes, il faut qu’elles aient une base en droit interne et qu’elles soient accessibles à la personne concernée et prévisibles quant à leurs effets (Roman Zakharov, précité, § 228). De plus, il faut qu’elles soient proportionnées au but légitime visé et qu’existent des garanties adéquates et effectives contre les abus. En particulier, les procédures de supervision de la décision et de la mise en œuvre de ces mesures doivent être de nature à circonscrire « l’ingérence » à ce qui est « nécessaire dans une société démocratique » (Roman Zakharov, précité, § 232).
423. Les parties ne s’entendent pas sur le point de savoir s’il y a lieu d’appliquer ici les six exigences minimales auxquelles doit normalement répondre l’interception de communications (la loi doit énoncer la nature des infractions susceptibles de donner lieu à un mandat d’interception ; la définition des catégories de personnes dont les communications sont susceptibles d’être interceptées ; la limite à la durée d’exécution de la mesure ; la procédure à suivre pour l’examen, l’utilisation et la conservation des données recueillies ; les précautions à prendre pour la communication des données à d’autres parties ; et les circonstances dans lesquelles les données interceptées peuvent ou doivent être effacées ou détruites – voir le paragraphe 307 ci‑dessus). Il est vrai que l’ingérence dénoncée dans le cadre du grief examiné ici ne découle pas de l’interception de communications par l’État défendeur. Il n’en reste pas moins que les éléments obtenus sont le produit d’interceptions. Dès lors, les exigences applicables à la conservation de ces éléments, à leur examen, à leur utilisation, à leur communication à d’autres parties, à leur effacement et à leur destruction doivent entrer en jeu. En effet, comme l’a noté la Commission de Venise, les États pourraient utiliser le partage de renseignements pour contourner les procédures internes plus strictes et/ou les éventuelles limites juridiques auxquelles leurs agences pourraient être soumises en matière d’opérations relevant du renseignement intérieur, et une garantie adaptée pour parer à ce risque serait de prévoir que les données de masse transférées ne puissent faire l’objet d’une analyse que si les conditions matérielles pesant sur toute investigation au niveau national étaient réunies et si l’agence de renseignement d’origine électromagnétique avait obtenu les mêmes autorisations que celles requises pour une analyse de données de masse qu’elle aurait réalisée avec ses propres techniques (paragraphe 216 ci-dessus).
424. Par ailleurs, les deux premières exigences ne sont peut-être pas directement pertinentes lorsque l’État défendeur ne procède pas lui‑même à l’interception, néanmoins la Cour n’oublie pas que si les États contractants jouissaient d’une latitude illimitée pour demander à des États non contractants d’intercepter des communications ou de leur remettre des communications interceptées, ils pourraient aisément contourner les obligations que leur impose la Convention. Le droit interne doit donc, afin d’éviter les abus de pouvoir, énoncer aussi les circonstances dans lesquelles il est possible de demander à des services de renseignement étrangers des éléments interceptés. Ces circonstances peuvent ne pas être identiques à celles dans lesquelles l’État procèderait lui‑même à l’interception (puisque, dès lors que les services de renseignement nationaux pourraient légalement intercepter eux-mêmes les communications en question, il n’y aurait lieu de demander à des services étrangers de le faire que si les services nationaux n’étaient pas en mesure techniquement d’obtenir les informations recherchées), mais elles doivent être circonscrites de manière suffisamment précise pour empêcher les États – dans la mesure du possible – d’utiliser cette possibilité pour contourner soit leur droit interne soit leurs obligations au regard de la Convention.
iv. Application de ce critère aux éléments relevant de la seconde catégorie
α) Accessibilité
425. Ce n’est pas la RIPA qui fixe le cadre légal en vertu duquel les services de renseignement britanniques peuvent demander à des services de renseignement étrangers des éléments interceptés. L’accord en matière de renseignement relatifs aux communications (United Kingdom-United States Communications Intelligence Agreement) du 5 mars 1946 permet expressément l’échange d’éléments interceptés entre les États-Unis et le Royaume-Uni. De manière plus générale, la loi sur les services de sécurité (paragraphes 98-99 ci-dessus) et la loi sur les services de renseignement (paragraphes 100-103 ci-dessus) définissent le rôle des services de renseignement et imposent la mise en place de modalités visant à assurer qu’ils ne se procurent aucune autre information que celles nécessaires au bon exercice de leur mission et qu’ils ne divulguent aucune autre information que celles nécessaires à cette fin ou aux fins de toute procédure pénale.
426. Les détails des modalités internes visées dans la loi sur les services de sécurité et la loi sur les services de renseignement ont été divulgués dans le cadre de l’affaire Liberty (note de divulgation du 9 octobre – paragraphes 26 à 30 ci-dessus), et ils ont été incorporés dans la dernière version du code de conduite en matière d’interception de communications (paragraphe 109 ci-dessus).
427. En conséquence, la Cour considère qu’il y a aujourd’hui une base légale à la demande de renseignements à des services de renseignement étrangers, et que la loi est suffisamment accessible. De plus, le régime en vigueur vise clairement plusieurs buts légitimes, notamment la protection de la sécurité nationale, de la sûreté publique et du bien-être économique du pays, le maintien de l’ordre et la prévention des infractions, et la protection des droits et libertés d’autrui. La Cour doit donc en examiner la prévisibilité et la nécessité. Comme elle l’a déjà indiqué, elle le fera en recherchant si le droit répond aux troisième, quatrième, cinquième et sixième exigences rappelées au paragraphe 307 ci-dessus, c’est-à-dire si la loi énonce : les circonstances dans lesquelles il est possible de demander des éléments interceptés ; la procédure à suivre pour l’examen, l’utilisation et la conservation des éléments obtenus ; les précautions à prendre pour la communication de ces éléments à d’autres parties ; et les circonstances dans lesquelles ces éléments doivent être effacés ou détruits.
β) Circonstances dans lesquelles il est possible de demander des éléments interceptés
428. Le chapitre 12 du code de conduite en matière d’interception de communications (paragraphe 109 ci-dessus) énonce que, sauf circonstances exceptionnelles, les services de renseignement ne peuvent demander à un gouvernement étranger de communications interceptées non analysées et/ou de données de communication associées que si un mandat d’interception a déjà été émis par le ministre en vertu de la RIPA, si l’assistance du gouvernement étranger est nécessaire pour obtenir les communications en question car elles ne peuvent être obtenues dans le cadre du mandat existant, et s’il est nécessaire et proportionné au but visé que l’agence interceptrice les obtienne. Un mandat d’interception émis en vertu de la RIPA relève soit de l’article 8 § 1 (mandat concernant le sujet, c’est-à-dire la personne faisant l’objet de l’interception) soit de l’article 8 § 4 (mandat accompagné d’un certificat qui comprend une ou plusieurs « descriptions des éléments à intercepter » dans les communications du sujet et, si l’on sait que le sujet se trouve dans les îles Britanniques, d’un document modificatif approprié établi conformément à l’article 16 § 3).
429. En cas de circonstances exceptionnelles, il est possible de faire une demande de communications sans qu’un mandat d’interception ait été émis à cet égard en vertu de la RIPA à condition que cette demande ne constitue pas un contournement délibéré de la RIPA, qu’elle ne fasse pas autrement échec aux objectifs de cette loi (par exemple, lorsqu’il n’est pas possible techniquement d’obtenir les communications en question au moyen d’une interception faite en vertu de la RIPA), et qu’il soit nécessaire et proportionné au but visé que l’agence interceptrice obtienne les communications en question. La demande doit alors être examinée et approuvée par le ministre lui-même et, en vertu de la version révisée du code de conduite en matière d’interception de communications, elle doit être signalée au Commissaire à l’interception des communications (paragraphe 109 ci-dessus). Selon les informations divulguées dans le cadre de l’affaire Liberty, et confirmées dans les observations communiquées par le Gouvernement en l’espèce, il n’a jamais été fait de demande d’éléments interceptés sans qu’un mandat n’ait été émis en vertu de la RIPA.
430. À la lumière de ce qui précède, la Cour considère que les circonstances dans lesquelles les autorités de l’État défendeur peuvent demander l’interception d’éléments ou la transmission d’éléments interceptés sont suffisamment circonscrites en droit interne pour les empêcher d’utiliser ce pouvoir pour contourner soit le droit de l’État soit les obligations de celui-ci au regard de la Convention.
γ) Procédure à suivre pour la conservation des éléments obtenus, l’accès à ces éléments, leur examen et leur utilisation
431. En vertu de l’article 19 § 2 de la loi sur la lutte contre le terrorisme (paragraphe 104 ci-dessus), les informations obtenues par un service de renseignement dans le cadre de l’exercice de certaines de ses fonctions peuvent être utilisées par ce service dans le cadre de l’exercice de ses autres fonctions. Cependant, les services de renseignement sont responsables du traitement des données au sens de la loi sur la protection des données, et ils doivent respecter les principes énoncés dans la partie 1 de l’Annexe 1 à cette loi. L’obtention d’un certificat ministériel permet de déroger à certains de ces principes, mais non au cinquième ni au septième, en vertu desquels, d’une part, les données personnelles ne doivent pas être conservées plus longtemps que nécessaire dans le but que vise leur traitement, quel que soit ce but, et, d’autre part, il faut prendre les mesures techniques et organisationnelles appropriées pour que les données personnelles ne fassent pas l’objet d’un traitement non autorisé ou illicite et qu’elles ne soient pas perdues ou accidentellement détruites ou endommagées. Par ailleurs, un membre des services de renseignement se rend coupable d’une infraction à l’article 1 § 1 de la loi sur les secrets officiels (paragraphe 107 ci-dessus) s’il divulgue, sans y avoir été dûment habilité, quelque information que ce soit ayant trait à la sécurité ou à des renseignements dont il est ou a été en possession en raison de ses fonctions.
432. Plus précisément, le chapitre 12 du code de conduite en matière d’interception de communications énonce clairement que lorsque les services de renseignement obtiennent auprès d’un gouvernement étranger des éléments interceptés, qu’il s’agisse de données de contenu ou de données de communication, présentés comme le produit d’une interception, le contenu des communications et les données de communication doivent être soumis aux mêmes règles et garanties internes que celles qui s’appliquent aux mêmes catégories de données lorsque les services de renseignement les obtiennent directement dans le cadre d’une interception réalisée en vertu de la RIPA (paragraphe 109 ci-dessus). Cela signifie que les garanties énoncées aux articles 15 et 16 de la RIPA, tels que complétés par le chapitre 7 du code de conduite en matière d’interception de communications, s’appliquent également aux communications et données de communication interceptées obtenues auprès de gouvernements étrangers.
433. La Cour a déjà examiné attentivement ces garanties dans le cadre de l’examen qu’elle a fait du régime découlant de l’article 8 § 4 de la RIPA (paragraphes 361-363 ci-dessus). En bref, les éléments obtenus auprès de services de renseignement étrangers doivent être stockés de manière sécurisée et être inaccessibles aux personnes qui n’ont pas le niveau d’habilitation requis. L’accès de l’analyste aux données est limité à une période définie et, en cas de renouvellement, il faut mettre à jour le document correspondant en indiquant les motifs du renouvellement. Avant de pouvoir examiner les éléments obtenus auprès d’agences de renseignement étrangères, les analystes, qui doivent faire l’objet d’une habilitation et d’une autorisation spéciales, doivent consigner les raisons pour lesquelles il est nécessaire d’y accéder dans l’un des buts légaux énoncés à l’article 5 § 3 de la RIPA, et expliquer en quoi cet accès est proportionné au but visé. Ils ne peuvent pas sélectionner des éléments pour examen sur la base de critères visant les communications d’individus dont on sait qu’ils se trouvent dans les îles Britanniques (à moins qu’il n’ait été délivré un mandat assorti d’une modification conformément à l’article 16 § 3 de la RIPA, ou, s’il n’a pas été délivré de mandat, que le ministre ait personnellement examiné et approuvé la demande d’examen de ces communications sur la base de ces critères).
434. Il est vrai que dans l’affaire Liberty, l’IPT a jugé préoccupant le fait que les garanties posées aux alinéas a) et b) de l’article 16 § 2 de la RIPA (interdiction de sélectionner pour examen des éléments interceptés visant un individu dont on sait qu’il se trouve actuellement dans les îles Britanniques) ne s’appliquaient apparemment pas aux éléments obtenus auprès de gouvernements étrangers en l’absence de mandat. Cependant, le code de conduite en matière d’interception de communications a depuis été modifié pour répondre à cette préoccupation. Le paragraphe 12.5 du code (paragraphe 109 ci-dessus) prévoit désormais expressément que si une demande faite en l’absence de mandat est approuvée par le ministre sans être liée à des sélecteurs spécifiques, les services de renseignement ne peuvent examiner aucune des communications obtenues selon l’un quelconque des facteurs visés à l’article 16 § 2 a) et b) de la RIPA à moins que le ministre n’ait personnellement examiné et approuvé la demande d’examen de ces communications en fonction de ces facteurs.
435. À la lumière de ce qui précède, la Cour juge suffisamment claires les dispositions relatives à l’accès aux éléments obtenus, à l’examen de ces éléments, à leur utilisation et à leur conservation.
δ) Procédure à suivre pour communiquer les éléments obtenus à d’autres parties
436. De même que la divulgation d’éléments interceptés directement dans le cadre d’un mandat émis en vertu de la RIPA (paragraphes 365-367 ci‑dessus), la divulgation d’éléments obtenus auprès de services de renseignement étrangers doit être limitée au minimum nécessaire à la réalisation des « buts autorisés » visés à l’article 5 § 3 de la RIPA. De plus, ces éléments ne peuvent être divulgués qu’à des personnes qui ont l’habilitation nécessaire et qui ont besoin d’en avoir connaissance pour mener à bien leur mission – mission qui doit relever de l’un des buts autorisés –, et dans la stricte limite de ce besoin.
437. Par ailleurs, l’article 19 §§ 3, 4 et 5 de la loi sur la lutte contre le terrorisme dispose que lorsque le MI5 et MI6 ont obtenu des informations aux fins de l’accomplissement de l’une quelconque de leurs missions, ils peuvent les divulguer aux fins du bon exercice de leurs fonctions, dans l’intérêt de la sécurité nationale, aux fins de la prévention ou de la détection des infractions graves, ou aux fins de toute procédure pénale. Lorsque le GCHQ a obtenu des informations, il peut les divulguer aux fins du bon exercice de ses fonctions ou aux fins de toute procédure pénale (paragraphes 104-105 ci-dessus).
438. De plus, un membre des services de renseignement commet une infraction à l’article 1 § 1 de la loi sur les secrets officiels s’il divulgue, sans y avoir été dûment habilité, une information, un document ou un autre élément relatifs à la sécurité ou au renseignement dont il est ou a été en possession du fait de sa qualité de membre de ces services (paragraphe 107 ci-dessus).
439. À la lumière de ce qui précède, la Cour est aussi disposée à admettre que les dispositions relatives à la procédure à suivre pour communiquer à d’autres parties les éléments obtenus sont suffisamment claires.
ε) Circonstances dans lesquelles les éléments obtenus doivent être effacés ou détruits
440. L’article 15 § 3 de la RIPA et le paragraphe 7.8 du code de conduite en matière d’interception de communications imposent de détruire de manière sécurisée toute copie de ces éléments (y compris les éventuels extraits et résumés) dès que leur conservation n’est plus nécessaire dans l’un des buts visés à l’article 5 § 3 de la RIPA (paragraphes 74 et 90 ci-dessus).
ζ) Sur la supervision et les recours
441. Dans pratiquement tous les cas, un mandat aura été émis soit en vertu du paragraphe 1 soit en vertu du paragraphe 4 de l’article 8 de la RIPA, ce qui signifie que l’interception aura été autorisée par le ministre (et, à partir de l’entrée en vigueur de la loi de 2016 sur les pouvoirs d’enquête, par un commissaire judiciaire). En l’absence de mandat, le ministre peut dans des circonstances exceptionnelles examiner personnellement la demande et l’accepter ou la rejeter. Le commissaire compétent (le Commissaire à l’interception des communications jusqu’à présent, le Commissaire aux pouvoirs d’enquête désormais) doit alors en être averti. En toute hypothèse, le ministre n’acceptera la demande que s’il estime l’interception nécessaire et proportionnée (au sens de la Convention).
