Le Conseil d’Etat se prononce sur la conservation des données de connexion à des fins de sauvegarde de la sécurité nationale

Conseil d’Etat, Chambre contentieuse, 21 avril 2021, N°393099

Dans une décision en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la conformité du droit français au droit européen en matière de conservation des données de connexion par les fournisseurs de services de communications électroniques.

Aux termes d’une décision en date du 21 avril 2021, le Conseil d’Etat a estimé que la conservation généralisée des données de connexion par les fournisseurs de services de communications électroniques se justifiait dans le cadre de la lutte actuelle pour la sauvegarde de la sécurité nationale. En effet, le droit français impose à ces opérateurs de conserver les données de connexion des utilisateurs pendant une durée d’un an en vue de leur exploitation par les services de renseignement.

Le Conseil d’Etat énonce notamment « [qu’à] la date de la présente décision, l’état des menaces pesant sur la sécurité nationale (…) justifie légalement que soit imposée aux opérateurs la conservation générale et indifférenciée des données de connexion. »

Soulignons que les données de connexion se distinguent du contenu même des communications électroniques et portent sur plusieurs catégories de données parmi lesquelles les données d’identification de l’utilisateur de la communication, les données de trafic et les données de localisation.

Par cette décision, le Conseil d’Etat procède à un examen de la conformité du droit français à la réglementation européenne, faisant ainsi suite aux arrêts remarqués de la Cour de Justice de l’Union Européenne du 6 octobre 2020.

En effet, alors saisie par le Conseil d’Etat de plusieurs questions préjudicielles, la Haute juridiction européenne s’était opposée à la conservation généralisée et indifférenciée des données de connexion par les fournisseurs de services de communications électroniques et à leur transmission aux autorités nationales de sécurité et de renseignement.

La Cour de Justice de l’Union Européenne avait alors rappelé le principe de confidentialité des communications électroniques et des données de trafic y afférentes tel qu’énoncé par la Directive 2002/58/CE du 12 juillet 2002 dite « Vie privée et communications électroniques » (ci-après « la Directive »).

En effet, l’article 5 de la Directive consacre le principe de confidentialité tant des communications électroniques que des données relatives au trafic y afférentes, et l’interdiction à toute autre personne autre que les utilisateurs de stocker ces communications et données, sans leur consentement. Or, l’article 15 de cette Directive offre la possibilité aux Etats membres de limiter la portée de cette interdiction lorsque la mesure est « nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques ».

Dans la décision du 21 avril 2021, le Conseil d’Etat estime ainsi que l’encadrement de la conservation des données par le droit européen ne doit pas remettre en cause les exigences constitutionnelles de préservation de la sécurité nationale. En effet, il est énoncé que « tout en consacrant l’existence d’un ordre juridique de l’Union européenne intégré à l’ordre juridique interne (…) l’article 88-1 [de la Constitution] confirme la place de la Constitution au sommet de ce dernier. » Dès lors, les interprétations de la Cour de Justice de l’Union Européenne ne doivent pas mettre en péril les exigences constitutionnelles françaises.  

Le Conseil d’Etat rappelle les exigences de sauvegarde des intérêts fondamentaux de la Nation, de prévention des atteintes à l’ordre public, de lutte contre le terrorisme ou encore de recherche des auteurs d’infractions pénales et souligne qu’elles constituent des objectifs de valeur constitutionnelle. Dans ce contexte, le Conseil d’Etat énonce que ces exigences « qui s’appliquent à des domaines relevant exclusivement ou essentiellement de la compétence des Etats membres en vertu des traités constitutifs de l’Union, ne sauraient être regardées comme bénéficiant, en droit de l’Union, d’une protection équivalente à celle que garantit la Constitution. »

Le Conseil d’Etat impose cependant au gouvernement français de procéder à un examen périodique de l’existence de menace sur la sécurité nationale, justifiant ici le recours à une conservation généralisée et indifférenciée des données de connexion. Le gouvernement est invité à modifier le cadre réglementaire actuel, dans un délai de six mois, afin d’y intégrer cette nouvelle exigence.

En outre, si la CJUE avait admis l’hypothèse d’une conservation ciblée des données dans des zones à risques, le Conseil d’Etat estime que cette option est techniquement peu réalisable et « présenterait un intérêt opérationnel peu certain ».

Soulignons que le Conseil d’Etat estime, concernant l’exploitation des données à des fins de renseignement, que le contrôle préalable de la Commission Nationale de Contrôle des Techniques de Renseignement (CNCTR) n’est pas suffisant. Le gouvernement est donc invité à modifier le cadre réglementaire actuel pour conférer à l’avis préalable de la CNCTR un caractère contraignant.

Enfin, il semble intéressant de noter que la Cour constitutionnelle belge s’est récemment illustrée par une position opposée à celle du Conseil d’Etat. La Cour constitutionnelle de Belgique a en effet, dans une décision en date du 22 avril 2021, annulé les dispositions de la loi belge imposant une conservation généralisée et indifférenciée des données de connexion, estimant que « l’obligation de conservation des données relatives aux communications électroniques doit être l’exception, et non la règle. »

A rapprocher : Conseil d’Etat, Communiqué de presse, 21 avril 2021, « Données de connexion : le Conseil d’État concilie le respect du droit de l’Union européenne et l’efficacité de la lutte contre le terrorisme et la criminalité » ; Cour constitutionnelle belge, 22 avril 2021, n°57/2021 ; Cour de Justice de l’Union Européenne, 6 octobre 2020, Affaire C-623/17 Privacy International et les affaires jointes C-511/18 La Quadrature du Net e.a. et C-512/18, French Data Network e.a., ainsi que C-520/18 Ordre des barreaux francophones et germanophone e.a.

Sommaire

Autres articles

some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
La CSNP a publié [...] un avis portant recommandations dans le domaine de la sécurité numérique, et plaidant notamment pour la création d’un parquet national consacré à la cybercriminalité et pour la création d’un dispositif dédié au paiement des rançons
some
La cour d’appel de Paris apporte des précisions sur le régime applicable en matière de violation de licence de logiciel
La cour d’appel de Paris a, dans un arrêt du 19 mars 2021, considéré que la violation d’un contrat de licence de logiciel ne relevait pas de la responsabilité délictuelle mais de la responsabilité contractuelle.
some
Le révolutionnaire avis client
À l’heure où le marketing traditionnel est remis en cause, l’importance de l’avis client est grandissante. 88 % des internautes consultent les avis clients avant un achat en ligne et 73 % avant un achat en boutique .
some
La Commission européenne apporte des éclaircissements concernant les transferts de données personnelles vers le Royaume Uni
La Commission européenne a annoncé avoir engagé des démarches pour autoriser de façon générale les transferts de données à caractère personnel vers le Royaume Uni en publiant le 19 février 2021 deux projets de décisions dites « d’adéquation ».
some
La reconnaissance faciale : un enjeu de société pour le citoyen européen
La CNIL s’est emparée du sujet considérant le 15 novembre 2019 que la reconnaissance faciale est de plus en plus présente dans le débat public aux niveaux national, européen et mondial. Cette technologie soulève des questions inédites touchant à des...
some
Blocage de sites proposant des produits contrefaisants
En cas d’atteinte à une marque, le titulaire de celle-ci peut solliciter des mesures de blocage d’accès à des sites internet auprès des FAI sur le fondement de l’article 6-I-8 de la LCEN.