La conservation des données de trafic et des données de connexion : un équilibre entre sécurité et vie privée délicat à trouver !

Ainsi que nous le soulevions dans un précédent article, la problématique du traitement des données de connexion demeure un sujet épineux qui fait l’objet d’une jurisprudence fournie, aussi bien au niveau européen qu’au niveau national, un point d’équilibre devant être trouvé entre d’une part la sauvegarde de la sécurité nationale, de la défense, de la sécurité publique, de la recherche, de la détection et de poursuite d’infractions pénales et, d’autre part, la protection de la vie privée et celle attachée aux traitements de données à caractère personnel.

 

POSITION DE LA COUR DE JUSTICE DE L’UNION EUROPÉENNE S’AGISSANT DE LA CONSERVATION DES DONNÉES DE TRAFIC ET DE LOCALISATION

 

Par un arrêt du 6 octobre 2020 (CJUE, 6 octobre 2020, aff. C-511/18, C-512/18 et C-520/18, La Quadrature du Net, French Data Network, Fédération des fournisseurs d’accès à Internet associatifs et Igwan.net), la Cour de Justice de l’Union européenne (« CJUE ») confirmait qu’est interdite par principe la conservation systématique et généralisée des données de trafic et de localisation, sauf exceptions.

S’agissant de ces exceptions, les Etats membres de l’Union européenne peuvent en effet, dans certaines hypothèses et sous certaines conditions, imposer la conservation de telles données, ces exceptions devant toutefois être interprétées strictement. A cet égard, le droit français permet dans certaines situations et selon des modalités spécifiques (par exemple, art.L.34-1 du Code des postes et des communications électroniques, art.L.851-1 à L.851-4 du Code de la sécurité intérieure ou encore article 6.II de la loi 2004-575 pour la confiance dans l’économie numérique), respectivement aux opérateurs de communications électroniques, aux fournisseurs d’accès à internet et aux hébergeurs, de conserver de telles données de trafic et de localisation pendant une durée limitée, étant rappelé que chacun de ces prestataires techniques est soumis à un régime spécifique.

Dans l’arrêt du 6 octobre 2020 précité, la CJUE prend le soin de relever un certain nombre de risques associés à de telles pratiques de conservation indifférenciée et généralisée. En effet, elle considère que :

  • « les données relatives au trafic et les données de localisation sont susceptibles de révéler des informations sur un nombre important d’aspects de la vie privée des personnes concernées, y compris des informations sensibles, telles que l’orientation sexuelle, les opinions politiques, les convictions religieuses, philosophiques, sociétales ou autres ainsi que l’état de santé, alors que de telles données jouissent, par ailleurs, d’une protection particulière en droit de l’Union. Prises dans leur ensemble, lesdites données peuvent permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci. En particulier, ces données fournissent les moyens d’établir le profil des personnes concernées, information tout aussi sensible, au regard du droit au respect de la vie privée, que le contenu même des communications» ;
  • « La conservation des données relatives au trafic et des données de localisation à des fins policières est susceptible, à elle seule, de porter atteinte au droit au respect des communications […] et d’entraîner des effets dissuasifs sur l’exercice par les utilisateurs des moyens de communication électroniques de leur liberté d’expression » […] Or, de tels effets dissuasifs peuvent affecter en particulier les personnes dont les communications sont soumises, selon les règles nationales, au secret professionnel ainsi que les lanceurs d’alerte dont les activités sont protégées par la directive (UE) 2019/1937 du Parlement européen et du Conseil, du 23 octobre 2019, sur la protection des personnes qui signalent des violations du droit de l’Union . En outre, ces effets sont d’autant plus graves que le nombre et la variété des données conservées sont élevés » ;
  • « compte tenu de la quantité importante de données relatives au trafic et de données de localisation susceptibles d’être conservées de manière continue par une mesure de conservation généralisée et indifférenciée ainsi que du caractère sensible des informations que ces données peuvent fournir, la seule conservation desdites données par les fournisseurs de services de communications électroniques comporte des risques d’abus et d’accès illicite ».

Aussi, pour satisfaire à l’exigence de proportionnalité (cf. nécessité de concilier les intérêts et droits fondamentaux en cause), la CJUE estime que la réglementation nationale « doit prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant des exigences minimales, de telle sorte que les personnes dont les données à caractère personnel sont concernées disposent de garanties suffisantes permettant de protéger efficacement ces données contre les risques d’abus ». Ainsi, pour déterminer si une réglementation nationale est conforme aux exigences issues du droit de l’Union européenne en la matière, il convient de s’assurer que celle-ci répond à des critères objectifs, établissant un rapport entre les données à conserver et l’objectif poursuivi et qu’existent des garanties suffisantes permettant aux personnes concernées de protéger efficacement leurs données contre les risques d’abus (notamment, contrôle effectif par une juridiction ou par une autorité administrative indépendante).

