Le 21 avril 2021, le Conseil d’État s’est prononcé sur la conformité des règles françaises à la jurisprudence de la CJUE en matière de conservation des données de connexion.
Le Conseil d'État a récemment validé l'accès administratif aux données de connexion, dans une décision appelée « French Data Network ». Dans quel contexte s’inscrit cette décision ?
Cette décision s'inscrit dans une saga jurisprudentielle et législative complexe. C'est pourquoi je me permettrai de rappeler d'abord ce qu'est une donnée de connexion puis d'expliquer dans quel contexte s'inscrit cette décision.
En ce qui concerne les données de connexion, il existe trois catégories de données :
- les données dites d'identité, c'est-à-dire tout ce qui va permettre d'identifier quelqu'un, son nom, son prénom, son numéro de téléphone ou son adresse IP, par exemple ;
- les données de trafic, appelées aussi les fadettes, qui correspondent aux dates et aux heures de connexion ou d'appel relatives à une communication électronique ;
- enfin, les données de localisation, qui résultent du bornage d'un appareil à une antenne afin de savoir précisément où se trouve cet appareil.
Voici les trois typologies de données appelées données de connexion ou métadonnées. Elles font l'objet au niveau législatif, européen et français d'un cadre fixé notamment par la directive E-Privacy, dont les articles 5, 6, 8 et 9 prévoient non seulement le principe de confidentialité des communications électroniques et des données de connexion qui y sont attachées, mais également des modalités spécifiques de leur conservation.
Le principe est donc la confidentialité des données. Néanmoins, l’article 15 de cette même directive prévoit que les Etats membres bénéficient d’une marge de manœuvre leur permettant, sous certaines conditions, de limiter la portée de ces dispositions.
La France a saisi l'occasion pour adopter son dispositif, notamment aux articles L.34-1 du Code des postes et des communications électroniques et 6 de la Loi pour la confiance dans l'économie numérique (LCEN), qui imposent aux opérateurs de services de communications électroniques, aux fournisseurs d’accès à Internet ainsi qu’aux hébergeurs, une obligation de conservation générale et indifférenciée de certaines données pendant un an. De plus, bon nombre de techniques de renseignement permettant d’accéder aux données de connexion sont prévues dans le livre 8 du Code de la sécurité intérieure, et ont été adoptées majoritairement après les attentats de Charlie Hebdo. Voilà les dispositions qui ont fait l'objet d'un recours devant le Conseil d’Etat par des associations de protection des données et un opérateur télécom, Free.
Il faut savoir que la question de la conservation généralisée et indifférenciée des données de connexion a été le sujet d’une série d’arrêts de la CJUE. En 2014, dans un arrêt dit Digital Rights, elle a tout d’abord invalidé une autre directive européenne qui imposait l'obligation générale et indifférenciée de conservation des données de connexion au sein des Etats membres pour une durée de 6 à 24 mois.
Il y a eu ensuite un certain nombre d'autres arrêts, notamment l'arrêt Télé 2 en 2016, qui a donné la grille de lecture appliquée par la CJUE dans l'arrêt dit « Quadrature du Net » en octobre 2020 et duquel le Conseil d'Etat tire sa décision du 21 avril 2021.
À l'origine de cette affaire, des associations de protection des données et un opérateur télécom, Free, ont saisi le Conseil d'Etat en 2016 pour qu'il annule le dispositif français imposant l'obligation de conservation générale et indifférenciée des données de connexion pendant un an. En 2018, le Conseil d'État a rendu une première décision et a renvoyé plusieurs questions préjudicielles à la CJUE. Cette dernière a répondu par son arrêt du 6 octobre 2020, dit « Quadrature du Net », dans lequel elle fixe une grille de lecture permettant d’apprécier la conformité des dispositions relatives à la conservation des données de connexion au regard du droit européen. Ainsi, le 21 avril 2021, le Conseil d'État a jugé au fond de la conformité du dispositif législatif français au droit européen.
LIRE AUSSI >> Cookies et traceurs : les nouvelles recommandations de la CNIL
Le Conseil d’État a jugé que la conservation généralisée des données de connexion est justifiée par des considérations relatives à la sécurité nationale. Pouvez-vous nous expliquer ce que cela signifie ?
La conservation générale et indifférenciée des données de connexion pose des difficultés. En effet, en conservant les données de connexion, les pouvoirs publics tentent de concilier des intérêts très différents : d'un côté, les droits et les libertés fondamentaux des personnes, en particulier le droit à la vie privée à la protection de leurs données à caractère personnel et la liberté d'expression. Il s'agit de trois libertés fondamentales qui doivent être protégées autant que possible. De l'autre côté, d’autres droits, notamment la sécurité nationale, le droit à l’intégrité physique des personnes et le respect de l’ordre public peuvent justifier une certaine forme d’ingérence.
Les arrêts de la CJUE tentent de concilier ces droits et libertés fondamentaux. Pour cela, la CJUE estime qu'en vertu du principe de proportionnalité, une mesure qui induit une ingérence grave dans ces droits et libertés fondamentaux, comme la conservation indifférenciée et généralisée des données de connexion, ne peut être justifiée que par la lutte contre une infraction d'une particulière gravité.
Ainsi, il n’est pas possible de conserver de manière indifférenciée et généralisée, des données de connexion pour lutter contre des infractions pénales générales, car l'ingérence serait disproportionnée.
Dans un arrêt assez complexe, la CJUE propose une grille de lecture qui est faite de conditions cumulatives qui varient selon le type de données (données de trafic et de localisation d’une part ; adresse IP d’autre part et enfin données d’identification), selon le type de conservation ou d'analyse réalisée (conservation générale et indifférenciée ; conservation ciblée ; conservation rapide et généralisée ; analyse automatisée et recours en temps réel), et enfin selon la justification de la conservation ou de l'analyse (sauvegarde et sécurité nationale ; lutte contre la criminalité grave, etc.).
