Le 11 janvier dernier, la Cour européenne des droits de l’homme a dit à l’unanimité que la Bulgarie avait violé le droit au respect de la vie privée, garanti par l’article 8 de la Convention, en raison des garanties légales insuffisantes quant au régime de la surveillance secrète et de la conservation des données et d’accès ultérieur à ces données¹>Arrêt de la Cour européenne des droits de l’homme du 11 janvier 2022 dans la cause Mihail Tholov Kimdzhiev et autres c. Bulgarie (4e section)..

Les requérants sont deux avocats bulgares, résidant à Plovdiv et à Sofia, et deux organisations non gouvernementales de défense des droits de l’homme. Ils soutenaient que la nature de leurs activités les exposait au risque de faire l’objet d’une surveillance secrète et que les autorités consultent leurs données de communication. La surveillance secrète englobe la surveillance visuelle, l’interception des communications téléphoniques et électroniques ainsi que la mise sur écoute. Ces techniques peuvent être employées aux fins de la sûreté nationale ou lorsqu’on soupçonne «une infraction volontaire grave». En pratique, les infractions les plus fréquentes pour lesquelles ces techniques sont mises en œuvre sont le racket et les infractions à la législation sur les stupéfiants. Des entités relevant du Ministère de l’intérieur – comme la police –, les procureurs et certaines autres agences militaires et de sécurité peuvent demander à consulter les données recueillies au moyen de la surveillance et les utiliser. Les présidents d’un nombre restreint de juridictions sont habilités à délivrer des mandats de surveillance. Ce système est supervisé par un bureau national ainsi que par une commission parlementaire spéciale.

En outre, la législation bulgare oblige tous les fournisseurs de services de communication dans le pays à conserver ces données pour tous leurs utilisateurs pendant six mois, et les autorités peuvent accéder aux données ainsi conservées aux fins de détecter des infractions graves et d’enquêter sur ces infractions, ainsi qu’à d’autres fins répressives. Les mandats permettant l’accès à ces données peuvent être délivrés par les présidents de tous les tribunaux de district.

Dans cet arrêt très fouillé et documenté, se référant notamment à une affaire de principe jugée au mois de mai 2021²>Arrêt de la Cour européenne des droits de l’homme du 25 mai 2021 dans la cause Big Brother Watch et autres c. Royaume-Uni (Grande Chambre)., la Cour rappelle qu’une ingérence dans la vie privée ne peut se justifier que si elle est prévue par la loi, qu’elle vise un but légitime et est nécessaire dans une société démocratique pour atteindre ce but. La loi doit être accessible à la personne concernée et prévisible quant à ses effets. Certes, en matière de surveillance secrète, la prévisibilité ne peut se comprendre de la même façon que dans la plupart des autres domaines, sous peine que l’individu adapte sa conduite. Mais cette surveillance ne doit pas être arbitraire, soit lorsque le pouvoir exécutif s’exerce en secret. Par conséquent, des règles claires et détaillées doivent être posées. La loi doit au moins énoncer: 1) la nature des infractions susceptibles de donner lieu à un mandat d’interception, 2) la définition des catégories de personnes dont la communication est susceptible d’être interceptée, 3) la limite à la durée d’exécution de la mesure, 4) la procédure à suivre pour l’examen, l’utilisation et la conservation des données recueillies, 5) les précautions à prendre pour la communication des données à d’autres parties et 6) les circonstances dans lesquelles les données interceptées peuvent ou doivent être effacées ou détruites. Ces critères valent tant dans le cadre d’enquêtes pénales que lorsque l’interception est faite pour des raisons de sécurité nationale.

Dans le cas particulier, la Cour a notamment constaté que la législation bulgare actuelle, malgré une modification due à une précédente condamnation³>Arrêt de la Cour européenne des droits de l’homme du 28 juin 2007 dans la cause Association pour l’intégration européenne et les droits de l’homme et Ekimdzhiev c. Bulgarie (5e section)., n’institue pas de contrôle juridictionnel digne de ce nom pour les décisions de délivrance des mandats et qu’elle ne pose pas de règles claires concernant l’utilisation des données qui pourraient être utilisées à des fins malveillantes. En outre, le secret professionnel des avocats n’est pas correctement protégé. De surcroît, le système de supervision n’apparaît pas capable de fournir des garanties effectives contre une surveillance abusive, notamment parce que les réponses à une demande sont vagues, ne précisant notamment pas s’il n’y a pas eu de surveillance du tout, et non pas simplement une surveillance illégale.

Ces développements jurisprudentiels au niveau européen concernent également la Suisse. En particulier, l’application de la loi sur le renseignement, très critiquée lors de son adoption il y a cinq ans, mériterait un examen à l’aune de cette jurisprudence.