Après avoir exposé de tels principes, la CJUE précise ensuite, dans l’arrêt susvisé, leur modalités d’application à différentes typologies de mesures législatives pouvant être adoptées au sein des Etats membres de l’Union européenne en fonction des objectifs poursuivis.

 

Sur les mesures législatives prévoyant la conservation préventive des données relatives au trafic et des données de localisation aux fins de la sauvegarde de la sécurité nationale

Si la CJUE considère qu’une réglementation nationale autorisant les autorités compétentes à enjoindre aux fournisseurs de services de communications électroniques de procéder à la conservation des données relatives au trafic et des données de localisation de l’ensemble des utilisateurs des moyens de communications électroniques pendant une période limitée n’est pas, par nature, contraire au droit de l’Union européenne, la CJUE souligne toutefois qu’il doit exister des circonstances suffisamment concrètes permettant de considérer que l’État membre concerné fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible (étant précisé que même si une telle mesure vise, de manière indifférenciée, tous les utilisateurs de moyens de communications électroniques sans que ceux-ci paraissent, de prime abord, présenter de rapport avec une menace pour la sécurité nationale de cet État membre, il y a lieu néanmoins de considérer que l’existence d’une telle menace est de nature, par elle-même, à établir ce rapport) et que la conservation de telles données à des fins préventives doit être « temporellement limitée au strict nécessaire ».

 

Sur les mesures législatives prévoyant la conservation préventive des données relatives au trafic et des données de localisation aux fins de la lutte contre la criminalité et de la sauvegarde de la sécurité publique

A cet égard, la Cour rappelle qu’« une réglementation nationale prévoyant la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, en vue de lutter contre la criminalité grave, excède les limites du strict nécessaire et ne saurait être considérée comme étant justifiée dans une société démocratique » mais que le droit de l’Union européenne « ne s’oppose pas à ce qu’un État membre adopte une réglementation permettant, à titre préventif, une conservation ciblée des données relatives au trafic et des données de localisation aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, tout comme aux fins de la sauvegarde de la sécurité nationale, à condition qu’une telle conservation soit, en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue, limitée au strict nécessaire ». Ainsi, il convient notamment de limiter de telles mesures au moyen de critères géographiques ou encore à l’égard de personnes préalablement identifiées par les autorités compétentes.

 

Sur les mesures législatives prévoyant la conservation préventive des adresses IP et des données relatives à l’identité civile aux fins de la lutte contre la criminalité et de la sauvegarde de la sécurité publique

S’agissant de la conservation des adresses IP en particulier, la Cour rappelle qu’il s’agit de données relatives au trafic, qui « sont générées sans être rattachées à une communication déterminée et servent principalement à identifier, par l’intermédiaire des fournisseurs de services de communications électroniques, la personne physique propriétaire d’un équipement terminal à partir duquel une communication au moyen de l’Internet est effectuée. Ainsi, en matière de courrier électronique ainsi que de téléphonie par Internet, pour autant que seules les adresses IP de la source de la communication sont conservées et non celles du destinataire de celle-ci, ces adresses ne révèlent, en tant que telles, aucune information sur les tierces personnes ayant été en contact avec la personne à l’origine de la communication. Cette catégorie de données présente donc un degré de sensibilité moindre que les autres données relatives au trafic. Toutefois, les adresses IP pouvant être utilisées pour effectuer notamment le traçage exhaustif du parcours de navigation d’un internaute et, par suite, de son activité en ligne, ces données permettent d’établir le profil détaillé de ce dernier. Ainsi, la conservation et l’analyse desdites adresses IP que nécessite un tel traçage constituent des ingérences graves dans les droits fondamentaux de l’internaute ».

S’agissant de telles données, la Cour souligne qu’il y a lieu de tenir compte du fait que, dans le cas d’une infraction commise en ligne, l’adresse IP peut constituer le seul moyen d’investigation permettant l’identification de la personne à laquelle cette adresse était attribuée au moment de la commission de cette infraction. Aussi, eu égard au caractère grave de l’ingérence dans les droits fondamentaux que comporte cette conservation, seule la lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique sont de nature, à l’instar de la sauvegarde de la sécurité nationale, à justifier cette ingérence. Pour autant, la durée de conservation ne saurait excéder celle qui est strictement nécessaire au regard de l’objectif poursuivi. Enfin, une mesure de cette nature doit prévoir des conditions et des garanties strictes quant à l’exploitation de ces données, notamment par un traçage, à l’égard des communications et des activités effectuées en ligne par les personnes concernées.