442. La commission parlementaire, qui réunit des parlementaires de plusieurs partis et qui jouit de larges pouvoirs, assure elle aussi une supervision du régime d’échange de renseignements. Le 13 juillet 2013, à l’issue d’un examen poussé, elle a publié un rapport dans lequel elle concluait que les allégations « selon lesquelles le GCHQ contournait le droit britannique en utilisant le programme PRISM de la NSA pour accéder au contenu de communications privées » étaient sans fondement car le GCHQ avait respecté les obligations légales que lui imposait la loi sur les services de renseignement (paragraphes 148‑150 ci‑dessus).
443. Le Commissaire à l’interception des communications, qui était indépendant tant du Gouvernement que des services de renseignement, exerçait lui aussi une supervision. Il était tenu en vertu de l’article 58 § 4 de la RIPA de rendre au Premier ministre chaque année un rapport sur l’exercice de ses fonctions, qui devait être présenté au Parlement. Comme cela a déjà été indiqué, il a désormais été remplacé par le Commissaire aux pouvoirs d’enquête. Le 17 octobre 2017, répondant à une question posée par plusieurs acteurs dont Privacy International, ce nouveau commissaire a confirmé que, comme son prédécesseur, il avait le pouvoir de contrôler les accords d’échange de renseignements du Gouvernement, et qu’il entendait utiliser ce pouvoir activement pour assurer une supervision effective.
444. L’IPT assure le dernier degré de supervision, et il a démontré l’effectivité de cette supervision dans l’affaire Liberty en obtenant la divulgation de certaines modalités qui ont désormais été incorporées au code de conduite en matière d’interception de communications (paragraphe 109 ci-dessus).
η) Sur la proportionnalité
445. La Cour a toujours été pleinement consciente des difficultés que rencontrent les États pour protéger leur population contre la violence terroriste, laquelle constitue en elle-même une grave menace pour les droits de l’homme (voir, par exemple, Lawless c. Irlande (no 3), 1er juillet 1961, §§ 28‑30, série A no 3 ; Irlande c. Royaume-Uni, 18 janvier 1978, série A no 25 ; et Öcalan c. Turquie [GC], no [46221/99](https://hudoc.echr.coe.int/eng#%7B%22appno%22:%5B%2246221/99%22%5D%7D), § 179, CEDH 2005‑IV), et ces dernières années, elle a expressément reconnu – dans le cadre d’examen de griefs concernant différents articles de la Convention – que le terrorisme international fait aujourd’hui peser sur les États contractants une menace bien réelle (voir, par exemple, Chahal c. Royaume-Uni, 15 novembre 1996, § 79, Recueil 1996‑V ; A. et autres c. Royaume-Uni [GC], no 3455/05, § 181, CEDH 2009 ; A. c. Pays-Bas, no 4900/06, § 143, 20 juillet 2010 ; Trabelsi c. Belgique, no 140/10, § 117, CEDH 2014 (extraits) ; et Othman (Abu Qatada) c. Royaume-Uni, no 8139/09, § 183, CEDH 2012).
446. Elle considère qu’il est légitime, devant une telle menace, que les États contractants fassent preuve d’une grande fermeté à l’égard de ceux qui contribuent à des actes de terrorisme (Othman, précité, § 183). Eu égard à la nature du terrorisme mondial, et en particulier à la complexité des réseaux de terroristes mondiaux, elle admet que pour ce faire – et ainsi pour empêcher la commission d’actes de violence mettant en danger la vie d’innocents –, les États doivent pouvoir compter sur un échange d’informations entre les services de sécurité de plusieurs pays dans le monde entier. Étant donné qu’en l’espèce, cet « échange d’informations » était inscrit dans un contexte législatif posant des garanties considérables contre les abus, la Cour admet que l’ingérence litigieuse n’a pas dépassé le niveau « nécessaire dans une société démocratique ».
θ) Conclusions
447. À la lumière de ce qui précède, la Cour considère que le droit interne, assorti des précisions apportées par la modification du code de conduite en matière d’interception de communications, indique avec suffisamment de clarté la procédure à suivre pour demander à des services de renseignement étrangers soit une interception soit la transmission d’éléments interceptés. À cet égard, elle observe que le régime mis en place par l’État défendeur respecte le seuil élevé recommandé par la Commission de Venise (les éléments transférés ne doivent pouvoir faire l’objet d’une analyse que si toutes les exigences matérielles s’appliquant à cette analyse au niveau national sont respectées et si l’analyse a été dûment autorisée de la même manière que si elle portait sur des données de masse obtenues par l’agence de renseignement d’origine électromagnétique avec ses propres techniques). Elle observe également que rien n’indique qu’il y ait eu de défaillances significatives dans l’application ou le fonctionnement de ce régime. Au contraire, la commission parlementaire n’a décelé lorsqu’elle a examiné la question aucun signe d’abus de quelque nature que ce fût.
448. Partant, il n’y a pas eu violation de l’article 8 de la Convention à cet égard.
v. Application du critère aux éléments relevant de la troisième catégorie
449. La troisième catégorie d’éléments dégagée au paragraphe 417 ci‑dessus regroupe ceux que des services de renseignement étrangers ont obtenus par un autre moyen que l’interception de communications. En l’espèce, les requérantes n’ont pas indiqué quel type d’éléments les services de renseignement étrangers pourraient obtenir par des méthodes autres que l’interception. Dès lors, elles n’ont pas démontré qu’une telle acquisition porterait atteinte à leurs droits garantis par l’article 8. La Cour considère donc qu’il n’y a aucune base lui permettant de conclure à une violation de l’article 8 de la Convention.
C. Sur le régime découlant du chapitre II de la RIPA
450. Les requérantes de la deuxième affaire soutiennent que le régime d’acquisition de données de communication découlant du chapitre II de la RIPA est incompatible avec les droits que leur garantit l’article 8 de la Convention.
1. Sur la recevabilité du grief
451. Tant dans leur requête devant la Cour que dans leurs premières observations, les requérantes de la deuxième affaire ont qualifié à tort le régime découlant du chapitre II de régime d’interception de données de communication. La Cour observe qu’il ne s’agit pas d’un régime d’interception mais du régime autorisant certaines autorités publiques à acquérir des données de communication auprès des fournisseurs de services de communication. Le Gouvernement soutient à cet égard que ce grief est fondé sur une « incompréhension fondamentale du droit », que, dès lors, les requérantes n’ont avancé absolument aucune base factuelle permettant de conclure que leurs communications aient été acquises de cette manière, et qu’elles ne prétendent pas avoir été affectées par ce régime, directement ou indirectement. Il ajoute que le grief ne respecte ni l’une ni l’autre des deux conditions énoncées par la Cour dans l’arrêt Roman Zakharov (précité, § 171) : les requérantes n’appartiendraient pas à un groupe « ciblé » par la législation contestée ; et elles disposeraient d’un recours interne effectif. En conséquence, elles ne pourraient pas se prétendre victimes de la violation alléguée au sens de l’article 34 de la Convention.
452. Les requérantes soutiennent pour leur part qu’elles sont fondées à porter ce grief devant la Cour : selon elles, il est possible qu’elles aient été affectées par la législation contestée et aucun recours effectif n’est disponible au niveau interne.
453. Lorsqu’elle apprécie la qualité de victime d’un requérant, la Cour recherche avant tout s’il existait un recours effectif permettant à la personne pensant faire l’objet d’une surveillance secrète de contester cette surveillance (Roman Zakharov, précité, § 171). En l’espèce, même si elle a admis qu’il existait des circonstances spéciales dispensant les requérantes de l’obligation de porter d’abord leurs griefs devant l’IPT (paragraphe 268 ci‑dessus), elle a néanmoins conclu que le recours ouvert devant cette instance était un recours effectif, disponible en théorie comme en pratique, et propre à apporter réparation aux justiciables se plaignant tant de cas spécifiques de surveillance que de la conformité générale à la Convention des régimes de surveillance (paragraphes 250-266 ci-dessus). En conséquence, les requérantes ne peuvent se prétendre « victimes » du seul fait qu’existe le régime découlant du chapitre II que si elles sont en mesure de démontrer que, en raison de leur situation personnelle, elles étaient potentiellement exposés au risque que les autorités du Royaume-Uni obtiennent leurs données de communication en en faisant la demande à un fournisseur de services de communication (Roman Zakharov, précité, § 171).
454. À cet égard, la Cour relève que le régime découlant du chapitre II de la RIPA n’est pas un régime d’acquisition en masse de données de communication ; comme indiqué précédemment, il permet aux autorités publiques de demander des données de communication spécifiques. Cela étant, un grand nombre d’autorités publiques sont habilitées à faire de telles demandes, et les motifs pour lesquels une demande peut être faite sont relativement vastes. Étant donné que les requérantes de la deuxième affaire sont une journaliste et une association de journalistes d’investigation qui ont couvert des sujets tels que la torture par la CIA, la lutte contre le terrorisme, la guerre des drones, ou encore les « journaux de guerre irakiens », la Cour admet qu’elles étaient potentiellement exposées au risque que les autorités britanniques obtiennent leurs communications soit directement, en demandant leurs données de communication à un fournisseur de services de communication, soit indirectement, en demandant à un fournisseur de services de communication les données de communication de personnes ou organisations avec lesquelles elles avaient été en contact.
455. La Cour conclut donc qu’elles peuvent se prétendre « victimes » au sens de l’article 34 de la Convention. Le grief n’étant pas irrecevable pour d’autres motifs, il doit être déclaré recevable.
2. Sur le fond du grief
a) Thèses des parties
i. Les requérantes
456. Les requérantes soutiennent que le chapitre II de la RIPA autorise l’obtention de données de communication dans tout un ensemble de cas mal définis, sans poser de garanties adéquates. En particulier, elles estiment que le cadre juridique qu’il établit et les garanties correspondantes reposent sur une prémisse fondamentale mais erronée, qui consiste à considérer que l’obtention de données de communication est forcément moins intrusive que l’interception du contenu. Elles arguent notamment que dans la plupart des cas, l’autorisation d’acquérir les données de communication est donnée par une personne désignée, qui, selon elles, n’est pas suffisamment indépendante de l’exécutif ni de l’agence demandant les données.
457. Elles se plaignent en outre que le chapitre II ne pose que peu de limites quant à la base sur laquelle les données de communication peuvent être acquises : l’article 22 de la RIPA permettrait à la personne désignée d’autoriser l’acquisition de données de communication pour tout un ensemble de motifs différents, dès lors qu’elle estimerait la mesure « nécessaire ». Enfin, il y aurait très peu de garanties quant à la manipulation et à l’exploitation des données de communication.
ii. Le Gouvernement
458. Le Gouvernement affirme que, puisque le régime découlant du chapitre II concerne des mesures ciblées, il n’y a rien de « non intentionnel » dans son fonctionnement. Au contraire, l’acquisition de données de communication dans le cadre de ce régime serait toujours intentionnelle, ce qui le distinguerait des régimes d’interception en masse ou d’acquisition en masse de données.
459. Le Gouvernement ajoute que la version modifiée du code de conduite sur l’acquisition de données de communication pose des garanties adéquates en matière de conservation des données de communication acquises dans le cadre du régime découlant du chapitre II de la RIPA, et que le Commissaire à l’interception des communications assure une supervision poussée du fonctionnement du régime.
b) Appréciation de la Cour
i. La jurisprudence existante en matière d’acquisition de données de communication
460. Jusqu’à présent, la Cour n’a été appelée que deux fois à examiner la conformité à la Convention d’un régime prévoyant la possibilité pour une autorité publique d’acquérir des données de communication auprès d’un fournisseur de services de communication : dans l’affaire Malone et, plus récemment, dans l’affaire Ben Faiza (arrêts précités). Dans l’affaire Malone, les autorités avaient obtenu les numéros composés depuis un téléphone en particulier ainsi que les heures et la durée des appels passés depuis un bureau de poste, lequel, en tant que fournisseur du service téléphonique, avait acquis ces données légitimement dans le cadre du décompte des unités téléphoniques (metering). La Cour a admis que l’exploitation des éléments rassemblés de la sorte pouvait poser problème sur le terrain de l’article 8 de la Convention, mais elle a considéré que le comptage des communications se distinguait « par nature » de l’interception des communications, « d’ordinaire non souhaitable et illégitime dans une société démocratique » (Malone, précité, § 84). Toutefois, elle a jugé inutile d’examiner cette question plus en détail car, en l’absence de cadre juridique régissant l’acquisition d’informations auprès de la Poste, elle a conclu que l’ingérence litigieuse n’avait pas de base légale en droit interne (Malone, précité, § 87).
461. Si l’arrêt Malone a été rendu il y a maintenant 34 ans, l’arrêt Ben Faiza date de février 2018. Dans cette affaire, la Cour était appelée à examiner l’ordre donné à un opérateur de téléphonie mobile de fournir les listes des appels entrants et sortants de quatre téléphones mobiles, ainsi que les cellules (zones couvertes par les antennes-relais de téléphonie mobile) activées par ces lignes. En vertu du droit interne pertinent (article 77-1-1 du code de procédure pénale), le procureur ou, sur autorisation de celui-ci, l’officier de police judiciaire pouvait requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique qui étaient susceptibles de détenir des documents intéressant l’enquête de lui remettre ces documents. La Cour a admis que la mesure était « prévue par la loi » et que le droit interne posait des garanties adéquates contre l’arbitraire. Elle a observé à cet égard que les réquisitions prises sur le fondement de l’article 77-1-1 étaient toujours soumises à l’autorisation préalable d’un magistrat du parquet, qu’il ne pouvait être dérogé à cette obligation sous peine de nullité de l’acte, que, dans la procédure pénale ultérieure menée contre la personne concernée, les juridictions pénales pouvaient contrôler la légalité d’une telle mesure et que, si elles la jugeaient illégale, elles avaient la faculté d’exclure du procès les éléments ainsi obtenus (Ben Faiza, précité, §§ 72-73).
462. Lorsqu’elle a adopté cette approche, la Cour a distingué les méthodes d’investigations qui permettaient de géolocaliser une personne a posteriori de celles qui permettaient de la géolocaliser en temps réel, estimant que les secondes étaient davantage susceptibles de porter atteinte au droit d’une personne au respect de sa vie privée. Elle a donc estimé que la transmission à l’autorité judiciaire de données existantes et conservées par un organisme public ou privé était à distinguer de la mise en place d’un dispositif de surveillance consistant à suivre dynamiquement une ligne téléphonique ou à poser une balise sur un véhicule (Ben Faiza, précité, § 74 ; voir aussi le paragraphe 350 ci-dessus).
463. La Cour de justice de l’Union européenne a elle aussi examiné cette question. Dans l’arrêt Digital Rights Ireland et Seitlinger e.a. (affaires jointes C-293/12 et C-594/12), elle a examiné la validité de la directive sur la conservation de données, et dans l’arrêt Secretary of State for the Home Department contre Tom Watson e.a. (C-698/15), elle a examiné la validité de textes de droit interne renfermant les mêmes dispositions que cette directive (paragraphes 224 à 234 ci-dessus). Elle s’est concentrée sur la question de la conservation des données par les fournisseurs de services de communication, mais elle a aussi examiné la question de l’accès des autorités nationales aux données conservées. Elle a indiqué que cet accès devait être limité à la stricte mesure de ce qui était nécessaire pour parvenir à l’objectif visé et que, lorsque cet objectif était la lutte contre les infractions, il ne pouvait s’agir que de la lutte contre les infractions graves. Elle a dit également que l’accès des autorités nationales aux données conservées devait fait l’objet d’un contrôle en amont par un tribunal ou une instance administrative indépendante et qu’il fallait que les données concernées soient conservées dans l’Union européenne. S’appuyant sur ces conclusions, Liberty a contesté la partie 4 de la loi sur les pouvoirs d’enquête, qui conférait aux autorités un pouvoir d’émettre un « avis de conservation » ordonnant à un opérateur de télécommunications de conserver des données. En réponse, le Gouvernement a admis que la partie 4 était incompatible avec les droits fondamentaux garantis par le droit de l’Union européenne car l’accès aux données conservées n’était pas limité aux fins de lutter contre les « infractions graves » et ne faisait pas l’objet d’un contrôle préalable par un tribunal ou une instance administrative indépendante. La High Court a jugé que le texte devait être modifié pour le 1er novembre 2018 (paragraphe 196 ci-dessus).
ii. L’approche à adopter en l’espèce
464. Le critère approprié en l’espèce consistera donc à déterminer si le régime découlant du chapitre II était prévu par la loi, s’il visait un but légitime et s’il était nécessaire dans une société démocratique, compte tenu en particulier de la présence ou de l’absence dans ce régime de garanties adéquates contre l’arbitraire.
iii. Examen du régime découlant du chapitre II de la RIPA
465. Une ingérence ne peut passer pour « prévue par la loi » si la décision dont elle découle n’a pas respecté la législation en vigueur. Il incombe au premier chef aux autorités nationales, et notamment aux cours et tribunaux, d’interpréter et d’appliquer le droit interne : par la force des choses, elles sont spécialement qualifiées pour trancher les questions surgissant à cet égard. La Cour ne saurait mettre en question l’interprétation des cours et tribunaux nationaux sauf en cas d’inobservation flagrante, ou d’application arbitraire, de la législation interne pertinente (Mustafa Sezgin Tanrıkulu, précité, § 53 ; voir aussi, mutatis mutandis, Weber et Saravia, décision précitée, § 90).
