Par un arrêt très attendu en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la délicate question de la conservation des données de connexion et leur traitement pour les besoins exprimés par les forces de police et les services en charge du renseignement
La Cour de justice de l’Union européenne a eu l’occasion, à quelques reprises, de se prononcer sur la compatibilité des obligations faites aux opérateurs de communications électroniques par certaines législations nationales de transmettre les données de connexion de leurs clients aux autorités de police ou judiciaires avec les droits et libertés fondamentaux des personnes.
Récemment, il lui a plus précisément été demandé de se prononcer sur cette compatibilité avec les droits découlant de la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et avec la Charte des droits fondamentaux de l’Union européenne (1).
Portés par ces recours, plusieurs associations intervenant dans le domaine de la protection des données à caractère personnel, adossées à un opérateur de communications électroniques, ont saisi le Conseil d’État de recours contre les décrets relatifs à la conservation des données de connexion et leur traitement pour les besoins exprimés par les forces de police et les services en charge du renseignement.
La décision du Conseil d’État du 21 avril 2021 (2) était très attendue, dans la mesure où les textes français actuels imposent une conservation généralisée et indifférenciée de toutes les données de connexion générées par l’ensemble des utilisateurs de services de communications électroniques, alors même que l’écrasante majorité de ces utilisateurs ne peut pas raisonnablement être suspectée de vouloir commettre ou d’avoir commis des actes terroristes, des crimes ou des délits justifiant la conservation de ces données pour les besoins des enquêtes pénales.
De quelles données parle-t-on ?
Le Conseil d’État rappelle que les données de connexion sont les données qui permettent de caractériser techniquement une connexion. Il s’agit de métadonnées relatives :
- à l’identité de l’émetteur de la communication ;
- à la connexion elle-même (date et heure de début et de fin, adresses des sites consultés, type de communication, etc.) ;
- aux données de localisation de l’émetteur de la communication.
Il s’agit donc, pour l’opérateur de communications électroniques, de conserver la totalité des données à caractère personnel de la totalité des communications établies ou transitant par son intermédiaire, et ce, pour une durée fixée à un an en France.
Quelle était la position de la CJUE ?
Dans les décisions qu’elle a adoptées en octobre 2020 (3), la CJUE rappelait que l’obligation de conservation des données de manière généralisée ne pouvait être prévue que si elle respectait les trois critères cumulatifs suivants :
- temporellement et matériellement limitée au strict nécessaire, en ciblant les données à conserver ; par exemple dans certaines zones ou pour certaines catégories de personnes pré-identifiées comme présentant des risques particuliers ;
- justifiée par une menace grave pour la sécurité nationale, qui s’avère réelle, actuelle ou prévisible ;
- opérée sous le contrôle effectif d’une juridiction ou d’une autorité administrative indépendante, dont la décision est dotée d’un effet contraignant.
Cette position de la CJUE se heurtait donc à la législation française qui prévoit une conservation indifférenciée des données de connexion, sans autre contrôle de leur utilisation que celui du juge, considérant que la sauvegarde des intérêts fondamentaux de la Nation, la prévention des atteintes à l’ordre public, la protection des populations contre les menaces terroristes relevaient du pouvoir et des missions régaliens de l’État, dans le respect de la constitution française qui est hiérarchiquement supérieure au droit européen.
La décision du Conseil d’État du 21 avril 2021
En ne reconnaissant, ni la suprématie des décisions de la CJUE, ni celle du droit français, le Conseil d’État a adopté une décision de compromis.
En effet, cette décision s’articule principalement sur les cinq éléments suivants :
- le niveau actuel de menace pour la sécurité nationale justifie la conservation généralisée et indifférenciée des données de connexion ;
- le réexamen périodique de cette menace par le Gouvernement, sous le contrôle du juge administratif, comme l’indiquent la CJUE ;
- la conservation généralisée des données (autres que celles sur l’identité) est en revanche illégale pour tout autre type de menaces ;
- la prise en considération du niveau de gravité des infractions en se :
- limitant aux seules infractions présentant un niveau de gravité suffisant, d’une part,
- basant sur les données dont l’opérateur dispose au moment où les forces de police le sollicite, d’autre part. Elle reprend ainsi la proposition de la CJUE que ces forces fassent geler les données de connexion d’une personne identifiée ; et ce pour les besoins d’une enquête pénale (méthode dite de la « conservation rapide ») ;
- enfin, le Conseil d’État propose une réforme de la législation française, s’agissant du contrôle par une autorité indépendante. En effet, une telle autorité existe en France. Il s’agit de la Commission nationale de contrôle des techniques de renseignement (CNCTR). Pour autant, les autorisations de mise en œuvre de dispositifs de contrôle que rend cette commission ne sont pas contraignants. Aussi, pour s’aligner sur la jurisprudence européenne, le Conseil d’État ordonne de modifier le cadre réglementaire français d’ici octobre prochain.
Frédéric Forster
Lexing Pôle Télécoms
Notes :
(1) Virginie Bensoussan-Brulé, « Arrêts de la CJUE sur la conservation des données de connexion », Alain-Bensoussan.com post du 25-11-2020
(2) CE 21 avril 2021 n° 393099 ; Conseil d’État, « Données de connexion : le Conseil d’État concilie le respect du droit de l’Union européenne et l’efficacité de la lutte contre le terrorisme et la criminalité »
(3) CJUE, 6 octobre 2020, Affaire C-623/17 et Affaires jointes C-511/18, C-512/18 et C-520/18 ; Communiqué de presse n° 123/20 du 06 octobre 2020.