La conservation des données de connexion a fait l’objet de nombreuses dispositions, parfois contradictoires, et jurisprudences. Voici un point synthétique sur le sujet.
L’obligation de conservation des données a fait l’objet de nombreux recours devant le Conseil d’État (CE, 26 juillet 2018, Quadrature du Net et autres et Igwan.net, n°s 394922 394925 397844 397851, T.), à l’initiative de plusieurs associations et d’un opérateur de télécoms qui ont contesté la conformité du dispositif légal français à la réglementation européenne.
Le Conseil d’État a saisi la Cour de justice de l’Union européenne (CJUE) d’une question préjudicielle en l’invitant à préciser la portée des règles issues du droit européen (directive 2002/58, dite « vie privée et communications électroniques » et règlement général sur la protection des données – RGPD).
La CJUE, saisie également et parallèlement par d’autres juridictions, s’est prononcée dans trois arrêts du 6 octobre 2020 (CJUE, 6 octobre 2020, Privacy International, aff. C-623/17 ; La Quadrature du Net e.a., French Data Network e.a., aff. C-511/18 et C-512/18 ; Ordre des barreaux francophones et germanophone e.a., aff. C-520/18.), confirmant la position qu’elle avait précédemment exprimée dans les affaires Digital Rights (CJUE 8 avril 2014, Digital Rights Ireland Ltd, aff. C-293/12) et Tele2 (CJUE 21 Décembre 2016 , Tele2 Sverige AB, aff. C-203/15).
Le principe est clair, c’est l’interdiction de la conservation généralisée et indifférenciée, à titre préventif, des données de connexion par les opérateurs.
Des exceptions à l’interdiction générale de conservation
Cependant, elle admet des exceptions à certaines conditions.
La Cour considère en effet que la conservation généralisée et indifférenciée des données de trafic et de localisation se justifie en présence d’« une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible ». Dans ce cas, cette conservation exige une injonction par une autorité publique ; celle-ci doit faire l’objet d’un contrôle effectif, soit par une juridiction, soit par une entité́ administrative indépendante, dont la décision est dotée d’un effet contraignant ; enfin l’injonction de conservation doit être temporellement limitée au strict nécessaire mais elle peut être renouvelable en cas de persistance de la menace.
La conservation de l’ensemble des données de connexion peut également se justifier pour lutter contre la criminalité grave et la prévention des menaces graves contre la sécurité publique. Dans ce cas, la conservation doit être ciblée, dans certaines zones ou pour certaines catégories de personnes pré-identifiées comme présentant des risques particuliers.
Ces données, relatives à une personne, peuvent cependant faire l’objet d’une conservation rapide pour les besoins d’une enquête pénale, sur une période courte (demande aux opérateurs de « geler » ces données), à condition de le faire sous le contrôle d’un juge ou d’une autorité indépendante.
Par ailleurs, la CJUE précise que lorsqu’une conservation des données de connexion est autorisée, les personnes concernées doivent disposer de garanties effectives contre les risques d’abus.
Ainsi, en dehors de ces exceptions et aux conditions formulées, la conservation des données de connexion n’est pas permise, notamment pour la recherche des infractions ne relevant pas de la criminalité grave.
Le Conseil d’État valide le dispositif légal français, avec quelques adaptations
Au vu des décisions européennes, le Conseil d’État s’est positionné, à son tour, dans un arrêt du 21 avril 2021 (CE, 21 avril 2021, French Data Network et autres, n° 393099, 394922, 397844, 397851, 424717, 424718).
Il valide pour l’essentiel, le dispositif français au regard du droit européen, considérant que la conservation indifférenciée et généralisée est aujourd’hui justifiée par la menace existante pour la sécurité nationale.
Cependant, afin de se conformer aux exigences européennes, le Conseil d’Etat considère que la législation française doit prévoir (i) d’introduire un mécanisme de réexamen périodique de l’existence d’une menace grave et persistante pour la sécurité nationale, sous le contrôle du juge administratif (ii) de réécrire certaines dispositions (CPCE, art. R. 10-13 du code des postes et des communications électroniques ; décr. n°2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne) afin de limiter les finalités de l’obligation de conservation généralisée et indifférenciée des données de trafic et de localisation à la sauvegarde de la sécurité nationale et (iii) de garantir que les décisions ou avis de la CNCTR disposent d’un pouvoir contraignant à l’égard de l’exécutif.
Un délai de 6 mois a été accordé au premier ministre pour modifier le droit national en ce sens.
C’est chose faite !