466. La Cour observe que l’article 22 de la RIPA et le code de conduite sur l’acquisition de données de communication fournissent au régime découlant du chapitre II une base claire. Cependant, le Royaume-Uni étant membre de l’Union européenne, son ordre juridique intègre celui de l’Union et, en cas de conflit entre le droit national et le droit de l’Union, c’est le second qui prime. En conséquence, le Gouvernement a admis que la partie 4 de la loi sur les pouvoirs d’enquête était incompatible avec le droit de l’Union parce que l’accès aux données conservées n’était pas limité au but de lutter contre les « infractions graves » et n’était pas soumis au contrôle préalable d’un tribunal ou d’une instance administrative indépendante. La High Court a ensuite ordonné que les dispositions pertinentes de la loi sur les pouvoirs d’enquête soient modifiées pour le 1er novembre 2018 (paragraphe 196 ci-dessus).
467. Il est donc clair que le droit interne, tel qu’interprété par les autorités internes à la lumière des derniers arrêts de la CJUE, commande que tout régime permettant aux autorités d’accéder aux données conservées par un fournisseur de services de communication limite cet accès au but de lutter contre les « infractions graves » et le soumette au contrôle préalable d’un tribunal ou d’une instance administrative indépendante. Dès lors que le régime découlant du chapitre II permet d’accéder aux données dans le but de lutter contre les infractions (et non spécifiquement contre les « infractions graves ») et n’est pas soumis au contrôle préalable d’un tribunal ou d’une instance administrative indépendante sauf lorsqu’il s’agit d’accéder aux données pour déterminer la source d’un journaliste, il ne peut être considéré comme prévu par la loi au sens de l’article 8 de la Convention.
468. Partant, il y a eu violation de l’article 8 de la Convention à cet égard.
III. SUR LA VIOLATION ALLÉGUÉE DE L’ARTICLE 10 DE LA CONVENTION
469. Invoquant l’article 10 de la Convention, les requérantes de la deuxième et de la troisième affaire se plaignent du régime découlant de l’article 8 § 4 de la RIPA. Les requérantes de la troisième affaire se plaignent aussi du régime d’échange de renseignements. Elles arguent en particulier que la protection garantie par l’article 10 est d’une importance cruciale pour elles en tant qu’ONG actives dans des domaines d’intérêt public et jouant un rôle de chiennes de garde d’une importance analogue à celle de la presse. Les requérantes de la deuxième affaire, une journaliste et une association de journalistes, se plaignent aussi du régime découlant du chapitre II de la RIPA.
470. L’article 10 de la Convention est ainsi libellé :
« 1. Toute personne a droit à la liberté d’expression. Ce droit comprend la liberté d’opinion et la liberté de recevoir ou de communiquer des informations ou des idées sans qu’il puisse y avoir ingérence d’autorités publiques et sans considération de frontière. Le présent article n’empêche pas les États de soumettre les entreprises de radiodiffusion, de cinéma ou de télévision à un régime d’autorisations.
2. L’exercice de ces libertés comportant des devoirs et des responsabilités peut être soumis à certaines formalités, conditions, restrictions ou sanctions prévues par la loi, qui constituent des mesures nécessaires, dans une société démocratique, à la sécurité nationale, à l’intégrité territoriale ou à la sûreté publique, à la défense de l’ordre et à la prévention du crime, à la protection de la santé ou de la morale, à la protection de la réputation ou des droits d’autrui, pour empêcher la divulgation d’informations confidentielles ou pour garantir l’autorité et l’impartialité du pouvoir judiciaire. »
A. Sur la recevabilité du grief
1. Dans la troisième affaire
471. La Cour a déjà conclu que de manière générale, il s’est avéré que le recours ouvert devant l’IPT est disponible en théorie comme en pratique et qu’il permet aux personnes se plaignant de cas spécifiques de surveillance ou alléguant de manière générique qu’un régime de surveillance est incompatible avec la Convention d’obtenir réparation (paragraphes 250-266 ci-dessus). Elle a cependant admis qu’il existait en l’espèce des circonstances spéciales dispensant les requérantes des deux premières affaires de l’obligation d’exercer cette voie de recours (paragraphe 268 ci‑dessus). En revanche, les requérantes de la troisième affaire ont contesté devant l’IPT la conformité à la Convention tant du régime découlant de l’article 8 § 4 de la RIPA que du régime d’échange de renseignements, et elles ne peuvent donc pas bénéficier de la même « dispense ». Ainsi, étant donné qu’elles n’ont pas soutenu devant l’IPT que le régime d’échange de renseignements soit incompatible avec l’article 10 de la Convention, leur grief à cet égard doit être déclaré irrecevable pour non‑épuisement des voies de recours internes au sens de l’article 35 § 1.
472. Par ailleurs, même si ces requérantes ont soutenu devant l’IPT que le régime découlant de l’article 8 § 4 de la RIPA n’était pas compatible avec l’article 10 de la Convention, elles ont invoqué à cet égard essentiellement les mêmes arguments que ceux qu’elles avaient avancé sur le terrain de l’article 8. Quant à leur argument consistant à dire que l’article 10 peut s’appliquer à leurs activités d’investigation en tant qu’ONG, elles ne l’ont avancé devant l’IPT que le 17 novembre 2014 (alors que les deux premières audiences publiques avaient déjà eu lieu en juillet et en octobre 2014). L’IPT a estimé qu’elles auraient pu le faire à n’importe quel moment avant cela, et il a donc conclu dans son jugement que cet argument avait été soulevé bien trop tard pour être examiné dans le cadre de l’affaire Liberty (paragraphe 47 ci-dessus).
473. En conséquence, pour ce qui est du grief tiré de l’article 8 § 4 de la RIPA, la Cour conclut que dans la mesure où les requérantes de la troisième affaire entendent invoquer la protection spéciale de l’article 10 de la Convention dont bénéficient les journalistes, elles n’ont pas épuisé les voies de recours internes au sens de l’article 35 § 1. Leurs griefs sur ce terrain doivent donc également être déclarés irrecevables.
474. Enfin, la Cour considère que le grief plus général que formulent ces requérantes sur le terrain de l’article 10 – grief qu’elles ont soulevé devant l’IPT en temps utile – ne soulève aucun argument distinct ou supplémentaire par rapport à celui fondé sur l’article 8 de la Convention. Il n’y a donc pas lieu de l’examiner.
2. Dans la deuxième affaire
475. La Cour ayant reconnu que les requérantes de la deuxième affaire étaient, à titre exceptionnel, dispensées de l’obligation de porter d’abord leurs griefs devant l’IPT, elle ne saurait dire qu’elles ont manqué à épuiser les voies de recours internes au sens de l’article 35 § 1 de la Convention. Leurs griefs n’étant pas irrecevables pour d’autres motifs, ils doivent donc être déclarés recevables.
476. De plus, ces requérantes sont une journaliste et une association de journalistes, qui soutiennent que le fonctionnement tant du régime découlant de l’article 8 § 4 de la RIPA que du régime découlant du chapitre II a porté atteinte à la confidentialité d’éléments journalistiques. Ces griefs soulèvent donc des questions distinctes de celles examinées sous l’angle de l’article 8 de la Convention.
B. Sur le fond du grief
1. Thèses des parties
a) Les requérantes
477. Les requérantes arguent qu’étant donné que la liberté de la presse constitue l’un des fondements essentiels d’une société démocratique et que la protection des sources journalistiques est l’une des pierres angulaires de cette liberté, l’article 10 de la Convention impose des obligations supplémentaires, plus strictes, lorsqu’une ingérence donne lieu à un risque significatif que des sources journalistiques ou des éléments journalistiques confidentiels ne soient révélés. À cet égard, elles soutiennent que les mesures de surveillance qui comportent un risque significatif de découverte d’éléments concernant des sources journalistiques doivent être justifiées par un « impératif prépondérant d’intérêt public » (Sanoma Uitgevers B.V., précité, §§ 51 et 90, 14 septembre 2010, et Goodwin c. Royaume-Uni, 27 mars 1996, § 39, Recueil 1996‑II) ; et qu’elles ne peuvent être autorisées que par un juge ou un autre organe décisionnel indépendant.
478. Les requérantes soutiennent qu’elles sont des journalistes qui travaillent sur des sujets d’intérêt public et qui jouent un rôle de chiens de garde publics, et que dès lors la protection fournie par l’article 10 est pour elles d’une importance cruciale.
479. En ce qui concerne le régime découlant de l’article 8 § 4 de la RIPA, elles arguent que l’application de mesures de surveillance massive aux fins de l’interception de données n’est pas assortie de garanties adéquates. Premièrement, la définition de ce qui constitue des « éléments journalistiques confidentiels » selon le code de conduite en matière d’interception de communications serait trop restreinte, car elle ne s’appliquerait qu’aux éléments acquis aux fins de l’activité journalistique et détenus sur la foi d’un engagement de confidentialité. Cette définition ne s’accorderait pas avec celle, plus large, appliquée par la Cour (par exemple dans l’arrêt Telegraaf Media Nederland Landelijke Media B.V. et autres c. Pays-Bas, no 39315/06, § 86, 22 novembre 2012). Deuxièmement, le régime ne serait pas conforme aux exigences strictes (selon elles, l’existence d’un « impératif prépondérant d’intérêt public » et l’obtention d’une autorisation judiciaire – ou au moins indépendante) qu’il faudrait respecter aux fins de l’article 10 lorsque les mesures de surveillance sont susceptibles de révéler des éléments relatifs à des sources journalistiques.
480. En ce qui concerne le régime découlant du chapitre II de la RIPA, les requérantes se plaignent que le code de conduite sur l’acquisition de données de communication ne reconnaisse pas que les données de communication puissent être protégées par le secret ou la confidentialité, ni que l’obtention de données de communication qui constituent des éléments journalistiques confidentiels soit aussi intrusive que l’obtention de contenu. Elles arguent à cet égard qu’une seule donnée de communication peut révéler l’identité de la source d’un journaliste et que, une fois agrégée et soumise aux techniques modernes de forage de données, elle peut révéler toute une série d’autres informations (relevant du secret journalistique). Elles ajoutent que dans la plupart des cas, l’autorisation d’acquérir les données de communication est donnée par une personne désignée, insuffisamment indépendante selon elles de l’exécutif et de l’agence qui demande la divulgation. Elles reconnaissent que le fait que les demandes visant à identifier la source d’un journaliste doivent à présent faire l’objet d’une autorisation judiciaire constitue un garde-fou supplémentaire, mais elles soulignent que cette garantie ne s’applique pas lorsque la source est identifiée incidemment.
b) Le Gouvernement
481. Le Gouvernement relève que l’autorisation préalable est le seul aspect pour lequel les requérantes affirment, d’une part, que le critère de légalité ne devrait pas être appliqué de la même manière sur le terrain de l’article 10 que sur celui de l’article 8, et, d’autre part, que leur qualité de journalistes pourrait être un facteur déterminant pour l’analyse. Il estime pour sa part que rien dans la jurisprudence de la Cour ne permet de dire que puisque certains éléments journalistiques pourraient être interceptés dans le cadre du fonctionnement d’un régime de surveillance stratégique, la mise en œuvre de la surveillance doit nécessairement être soumise à l’obtention préalable d’une autorisation émanant d’une instance judiciaire (ou indépendante). Il affirme qu’au contraire, la Cour a établi une distinction précise et importante entre la surveillance stratégique des communications et/ou des données de communication, au cours de laquelle il est possible que certains éléments journalistiques se trouvent « accidentellement pris dans les filets » des interceptions, d’une part, et les mesures ciblant des éléments journalistiques, notamment aux fins d’identifier des sources, d’autre part, mesures pour lesquelles une autorisation préalable serait effectivement requise.
482. En ce qui concerne le chapitre II de la RIPA, le Gouvernement souligne qu’en vertu de la version modifiée du code de conduite sur l’acquisition de données de communication, lorsque l’on entend identifier la source d’un journaliste, il faut une autorisation judiciaire. Il affirme qu’il n’y a rien de « non intentionnel » dans le fonctionnement du régime découlant du chapitre II, et que l’acquisition de données de communication en vertu de ce régime est toujours intentionnelle, de sorte qu’il ne serait pas nécessaire d’appliquer des garanties supplémentaires pour le cas où des éléments révélant la source d’un journaliste seraient acquis non intentionnellement.
483. Il rappelle par ailleurs les règles posées dans le code de conduite sur l’acquisition de données de communication pour la protection des éléments confidentiels, y compris les éléments journalistiques : ces éléments ne devraient être conservés que lorsque ce serait nécessaire et proportionné à l’un des buts autorisés par l’article 15 § 4 de la RIPA ; ils devraient être détruits de manière sécurisée lorsque leur conservation ne serait plus nécessaire dans ces buts ; jusqu’à leur destruction, il faudrait que soient en place des systèmes de gestion de l’information adéquats qui vérifient en permanence qu’il reste nécessaire et proportionnée au but visé de les conserver ; lorsqu’ils seraient conservés ou transmis à un organisme externe, il faudrait prendre des mesures raisonnables pour les étiqueter comme confidentiels et, au moindre doute, solliciter un avis juridique quant à la possibilité de les communiquer à des tiers ; enfin, il faudrait signaler au Commissaire tout cas de conservation d’éléments confidentiels dès que cela serait raisonnablement possible, et mettre à sa disposition les éléments en question à sa demande.
2. Observations des tiers
a) La Fondation Helsinki pour les droits de l’homme
484. La Fondation Helsinki estime que la protection des sources journalistiques est entamée non seulement par la surveillance du contenu des communications des journalistes, mais aussi par la surveillance des métadonnées correspondantes : celles-ci pourraient, en elles-mêmes, permettre l’identification de sources et d’informateurs. Il serait particulièrement problématique que des informations confidentielles puissent être acquises en dehors de tout contrôle des journalistes et à leur insu, ce qui les priverait de leur droit d’invoquer la confidentialité, et rendrait impossible pour leurs sources de se fier aux garanties qu’ils leur donneraient à cet égard.
b) Le syndicat britannique des journalistes (National Union de Journalists) et la Fédération internationale des journalistes (« FIJ »)
485. Le syndicat britannique des journalistes et la FIJ estiment que la confidentialité des sources est indispensable à la liberté de la presse. Ils se disent aussi préoccupés par la possibilité que le Royaume-Uni échange des données conservées avec d’autres pays. Ils soulignent à cet égard que si des éléments journalistiques confidentiels venaient à être partagés avec un pays dont on ne peut pas être certain qu’il en assurera la sécurité, ils pourraient finir entre les mains de personnes qui s’en prendraient au journaliste ou à sa source. Ces intervenants considèrent que les garanties figurant dans la version mise à jour des codes de conduite sur l’interception de communications et l’acquisition de données de communication ne sont pas adéquates, en particulier dans les cas où la cible de la mesure de surveillance n’est pas le journaliste ou l’identification de sa source.
c) Media Lawyers’ Association (« MLA »)
486. MLA se dit extrêmement préoccupée par le fait que les régimes de surveillance permettent aux autorités d’intercepter les communications des journalistes sans devoir obtenir au préalable une autorisation judiciaire : le droit interne s’éloignerait ainsi de la présomption forte selon laquelle les sources journalistiques doivent bénéficier d’une protection juridique spéciale. L’association estime que, la protection des sources des journalistes étant l’une des composantes centrales de l’article 10, une protection plus solide est requise.