En revanche, le régime est différent pour données relatives à l’identité civile des utilisateurs des moyens de communications électroniques. En effet, ces données ne permettent pas, à elles seules, de connaître la date, l’heure, la durée et les destinataires des communications effectuées, non plus que les endroits où ces communications ont eu lieu ou la fréquence de celles-ci avec certaines personnes pendant une période donnée, de telle sorte qu’elles ne fournissent, mises à part les coordonnées de ceux-ci, telles que leurs adresses, aucune information sur les communications et, par voie de conséquence, sur leur vie privée. Ainsi, l’ingérence que comporte une conservation de ces données ne saurait, en principe, être qualifiée de grave, ce dont il résulte que le traitement de ces données, notamment leur conservation et l’accès à celles-ci à la seule fin de l’identification de l’utilisateur concerné, et sans que lesdites données puissent être associées à des informations relatives aux communications effectuées, est susceptible d’être justifié par l’objectif de prévention, de recherche, de détection et de poursuite d’infractions pénales en général, sans nécessairement qu’un tel traitement s’inscrive dans le cadre de la lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique.

 

Sur les mesures législatives prévoyant la conservation rapide des données relatives au trafic et des données de localisation aux fins de la lutte contre la criminalité grave

Le droit de l’Union européenne requiert que ces données soient, en principe, selon le cas, effacées ou rendues anonymes au terme des délais légaux dans lesquels doivent intervenir leur traitement et leur stockage.

Toutefois, pendant ce traitement et ce stockage, peuvent se présenter des situations dans lesquelles survient la nécessité de conserver lesdites données au-delà de ces délais aux fins de l’élucidation d’infractions pénales graves ou d’atteintes à la sécurité nationale, et ce tant dans la situation où ces infractions ou ces atteintes ont déjà pu être constatées que dans celle où leur existence peut, au terme d’un examen objectif de l’ensemble des circonstances pertinentes, être raisonnablement soupçonnée.

Ainsi, la CJUE considère que cette conservation des données peut ne pas être limitée aux personnes soupçonnées d’avoir commis une infraction pénale ou une atteinte à la sécurité nationale et « être étendue aux données relatives au trafic et aux données de localisation afférentes à des personnes autres que celles qui sont soupçonnées d’avoir projeté ou commis une infraction pénale grave ou une atteinte à la sécurité nationale, pour autant que ces données peuvent, sur la base d’éléments objectifs et non discriminatoires, contribuer à l’élucidation d’une telle infraction ou d’une telle atteinte à la sécurité nationale, telles que les données de la victime de celle-ci, de son entourage social ou professionnel, ou encore de zones géographiques déterminées, telles que les lieux de la commission et de la préparation de l’infraction ou de l’atteinte à la sécurité nationale en cause ».

 

Sur l’analyse automatisée des données relatives au trafic et des données de localisation

L’objectif d’une telle pratique étant de détecter des connexions susceptibles de révéler une menace grave pour la sécurité nationale (notamment une menace terroriste), la CJUE estime que de telles mesures doivent être limitées au strict nécessaire au regard de la finalité poursuivie, dans la mesure où l’« ingérence résultant d’une analyse automatisée des données relatives au trafic et des données de localisation[…] s’avère particulièrement grave dès lors qu’elle couvre de manière généralisée et indifférenciée les données des personnes faisant usage des moyens de communications électroniques ». Aussi, (i) ces données ne peuvent être conservées que pendant une durée limitée à ce qui est nécessaire, (ii) il convient de s’assurer que la décision autorisant l’analyse automatisée puisse faire l’objet d’un contrôle effectif soit par une juridiction, soit par une entité administrative indépendante, (iii) un processus de réexamen individuel par des moyens non automatisés avant l’adoption d’une mesure individuelle produisant des effets préjudiciables à l’égard des personnes concernée doit être mis en œuvre, une telle mesure ne pouvant en effet être fondée de manière décisive sur le seul résultat d’un traitement automatisé, et (iv) la fiabilité et l’actualité des modèles utilisés, des critères préétablis ainsi que des bases de données utilisées doivent faire l’objet d’un réexamen régulier.

