Conseil d’Etat, Chambre contentieuse, 21 avril 2021, N°393099
Dans une décision en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la conformité du droit français au droit européen en matière de conservation des données de connexion par les fournisseurs de services de communications électroniques.
Aux termes d’une décision en date du 21 avril 2021, le Conseil d’Etat a estimé que la conservation généralisée des données de connexion par les fournisseurs de services de communications électroniques se justifiait dans le cadre de la lutte actuelle pour la sauvegarde de la sécurité nationale. En effet, le droit français impose à ces opérateurs de conserver les données de connexion des utilisateurs pendant une durée d’un an en vue de leur exploitation par les services de renseignement.
Le Conseil d’Etat énonce notamment « [qu’à] la date de la présente décision, l’état des menaces pesant sur la sécurité nationale (…) justifie légalement que soit imposée aux opérateurs la conservation générale et indifférenciée des données de connexion. »
Soulignons que les données de connexion se distinguent du contenu même des communications électroniques et portent sur plusieurs catégories de données parmi lesquelles les données d’identification de l’utilisateur de la communication, les données de trafic et les données de localisation.
Par cette décision, le Conseil d’Etat procède à un examen de la conformité du droit français à la réglementation européenne, faisant ainsi suite aux arrêts remarqués de la Cour de Justice de l’Union Européenne du 6 octobre 2020.
En effet, alors saisie par le Conseil d’Etat de plusieurs questions préjudicielles, la Haute juridiction européenne s’était opposée à la conservation généralisée et indifférenciée des données de connexion par les fournisseurs de services de communications électroniques et à leur transmission aux autorités nationales de sécurité et de renseignement.
La Cour de Justice de l’Union Européenne avait alors rappelé le principe de confidentialité des communications électroniques et des données de trafic y afférentes tel qu’énoncé par la Directive 2002/58/CE du 12 juillet 2002 dite « Vie privée et communications électroniques » (ci-après « la Directive »).
En effet, l’article 5 de la Directive consacre le principe de confidentialité tant des communications électroniques que des données relatives au trafic y afférentes, et l’interdiction à toute autre personne autre que les utilisateurs de stocker ces communications et données, sans leur consentement. Or, l’article 15 de cette Directive offre la possibilité aux Etats membres de limiter la portée de cette interdiction lorsque la mesure est « nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques ».
Dans la décision du 21 avril 2021, le Conseil d’Etat estime ainsi que l’encadrement de la conservation des données par le droit européen ne doit pas remettre en cause les exigences constitutionnelles de préservation de la sécurité nationale. En effet, il est énoncé que « tout en consacrant l’existence d’un ordre juridique de l’Union européenne intégré à l’ordre juridique interne (…) l’article 88-1 [de la Constitution] confirme la place de la Constitution au sommet de ce dernier. » Dès lors, les interprétations de la Cour de Justice de l’Union Européenne ne doivent pas mettre en péril les exigences constitutionnelles françaises.
Le Conseil d’Etat rappelle les exigences de sauvegarde des intérêts fondamentaux de la Nation, de prévention des atteintes à l’ordre public, de lutte contre le terrorisme ou encore de recherche des auteurs d’infractions pénales et souligne qu’elles constituent des objectifs de valeur constitutionnelle. Dans ce contexte, le Conseil d’Etat énonce que ces exigences « qui s’appliquent à des domaines relevant exclusivement ou essentiellement de la compétence des Etats membres en vertu des traités constitutifs de l’Union, ne sauraient être regardées comme bénéficiant, en droit de l’Union, d’une protection équivalente à celle que garantit la Constitution. »
Le Conseil d’Etat impose cependant au gouvernement français de procéder à un examen périodique de l’existence de menace sur la sécurité nationale, justifiant ici le recours à une conservation généralisée et indifférenciée des données de connexion. Le gouvernement est invité à modifier le cadre réglementaire actuel, dans un délai de six mois, afin d’y intégrer cette nouvelle exigence.
En outre, si la CJUE avait admis l’hypothèse d’une conservation ciblée des données dans des zones à risques, le Conseil d’Etat estime que cette option est techniquement peu réalisable et « présenterait un intérêt opérationnel peu certain ».
Soulignons que le Conseil d’Etat estime, concernant l’exploitation des données à des fins de renseignement, que le contrôle préalable de la Commission Nationale de Contrôle des Techniques de Renseignement (CNCTR) n’est pas suffisant. Le gouvernement est donc invité à modifier le cadre réglementaire actuel pour conférer à l’avis préalable de la CNCTR un caractère contraignant.
Enfin, il semble intéressant de noter que la Cour constitutionnelle belge s’est récemment illustrée par une position opposée à celle du Conseil d’Etat. La Cour constitutionnelle de Belgique a en effet, dans une décision en date du 22 avril 2021, annulé les dispositions de la loi belge imposant une conservation généralisée et indifférenciée des données de connexion, estimant que « l’obligation de conservation des données relatives aux communications électroniques doit être l’exception, et non la règle. »
A rapprocher : Conseil d’Etat, Communiqué de presse, 21 avril 2021, « Données de connexion : le Conseil d’État concilie le respect du droit de l’Union européenne et l’efficacité de la lutte contre le terrorisme et la criminalité » ; Cour constitutionnelle belge, 22 avril 2021, n°57/2021 ; Cour de Justice de l’Union Européenne, 6 octobre 2020, Affaire C-623/17 Privacy International et les affaires jointes C-511/18 La Quadrature du Net e.a. et C-512/18, French Data Network e.a., ainsi que C-520/18 Ordre des barreaux francophones et germanophone e.a.
2725 vues 