3. Appréciation de la Cour
a) Les principes généraux
487. La Cour rappelle que la liberté d’expression constitue l’un des fondements essentiels d’une société démocratique et que les garanties à accorder à la presse revêtent une importance particulière. La protection des sources journalistiques est l’une des pierres angulaires de la liberté de la presse. L’absence d’une telle protection pourrait dissuader les sources journalistiques d’aider la presse à informer le public sur des questions d’intérêt général. En conséquence, la presse pourrait être moins à même de jouer son rôle indispensable de « chien de garde » et son aptitude à fournir des informations précises et fiables pourrait s’en trouver amoindrie (voir, notamment, Sanoma Uitgevers B.V., précité, § 50 ; Weber et Saravia, décision précitée, § 143 ; Goodwin, précité, § 39 ; et Roemen et Schmit c. Luxembourg, no 51772/99, § 46, CEDH 2003-IV).
488. La Cour a toujours soumis à un examen particulièrement vigilant les garanties du respect de la liberté d’expression dans les affaires relevant de l’article 10 de la Convention. Eu égard à l’importance de la protection des sources journalistiques pour la liberté de la presse dans une société démocratique, une ingérence ne peut être jugée compatible avec l’article 10 que si elle est justifiée par un impératif prépondérant d’intérêt public (Sanoma Uitgevers B.V., précité, § 51 ; Goodwin, précité, § 39 ; Roemen et Schmit, précité, § 46 ; et Voskuil c. Pays-Bas, no 64752/01, § 65, 22 novembre 2007).
489. La Cour a par ailleurs reconnu qu’il y a « une différence fondamentale » entre le fait pour les autorités d’ordonner à un journaliste de révéler l’identité de ses sources et le fait qu’elles mènent des perquisitions au domicile et sur le lieu de travail du journaliste afin de découvrir ses sources (comparer Goodwin, précité, et Roemen et Schmit, précité, § 57). Elle a considéré que, même si elle restait sans résultat, la perquisition constituait un acte plus grave qu’une sommation de divulgation de l’identité de la source, car les enquêteurs qui investissent le lieu de travail d’un journaliste ont accès à toute la documentation détenue par celui-ci (Roemen et Schmit, précité, § 57). Elle a aussi établi une distinction entre les perquisitions menées au domicile et sur le lieu de travail du journaliste « en vue de découvrir ses sources » et les perquisitions menées pour d’autres raisons, par exemple pour obtenir des preuves de la commission d’une infraction par le journaliste en dehors de l’exercice de ses fonctions (Roemen et Schmit, précité, § 52). De même, dans l’affaire Weber et Saravia, qui est la seule où elle ait examiné in abstracto la conformité à l’article 10 d’un régime de surveillance secrète eu égard au risque d’atteinte à la confidentialité de certains éléments journalistiques, elle a jugé déterminant le fait que les mesures de surveillance ne visaient pas à surveiller les journalistes ni à découvrir leurs sources. Elle a donc conclu que l’atteinte portée à la liberté d’expression ne pouvait être qualifiée de particulièrement grave (Weber et Saravia, décision précitée, § 151).
b) Application de ces principes généraux au cas d’espèce
i. Le régime découlant de l’article 8 § 4 de la RIPA
490. En ce qui concerne la question de la qualité de victime, la Cour rappelle que dans la décision Weber et Saravia (précitée, §§ 143-145), elle a expressément reconnu que le régime de surveillance litigieux avait porté atteinte à la liberté d’expression journalistique de la première requérante. En l’espèce, les requérantes de la deuxième affaire sont journalistes et peuvent de même se prétendre « victimes » d’une ingérence dans leurs droits garantis par l’article 10 du fait du fonctionnement du régime découlant de l’article 8 § 4 de la RIPA.
491. Pour les raisons exposées ci-dessus dans le cadre de l’examen du grief fondé sur l’article 8, la Cour considère que, sauf pour ce qui est des préoccupations qu’elle a exprimées relativement à la supervision du processus de sélection et aux garanties applicables à la sélection des données de communication associées (paragraphe 387 ci-dessus), le régime découlant de l’article 8 § 4 de la RIPA était prévu par la loi (paragraphes 387-388 ci‑dessus) et avait pour buts légitimes la défense de la sécurité nationale, de l’intégrité territoriale et de la sûreté publique, le maintien de l’ordre et la prévention des infractions.
492. En ce qui concerne la question de la « nécessité », la Cour rappelle que, eu égard à l’importance que revêt la protection des sources journalistiques pour la liberté de la presse dans une société démocratique, une ingérence telle que celle en cause en l’espèce ne saurait se concilier avec l’article 10 de la Convention que si elle se justifie par un impératif prépondérant d’intérêt public (Weber et Saravia, décision précitée, § 149). À cet égard, elle note que les mesures de surveillance qui relèvent du régime découlant de l’article 8 § 4 de la RIPA – de même que celles qui relevaient de la loi G10 dans l’affaire Weber et Saravia – ne visent pas à surveiller les journalistes ni à découvrir leurs sources. De manière générale, les autorités ne sauront si les communications d’un journaliste ont été interceptées que lorsqu’elles examineront les interceptions réalisées. Pareille interception ne saurait donc, en elle-même, être qualifiée d’atteinte particulièrement grave à la liberté d’expression (Weber et Saravia, décision précitée, § 151). Cependant, l’ingérence sera plus forte si ces communications sont sélectionnées pour examen et, de l’avis de la Cour, elle ne pourra alors se justifier « par un impératif prépondérant d’intérêt public » que si elle est accompagnée de garanties suffisantes relatives tant aux circonstances dans lesquelles on peut sélectionner les communications pour examen intentionnellement qu’à la protection de la confidentialité après cette sélection, qu’elle soit intentionnelle ou non.
493. Les paragraphes 4.1 à 4.8 du code de conduite en matière d’interception de communications imposent d’accorder une attention particulière à l’interception des communications comprenant des éléments journalistiques confidentiels ou des informations personnelles confidentielles (paragraphe 90 ci-dessus). Cependant, il apparaît que ces dispositions ne concernent que la décision d’émettre un mandat d’interception. Ainsi, elles posent peut-être des garanties adéquates en ce qui concerne les mandats ciblés émis en vertu de l’article 8 § 1 de la RIPA, mais elles ne concernent apparemment pas le régime d’interception en masse. De plus, la Cour a déjà constaté que les critères de recherche et de sélection pour examen des communications n’étaient pas suffisamment transparents et ne faisaient pas l’objet d’une supervision suffisante (paragraphes 339, 340, 345 et 387 ci-dessus). Au regard de l’article 10, il est particulièrement préoccupant qu’aucune obligation – tout au moins, aucune obligation divulguée au public – ne circonscrive le pouvoir des services de renseignement de rechercher des éléments journalistiques ou autres protégés par la confidentialité (par exemple en utilisant l’adresse email d’un journaliste comme sélecteur) ou n’impose aux analystes d’accorder une attention particulière, lorsqu’ils sélectionnent les éléments à examiner, au point de savoir si ceux-ci peuvent comprendre de tels éléments. Il semble donc que les analystes puissent sans restriction lancer des recherches dans le contenu des communications interceptées comme dans les données de communication qui y sont associées et les examiner.
494. Il y a certes des garanties en ce qui concerne la conservation des éléments confidentiels une fois que ceux-ci ont été repérés. Par exemple, le paragraphe 4.29 du code de conduite en matière d’interception de communications (paragraphe 90 ci-dessus) prévoit que ces éléments ne peuvent être conservés que lorsque cette conservation nécessaire et proportionnée à l’un des buts autorisés visés à l’article 15 § 4 de la RIPA, et qu’ils doivent être détruits de manière sécurisée lorsqu’ils ne sont plus nécessaires dans l’un de ces buts. De plus, le paragraphe 4.30 énonce que si ces éléments sont conservés ou transmis à un organe externe, il faut prendre des mesures raisonnables pour les marquer comme confidentiels ; et le paragraphe 4.31 impose de signaler au Commissaire à l’interception des communications que de tels éléments ont été conservés dès qu’il est raisonnablement possible de le faire, et de mettre ces éléments à sa disposition à sa demande.
495. Néanmoins, compte tenu de l’effet potentiellement inhibiteur que toute mesure perçue comme une atteinte à la confidentialité des communications des journalistes, et en particulier de leurs sources, pourrait avoir sur la liberté de la presse, et en l’absence de toute modalité divulguée au public qui limiterait la capacité des services de renseignement à lancer des recherches dans ces éléments et à les examiner à moins que cela ne soit « justifié par un impératif prépondérant d’intérêt public », la Cour conclut qu’il y a aussi eu violation de l’article 10 de la Convention.
ii. Le régime découlant du chapitre II de la RIPA
496. Les requérantes de la deuxième affaire se plaignent aussi, sur le terrain de l’article 10 de la Convention, du régime d’acquisition de données de communication auprès des fournisseurs de services de communication.
497. Lorsqu’elle a examiné le grief fondé sur l’article 8, la Cour a conclu que le régime découlant du chapitre II de la RIPA n’était pas prévu par la loi car, d’une part, il permettait d’accéder aux données conservées afin de lutter contre les infractions (et non seulement contre les « infractions graves ») et, d’autre part, sauf lorsqu’il était demandé aux fins de déterminer la source d’un journaliste, l’accès aux données n’était pas soumis au contrôle préalable d’un tribunal ou d’une instance administrative indépendante (paragraphe 467 ci-dessus).
498. La Cour reconnaît que le régime découlant du chapitre II apporte une protection renforcée lorsque les autorités souhaitent accéder aux données pour identifier la source d’un journaliste. En particulier, le paragraphe 3.77 du code de conduite sur l’acquisition de données de communication prévoit que les demandes visant à déterminer la source d’une information journalistique doivent répondre à un impératif prépondérant d’intérêt public et respecter les procédures prévues par la loi de 1984 sur la police et les preuves en matière pénale : pour obtenir ces données, il faut demander à un tribunal une injonction de produire (paragraphe 117 ci-dessus). En vertu de l’Annexe 1 à la loi de 1984 sur la police et les preuves en matière pénale, la demande d’injonction de produire est faite à un juge et, lorsqu’elle concerne des éléments totalement ou partiellement journalistiques, elle doit être faite inter partes (paragraphe 121 ci-dessus). On ne peut recourir à la procédure d’autorisation interne que si l’on estime qu’une vie humaine est en péril imminent et qu’elle risquerait d’être mise en danger par le délai inhérent à la conduite d’une procédure d’autorisation judiciaire (paragraphes 3.76 et 3.78-3.84 du code de conduite sur l’acquisition de données de communication – paragraphe 117 ci-dessus).
499. Toutefois, ces dispositions ne s’appliquent que lorsque le but de la demande est de déterminer la source d’un journaliste ; elles ne s’appliquent pas à chaque fois que la demande vise les données de communication d’un journaliste ou qu’une intrusion collatérale touchant les données de communication d’un journaliste est possible. De plus, il n’y a pas de dispositions spéciales restreignant l’accès aux données de communication d’un journaliste au but de lutter contre les « infractions graves ». En conséquence, la Cour considère que ce régime ne peut être considéré comme « prévu par la loi » aux fins de l’examen du grief fondé sur l’article 10.
iii. Conclusion générale
500. La Cour conclut donc que le régime découlant de l’article 8 § 4 de la RIPA et le régime découlant du chapitre II de cette loi emportent violation de l’article 10 de la Convention.
IV. SUR LA VIOLATION ALLÉGUÉE DE L’ARTICLE 6 DE LA CONVENTION
501. Les requérantes de la troisième affaire soutiennent également, sur le terrain de l’article 6 de la Convention, que les limites inhérentes à la procédure menée devant l’IPT sont disproportionnées et ont porté atteinte à l’essence même de leur droit à un procès équitable.
502. En ses parties pertinentes, l’article 6 est ainsi libellé :
« 1. Toute personne a droit à ce que sa cause soit entendue équitablement, publiquement et dans un délai raisonnable, par un tribunal indépendant et impartial, établi par la loi, qui décidera, soit des contestations sur ses droits et obligations de caractère civil, soit du bien-fondé de toute accusation en matière pénale dirigée contre elle. Le jugement doit être rendu publiquement, mais l’accès de la salle d’audience peut être interdit à la presse et au public pendant la totalité ou une partie du procès dans l’intérêt de la moralité, de l’ordre public ou de la sécurité nationale dans une société démocratique, lorsque les intérêts des mineurs ou la protection de la vie privée des parties au procès l’exigent, ou dans la mesure jugée strictement nécessaire par le tribunal, lorsque dans des circonstances spéciales la publicité serait de nature à porter atteinte aux intérêts de la justice. »
503. En particulier, les requérantes allèguent que l’IPT n’est pas suffisamment indépendant et impartial, ce que démontrerait la tenue en novembre 2007 d’une réunion secrète entre l’IPT et les services de sécurité. Cette réunion aurait abouti à l’adoption d’un protocole en vertu duquel il aurait été convenu que le MI5 ne mènerait pas de recherches dans les données de masse concernant les plaignants que détiendraient éventuellement les autorités et ne divulguerait pas ces données. Les requérantes se plaignent également de ne pas avoir été effectivement représentées à l’audience à huis clos, de ce que l’IPT n’ait pas ordonné aux défendeurs de dévoiler des directives internes d’une importante capitale, et de ce qu’après l’audience, il ait commis une erreur dans le nom de l’une des deux parties à l’égard desquelles il a prononcé une déclaration de conduite illicite.
504. Le Gouvernement soutient que l’article 6 de la Convention ne s’applique pas aux procédures concernant la surveillance. Il argue à cet égard que la Commission et la Cour européennes des droits de l’homme ont toujours dit que les décisions autorisant la surveillance ne portaient pas sur des « droits et obligations de caractère civil » au sens de l’article 6 § 1. Il ajoute que même si l’article 6 trouvait à s’appliquer, on ne pourrait pas dire de la procédure en cause, prise dans son ensemble, qu’elle ait privé les requérantes du droit à un procès équitable : les intéressées n’auraient eu à surmonter aucun obstacle probatoire pour saisir l’IPT ; celui-ci aurait examiné tous les éléments – publics ou confidentiels – pertinents ; il disposerait de larges pouvoirs pour obtenir tous les éléments qu’il jugerait nécessaire d’étudier ; seuls les éléments dont il estimerait que des motifs appropriés d’intérêt public ou de sécurité nationale commandent de garder secrets le resteraient ; et enfin, l’IPT désignerait un Conseil près le Tribunal qui, en pratique, jouerait un rôle similaire à celui des avocats spéciaux désignés dans les procédures au fond concernant des informations confidentielles. En ce qui concerne la réunion tenue en 2007 entre le MI5 et l’IPT, le Gouvernement informe la Cour que le MI5 y a indiqué qu’aux fins de la procédure devant l’IPT, il ne procéderait pas à des recherches systématiques dans les « bases de données de référence », c’est-à-dire dans des bases de données contenant des informations relatives à la population en général (par exemple les listes électorales et les annuaires téléphoniques), pour y chercher la présence du nom d’un plaignant, mais qu’il ne procéderait à pareille recherche que si les données en question étaient « pertinentes » ou avaient été « utilisées dans le cadre d’une enquête ».
505. Le Réseau européen des Institutions nationales des droits de l’Homme affirme pour sa part dans sa tierce intervention que le principe de l’égalité des armes – qui constituerait un élément fondamental de l’article 6 de la Convention – est incompatible avec le fait qu’une partie soit exclue d’une audience à laquelle l’autre participe, à moins de circonstances exceptionnelles dans lesquelles des garanties procédurales adéquates assureraient sa protection contre tout défaut d’équité et elle ne subirait aucun détriment du fait de cette audience.
506. Il est vrai qu’à ce jour, ni la Commission ni la Cour n’ont jamais jugé que l’article 6 § 1 de la Convention s’appliquait aux procédures relatives à la décision de mettre quelqu’un sous surveillance. Par exemple, dans l’affaire Klass c. Allemagne, la Commission a conclu que l’article 6 § 1 n’était applicable ni dans son volet civil ni dans son volet pénal (Klass et autres, précité, §§ 57‑61). Plus récemment, dans l’arrêt Association pour l’intégration européenne et les droits de l’homme et Ekimdjiev (précité, § 106), la Cour a dit qu’elle ne décelait « rien dans les circonstances de la cause qui soit de nature à modifier cette conclusion ».
507. Cependant, l’IPT est lui-même allé plus loin que la Cour. Dans la décision avant-dire droit qu’il a rendue en l’affaire British Irish Rights Watch, il a jugé l’article 6 applicable « aux actions relevant de l’article 65 § 2 a) de la RIPA et aux griefs relevant de l’article 65 § 2 b) », considérant qu’il rendait « sur les unes comme sur les autres « une décision sur des droits de caractère civil » au sens de l’article 6 § 1 » » (paragraphe 137 ci-dessus). En conséquence, lorsque la même affaire est parvenue devant la Cour (affaire Kennedy), celle-ci n’a pas estimé utile de se prononcer sur ce point – elle a jugé que, même à supposer que l’article 6 § 1 fût applicable à la procédure en cause, il n’y aurait pas eu violation de cet article (Kennedy, précité, §§ 177‑179 et §§ 184-191).