 

Sur le recueil en temps réel des données relatives au trafic et des données de localisation

Le recueil en temps réel des données relatives au trafic et des données de localisation peut être individuellement autorisé concernant une personne préalablement identifiée susceptible d’être en lien avec une menace terroriste. Une telle pratique permet de localiser un équipement terminal, ce qui permet aux autorités nationales compétente d’avoir un suivi précis et permanent des déplacements des utilisateurs. Aussi, la CJUE considère qu’« une telle mesure ne saurait être mise en œuvre, compte tenu de son caractère particulièrement intrusif, qu’à l’égard des personnes pour lesquelles il existe une raison valable de soupçonner qu’elles sont impliquées d’une manière ou d’une autre dans des activités de terrorisme. Quant aux données des personnes ne relevant pas de cette catégorie, elles peuvent seulement faire l’objet d’un accès en temps différé, celui-ci ne pouvant avoir lieu, conformément à la jurisprudence de la Cour, que dans des situations particulières, telles que celles dans lesquelles sont en cause des activités de terrorisme, et lorsqu’il existe des éléments objectifs permettant de considérer que ces données pourraient, dans un cas concret, apporter une contribution effective à la lutte contre le terrorisme ».

Ainsi, le recours à un recueil en temps réel des données relatives au trafic et des données de localisation doit être limité aux personnes à l’égard desquelles il existe une raison valable de soupçonner qu’elles sont impliquées d’une manière ou d’une autre dans des activités de terrorisme et est soumis à un contrôle préalable, effectué, soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, afin de s’assurer qu’un tel recueil en temps réel n’est autorisé que dans la limite de ce qui est strictement nécessaire. En cas d’urgence dûment justifiée, le contrôle doit intervenir dans de brefs délais.

 

Sur l’information des personnes dont les données ont été recueillies en temps réel ou analysées par les autorités nationales compétentes

A cet égard, s’agissant de telles mesures, la CJUE estime qu’une information doit être fournie aux personnes concernées par les autorités nationales compétentes « pour autant que et dès le moment où cette communication n’est pas susceptible de compromettre les missions qui incombent à ces autorités », étant toutefois précisé que « dans le contexte d’une analyse automatisée des données relatives au trafic et des données de localisation, l’autorité nationale compétente est tenue de publier des renseignements de nature générale relatifs à cette analyse, sans devoir procéder à une information individuelle des personnes concernées » mais que « dans l’hypothèse où les données répondent aux paramètres précisés dans la mesure autorisant l’analyse automatisée et où cette autorité procède à l’identification de la personne concernée aux fins d’analyser plus en profondeur les données la concernant, l’information individuelle de cette personne s’avère nécessaire ».

Sur l’obligation faite aux fournisseurs d’accès à des services de communication au public en ligne et aux fournisseurs de services d’hébergement de conserver des données à caractère personnel afférentes à ces services

A cet égard, la CJUE souligne que le droit européen « n’instaure pas, par lui-même, une interdiction de principe de conserver des données relatives à la création de contenu à laquelle il pourrait seulement être dérogé de manière exceptionnelle ».

Selon la CJUE, qui renvoie à son interprétation relative aux autres typologies de mesures législatives précitées, une réglementation nationale imposant aux fournisseurs d’accès à des services de communication au public en ligne et aux fournisseurs de services d’hébergement la conservation généralisée et indifférenciée, notamment, des données à caractère personnel afférentes à ces services doit être considérée comme étant contraire au droit de l’Union européenne.

 

Ce qu’il faut retenir :

L’interprétation de la CJUE n’est pas nouvelle (cf. notamment CJUE, 21 décembre 2016, aff. C-203/15, Tele2 Sveridge AB et CJUE, 8 avril 2014, aff. C-293/12,Digital Rights Ireland Ltd) mais cette dernière insiste dans son arrêt du 6 octobre 2020 sur le fait que la conservation de données de trafic et de localisation, même limitée, doit être une exception et non un principe et qu’une telle pratique ne doit pas être systématique et doit être encadrée de garanties (notamment existence d’un contrôle effectif par une juridiction ou par une autorité administrative indépendante). Ainsi, selon la CJUE, le droit de l’Union européenne s’oppose à l’adoption des mesures législatives nationales prévoyant une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, sauf exceptions (dont les modalités dépendent notamment des finalités poursuivies et du degré d’ingérence dans la vie privée des personnes concernées, des catégories de données concernées et de la typologie de conservation (ciblée/généralisée et/ou s’inscrivant dans la durée/rapide/en temps réel).

Il en résulte que, en vertu du principe de primauté du droit de l’Union européenne sur le droit national des Etats membres, le juge pénal national doit en principe, dans le cadre d’une procédure pénale ouverte à l’encontre de personnes soupçonnées d’actes de criminalité, écarter des débats les informations et éléments de preuve qui ont été obtenus par une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation incompatible avec le droit de l’Union européenne, si les personnes soupçonnées ne sont pas en mesure de commenter efficacement ces informations et ces éléments de preuve, provenant d’un domaine échappant à la connaissance des juges et qui sont susceptibles d’influencer de manière prépondérante l’appréciation des faits.