Le dispositif légal français en vigueur depuis le 21 octobre 2021
La conservation des données de connexion par les opérateurs de communications électroniques, les fournisseurs d’accès à internet et les hébergeurs est désormais encadrée par la loi n° 2021-998 du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement et par trois décrets en Conseil d’État en date du 20 octobre 2021 (D. n° 2021-1361, 20 octobre 2021 ; D. n° 2021-1362 qui abroge et remplace le D. n°011-219 du 25 février 2011 ; D.n° 2021-1363), pris en application du II de l’article 6 de la loi pour la confiance dans l’économie numérique, après avis de la Cnil (Dél. n°2021-114 du 7 octobre 2021 et n°2021-115 du 7 octobre 2021).
Le décret n°2021-1361 énumère, selon l’activité des opérateurs et la nature des communications, les informations et catégories de données qui doivent être conservées par les opérateurs en application de l’article L. 34-1 du CPCE (c’est-à-dire l’identité civile, les informations relatives au paiement, les données de connexion et de localisation).
Le décret n°2021-1362 énumère les données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne en application de l’article 6 de la LCEN. Outre les données visées dans le décret n°2021-1361, il ajoute les données sur les connexions et les opérations de création de contenu.
Par le décret n°2021-1363, le Premier ministre enjoint aux opérateurs de communications électroniques, « vu la menace grave et actuelle contre la sécurité nationale » de conserver les données de trafic et de localisation énumérées par les deux autres décrets pour une durée d’un an.
Plusieurs adaptations
Au nombre des adaptations, on notera plus particulièrement :
La durée de conservation, d’une durée d’un an, est portée à cinq ans pour certaines données (les nom et prénom, la date et le lieu de naissance ou la raison sociale, ainsi que les nom et prénom, date et lieu de naissance de la personne agissant en son nom lorsque le compte est ouvert au nom d’une personne morale, la ou les adresses postales associées, la ou les adresses de courrier électronique de l’utilisateur et du ou des comptes associés le cas échéant ; le ou les numéros de téléphone). Par ailleurs, l’injonction du Premier ministre dont la durée d’application ne peut excéder un an, peut être renouvelée « si les conditions prévues pour son édiction continuent d’être réunies » (CPCE, art. L.34-1).
La Commission nationale de contrôle des techniques de renseignement (CNCTR) à laquelle chaque décision d’autorisation est communiquée, se voit désormais conférer un pouvoir effectif et contraignant de contrôle, comme le souhaitait le Conseil d’État.
Les données conservées peuvent faire l’objet d’une injonction de conservation rapide par les autorités qui disposent, en application de la loi, d’un accès aux données relatives aux communications électroniques à des fins de prévention et de répression de la criminalité, de la délinquance grave et des autres manquements graves aux règles dont elles ont la charge d’assurer le respect, afin d’accéder à ces données.
La censure du Conseil Constitutionnel
On pouvait penser que le débat était clôturé.
C’était sans compter avec la décision rendue par le Conseil constitutionnel, le 3 décembre 2021 (Conseil Constitutionnel, décision n° 2021-952, QPC du 3 décembre 2021. Saisi le 23 septembre 2021 par la Cour de cassation (chambre criminelle, arrêt n° 1230 du 21 septembre 2021), dans les conditions prévues à l’article 61-1 de la Constitution, d’une question prioritaire de constitutionnalité. Question enregistrée sous le n° 2021-952 QPC.) qui censure un ensemble de dispositions du code de procédure pénale (Il s’agit des articles 77-1-1 et 77-1-2 du code de procédure pénale. Le premier permet au procureur de la République de requérir, dans le cadre d’une enquête préliminaire « des informations détenues par toute personne publique ou privée, y compris celles issues d’un système informatique ou d’un traitement de données nominatives, sans que puisse lui être opposée, sans motif légitime, l’obligation au secret professionnel ». Le second permet à un officier ou agent de police judiciaire, avec l’aval du procureur de la République, de requérir d’un organisme public ou privé « la mise à disposition d’informations non protégées par un secret prévu par la loi, contenues dans un système informatique ou un traitement de données nominatives.). La Haute juridiction considère que « le législateur n’a pas entouré la procédure (…) de garanties propres à assurer une conciliation équilibre entre, d’une part, le droit au respect de la vie privée et, d’autre part, la recherche des auteurs d’infractions ».
On rappellera que les requérants reprochaient à ces dispositions de prévoir le contrôle préalable par le procureur de la République, dans le cadre d’une enquête préliminaire. Or celui-ci, placé sous l’autorité du Garde des Sceaux, ministre de la justice n’est pas une juridiction « indépendante » comme l’exige les règles européennes, condition également rappelée par le Conseil d’État. Par ailleurs, la réquisition des données est autorisée pour tout type d’infraction et n’est ni justifiée par l’urgence, ni limitée dans le temps.
Il faudra donc à l’avenir prévoir le contrôle d’un juge indépendant.
Au regard des lourdes conséquences de cette décision, la date de l’abrogation de ces dispositions a été fixée au 31 décembre 2022.
C’est dire que le sujet est loin d’être épuisé !