508. De même en l’espèce, il est inutile que la Cour tire une conclusion définitive quant à la question de l’applicabilité de l’article 6 de la Convention : pour les raisons exposées ci-dessous, elle considère que le grief des requérantes est manifestement mal fondé.
509. En ce qui concerne les griefs généraux formulés par les requérantes quant à la procédure menée devant l’IPT, et notamment quant aux limites posées, dans l’intérêt de la sécurité nationale, à la divulgation d’informations et à la tenue d’audiences publiques, la Cour rappelle que des griefs analogues avaient été soulevés dans l’affaire Kennedy et que, tenant compte des règles procédurales pertinentes, elle a alors conclu que, compte tenu de la nécessité de garantir l’efficacité du dispositif de surveillance secrète et de son importance pour la lutte contre le terrorisme et les infractions graves, les restrictions apportées aux droits procéduraux du requérant avaient été à la fois nécessaires et proportionnées et n’avaient pas porté atteinte à la substance même des droits de l’intéressé au titre de l’article 6 (Kennedy, précité, §§ 177-179 et §§ 184-191).
510. Elle ne voit pas de raison de parvenir à une conclusion différente en l’espèce. Elle a déjà conclu (paragraphes 250 à 265 ci‑dessus) que, compte tenu de la compétence étendue de l’IPT pour examiner les allégations selon lesquelles une conduite relevant de la RIPA aurait donné lieu à une ingérence illicite dans des communications, le recours ouvert devant cette instance est un recours effectif, disponible en théorie comme en pratique, et propre à remédier aux griefs des requérants portant soit sur des cas spécifiques de surveillance soit sur la conformité générale à la Convention d’un régime de surveillance. De plus, l’IPT a employé cette compétence dans l’affaire des requérantes pour assurer l’équité de la procédure : en particulier, il a examiné tous les éléments – publics ou confidentiels – pertinents, seuls les éléments dont il estimait que des motifs appropriés d’intérêt public ou de sécurité nationale commandaient de garder secrets n’ont pas été communiqués aux requérantes, et enfin, l’IPT a désigné un Conseil près le Tribunal pour faire des déclarations au nom des requérantes dans le cadre de la procédure à huis clos.
511. En ce qui concerne la réunion qui a eu lieu en 2007 entre l’IPT et les services de renseignement, et que dénoncent les requérantes, la Cour considère que, compte tenu de la compétence spécialisée de l’IPT, le fait que ses membres aient rencontré des membres des services de renseignement pour discuter de questions procédurales ne constitue pas, en lui-même, un motif de remise en question de son indépendance ou de son impartialité. Par ailleurs, les requérantes n’ont pas expliqué de manière satisfaisante en quoi cette réunion aurait porté atteinte à l’équité de la procédure menée dans leur affaire devant l’IPT en 2014 et en 2015. Elles semblent suggérer que le protocole issu de la réunion aurait pu porter atteinte à la capacité de l’IPT à accéder aux informations détenues à leur sujet, mais les explications données par le Gouvernement quant à ce protocole (selon lesquelles il s’agissait d’un accord en vertu duquel il ne ferait pas de recherches dans les bases de données contenant des informations relatives à la population en général, telles que les listes électorales ou les annuaires, à moins que les données à rechercher ne soient « pertinentes » ou « aient été utilisées dans le cadre d’une enquête ») montrent que la réunion n’a pu avoir aucun impact sur l’équité de la procédure menée devant l’IPT en l’espèce.
512. Enfin, il semblerait que l’erreur relative à l’identité des requérantes ayant subi une violation de leurs droits (paragraphe 53 ci-dessus) ait été une erreur administrative ; en elle-même, elle n’est pas révélatrice d’un manque de rigueur dans le processus judiciaire.
513. Partant, la Cour considère que le grief formulé sur le terrain de l’article 6 § 1 de la Convention doit être rejeté pour défaut manifeste de fondement en application de l’article 35 § 3 a) de la Convention.
V. SUR LA VIOLATION ALLÉGUÉE DE L’ARTICLE 14 DE LA CONVENTION COMBINÉ AVEC LES ARTICLES 8 ET 10
514. Invoquant l’article 14 de la Convention combiné avec les articles 8 et 10, les requérantes de la troisième affaire soutiennent par ailleurs que le régime découlant de l’article 8 § 4 de la RIPA est constitutif d’une discrimination indirecte fondée sur la nationalité : selon elles, les communications privées des personnes ne se trouvant pas au Royaume-Uni sont, dans une mesure disproportionnée, plus susceptibles de faire l’objet d’une interception ; et les garanties supplémentaires posées par l’article 16 de la RIPA ne concerneraient que les personnes dont on sait qu’elles se trouvent dans les îles Britanniques.
515. L’article 14 est ainsi libellé :
« La jouissance des droits et libertés reconnus dans la (...) Convention doit être assurée, sans distinction aucune, fondée notamment sur le sexe, la race, la couleur, la langue, la religion, les opinions politiques ou toutes autres opinions, l’origine nationale ou sociale, l’appartenance à une minorité nationale, la fortune, la naissance ou toute autre situation. »
516. Les requérantes n’ont pas étayé leur affirmation selon laquelle les communications privées des personnes ne se trouvant pas au Royaume-Uni sont, dans une mesure disproportionnée, plus susceptibles de faire l’objet d’une interception en vertu du régime découlant de l’article 8 § 4 de la RIPA. Premièrement, même si ce régime cible les « communications extérieures », celles-ci sont définies comme toute « communication émise ou reçue hors des îles Britanniques » : le régime n’exclut donc pas l’interception des communications dont l’une des parties se trouve dans les îles Britanniques. Deuxièmement et en toute hypothèse, il a déjà été reconnu qu’il est fréquent – et légal – que les « communications intérieures » (dans lesquelles l’émetteur et le récepteur se trouvent tous deux dans les îles Britanniques) se trouvent accidentellement prises dans les filets d’une interception réalisée dans le cadre d’un mandat émis en vertu de l’article 8 § 4.
517. Dans la mesure où l’article 16 de la RIPA empêche que les éléments interceptés ne soient sélectionnés pour examen selon un facteur « lié à un individu dont on sait qu’il se trouve actuellement dans les îles Britanniques », si l’interception constituait une différence de traitement celle-ci reposerait, non pas directement sur la nationalité ou l’origine nationale, mais plutôt sur la situation géographique. Or, dans l’arrêt Magee c. Royaume-Uni (no 28135/95, § 50, CEDH 2000‑VI), la Cour a dit que pareille différence de traitement ne s’expliquait pas par des caractéristiques personnelles et que, dès lors, elle n’était pas pertinente aux fins de l’article 14 de la Convention et ne constituait pas un traitement discriminatoire au sens de cette disposition.
518. En toute hypothèse, la Cour estime qu’une différence de traitement reposant sur la situation géographique serait justifiée. En effet, le Gouvernement dispose de pouvoirs et de ressources considérables pour enquêter sur des personnes qui se trouvent dans les îles Britanniques et il n’a pas besoin à cette fin d’intercepter leurs communications dans le cadre d’un mandat émis en vertu de l’article 8 § 4 de la RIPA. En revanche, il n’a pas les mêmes pouvoirs lorsqu’il s’agit d’enquêter sur des personnes qui se trouvent hors des îles Britanniques.
519. En conséquence, la Cour considère que le grief soulevé sur le terrain de l’article 14 de la Convention combiné avec les articles 8 et 10 doit être rejeté pour défaut manifeste de fondement en application de l’article 35 § 3 a) de la Convention.
VI. SUR L’APPLICATION DE L’ARTICLE 41 DE LA CONVENTION
520. Aux termes de l’article 41 de la Convention :
« Si la Cour déclare qu’il y a eu violation de la Convention ou de ses Protocoles, et si le droit interne de la Haute Partie contractante ne permet d’effacer qu’imparfaitement les conséquences de cette violation, la Cour accorde à la partie lésée, s’il y a lieu, une satisfaction équitable. »
A. Dommage
521. Les requérantes n’ont soumis aucune demande au titre du dommage matériel ou moral. Partant, la Cour considère qu’il n’y a pas lieu de leur octroyer de somme à cet égard.
B. Frais et dépens
522. Les requérantes des deux premières affaires ont présenté une demande au titre des frais et dépens engagés pour la procédure devant la Cour. Les requérantes de la première affaire réclament 208 958,55 livres sterling (GBP), et les requérantes de la deuxième affaire 45 127,89 GBP. Les requérantes de la troisième affaire n’ont présenté aucune demande au titre des frais et dépens.
523. Le Gouvernement n’a fait aucun commentaire quant aux sommes réclamées.
524. Selon la jurisprudence de la Cour, un requérant ne peut obtenir le remboursement de ses frais et dépens que dans la mesure où se trouvent établis leur réalité, leur nécessité et le caractère raisonnable de leur taux. En l’espèce, compte tenu des documents en sa possession et des critères rappelés ci-dessus, la Cour estime raisonnable d’octroyer au titre de la procédure menée devant elle 150 000 euros (EUR) aux requérantes de la première affaire, et 35 000 EUR aux requérantes de la deuxième affaire.
C. Intérêts moratoires
525. La Cour juge approprié de calquer le taux des intérêts moratoires sur le taux d’intérêt de la facilité de prêt marginal de la Banque centrale européenne majoré de trois points de pourcentage.
PAR CES MOTIFS, LA COUR :
1. Déclare irrecevables, à l’unanimité, les griefs formulés par les requérantes de la troisième affaire sur le terrain de l’article 6, de l’article 10 dans la mesure où elles invoquent leur qualité d’ONG, et de l’article 14 ;
2. Déclare recevables, à l’unanimité, les autres griefs formulés par les requérantes de la troisième affaire ;
3. Déclare recevables, à la majorité, les griefs formulés par les requérantes des deux premières affaires ;
4. Dit, par cinq voix contre deux, qu’il y a eu violation de l’article 8 de la Convention à raison du régime découlant de l’article 8 § 4 de la RIPA ;
5. Dit, par six voix contre une, qu’il y a eu violation de l’article 8 de la Convention à raison du régime découlant du chapitre II de la RIPA,
6. Dit, par cinq voix contre deux, qu’il n’y a pas eu violation de l’article 8 de la Convention à raison du régime d’échange de renseignements ;
7. Dit, par six voix contre une, que, dans la mesure où cette disposition était invoquée par les requérantes de la deuxième affaire, il y a eu violation de l’article 10 de la Convention à raison du régime découlant de l’article 8 § 4 de la RIPA et du régime découlant du chapitre II de cette loi ;
8. Dit, à l’unanimité, qu’il n’y a pas lieu d’examiner les autres griefs formulés par les requérantes de la troisième affaire sur le terrain de l’article 10 de la Convention ;
9. Dit, par six voix contre une,
a) que l’État défendeur doit verser aux requérantes, dans un délai de trois mois à compter de la date à laquelle l’arrêt sera devenu définitif conformément à l’article 44 § 2 de la Convention, les sommes suivantes, à convertir dans la monnaie de l’État défendeur au taux applicable à la date du règlement :
i. aux requérantes de la première affaire, 150 000 EUR (cent cinquante mille euros), plus tout montant pouvant être dû par les requérantes sur cette somme à titre d’impôt, pour frais et dépens ;
ii. aux requérantes de la deuxième affaire, 35 000 EUR (trente‑cinq mille euros), plus tout montant pouvant être dû par les requérantes sur cette somme à titre d’impôt, pour frais et dépens ;
b) qu’à compter de l’expiration dudit délai et jusqu’au versement, ces montants seront à majorer d’un intérêt simple à un taux égal à celui de la facilité de prêt marginal de la Banque centrale européenne applicable pendant cette période, augmenté de trois points de pourcentage ; et
10. Rejette, à l’unanimité, le surplus de la demande de satisfaction équitable.
Fait en anglais, puis communiqué par écrit le 13 septembre 2018, en application de l’article 77 §§ 2 et 3 du règlement.
Abel CamposLinos-Alexandre Sicilianos
GreffierPrésident
Au présent arrêt se trouve joint, conformément aux articles 45 § 2 de la Convention et 74 § 2 du règlement, l’exposé des opinions séparées suivantes :
a) opinion en partie concordante et en partie dissidente de la juge Koskelo, à laquelle se rallie la juge Turković ;
b) opinion en partie dissidente et en partie concordante commune aux juges Pardalos et Eicke.
L.-A.S.
A.C.
ANNEXE
Liste des requérantes
No de requête
|
Requérantes
---|---
58170/13
|
Big Brother Watch
58170/13
|
English PEN
58170/13
|
Open Rights Group
58170/13
|
Dr Constanze Kurz
62322/14
|
Bureau of Investigative Journalism
62322/14
|
Alice Ross
24960/15
|
Amnesty International Limited
24960/15
|
Bytes For All
24960/15
|
The National Council for Civil Liberties (« Liberty »)
24960/15
|
Privacy International
24960/15
|
The American Civil Liberties Union
24960/15
|
Association Canadienne des Libertés Civiles
24960/15
|
The Egyptian Initiative For Personal Rights
24960/15
|
Union hongroise pour les libertés civiles
24960/15
|
The Irish Council For Civil Liberties Limited
24960/15
|
The Legal Resources Centre
OPINION EN PARTIE CONCORDANTE ET EN PARTIE DISSIDENTE DE LA JUGE KOSKELO, À LAQUELLE
SE RALLIE LA JUGE TURKOVIĆ
1. J’ai voté avec la majorité, et je suis d’accord avec elle, sur les points 1 à 3 du dispositif de l’arrêt, qui concernent la recevabilité des griefs. Je me suis aussi ralliée au constat de violation de l’article 8 à raison tant du régime découlant de l’article 8 § 4 de la RIPA que du régime découlant du chapitre II de cette loi. Toutefois, en ce qui concerne le régime découlant de l’article 8 § 4, je ne puis souscrire à l’intégralité des motivations avancées par la majorité. Pour ce qui est du régime d’échange de renseignements, j’ai voté, contrairement à la majorité, pour un constat de violation de l’article 8.
I. Le régime découlant de l’article 8 § 4 de la RIPA
2. La présente affaire concerne la législation prévoyant une surveillance secrète, réalisée au moyen d’une interception en masse, des communications électroniques « extérieures » (la notion de communications « extérieures » est expliquée aux paragraphes 69 à 71 de l’arrêt). Il est important de noter que ce type de surveillance secrète des communications ne se limite pas à certaines cibles déjà connues ou identifiées mais vise à découvrir des menaces et des cibles de surveillance précédemment inconnues ou non identifiées susceptibles de représenter une menace (paragraphe 284 de l’arrêt). La définition des menaces en question est large : il peut s’agir de menaces pour la sécurité nationale, de menaces pour le bien-être économique du Royaume-Uni ou encore des menaces que représentent les infractions graves (paragraphes 57-59).
3. Il est évident qu’une telle activité – une surveillance non ciblée des communications extérieures pratiquée en vue de découvrir et d’examiner une large gamme de menaces – est par sa nature même menée sur une échelle potentiellement très large, et qu’elle comporte d’énormes risques d’abus. Les garanties posées contre ces risques, et les normes qui doivent s’appliquer à cet égard en vertu de la Convention, soulèvent donc des questions de la plus haute importance. Je ne suis pas convaincue, compte tenu des circonstances actuelles, que la jurisprudence antérieure de la Cour fournisse une base sur laquelle on peut s’appuyer pour apprécier la conformité à la Convention d’un régime de surveillance du type de celui en cause en l’espèce. Il faudrait réexaminer la question de manière plus approfondie. Je reconnais qu’il s’agirait d’une tâche incombant à la Grande Chambre de la Cour. Je me contenterai donc de soulever quelques points qui, à mon avis, méritent une réflexion plus poussée.
i. Le contexte dans lequel s’inscrit la jurisprudence antérieure
4. Sauf dans le récent arrêt de chambre qu’elle a rendu en l’affaire Centrum för Rättvisa c. Suède (no 35252/08, 19 juin 2018), et qui n’est pas encore définitif, la Cour n’a jamais eu à examiner une surveillance du type de celle sur laquelle porte la présente affaire ; il s’est toujours agi de régimes qui, juridiquement ou factuellement, étaient de portée plus restreinte. De plus, compte tenu des changements qui sont intervenus entre-temps, je considère que la jurisprudence existante ne fournit plus une base adéquate sur laquelle s’appuyer pour déterminer les normes qui devraient en vertu de la Convention régir ce domaine particulier.