Une telle interprétation a été corroborée par un arrêt de la CJUE en date du 2 mars 2021 (CJUE, 2 mars 2021, aff. C‑746/18, H.K) aux termes duquel la CJUE a rappelé que le droit de l’Union européenne s’oppose à une réglementation nationale permettant l’accès par des autorités publiques à un ensemble de données relatives au trafic ou de données de localisation, susceptibles de fournir des informations sur les communications effectuées par un utilisateur d’un moyen de communication électronique ou sur la localisation des équipements terminaux qu’il utilise et de permettre de tirer des conclusions précises sur sa vie privée, à des fins de prévention, de recherche, de détection et de poursuite d’infractions pénales, sans que cet accès soit circonscrit à des procédures visant à la lutte contre la criminalité grave ou à la prévention de menaces graves contre la sécurité publique, et ce indépendamment de la durée de la période pour laquelle l’accès auxdites données est sollicité et de la quantité ou de la nature des données disponibles pour une telle période. En outre, la CJUE est venue préciser que le droit de l’Union européenne s’oppose à une réglementation nationale donnant compétence au ministère public, dont la mission est de diriger la procédure d’instruction pénale et d’exercer, le cas échéant, l’action publique lors d’une procédure ultérieure, pour autoriser l’accès d’une autorité publique aux données relatives au trafic et aux données de localisation aux fins d’une instruction pénale (ce qui, au regard du droit français, pourrait être source de difficultés compte tenu du rôle attribué au ministère public dans le cadre du procès pénal).

 

POSITION DE LA COUR DE JUSTICE DE L’UNION EUROPÉENNE S’AGISSANT DE LA TRANSMISSION DES DONNÉES DE TRAFIC ET DE LOCALISATION

 

Par un autre arrêt en date du 6 octobre 2020 (CJUE, 6 octobre 2020, Privacy International, aff. C-623/17), la CJUE s’est également prononcée sur la question, pas seulement de la conservation, mais de la transmissions généralisée et indifférenciée des données de trafic et de localisation aux services de sécurité et de renseignement.

En l’espèce, la CJUE a été amenée à déterminer si des dispositions nationales permettant à un ministre d’imposer aux fournisseurs de services de communications électroniques, par voie d’instructions, lorsqu’il l’estime nécessaire dans l’intérêt de la sécurité nationale ou des relations avec un gouvernement étranger, de transmettre aux services de sécurité et de renseignement les données relatives aux communications en masse (ou « bulk communications data ») sont ou non conformes au droit de l’Union européenne.

A cet égard, la CJUE relève notamment que « les données ainsi recueillies, qui sont soumises à des traitements et à des analyses de masse et automatisés, peuvent être recoupées avec d’autres bases de données comportant différentes catégories de données à caractère personnel en masse ou être divulguées hors de ces services et à des États tiers » et que « ces opérations ne sont pas subordonnées à l’autorisation préalable d’une juridiction ou d’une autorité administrative indépendante et ne donnent lieu à aucune information des personnes concernées ».

Comme pour ce qui concerne la conservation de telles données, la CJUE rappelle que « la protection du droit fondamental au respect de la vie privée exige, conformément à la jurisprudence constante de la Cour, que les dérogations à la protection des données à caractère personnel et les limitations de celle-ci s’opèrent dans les limites du strict nécessaire » (cf. nécessité d’interpréter strictement de telles dérogations) et que « pour satisfaire à l’exigence de proportionnalité, une réglementation doit prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant des exigences minimales, de telle sorte que les personnes dont les données à caractère personnel sont concernées disposent de garanties suffisantes permettant de protéger efficacement ces données contre les risques d’abusCette réglementation doit être légalement contraignante en droit interne et, en particulier indiquer en quelles circonstances et sous quelles conditions une mesure prévoyant le traitement de telles données peut être prise, garantissant ainsi que l’ingérence soit limitée au strict nécessaire. La nécessité de disposer de telles garanties est d’autant plus importante lorsque les données à caractère personnel sont soumises à un traitement automatisé, notamment lorsqu’il existe un risque important d’accès illicite à ces données. Ces considérations valent en particulier lorsqu’est en jeu la protection de cette catégorie particulière de données à caractère personnel que sont les données sensibles ».

