Le Conseil d’Etat se prononce sur la conservation des données de connexion à des fins de sauvegarde de la sécurité nationale

Conseil d’Etat, Chambre contentieuse, 21 avril 2021, N°393099

Dans une décision en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la conformité du droit français au droit européen en matière de conservation des données de connexion par les fournisseurs de services de communications électroniques.

Aux termes d’une décision en date du 21 avril 2021, le Conseil d’Etat a estimé que la conservation généralisée des données de connexion par les fournisseurs de services de communications électroniques se justifiait dans le cadre de la lutte actuelle pour la sauvegarde de la sécurité nationale. En effet, le droit français impose à ces opérateurs de conserver les données de connexion des utilisateurs pendant une durée d’un an en vue de leur exploitation par les services de renseignement.

Le Conseil d’Etat énonce notamment « [qu’à] la date de la présente décision, l’état des menaces pesant sur la sécurité nationale (…) justifie légalement que soit imposée aux opérateurs la conservation générale et indifférenciée des données de connexion. »

Soulignons que les données de connexion se distinguent du contenu même des communications électroniques et portent sur plusieurs catégories de données parmi lesquelles les données d’identification de l’utilisateur de la communication, les données de trafic et les données de localisation.

Par cette décision, le Conseil d’Etat procède à un examen de la conformité du droit français à la réglementation européenne, faisant ainsi suite aux arrêts remarqués de la Cour de Justice de l’Union Européenne du 6 octobre 2020.

En effet, alors saisie par le Conseil d’Etat de plusieurs questions préjudicielles, la Haute juridiction européenne s’était opposée à la conservation généralisée et indifférenciée des données de connexion par les fournisseurs de services de communications électroniques et à leur transmission aux autorités nationales de sécurité et de renseignement.

La Cour de Justice de l’Union Européenne avait alors rappelé le principe de confidentialité des communications électroniques et des données de trafic y afférentes tel qu’énoncé par la Directive 2002/58/CE du 12 juillet 2002 dite « Vie privée et communications électroniques » (ci-après « la Directive »).

En effet, l’article 5 de la Directive consacre le principe de confidentialité tant des communications électroniques que des données relatives au trafic y afférentes, et l’interdiction à toute autre personne autre que les utilisateurs de stocker ces communications et données, sans leur consentement. Or, l’article 15 de cette Directive offre la possibilité aux Etats membres de limiter la portée de cette interdiction lorsque la mesure est « nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques ».

Dans la décision du 21 avril 2021, le Conseil d’Etat estime ainsi que l’encadrement de la conservation des données par le droit européen ne doit pas remettre en cause les exigences constitutionnelles de préservation de la sécurité nationale. En effet, il est énoncé que « tout en consacrant l’existence d’un ordre juridique de l’Union européenne intégré à l’ordre juridique interne (…) l’article 88-1 [de la Constitution] confirme la place de la Constitution au sommet de ce dernier. » Dès lors, les interprétations de la Cour de Justice de l’Union Européenne ne doivent pas mettre en péril les exigences constitutionnelles françaises.  

Le Conseil d’Etat rappelle les exigences de sauvegarde des intérêts fondamentaux de la Nation, de prévention des atteintes à l’ordre public, de lutte contre le terrorisme ou encore de recherche des auteurs d’infractions pénales et souligne qu’elles constituent des objectifs de valeur constitutionnelle. Dans ce contexte, le Conseil d’Etat énonce que ces exigences « qui s’appliquent à des domaines relevant exclusivement ou essentiellement de la compétence des Etats membres en vertu des traités constitutifs de l’Union, ne sauraient être regardées comme bénéficiant, en droit de l’Union, d’une protection équivalente à celle que garantit la Constitution. »

Le Conseil d’Etat impose cependant au gouvernement français de procéder à un examen périodique de l’existence de menace sur la sécurité nationale, justifiant ici le recours à une conservation généralisée et indifférenciée des données de connexion. Le gouvernement est invité à modifier le cadre réglementaire actuel, dans un délai de six mois, afin d’y intégrer cette nouvelle exigence.

En outre, si la CJUE avait admis l’hypothèse d’une conservation ciblée des données dans des zones à risques, le Conseil d’Etat estime que cette option est techniquement peu réalisable et « présenterait un intérêt opérationnel peu certain ».

Soulignons que le Conseil d’Etat estime, concernant l’exploitation des données à des fins de renseignement, que le contrôle préalable de la Commission Nationale de Contrôle des Techniques de Renseignement (CNCTR) n’est pas suffisant. Le gouvernement est donc invité à modifier le cadre réglementaire actuel pour conférer à l’avis préalable de la CNCTR un caractère contraignant.

Enfin, il semble intéressant de noter que la Cour constitutionnelle belge s’est récemment illustrée par une position opposée à celle du Conseil d’Etat. La Cour constitutionnelle de Belgique a en effet, dans une décision en date du 22 avril 2021, annulé les dispositions de la loi belge imposant une conservation généralisée et indifférenciée des données de connexion, estimant que « l’obligation de conservation des données relatives aux communications électroniques doit être l’exception, et non la règle. »

A rapprocher : Conseil d’Etat, Communiqué de presse, 21 avril 2021, « Données de connexion : le Conseil d’État concilie le respect du droit de l’Union européenne et l’efficacité de la lutte contre le terrorisme et la criminalité » ; Cour constitutionnelle belge, 22 avril 2021, n°57/2021 ; Cour de Justice de l’Union Européenne, 6 octobre 2020, Affaire C-623/17 Privacy International et les affaires jointes C-511/18 La Quadrature du Net e.a. et C-512/18, French Data Network e.a., ainsi que C-520/18 Ordre des barreaux francophones et germanophone e.a.

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…