5. La jurisprudence de la Cour sur la surveillance secrète des communications remonte essentiellement à l’arrêt Klass et autres c. Allemagne (cité dans le corps de l’arrêt), qui a été rendu par l’Assemblée plénière il y a quarante ans, et à la décision Weber et Saravia c. Allemagne (également citée dans l’arrêt), qui concernait une version modifiée de la même loi allemande et qui a été rendue il y a douze ans, sur une requête datant de l’an 2000.
6. Comme la Cour l’a noté dans l’arrêt Klass et autres, la loi allemande sur laquelle portait l’affaire (la loi G 10) posait plusieurs conditions limitatives qui devaient être respectées pour qu’une mesure de surveillance puisse être imposée. Ainsi, les mesures restrictives qui pouvaient être autorisées ne concernaient que les cas dans lesquels il y avait des éléments factuels permettant de soupçonner une personne de la préparation ou de la commission de certaines infractions graves ; et ces mesures ne pouvaient être ordonnées que si l’établissement des faits par une autre méthode ne présentait aucune perspective de succès ou aurait été considérablement plus difficile. Même dans ces conditions, la surveillance ne pouvait viser que le suspect en question ou ses « contacts » présumés. Ainsi, comme la Cour l’a observé, « la législation incriminée n’autoris[ait] pas une surveillance dite exploratoire ou générale » (Klass et autres, § 51).
7. À cet égard, le régime qui est en cause en l’espèce, à savoir celui qui découle de l’article 8 § 4 de la RIPA, est différent de celui examiné dans l’affaire Klass et autres en ce qu’il comprend bel et bien la surveillance que la Cour avait appelée à l’époque « exploratoire », et cette surveillance constitue même une caractéristique essentielle et cruciale de ce régime. La portée et le but du régime de surveillance examiné à présent est donc plus large que celle du régime de l’affaire Klass et autres.
8. Dans l’affaire Weber et Saravia, le grief concernait une version révisée, adoptée en 1994, de la loi allemande G 10, dans laquelle la portée de la surveillance pouvant être autorisée était étendue à la surveillance des télécommunications internationales sans fil (Weber et Saravia, § 88), dont était permise la « surveillance stratégique » au moyen de mots-clés. Selon les déclarations du gouvernement défendeur dans cette affaire, au moment des faits seuls 10 % environ de l’ensemble des télécommunications passaient par les réseaux sans fil, et pouvaient donc potentiellement faire l’objet d’une surveillance. En pratique, cette surveillance était limitée à un nombre très restreint de pays étrangers. Les connexions téléphoniques des ressortissants de l’État défendeur (c’est-à-dire des ressortissants allemands) vivant à l’étranger ne pouvaient pas être surveillées directement. L’identité des personnes qui passaient les télécommunications ne pouvait être découverte que dans de rares cas, lorsqu’un mot-clé avait été employé (ibidem, § 110).
9. Le régime de surveillance en cause dans l’affaire Weber et Saravia couvrait les communications internationales sans fil, c’est-à-dire celles transmises par micro-ondes ou par satellite, la surveillance des communications par satellite s’effectuant au moment de la liaison descendante vers l’Allemagne. Les communications internationales filaires n’étaient pas soumises à cette surveillance à moins qu’il n’y ait un risque de guerre d’agression.
10. Il est à noter qu’au moment où ce régime de surveillance a donné lieu au grief formulé dans l’affaire Weber et Saravia, la surveillance stratégique était principalement réalisée sur les communications par téléphone, télex ou télécopie. À cette époque, elle ne s’étendait pas aux communications par email (voir l’arrêt de la Cour constitutionnelle fédérale en date du 14 juillet 1999, 1BvR 2226/94, 1 BvR 2420/95, 1 BvR 2437/95, § 230, qui indique qu’au moment de l’audience sur l’affaire en 1999, l’extension de la surveillance stratégique aux communications par email était seulement prévue pour l’avenir). Or l’une des caractéristiques importantes des communications par email, mis à part le fait qu’elles sont désormais courantes, est que l’identité tant de l’expéditeur que du destinataire y est en général directement disponible. De plus, bien des moyens de communication et des modes d’accès à l’information sur Internet quotidiennement utilisés aujourd’hui étaient encore au stade embryonnaire au moment où l’affaire Weber et Saravia a commencé au niveau interne.
ii. Le contexte de la présente affaire
11. L’objectif des remarques qui précèdent est d’appeler l’attention du lecteur sur l’environnement factuel dans lequel ces affaires antérieures ont été jugées, et sur les changements spectaculaires qui sont intervenus depuis lors. Les requérantes ont ainsi évoqué des « bouleversements » technologiques.
12. Ce qu’il est important de comprendre à cet égard est que ces « bouleversements » technologiques ont un double impact. D’une part, les avancées techniques ont fait progresser les moyens par lesquelles la surveillance des communications peut être opérée. D’autre part, les nouvelles technologies ont révolutionné la manière dont les gens communiquent, dont ils accèdent aux informations, dont ils les utilisent et dont ils les partagent. Il s’agit là d’un changement plus profond qu’une simple différence de volume. À certains égards, l’ère du numérique a transformé le mode de vie des gens.
13. Du fait de ces changements, la probabilité d’être exposé à une surveillance secrète dans le cadre de tout un ensemble de communications et d’autres activités en ligne est bien plus importante de nos jours qu’auparavant. Avec cette évolution, le risque que des abus ne soient commis dans le cadre d’une telle surveillance a augmenté également. Ainsi, le contexte factuel dans lequel s’inscrit aujourd’hui une surveillance secrète « exploratoire » ou « stratégique » est tout à fait différent de la situation qui prévalait il y a une vingtaine d’années, au moment de l’introduction de la requête Weber et Saravia, et a fortiori de celle qui prévalait il y a quarante ans, au moment où l’arrêt Klass et autres a été rendu. Face à de tels changements, il est problématique et troublant que la question des garanties nécessaires contre les abus soit tranchée par la simple application de normes qui avaient été jugées suffisantes dans des circonstances factuelles très différentes voire fondamentalement différentes des circonstances actuelles.
14. De plus, le « bouleversement » que constituent les progrès de la technologie et la numérisation de notre mode de vie n’est pas la seule évolution à prendre en compte. Les menaces qui font que l’on estime nécessaire de surveiller les communications ont elles aussi changé. À cet égard aussi, il y a deux aspects à prendre en compte. D’une part, on sait très bien que les risques liés au terrorisme international par exemple se sont réellement aggravés. D’autre part, il y a aussi des exemples de plus en plus nombreux de cas où la présence de diverses menaces est invoquée, à tort ou à raison, pour justifier des mesures qui restreignent les droits et libertés individuels. Il peut par exemple arriver que l’on utilise la notion de terrorisme de manière large et opportuniste pour légitimer les atteintes à ces droits et libertés. Surtout lorsque les autorités exercent une surveillance secrète pour découvrir et examiner des menaces formulées en termes larges, telles qu’une menace pour la sécurité nationale ou une menace pour le bien-être économique du Royaume-Uni, il est évident qu’il faut qu’un contrôle et une vérification opérés en toute indépendance apportent des garanties réelles.
15. Il y a encore un autre « bouleversement » auquel il faut prêter spécialement attention lorsque l’on apprécie des normes qui doivent s’appliquer à la surveillance secrète des communications : je veux parler de la dégradation du respect des normes démocratiques et de l’état de droit, qui se manifeste de plus en plus dans un certain nombre d’États. Je ne sous‑entends pas ici que l’État défendeur en l’espèce fait partie de ces États, mais j’estime néanmoins que les normes de la Convention doivent s’apprécier à la lumière du fait que cette évolution témoigne de la fragilité actuelle ou potentielle de certaines garanties et modalités institutionnelles et des postulats qui les sous-tendent, alors que, dans des circonstances idéales, ces éléments pourraient être propres à minimiser adéquatement les risques d’abus. En fait, les menaces même qui sont invoquées pour justifier la surveillance secrète peuvent aussi servir à renforcer la tendance à l’affaiblissement des freins et contrepoids qui sous-tendent le respect de l’état de droit et de la gouvernance démocratique.
iii. Préoccupations
16. Comme la majorité, je considère que les États contractants doivent jouir d’une ample marge d’appréciation pour déterminer si la protection de la sécurité nationale appelle le type de surveillance des communications en cause en l’espèce (paragraphe 314 de l’arrêt). Cependant, compte tenu des risques importants que ne soient commis des abus, qui pourraient aller jusqu’à porter atteinte non seulement aux droits et libertés individuels mais plus généralement à la démocratie et à l’état de droit, cette marge doit être restreinte en ce qui concerne les garanties nécessaires contre les abus.
17. L’une des caractéristiques frappantes de la législation litigieuse est que tous les pouvoirs de supervision confiés à des autorités indépendantes de l’exécutif sont des pouvoirs qui sont exercés a posteriori. Une autre caractéristique frappante réside dans le fait que non seulement les buts généraux de protection prévus dans la législation sont très larges, mais encore les autorisations spécifiques (mandats et certificats) délivrées par le ministre sont apparemment formulées en termes très larges et généraux (paragraphes 156 et 342). De plus, les critères de recherche et de sélection qui sont appliqués concrètement pour filtrer les communications interceptées afin d’en lire le contenu sont déterminés par les analystes qui opèrent la surveillance (paragraphes 157, 340 et 345-346 de l’arrêt) ; et, comme l’ont relevé les instances internes dans leurs conclusions, ceux-ci ne sont même pas soumis à une surveillance subséquente significative exercée par des organes indépendants (paragraphes 157 et 340).
18. Il est vrai que la position de la Cour depuis l’arrêt Klass et autres consiste à considérer que compte tenu du risque qu’un système de surveillance secrète destiné à protéger la sécurité nationale sape, voire détruise, la démocratie sous couvert de la défendre, elle doit vérifier qu’existent des garanties adéquates et suffisantes contre les abus (Klass et autres, §§ 49-50), et que cette appréciation dépend de toutes les circonstances de la cause, par exemple de la nature, de l’étendue et de la durée des mesures possibles, des raisons requises pour les ordonner, des autorités compétentes pour les permettre, les exécuter et les contrôler, et du type de recours fourni par le droit interne (ibidem, § 50).
19. Pour ma part, comme je l’ai expliqué ci-dessus, j’estime, à la lumière de l’évolution tant de la nature que de la portée de la surveillance et des réalités factuelles, que les circonstances ont changé de telle manière et à tel point qu’il est difficile d’admettre qu’il faille toujours apprécier le caractère adéquat des garanties en place simplement en s’appuyant sur une jurisprudence qui est née dans des conditions juridiques et factuelles différentes.
20. Notamment, eu égard au contexte global actuel, je doute de la validité du raisonnement selon lequel un contrôle indépendant préalable opéré par une instance judiciaire n’est pas un élément nécessaire du système de garanties.
21. Dans l’affaire Klass et autres, déjà, lorsqu’elle a examiné le premier stade du contrôle, la Cour a dit que, en un domaine où les abus sont potentiellement si aisés dans des cas individuels et pourraient entraîner des conséquences préjudiciables pour la société démocratique tout entière, il était en principe souhaitable que le contrôle soit confié à un juge (Klass et autres, § 56). La loi G 10 avait remplacé le contrôle judiciaire par un premier contrôle exercé par un fonctionnaire possédant les qualifications requises pour accéder à la magistrature, et un contrôle assuré par le comité des cinq parlementaires et la commission G 10. La Cour a conclu que, eu égard à la nature du contrôle et des autres sauvegardes prévus par la loi G 10, l’exclusion du contrôle judiciaire ne transgressait pas les limites de ce qui pouvait passer pour nécessaire dans une société démocratique. Elle a noté que le comité des cinq parlementaires et la commission G 10 étaient indépendants des autorités qui procédaient à la surveillance, qu’ils étaient investis de pouvoirs et attributions suffisants pour exercer un contrôle efficace et permanent, et qu’en outre, le caractère démocratique se reflétait dans la composition équilibrée du comité : l’opposition y était représentée et pouvait donc participer au contrôle des mesures ordonnées par le ministre compétent, qui était responsable devant le Bundestag. Elle a conclu que les deux organes de contrôle pouvaient, dans les circonstances de la cause, être considérés comme jouissant d’une indépendance suffisante pour statuer de manière objective (ibidem).
22. Comme indiqué ci-dessus, j’estime qu’on ne peut pas considérer que les circonstances juridiques et factuelles de l’affaire Klass, qui date d’il y a quarante ans, sont comparables à la situation examinée en l’espèce. Il est assez frappant que dans la décision Weber et Saravia (précitée, § 117), malgré l’évolution importante du cadre législatif et factuel, la Cour ait succinctement dit qu’elle ne voyait pas de raison de réexaminer la conclusion à laquelle elle était parvenue dans l’arrêt Klass et autres. Quoi qu’il en soit, à la lumière des circonstances actuelles, ce réexamen me paraît à présent indispensable.
23. Lorsque, comme en l’espèce, l’interception recueille (par nécessité technique) de grands volumes de communications de manière indiscriminée, en l’absence de tout élément préalable de soupçons liés à la menace en raison de laquelle la surveillance est réalisée, la protection des individus et de leurs droits dépend entièrement du fait que les stades ultérieurs du traitement des communications interceptées comportent ou non des garanties effectives et fiables pour le respect de ces droits et contre d’éventuels abus, et de la manière dont ces garanties sont appliquées. Dans ces conditions, compte tenu du caractère potentiellement intrusif de la surveillance et de l’abondance des risques d’abus, j’estime impossible de considérer qu’il est approprié que toutes les garanties en amont demeurent entre les mains de l’exécutif. Je pense que les requérantes ont raison de dire qu’il est nécessaire de « mettre à jour » les normes en ce qui concerne l’autorisation préalable d’une instance judiciaire indépendante. Il me semble important que les autorités relevant du pouvoir exécutif soient tenues d’expliquer devant une instance judiciaire indépendante, justifications à l’appui, les motifs pour lesquels une surveillance doit être autorisée dans chaque cas précis, et de répondre des critères de recherche sur la base desquels les communications interceptées seront filtrées et sélectionnées pour examen de leur contenu.
24. À cet égard, les arguments avancés par la majorité (paragraphes 318-320) à l’appui de sa position selon laquelle un contrôle judiciaire préalable n’est pas nécessaire ne me convainquent pas. La majorité reconnaît que l’autorisation judiciaire n’est pas intrinsèquement incompatible avec le bon fonctionnement des programmes d’interception en masse (paragraphe 318). La récente affaire Centrum för Rättvisa c. Suède (arrêt précité) en offre d’ailleurs une illustration, puisqu’elle concerne la législation suédoise en vertu de laquelle une autorisation judiciaire préalable est requise.
25. Apparemment, le principal argument contre l’imposition d’une telle exigence consiste à dire qu’elle ne constituerait pas un garde-fou suffisant et que, même en l’absence d’autorisation judiciaire préalable, l’existence d’une supervision indépendante assurée par l’IPT et le Commissaire à l’interception des communications apporte des garanties adéquates contre les abus. À mon avis, il est évident qu’une autorisation judiciaire préalable ne peut en elle-même être suffisante et que des garanties supplémentaires solides telles que celles en place au Royaume-Uni sont effectivement requises. Cela étant, le fait qu’une garantie soit à elle seule insuffisante ne permet pas de conclure qu’elle ne devrait pas être jugée nécessaire. J’estime qu’il est tout à fait essentiel que soit en place un système adéquat de garanties, qui comprenne des contrôles exercés par des organes indépendants, a priori et a posteriori.
26. Si les garanties a posteriori prévues dans la législation et la pratique britanniques semblent constituer un bon modèle dans ce domaine, elles ne suffisent pas, à mon avis, à remédier au fait que l’autorisation et la mise en œuvre de la surveillance sont entièrement entre les mains des autorités exécutives, sans qu’il n’y ait aucun contrôle indépendant a priori. À cet égard, le système de garanties est encore plus faible que celui examiné par la Cour dans les affaires Klass et autres et Weber et Saravia, en ce que dans le régime découlant de la loi G 10 allemande, la surveillance n’était certes pas soumise à une autorisation judiciaire préalable, mais elle devait être autorisée par la commission G 10 (Weber et Saravia, décision précitée, § 115), qui n’était pas un organe relevant du pouvoir exécutif (ibidem, § 25). De plus, selon l’arrêt rendu par la Cour constitutionnelle fédérale le 14 juillet 1999 (précité, § 87), chaque ordre de restriction comprenait une liste de termes de recherche, alors qu’en l’espèce, il est apparu que les critères de recherche et de sélection sont déterminés par les analystes qui procèdent à la surveillance, et qu’ils ne font l’objet d’aucune supervision préalable, ni d’aucun contrôle significatif a posteriori (paragraphes 157, 340 et 345-346 de l’arrêt).