 

Ce qu’il faut retenir :

En raison du caractère sensible de telles informations, et des risques d’abus ou d’accès illicite à de telles données conservées par les fournisseurs de services de communications électroniques, la CJUE considère qu’une réglementation nationale permettant à une autorité étatique d’imposer, aux fins de la sauvegarde de la sécurité nationale, aux fournisseurs de services de communications électroniques la transmission généralisée et indifférenciée des données relatives au trafic et des données de localisation aux services de sécurité et de renseignement ne saurait être considérée comme étant justifiée, dans une société démocratique et est contraire au droit de l’Union européenne.

en raison du caractère sensible de telles informations, et des risques d’abus ou d’accès illicite à de telles données conservées par les fournisseurs de services de communications électroniques, la CJUE considère qu’une réglementation nationale permettant à une autorité étatique d’imposer, aux fins de la sauvegarde de la sécurité nationale, aux fournisseurs de services de communications électroniques la transmission généralisée et indifférenciée des données relatives au trafic et des données de localisation aux services de sécurité et de renseignement ne saurait être considérée comme étant justifiée, dans une société démocratique et est contraire au droit de l’Union européenne.

 

POSITION DU CONSEIL D’ETAT

 

Par une décision du 21 avril 2021, le Conseil d’Etat a été amené à examiner la conformité de la règlementation française relative aux obligations de conservation des données de connexion au regard des exigences du droit de l’Union européenne, telles qu’interprétées par la CJUE.

En l’espèce, les requérants remettaient en question la conventionalité (c’est-à-dire la conformité au regard du droit de l’Union européenne) des dispositions françaises imposant aux opérateurs de communications électroniques, aux fournisseurs d’accès à internet et aux hébergeurs de conserver de manière généralisée et indifférenciée, pour une durée d’un an, l’ensemble des données de trafic et de localisation de leurs utilisateurs, lesquelles ne couvrent pas le contenu des communications, les données relatives à leur identité civile, ainsi que certaines informations relatives à leurs comptes et, le cas échéant, aux paiements qu’ils effectuent en ligne. Etaient aussi contestées les dispositions permettant aux services de renseignement de recueillir et d’opérer des traitements de ces données.

Tout d’abord, le Conseil d’Etat indique que, dans le cas où l’application d’une directive ou d’un règlement européen, tel qu’interprété par la Cour de justice de l’Union européenne, aurait pour effet de priver de garanties effectives l’une des exigences prévues par la Constitution française, qui ne bénéficierait pas, en droit de l’Union européenne, d’une protection équivalente, le juge administratif, saisi d’un moyen en ce sens, doit l’écarter dans la stricte mesure où le respect de la Constitution l’exige. Ceci signifie que le juge administratif pourrait s’extraire de certaines exigences issues du droit de l’Union européenne dans certaines hypothèses et ainsi faire primer les exigences prévues par la Constitution. A cet égard, le Conseil d’Etat considère que les exigences constitutionnelles liées à la sauvegarde des intérêts fondamentaux de la nation, la prévention des atteintes à l’ordre public, notamment celle des atteintes à la sécurité des personnes et des biens, la lutte contre le terrorisme, ainsi que la recherche des auteurs d’infractions pénales ne bénéficient pas d’une protection équivalente en droit de l’Union européenne, ce dont il résulte qu’il convient de vérifier si l’application du droit de l’Union européenne tel qu’interprété par la CJUE ne compromet pas de telles exigences constitutionnelles.

 

S’agissant de la conservation générale et indifférenciée des données relatives à l’identité civile, aux paiements, aux contrats et aux comptes de l’abonné :

Le Conseil d’Etat estime que cette obligation de conservation de telles données pendant un an de manière généralisée et indifférenciée pour les besoins de toute procédure pénale, de la prévention de toute menace contre la sécurité publique et de la sauvegarde de la sécurité nationale n’est pas contraire au droit de l’Union européenne.

 

S’agissant de la conservation générale et indifférenciée des adresses IP 

Le Conseil d’Etat précise que de telles données « ne révèlent aucune information sur les tierces personnes ayant été en contact avec la personne à l’origine de la communication » et peuvent constituer le seul moyen d’investigation permettant l’identification de la personne à laquelle cette adresse était attribuée au moment de la commission d’une infraction. Aussi, le Conseil d’Etat considère que de telles adresses IP peuvent valablement faire l’objet d’une obligation de conservation généralisée et indifférenciée à des fins de lutte contre la criminalité grave ou de prévention des menaces graves contre la sécurité publique, pour une période temporellement limitée au strict nécessaire. Toutefois, une telle conservation ne peut pas être envisagée pour l’ensemble des infractions pénales, ce qui impose au juge pénal, au regard de la nature de l’infraction commise et des faits de l’espèce, de contrôler le niveau de gravité de l’infraction, afin d’apprécier si les critères retenus par la CJUE sont réunis et permettent de justifier une telle pratique.