Ainsi, selon la CJUE, il n'est possible de conserver de manière générale et indifférenciée les données de trafic et de localisation qu'à des fins de sauvegarde de la sécurité nationale, s'il y a une menace grave pour la sécurité nationale, et si cette menace est réelle, actuelle ou prévisible.
Cette grille de lecture est adoptée par le Conseil d'Etat dans sa décision, qui valide le principe de conservation générale et indifférenciée des données de trafic et de localisation du dispositif législatif français en raison du risque terroriste grave auquel est confrontée la France, considérant qu’il s’agit d’une menace grave, réelle et actuelle pour la sécurité nationale. Le Conseil d’Etat a donc repris les critères énoncés par la CJUE en réalisant une appréciation concrète du contexte sécuritaire français pour valider les dispositions légales existantes, et considérer que l’ingérence grave dans le droit au respect de la vie privée et le droit à la protection des données à caractère personnel est actuellement justifiée.
Néanmoins, comme tous les États membres sont malheureusement confrontés à un risque terroriste grave, n'existe-t-il pas le risque que les libertés fondamentales soient sacrifiées ?
En effet. D'ailleurs, on sent bien que le Conseil d'État opère un jeu d'équilibriste, en appliquant la grille de lecture de la CJUE de manière, disons, sélective : il s'appuie sur l'exception prévue par la CJUE de sauvegarde de la sécurité nationale caractérisée par des menaces graves pesant sur un Etat membre, pour valider le dispositif réglementaire actuel, sans dérouler la grille de lecture sur les autres points.
.
Il est d'ailleurs intéressant de noter que le lendemain de la décision du Conseil d'Etat rendue en France, la Cour constitutionnelle belge, qui faisait l'objet du même recours devant la CJUE, a pris une décision totalement différente et a invalidé son dispositif local sur la question, alors que ce pays est également confronté à des menaces terroristes.
Le projet de loi de lutte anti-terroriste est en train d’être examiné ; quel impact la décision « French Data Network » peut-elle avoir sur ce projet ?
Le Conseil d'Etat a certes validé le dispositif français actuel en s'appuyant sur l'exception de sauvegarde la sécurité nationale ; néanmoins, il a également enjoint le gouvernement à revoir sa copie sur deux points : le premier est relatif au fait que les mesures françaises ne sont pas limitées dans le temps, comme l'exige l'arrêt de la CJUE. Le second porte sur l'absence de contrôle préalable de la mise en œuvre de ces mesures, soit par une juridiction, soit par une autorité administrative indépendante.
La question qui se pose est donc de savoir si le projet de loi actuellement à l'étude va tirer pleinement les conséquences de ces arrêts. On notera qu’à la suite de la décision du Conseil d’Etat, le projet de modification de l'article L. 34-1 du Code des postes et des communications électroniques proposé dans le cadre du projet de loi a été modifié et visera à l’avenir la sécurité nationale et la menace grave actuelle et prévisible.
En revanche, le projet ne tient pas réellement compte de l’exigence d’un contrôle préalable d'une juridiction ou d'une autorité administrative indépendante, puisque les avis de la Commission nationale de contrôle des techniques de renseignement (CNCTR) restent purement consultatifs.
Le texte a été adopté en première lecture devant l’Assemblée Nationale, il est actuellement en cours d’examen devant le Sénat. Il y a fort à parier que l’adoption du texte sera accompagnée d’une saisine du Conseil Constitutionnel.
De son côté, la CNIL s’est prononcée sur ce projet de loi en rendant trois avis au titre desquels elle estime nécessaire d’encadrer plus strictement les dispositifs prévus par ce projet de loi.
Quels sont les risques d’atteinte aux libertés fondamentales selon vous ?
C'est un exercice difficile et délicat de concilier, d'une part, le droit à la vie privée et la protection des données à caractère personnel et, d'autre part, la sécurité nationale. D'un côté, l'Etat est là pour préserver l’ordre public et garantir la sécurité de sa population et les données de connexion peuvent être un outil permettant de résoudre un certain nombre d'infractions d'une certaine gravité dans certains contextes. C'est même parfois le seul outil à disposition.
Néanmoins, une conservation générale et indifférenciée des données, sans garde-fou et sans garanties fortes, peut aboutir à des dérives sécuritaires intrusives.
La notion de sécurité nationale est extrêmement large, comprenant aussi bien la défense et la promotion des intérêts majeurs de la politique étrangère que les intérêts économiques, industriels et scientifiques de la France. Cette notion couvre des réalités très différentes et laisse une grande marge d’appréciation au gouvernement.
Il est intéressant de noter que par deux arrêts rendus le 25 mai 2021, la CEDH a jugé que la surveillance de masse des communications électroniques peut être compatible avec le droit à la vie privée et la liberté d’expression, car ces méthodes sont, pour les États, d’une importance vitale pour détecter les menaces contre leur sécurité nationale. Cette compatibilité est toutefois également conditionnée à la mise en place de garanties contre l’arbitraire et les abus, venant limiter la marge d’appréciation des pouvoirs publics. Ces garanties sont proches de celles exigées par la CJUE, la CEDH se montre toutefois moins stricte en se contentant d’un contrôle a posteriori de la mise en œuvre de ces mesures par une autorité indépendante, alors que la CJUE exige un contrôle a priori.
LIRE AUSSI >> La cybersécurité : un enjeu européen ?
Docteure en droit et diplômée de l'Essec, Eloïse est rédactrice en chef du Blog Predictice.