27. En bref, nous sommes en présence d’un régime de surveillance secrète qui est, dans les conditions factuelles actuelles, d’une ampleur sans précédent, qui laisse une très large marge de manœuvre aux services de surveillance, sans prévoir de contrainte ni de contrôle préalable indépendant, et qui ne soumet même pas les critères de recherche et de sélection à un contrôle indépendant a posteriori solide. Je considère qu’une telle situation est hautement problématique. Un contrôle préalable indépendant est d’autant plus important que la surveillance est secrète, puisqu’alors la possibilité que des individus aient recours aux garanties disponibles a posteriori se trouve en pratique réduite.
28. Je considère aussi que les arguments avancés par la majorité au paragraphe 319 de l’arrêt ne permettent pas d’étayer la conclusion selon laquelle une autorisation préalable émanant d’une instance judiciaire indépendante ne serait pas nécessaire. Au contraire, le fait que même un contrôle judiciaire puisse ne pas remplir sa fonction souligne l’importance cruciale de ce qu’un tel contrôle présente des garanties effectives d’indépendance pour être propre à offrir les garde-fous nécessaires.
29. En bref, si je suis d’accord avec les conclusions énoncées au paragraphe 387 de l’arrêt, je ne considère pas que les lacunes qui y sont relevées soient les seules à justifier le constat de violation de l’article 8 en l’espèce. En particulier, compte tenu du contexte juridique et factuel actuel, je ne crois pas que les garanties qu’il est nécessaire d’appliquer en cas de surveillance reposant sur une interception en masse des communications puissent être suffisantes si elles n’incluent pas un contrôle judiciaire indépendant a priori. La position selon laquelle le contrôle judiciaire préalable des autorisations de surveillance secrète des communications est un garde-fou souhaitable mais non nécessaire découle de l’arrêt Klass et autres ; or celui‑ci, premièrement, portait sur un régime de surveillance qui était plus limité que celui en cause en l’espèce et qui ne permettait absolument pas la « surveillance exploratoire » et, deuxièmement, a été rendu il y a quarante ans, à une époque où les circonstances factuelles étaient à bien des égards différentes de celles qui prévalent aujourd’hui. Par la suite, cette position a été reprise dans la décision Weber et Saravia, où elle a été appliquée à un régime de surveillance qui présentait plus de similitudes avec celui découlant de l’article 8 § 4 de la RIPA mais qui fonctionnait néanmoins dans des conditions très différentes de celles qui prévalent dans nos sociétés modernes du numérique. Pour les raisons exposées ci-dessus, je considère donc que la Cour ne devrait pas continuer d’appliquer cette position.
II. Le régime d’échange de renseignements
30. Il est facile de souscrire au principe selon lequel aucune modalité prévoyant l’obtention auprès de services de renseignement étrangers de renseignements provenant de communications interceptées – que la demande faite aux services étrangers soit de procéder à une telle interception ou d’en communiquer les résultats – ne devrait permettre de contourner les garanties qui doivent s’appliquer à toute surveillance menée par les autorités internes (paragraphes 216, 423 et 447). Toute autre approche serait d’ailleurs improbable.
31. Sur cette base, je considère, pour faire bref, que les lacunes du régime découlant de l’article 8 § 4 de la RIPA décrites ci‑dessus s’appliquent aussi au régime d’échange de renseignements (paragraphes 109 et 428-429). Je conclus donc que ce régime ne présente pas de garanties adéquates et emporte également violation de l’article 8.
OPINION EN PARTIE DISSIDENTE ET EN PARTIE CONCORDANTE COMMUNE AUX JUGES PARDALOS
ET EICKE
Introduction
1. Pour les raisons exposées plus en détail ci-dessous, nous ne pouvons malheureusement pas souscrire à l’avis de la majorité quant à deux aspects de l’arrêt rendu en l’espèce, à savoir :
a) l’avis que les requérantes des deux premières affaires ont démontré que « des circonstances spéciales les dispensaient de l’obligation » d’épuiser les voies de recours internes en portant d’abord leur grief devant l’IPT (paragraphes 266-268 et point 3 du dispositif – question de la recevabilité) ; et
b) l’avis qu’il y a eu violation de l’article 8 de la Convention à raison du régime découlant de l’article 8 § 4 de la RIPA (paragraphe 388 et point 4 du dispositif – question du régime découlant de l’article 8 § 4 de la RIPA »).
2. Sur cette seconde question, notre conviction est renforcée par le contraste entre les conclusions auxquelles la majorité est parvenue dans cette affaire et celles auxquelles la troisième section de la Cour est parvenue dans l’arrêt Centrum För Rättvisa c. Suède (no 35252/08, non définitif) le 19 juin 2018, deux semaines seulement avant les dernières délibérations dans la présente affaire. Dans l’affaire Centrum För Rättvisa, la Cour a conclu, à l’unanimité, que, même si elle avait constaté que « des améliorations [étaient] possibles dans certains domaines » (§ 180), elle estimait, sur la base d’« une appréciation globale et compte tenu de la marge d’appréciation [des] autorités nationales en matière de protection de la sécurité nationale » (§ 181), que le système suédois de renseignement d’origine électromagnétique offrait des garanties adéquates et suffisantes contre l’arbitraire et le risque d’abus. En conséquence, elle a dit que la législation pertinente répondait à l’exigence relative à la « qualité de la loi », que l’« ingérence » établie pouvait être considérée comme « nécessaire dans une société démocratique » et que la structure et le fonctionnement du système étaient proportionnés au but visé.
3. Cela étant dit, nous souscrivons tous deux :
a) à l’énoncé des principes généraux à appliquer à ces aspects de l’affaire, tels qu’ils ont été dégagés par la Cour en l’espèce et dans l’arrêt Centrum För Rättvisa ; et
b) à la conclusion de la majorité selon laquelle, pour les motifs exposés dans l’arrêt, il n’y a pas eu violation de l’article 8 de la Convention à raison du régime d’échange de renseignements (paragraphes 447-448 et point 6 du dispositif) et il n’y a pas lieu d’examiner le reste des griefs formulés par les requérantes de la troisième affaire sur le terrain de l’article 10 de la Convention.
4. En ce qui concerne la conclusion de violation de la Convention à raison du régime découlant du chapitre II de la RIPA (paragraphes 468 et 500 et points 5 et 7 du dispositif) et les conclusions formulées sur le terrain de l’article 41 de la Convention (point 9 du dispositif), la juge Pardalos considère que sa conclusion sur la recevabilité des deux premières affaires détermine forcément les questions de fond soulevées par les requérantes de ces affaires ; le juge Eicke considère en revanche que, la Cour ayant décidé que, contrairement à ce qu’il pense, ces deux affaires sont recevables, il doit, en tant que membre de cette Cour, en examiner le fond eu égard aux éléments de preuve et aux argumentaires avancés devant la Cour.
Sur la recevabilité du grief
5. Comme indiqué ci-dessus, nous considérons comme la majorité que, pour les raisons qu’elle expose, « depuis l’arrêt Kennedy de 2010, l’IPT a démontré qu’il offrait un recours effectif » (paragraphe 268) ; c’est-à-dire qu’il s’est avéré offrir un recours « disponible en théorie comme en pratique » et « propre à remédier aux griefs des requérants portant soit sur des cas spécifiques de surveillance soit sur la conformité générale à la Convention d’un régime de surveillance » (paragraphe 265). En conséquence, les requérants devront avant de porter leur affaire devant la Cour avoir exercé le recours ouvert devant l’IPT pour que la Cour puisse examiner leur requête en vertu de l’article 35 § 1 de la Convention.
6. Mis à part l’aspect purement juridique – en vertu de l’article 35 § 1, la Cour « ne peut être saisie qu’après l’épuisement des voies de recours internes » –, nous voudrions appuyer ce que dit la majorité au paragraphe 256 quant à l’aide précieuse que constitue pour la Cour, lorsqu’elle examine les griefs portés devant elle, le rôle « d’élucidation » joué par les juridictions internes (en l’espèce, l’IPT), aussi bien de manière générale que dans le contexte spécifique de l’examen de la conformité à la Convention d’un régime de surveillance secrète.
7. En revanche, pour les raisons exposées ci-dessous, nous ne sommes pas d’accord avec la conclusion de la majorité selon laquelle il y aurait, en l’espèce, des « circonstances spéciales » qui dispenseraient les requérantes des deux premières affaires de satisfaire à cette exigence (paragraphe 268).
8. Premièrement, comme la majorité le reconnaît implicitement (paragraphe 267), l’affaire Kennedy se distingue nettement, d’un point de vue factuel, de la présente affaire. Après tout, le requérant de cette affaire avait déjà porté devant l’IPT un grief spécial concernant le régime découlant de l’article 8 § 1 de la RIPA avant de saisir la Cour. Ainsi, contrairement aux requérantes de la première et de la deuxième affaire, M. Kennedy n’invitait pas la Cour à examiner son grief général totalement dans l’abstrait. De plus, dans l’arrêt qu’elle a rendu dans cette affaire, la Cour a estimé « important » le fait que le requérant contestait (dès lors) exclusivement la législation primaire. Au contraire, en l’espèce, la portée de chacun des régimes dénoncés (régime d’interception en masse, régime d’échange de renseignements et régime d’acquisition de données de communication) est bien plus large que celle du régime découlant de l’article 8 § 1, et les griefs des requérantes concernent non seulement la législation primaire, mais aussi le cadre juridique global dans lequel s’inscrivent ces régimes (y compris l’absence alléguée de toutes modalités ou garanties pertinentes). Pour apprécier le cadre juridique plus large, il faut nécessairement examiner à la fois la RIPA et les codes de conduite pertinents, ainsi que les éventuelles modalités et/ou garanties non publiques (« les œuvres vives »). Compte tenu de la portée bien plus large de leurs griefs et des régimes critiqués, dont aucun n’avait déjà été soumis à l’examen de l’IPT, il aurait dû être évident pour les requérantes des deux premières affaires – qui ont toujours été représentées par un avocat expérimenté – que, contrairement à l’affaire Kennedy, leur affaire était une affaire dans laquelle le fonctionnement général de ces régimes devait être élucidé, et où l’IPT, du fait de ses « pouvoirs étendus (...) pour enquêter sur les plaintes qui lui sont adressées et accéder à des informations confidentielles » aurait pu apporter un redressement.
9. Il n’y a donc pas non plus de base permettant de dire que notre approche tend, de quelque manière que ce soit, à renverser la conclusion unanime à laquelle la Cour est parvenue dans l’affaire Kennedy, ou à ne pas l’appliquer. Le fait est simplement qu’à notre avis, l’affaire Kennedy et la présente affaire sont clairement et manifestement différentes.
10. Deuxièmement, le Gouvernement a clairement informé les requérantes de la première affaire, dans sa réponse du 26 juillet 2013 à leur lettre de protocole préalable à l’instance (paragraphe 19), qu’elles pouvaient porter leurs griefs devant l’IPT, instance instaurée spécialement pour examiner les allégations de citoyens croyant que les autorités avaient fait illicitement ingérence dans leurs communications au cours d’agissements relevant de la RIPA, et seule compétente pour examiner tout grief d’une personne pensant que ses communications avaient été interceptées et, si tel avait été le cas, pour examiner la base de cette interception. Cette lettre a été envoyée à peu près au moment où les dix organisations de défense des droits de l’homme requérantes dans la troisième affaire, comprenant sans doute qu’elles devaient avoir exercé toutes les voies de recours internes effectives avant de saisir la Cour, ont porté leurs griefs devant l’IPT (juin à décembre 2013 ; voir le paragraphe 21). Quatre ans plus tôt, la Cour suprême du Royaume-Uni avait, dans son arrêt R (on the application of A) v B [2009] UKSC 12, confirmé la compétence exclusive de l’IPT et sa capacité, démontrée par ses décisions dans les affaires Kennedy (IPT/01/62 & 77) et The British Irish Rights Watch and others v Security Service, GCHQ and the SIS (IPT/01/77), à administrer les procédures de façon à faire en sorte que les litiges portés devant lui puissent être tranchés de manière juste.
11. Troisièmement et en toute hypothèse, même si, contrairement à ce que nous pensons, les requérantes des deux premières affaires avaient été fondées à s’appuyer sur l’arrêt Kennedy au moment où elles ont porté leurs requêtes devant la Cour, il n’en resterait pas moins qu’en s’appuyant sur l’arrêt Campbell et Fell c. Royaume-Uni (paragraphe 241), elles reconnaissaient que si la Cour venait à conclure au caractère effectif du recours ouvert devant l’IPT, elles devraient retourner l’exercer à moins qu’il ne soit injuste d’exiger d’elles qu’elles le fassent. Or, puisque leurs griefs concernent le fonctionnement général des régimes litigieux plutôt que spécifiquement une ingérence dans leurs droits garantis par la Convention, elles pourraient encore à présent les porter devant l’IPT.
12. Bon nombre des griefs formulés dans les deux premières affaires (notamment ceux qui concernent le régime découlant du chapitre II de la RIPA, le partage avec des gouvernements étrangers d’éléments ne provenant pas d’interceptions, ou encore l’absence de protection des éléments journalistiques confidentiels et des sources journalistiques dans le régime découlant de l’article 8 § 4 de la RIPA) n’avaient pas été soulevés dans l’affaire Liberty et n’ont pas encore été tranchés par l’IPT. Il n’y a par conséquent pas de raison de douter que si les requérantes les portaient aujourd’hui devant cette instance, leur action présenterait « une perspective raisonnable de succès ». Il y a même lieu de penser qu’en ce qui concerne le grief tiré du chapitre II de la RIPA, la perspective de succès serait plus que raisonnable. Après tout, comme la majorité le rappelle au paragraphe 463 de l’arrêt, le Gouvernement a récemment admis, en réponse à une plainte introduite par Liberty, que la partie 4 de la loi sur les pouvoirs d’enquête (qui prévoyait un pouvoir d’émettre un « avis de conservation » à l’intention des opérateurs de télécommunications leur ordonnant de conserver des données) était incompatible avec les droits fondamentaux garantis par le droit de l’Union européenne (R (The National Council for Civil Liberties (Liberty)) v Secretary of State for the Home Department & Anor [2018] EWHC 975 (Admin)). Puisque le chapitre II de la RIPA, comme la partie 4 de la loi sur les pouvoirs d’enquête, permet d’accéder aux données aux fins de lutter contre les infractions (et non seulement contre les « infractions graves »), cette admission amène la majorité à conclure à la violation de l’article 8 de la Convention à raison du régime découlant du chapitre II (paragraphe 467), ce qui permet de supposer que les requérantes avaient une base solide pour contester au niveau interne la conformité au droit de l’Union européenne – et à la Convention – de ce régime.
13. Il n’en va pas forcément de même des griefs qui ont été tranchés par l’IPT dans l’affaire Liberty. Cependant, ces griefs ont été portés devant la Cour non seulement par les requérantes des deux premières affaires, mais aussi par celles de la troisième affaire. L’IPT ayant eu l’occasion de se prononcer à leur égard, la Cour devait les examiner quant au fond et statuer à leur égard – et c’est ce qu’elle a fait.
14. Ainsi, et il y a en cela un contraste clair avec l’ultime conclusion énoncée dans l’arrêt Campbell et Fell (précité, § 63), rien dans la présente affaire ne permet de penser que « conclure à l’irrecevabilité (...) pour non‑épuisement » des griefs formulés par les requérantes de la troisième affaire « constituerait aujourd’hui une injustice ». Nous estimons donc que l’application tant des exigences de l’article 35 § 5 de la Convention que du principe de subsidiarité imposaient en fait de conclure à l’irrecevabilité pour cette raison.