 

S’agissant de la conservation générale et indifférenciée des données de trafic et de localisation autres que les adresses IP aux fins de sauvegarde de la sécurité nationale

Le Conseil d’Etat estime que l’obligation de conservation pour une durée d’un an de certaines données énumérées par les textes applicables imposée aux opérateurs pour une finalité de sauvegarde de la sécurité nationale n’est pas totalement contraire au droit de l’Union européenne dès lors qu’un contrôle peut effectivement être réalisé par le juge administratif et que la France est confrontée à des menaces graves et réelles pour sa sécurité nationale (cf. risque terroriste élevé, risque d’espionnage et d’ingérence étrangère, risque pour la paix publique).

Toutefois, le Conseil d’Etat considère que les dispositions litigieuses ne prévoient pas de procédure de réexamen périodique de l’existence d’une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale, s’agissant des données autres que celles afférentes à l’identité civile, aux comptes et aux paiements des utilisateurs et aux adresses IP et enjoint le gouvernement à compléter de telles dispositions dans un délai un délai de six mois à compter de la notification de cette décision du 21 avril 2021.

 

S’agissant de la conservation générale et indifférenciée de ces données de connexion aux fins de lutte contre la criminalité et de prévention des menaces à l’ordre public

Le Conseil d’Etat estime que l’obligation de conservation généralisée et indifférenciée des données de connexion pour une période d’un an, imposée aux opérateurs pour une finalité de lutte contre la criminalité et de prévention des menaces à l’ordre public, est « une condition déterminante de succès des enquêtes conduites en vue de la recherche, de la constatation et de la poursuite des auteurs d’infractions à caractère criminel et délictuel » et  que « L’exploitation ultérieure de ces données, en particulier des données de localisation du détenteur d’un équipement terminal, est en effet, dans de très nombreuses hypothèses, l’unique moyen de retrouver leurs auteurs ».

Le Conseil d’Etat souligne également qu’au regard de la jurisprudence de la CJUE, il est possible d’adopter une réglementation imposant une conservation ciblée des données relatives au trafic et des données de localisation qui soit délimitée, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique, pour une période temporellement limitée au strict nécessaire, mais renouvelable, en vue de lutter contre la criminalité grave ou de prévenir des menaces graves contre la sécurité publique.

Toutefois, le Conseil d’Etat relève qu’un tel dispositif peut se heurter à des difficultés techniques qui ne permettent pas d’assurer une conservation ciblée des données et que, dans certaines situations, il peut présenter un « intérêt opérationnel particulièrement incertain » lorsqu’il ne permet pas, y compris en cas de faits particulièrement graves, d’accéder aux données de connexion d’une personne suspectée d’une infraction qui n’aurait pas été préalablement identifiée comme étant susceptible de commettre un tel acte.

Pour ce qui concerne les injonctions pouvant être faites aux fournisseurs de services de communications électroniques, par le biais d’une décision de l’autorité compétente soumise à un contrôle juridictionnel effectif, de procéder, pour une durée déterminée, à la conservation rapide des données de trafic et des données de localisation, le Conseil d’Etat considère qu’il existe un risque que les services d’enquête et l’autorité judiciaire ne puissent pas exploiter des données relatives aux communications effectuées avant que l’injonction soit ordonnée (cf. risque de disparition des informations nécessaires à la recherche, à la constatation et à la poursuite des auteurs d’infractions pénales).

Selon le Conseil d’Etat, « Il résulte de ce qui précède que ni l’accès aux données de connexion conservées volontairement par les opérateurs, ni la possibilité de leur imposer une obligation de conservation ciblée, ni le recours à la technique de la conservation rapide ne permettent, par eux-mêmes, de garantir le respect des objectifs de valeur constitutionnelle de prévention des atteintes à l’ordre public, notamment celle des atteintes à la sécurité des personnes et des biens, ainsi que de recherche des auteurs d’infractions, notamment pénales ». Aussi, le Conseil d’Etat juge illégale l’obligation de conservation généralisée des données (hors données peu « sensibles » relatives à l’identité civile, aux adresses IP et aux informations relatives aux comptes et aux paiements) pour des finalités autres que celle de la sécurité nationale, notamment la poursuite des infractions pénales, et laisse au Premier ministre un délai de six mois maximum à compte de la notification de la décision du 21 avril 2021 pour ajuster les dispositions litigieuses en conséquence en limitant les finalités visées par lesdites dispositions.