15. L’importance fondamentale du rôle d’« élucidation » des juridictions internes rappelée dans l’arrêt est encore mise en lumière par le grief formulé quant au régime découlant du chapitre II de la RIPA : comme la Cour le rappelle au paragraphe 451 de l’arrêt, tant dans leur requête devant elle que dans leurs premières observations, les requérantes de la deuxième affaire ont à tort qualifié le régime découlant du chapitre II de régime d’interception des données de communication, alors qu’il s’agit d’un régime qui permet à certaines autorités publiques d’acquérir des données de communication auprès de fournisseurs de services de communication. Cette erreur, qualifiée par le Gouvernement d’« incompréhension fondamentale du droit », a amené celui-ci à soutenir notamment que, d’une part, les requérantes n’avaient avancé absolument aucune base factuelle permettant de conclure que leurs communications aient été acquises de cette manière et, d’autre part, elles ne prétendaient pas avoir été affectées par ce régime, directement ou indirectement.
16. Comme indiqué ci-dessus, la conclusion de la Cour quant au régime découlant du chapitre II de la RIPA était, bien sûr, basée en définitive sur l’aveu fait par le Gouvernement dans l’affaire R (The National Council for Civil Liberties (Liberty)) v Secretary of State for the Home Department & Anor [2018] EWHC 975 (Admin) : la majorité en a déduit que les termes équivalents du régime découlant du chapitre II de la RIPA n’étaient pas « prévus par la loi » au sens de l’article 8 de la Convention (paragraphe 467). Cependant, en l’absence d’un tel aveu, la Cour aurait dû examiner en détail la question de savoir si les garanties prévues dans le cadre de ce régime étaient suffisantes pour satisfaire aux exigences posées par la Convention, et ce, 1) à partir d’un argumentaire reposant dès le départ sur une « incompréhension fondamentale du droit » quant à la nature du régime, 2) sans bénéficier d’aucune assistance ou conclusion de l’IPT quant à ce qu’étaient réellement les garanties en question, tant dans les œuvres mortes que dans les œuvres vives, et/ou 3) sans disposer d’aucune conclusion motivée de l’IPT quant au point de savoir si ces garanties répondaient ou non aux exigences découlant de l’article 8 (ou pouvaient y répondre à l’issue d’une nouvelle divulgation semblable à celle ordonnée le 9 octobre 2014 dans le cadre de la procédure introduite par les requérantes de la troisième affaire). Cette situation eût été on ne peut plus fâcheuse.
Sur le régime découlant de l’article 8 § 4 de la RIPA
17. Comme indiqué ci-dessus, nous sommes d’accord avec la majorité sur beaucoup de points.
18. Premièrement, nous sommes d’accord avec l’exposé qu’elle fait dans l’arrêt (et qui correspond à l’arrêt rendu unanimement dans l’affaire Centrum För Rättvisa) des principes généraux pertinents. En particulier, nous sommes d’accord avec elle quand elle rappelle (comme la formation qui a rendu l’arrêt Centrum För Rättvisa et comme la Commission de Venise dans son rapport) que la Cour considère que l’autorisation judiciaire est certes une garantie importante, et peut-être même la « meilleure pratique », mais qu’elle a aussi dit à plusieurs reprises que cette autorisation ne peut être en elle-même ni nécessaire ni suffisante pour assurer le respect de l’article 8 de la Convention (paragraphe 320).
19. Deuxièmement, nous sommes aussi d’accord avec elle quant aux lacunes potentielles qu’elle relève (ou, pour reprendre les termes de l’arrêt Centrum För Rättvisa, « les domaines où des améliorations sont possibles ») dans le fonctionnement du régime découlant de l’article 8 § 4 de la RIPA : « premièrement, le fait que le processus de sélection ne fait pas l’objet d’une supervision d’ensemble, portant aussi sur la sélection des canaux de transmission sur lesquels l’interception aura lieu, les sélecteurs et les critères de recherche à appliquer pour le filtrage des communications interceptées et la sélection des éléments pour examen par un analyste ; et deuxièmement, l’absence de garanties réelles applicables à la sélection pour examen de données de communication associées » (paragraphe 387).
20. Enfin, nous considérons comme elle que la bonne approche à appliquer pour déterminer si le système examiné répond à l’exigence de « nécessité dans une société démocratique » au sens de l’article 8 § 2 de la Convention est la suivante :
« Il faut (...) apprécier le fonctionnement concret du système d’interception, en tenant compte de l’existence ou de l’absence de freins et de contrepoids à l’exercice du pouvoir et de signes d’abus réels (Association pour l’intégration européenne et les droits de l’homme et Ekimdjiev, précité, § 92). » (paragraphe 320)
« [la Cour] doit surtout apprécier le fonctionnement concret du système d’interception dans son ensemble, en tenant compte de l’existence ou de l’absence de freins et de contrepoids à l’exercice du pouvoir et de signes d’abus réels (...), tels que le fait que des mesures secrètes de surveillance soient autorisées au hasard, irrégulièrement ou sans examen approprié et convenable (Roman Zakharov, précité, § 267). » (paragraphe 377)
21. Notre point de désaccord porte, là encore, sur l’application de cette approche au système examiné.
22. Avant d’exposer de manière plus détaillée la base de notre désaccord, nous notons incidemment que, manifestement, l’approche qui sous-tend le raisonnement de la Cour est tout à fait différente de celle adoptée par la CJUE dans les affaires Digital Rights Ireland et Seitlinger e.a. (affaires jointes C-293/12 et C-594/12) et Secretary of State for the Home Department contre Tom Watson e.a. (C-698/15). Dans ces affaires, la CJUE a examiné la validité de la directive sur la conservation des données (Digital Rights Ireland et Seitlinger e.a.) et la validité d’une législation interne renfermant les mêmes dispositions que cette directive (Secretary of State for the Home Department contre Tom Watson e.a.). Si elle s’est concentrée sur la conservation des données par les fournisseurs de services de communication, elle a aussi examiné la question de l’accès des autorités nationales aux données conservées. Elle a alors estimé que cet accès devait être limité à ce qui était strictement nécessaire dans le but poursuivi et que, lorsque ce but était la lutte contre les infractions, il devait être restreint à la lutte contre les infractions graves. Elle a également dit que l’accès devait être soumis au contrôle préalable d’un tribunal ou d’une instance administrative indépendante, et qu’il fallait qu’il y ait une exigence de stockage au sein de l’Union européenne des données conservées. Ainsi, s’il y a une certaine similitude dans les termes utilisés par les deux cours européennes, la CJUE a manifestement adopté une approche plus prescriptive quant aux garanties qu’elle estime nécessaires – peut-être parce que dans ces deux affaires, elle examinait les droits garantis sous l’angle des articles 7 (respect de la vie privée et familiale) et 8 (protection des données à caractère personnel) de la Charte des droits fondamentaux. Cependant, même si dans l’affaire Watson elle s’est gardée de trancher la question de savoir si la protection apportée par les articles 7 et 8 de la Charte était plus large que celle découlant de l’article 8 de la Convention, force nous est de constater que, d’une part, l’article 52 § 3 de la Charte des droits fondamentaux reconnaît certes que le droit de l’Union peut accorder une protection plus étendue, mais énonce aussi clairement que les « droits » contenus dans la Charte correspondent aux « droits » garantis par la Convention (et non aux « articles » de la Convention) et, d’autre part, la Cour de Strasbourg a, au moins depuis l’arrêt rendu en 1978 par l’Assemblée plénière dans l’affaire Klass et autres c. Allemagne (cité dans le corps de l’arrêt), toujours considéré que l’article 8 de la Convention garantissait le droit à la protection des données à caractère personnel. Cela étant, dans l’arrêt Ben Faiza c. France (cité dans le corps de l’arrêt), qui a été rendu un an après l’arrêt Watson et quatre ans après l’arrêt Digital Rights Ireland, la Cour n’a pas suivi l’approche de la CJUE ; elle a préféré suivre son approche bien établie et examiner le régime litigieux dans son ensemble pour évaluer le caractère adéquat des garanties qu’il comprenait.
23. En toute hypothèse, si l’on applique l’approche bien établie de la Cour, il ressort clairement, selon nous, des éléments de preuve nombreux (ce qui est rare dans les affaires de surveillance secrète) et détaillés (publiquement disponibles) relatifs au fonctionnement du régime découlant de l’article 8 § 4 de la RIPA (exposé sur plus de 35 pages dans l’arrêt) que, bien que certains aspects de ce régime puissent être améliorés, cela n’est pas, en soi, suffisamment significatif pour justifier la conclusion que « le régime découlant de l’article 8 § 4 de la RIPA ne répond pas à l’exigence de « qualité de la loi » et ne permet pas de conserver l’« ingérence » au niveau « nécessaire dans une société démocratique » (paragraphe 388). Au contraire, si, suivant l’approche adoptée par la Cour dans l’arrêt Centrum För Rättvisa (§ 181), on procède à une appréciation globale en tenant compte de la marche d’appréciation dont jouissent les autorités nationales pour protéger la sécurité nationale, force est de constater, à notre avis, que le régime découlant de l’article 8 § 4 de la RIPA pose bel et bien des garanties adéquates et suffisantes contre l’arbitraire et le risque d’abus. Nous concluons donc que la législation pertinente répond à l’exigence de « qualité de la loi », que l’« ingérence » constatée peut être considérée comme « nécessaire dans une société démocratique » et que, dès lors, elle n’emporte pas violation de l’article 8 de la Convention.
24. À cet égard, le contraste avec l’arrêt Centrum För Rättvisa est instructif : dans cette affaire, la Cour a appliqué les mêmes principes généraux au régime suédois d’interception en masse, et elle a conclu, à l’unanimité, qu’il n’y avait pas eu violation de l’article 8 de la Convention. Nous sommes conscients qu’il est difficile – parfois – de comparer en détail de manière significative différents régimes d’interception, mais nous estimons néanmoins utile de noter que, même s’il prévoyait une autorisation judiciaire préalable, le régime examiné dans l’affaire suédoise présentait aussi les caractéristiques suivantes.
a) Il était totalement secret, de sorte que la Cour n’a disposé que de peu d’informations significatives, que ce soit sur son fonctionnement concret de manière générale (y compris le fonctionnement réel du tribunal pour le renseignement extérieur) ou sur son impact sur les individus et/ou sur l’application de garanties à cet égard.
b) Il prévoyait qu’en principe, le tribunal pour le renseignement extérieur devait tenir des audiences publiques, toutefois tel n’avait jamais été le cas, toutes les décisions étaient restées confidentielles et aucune information n’avait été rendue publique quant au nombre d’audiences, au nombre d’autorisations accordées ou refusées, au raisonnement tenu par le tribunal dans ces décisions ou au volume et au type de termes de recherche utilisés ; le tribunal pour le renseignement extérieur était assisté par un « représentant chargé de la protection de la vie privée » dont le rôle était de protéger « les intérêts des individus en général », et non de comparaître au nom de la personne concernée ou de représenter ses intérêts ; en outre, le représentant chargé de la protection de la vie privée ne pouvait ni faire appel d’une décision du tribunal pour le renseignement extérieur ni « signaler aux organes de supervision une irrégularité qu’il aurait constatée ».
c) Il concernait les interceptions réalisées par l’Institut national de la défense radio (le « FRA ») pour le compte d’un groupe beaucoup plus large de « clients » (« [le] gouvernement, [les] services gouvernementaux, [les] forces armées ou, depuis janvier 2013, [la] Sûreté ou [la] direction des opérations nationales de l’autorité de police »), et impliquait donc la communication des éléments interceptés à un groupe beaucoup plus large.
d) Il prévoyait la possibilité d’autoriser des interceptions pour un plus grand nombre (huit) de « buts » (les autorités pouvaient recueillir des informations « 1) sur des menaces militaires extérieures pesant sur le pays, 2) sur les conditions de la contribution de la Suède à des missions internationales humanitaires ou de maintien de la paix ou sur les menaces qui pourraient peser sur des intérêts suédois dans le cadre de telles opérations, 3) sur le contexte stratégique en matière de terrorisme international ou d’autres formes graves de criminalité transfrontalière risquant de menacer des intérêts nationaux essentiels, 4) sur le développement et la prolifération d’armes de destruction massive, d’équipements militaires ou d’autres produits similaires déterminés, 5) sur des risques extérieurs menaçant gravement l’infrastructure sociale, 6) sur des conflits à l’étranger susceptibles d’avoir des répercussions sur la sécurité internationale, 7) sur des opérations de services de renseignement étrangers dirigés contre des intérêts suédois, et 8) sur les actes ou les intentions d’une puissance étrangère [revêtant] une importance particulière pour la politique étrangère, la politique de défense ou la politique de sécurité de la Suède »).
e) Il présentait les mêmes difficultés de distinction au point de collecte des communications non extérieures entre un émetteur et un destinataire se trouvant dans l’État défendeur que celles notées pour le régime britannique.
f) Il permettait la communication du produit des interceptions non seulement à d’autres États mais aussi à des « organisations internationales » (sans que cette expression ne soit définie) « si le secret ne s’y oppos[ait] pas et si cette communication [était] nécessaire pour que le FRA puisse exercer ses activités de coopération internationale en matière de défense et de sécurité » et « si cette communication [était] bénéfique pour la gestion de l’État suédois (statsledningen) ou pour la stratégie de défense globale de la Suède (totalförsvaret) », sans qu’aucune disposition n’impose au pays tiers ou à l’organisation internationale destinataires des données de les protéger en les soumettant aux mêmes garanties que celles applicables au niveau national, ou à des garanties analogues.
g) Enfin, il prévoyait certes l’obligation d’aviser la personne ayant fait l’objet d’une interception après les faits, mais, « en raison du secret, la procédure de notification aux particuliers (...) n’avait jamais été utilisée par le FRA. »
25. La difficulté reconnue qu’il y a à comparer de manière significative plusieurs régimes d’interception distincts et les conclusions différentes auxquelles la Cour parvient dans deux arrêts rendus pratiquement au même moment font ressortir encore plus nettement, à notre avis, le fait qu’il importe que la Cour adopte une approche consistant à se demander si, à l’issue d’une « appréciation globale » et eu égard à « la marge d’appréciation dont jouissent les autorités nationales dans la protection de la sécurité nationale », il y a lieu de conclure que le système adopté offre des garanties adéquates et suffisantes contre l’arbitraire et le risque d’abus, même si, quel que soit le système, certains de ses aspects pris individuellement peuvent toujours être susceptibles de modification ou d’amélioration. Cette approche reflèterait parfaitement le rôle de la Convention, qui est de poser des « normes minimales » pouvant être appliquées dans tous les États membres. Étant donné que des régimes très différents sont appliqués d’un État à l’autre, dès lors que – à l’issue d’une appréciation globale – la Cour conclut qu’un système d’interception en masse fournit des garanties adéquates et suffisantes contre l’arbitraire et les abus, elle ne devrait pas être trop prescriptive quant à la manière dont ces régimes devraient fonctionner (ce qui ne l’empêche pas d’indiquer, comme elle l’a fait aussi bien dans l’affaire Centrum För Rättvisa que dans la présente affaire, les aspects du régime qui pourraient être améliorés). Si elle avait appliqué cette approche en l’espèce dans l’exercice de sa compétence de contrôle (comme elle l’a fait dans l’arrêt Centrum För Rättvisa et comme elle aurait dû le faire ici également), elle aurait accordé le poids qu’il convient au fait que les juridictions et autorités internes ont soumis à la fois le système britannique de manière générale et les griefs individuels en cause à un examen détaillé et étendu en vérifiant expressément le respect des normes découlant de la Convention et de la jurisprudence de Strasbourg ; et elle aurait conclu à la non-violation de l’article 8 de la Convention.
Remarque complémentaire
26. Après le jugement qu’il a rendu le 3 juillet 2018 dans la présente affaire, l’IPT en a rendu un autre, qui concernait un autre aspect du régime de surveillance britannique, sans lien avec celui en cause ici : Privacy International v Secretary of State for Foreign and Commonwealth Affairs (Rev 1) [2018] UKIPTrib IPT_15_110_CH (23 juillet 2018). Bien entendu, la Cour ne disposait pas de cet jugement lorsqu’elle est parvenue à ses conclusions sur la question de l’épuisement des voies de recours internes (et il n’en a pas été fait mention devant elle). Cela étant, il nous paraît que ce jugement soigneux et détaillé accrédite encore (s’il en était besoin) la conclusion selon laquelle, en principe, le recours ouvert devant l’IPT est un recours effectif aux fins de l’article 35 § 1 de la Convention, de sorte que les requérants potentiels devront l’avoir exercé avant que la Cour ne puisse connaître de leur requête.
* * *
[1] Le Royaume-Uni devant quitter l’Union européenne en 2019, la sanction royale a été donnée le 23 mai 2018 à la loi de 2018 sur la protection des données, qui renferme des règles et protections équivalentes.