 

S’agissant des traitements mis en œuvre par les services de renseignement sur les données de connexion

Le Conseil d’Etat considère que la mise en œuvre des techniques de renseignement contestées par les requérants ne donne pas lieu au contrôle préalable par une juridiction ou par une autorité administrative indépendante dotée d’un pouvoir contraignant, la Commission nationale de contrôle des techniques de renseignement n’émettant qu’un avis simple ou des recommandations non contraignantes en dehors de cas d’urgence dûment justifiée, ce qui n’est pas conforme au droit de l’Union européenne.

Pour ce qui concerne l’analyse automatisée des données de trafic et de localisation, le Conseil d’Etat relève que, dans certaines hypothèses, lorsqu’une menace est détectée par un traitement automatisé, le Premier ministre peut autoriser l’identification des personnes concernées et le recueil des données y afférentes après un réexamen individuel, ce dont il résulte que cette identification n’est pas subordonnée à un contrôle préalable exercé par une juridiction ou par une autorité administrative indépendante dotée d’un pouvoir contraignant, ce qui n’est pas conforme au droit de l’Union européenne.

Pour ce qui concerne le recueil en temps réel des données de trafic et de localisation qui doit être limité aux personnes à l’égard desquelles il existe une raison valable de soupçonner qu’elles sont impliquées d’une manière ou d’une autre dans des activités de terrorisme, le Conseil d’Etat estime que les dispositions litigieuses ne sont pas conformes au droit de l’Union européenne dès lors que de tels dispositifs ne sont pas soumis par le droit français au contrôle préalable d’une juridiction ou d’une autorité administrative indépendante dont la décision est dotée d’un effet contraignant.

 

Ce qu’il faut retenir :

Cette décision du Conseil d’Etat est particulièrement intéressante en ce qu’elle confronte point par point les dispositions prévues en droit français en matière de conservation des données de trafic et de connexion avec les exigences issues de l’interprétation du droit européen par la CJUE en la matière, permettant ainsi au Conseil d’Etat de procéder à une analyse précise de la conformité ou non des dispositions prévues en droit français et ainsi d’enjoindre au gouvernement de procéder aux ajustements nécessaires pour en assurer la conformité le cas échéant.

A cet égard, il convient de relever que certains articles du projet de loi relatif à la prévention d’actes de terrorisme et au renseignement en cours de discussion parlementaire visent notamment à tenir compte d’une telle position du Conseil d’Etat. La Commission nationale de l’informatique et des libertés (ou « Cnil ») a d’ailleurs donné son avis sur les articles concernés en estimant que certaines précisions devaient être apportées pour encadrer les modalités de conservation des données de connexion par les opérateurs et les fournisseurs d’accès (cf. Cnil, Délibération n° 2021-053 du 3 mai 2021 portant avis sur les articles 11 quinquies, 11 sexies et 11 septies du projet de loi relatif à la prévention d’actes de terrorisme et au renseignement), ce dont le législateur a tenu compte (cf. en particulier l’article 15 de la version à date de ce projet de loi).

En revanche, il convient de relever que la position adoptée récemment par la Cour constitutionnelle belge est plus stricte et moins nuancée en ce que cette dernière a annulé les dispositions de droit belge contestées prévoyant une obligation de conservation généralisée et indifférenciée des données relatives aux communications électroniques, par principe et sans limitation aux hypothèses décrites par la CJUE, ce dont il en est résulté pour ladite Cour constitutionnelle une non-conformité au regard des critères et exigences issus des décisions récentes de la CJUE en la matière (Cour Constitutionnelle belge, 22 avril 2021, n°57/2021)

 

 

*             *

*

 

Au regard des récentes évolutions jurisprudentielles, il apparaît que, malgré de nouveaux éclaircissements et précisions apportés par la CJUE et par les juridictions nationales, le régime applicable à la conservation des données de trafic et de connexion, voire à leur transmission, est incertain en raison des zones d’ombre et de la marge d’interprétation qui demeurent. Aussi, il s’agit d’une source d’insécurité juridique en raison de la difficulté d’appréciation de la proportionnalité entre les droits et libertés en présence, laquelle doit résulter d’une analyse in concreto.

 

AGIL’IT ne manquera bien entendu pas de vous tenir informés des évolutions en la matière, en particulier s’agissant des modifications des dispositions de droit français qui pourraient résulter de ces jurisprudence, notamment dans le cadre du projet de loi relatif à la prévention d’actes de terrorisme et au renseignement.

 

 

Par AGIL’IT – Pôle ITData protection & Télécoms

Laure LANDES-GRONOWSKI, Avocate associée

Marie MILIOTIS, Avocate