La disposition autorisant la conservation généralisée des données de connexion est inconstitutionnelle.

Vianney DESSENNE
Vianney DESSENNE - Avocat

Source : Décision n° 2021-976/977 QPC du 25 février 2022

A travers sa décision du 21 avril 2021 (n°393099), le Conseil d’État avait examiné la conformité des règles françaises de conservation des données de connexion au droit européen et, réciproquement, le respect de ce dernier au droit français plus contraignant.

En effet, les opérateurs de télécommunication exerçant sur le territoire national ont pour obligation de conserver pendant un an toutes les données de connexion des utilisateurs, pour les besoins du renseignement et des enquêtes pénales.

Cependant, plusieurs recours ont ainsi été déposés pour remettre en cause cette règle, le Conseil d’Etat étant ici invité à se prononcer et ce, à la suite de la position adoptée par la CJUE dans 3 arrêts en date du 6 octobre 2020 à travers lesquelles elle détaillait les principes définis par le droit européen, à savoir :

  La conservation généralisée et indifférenciée des données de connexion (autres que les adresses IP) ne peut être imposée aux opérateurs que pour les besoins de la sécurité nationale en cas de menace grave ;

  Dans le cadre de la lutte contre cette criminalité grave, les États peuvent seulement imposer la conservation ciblée de données ;

  La conservation des données de connexion n’est pas permise pour d’autres motifs, notamment pour la recherche des infractions ne relevant pas de la criminalité grave.

Les enjeux étaient considérables puisque les répercussions auraient pu ébranler le renseignement français, raison pour laquelle le gouvernement avait requis un contrôle « ultra vires », permettant au juge de constater un dépassement par la CJUE qui se serait prononcée sur des compétences appartenant aux Etats membres.

Le Conseil d’État rappelait que la Constitution française demeure la norme suprême du droit national.

Il précisait également que « Dans le cas où l’application d’une directive ou d’un règlement européen, tel qu’interprété par la Cour de justice de l’Union européenne, aurait pour effet de priver de garanties effectives l’une de ces exigences constitutionnelles, qui ne bénéficierait pas, en droit de l’Union, d’une protection équivalente, le juge administratif, saisi d’un moyen en ce sens, doit l’écarter dans la stricte mesure où le respect de la Constitution l’exige »

En l’occurrence, il lui appartenait de vérifier que l’application du droit européen, tel que précisé par la CJUE à travers les 3 arrêts précités, ne compromet pas des exigences constitutionnelles qui ne seraient pas garanties de façon équivalente par le droit européen.

Le Conseil d’État constatait que les exigences constitutionnelles que sont la sauvegarde des intérêts fondamentaux de la Nation, la prévention des atteintes à l’ordre public, la lutte contre le terrorisme et la recherche des auteurs d’infractions pénales ne bénéficient pas, en droit de l’Union, d’une protection équivalente à celle que garantit la Constitution.

Il ne remettait pas en cause la conservation généralisée imposée aux opérateurs de télécommunication par le droit français, justifiée par une menace pour la sécurité nationale.

Conformément aux exigences de la CJUE, il conditionnait toutefois celle-ci en imposant au gouvernement de procéder, sous le contrôle du juge administratif, à un réexamen périodique de l’existence d’une telle menace.

En revanche, il jugeait illégal l’obligation de conservation généralisée des données pour les besoins autres que ceux de la sécurité nationale, notamment la poursuite d’infractions pénales.

Pour celles-ci, il estimait que la solution adoptée par la CJUE de conservation ciblée en amont des données n’apparait pas réalisable dès lors qu’il est évidemment impossible de pré-déterminer les personnes qui seront impliquées dans une infraction pénale qui n’a pas encore été commise.

S’agissant de la distinction établie par la Cour entre la criminalité grave et la criminalité ordinaire, pour laquelle elle n’admet aucune conservation ou utilisation de données de connexion, le Conseil d’État rappelait que le principe de proportionnalité entre gravité de l’infraction et importance des mesures d’enquête mises en œuvre justifiait également que le recours aux données de connexion soit limité aux poursuites d’infractions d’un degré de gravité suffisant.

En dernier lieu et s’agissant de l’exploitation des données conservées pour les besoins du renseignement, le Conseil d’État constatait que le contrôle préalable effectuée par une autorité administrative indépendante, en l’occurrence la Commission Nationale de Contrôle des Techniques de Renseignement (CNCTR), n’est pas suffisant, dès lors que cet avis n’est pas contraignant.

Saisi d’une question prioritaire de constitutionnalité, le Conseil constitutionnel prenait la suite du Conseil d’’Etat et était également amené à se prononcer sur ce sujet.

En effet, il lui était demandé d’apprécier la constitutionnalité de l’ancien article L.34-1 du Code des postes et des communications électroniques relatif au traitement des données à caractère personnel dans le cadre de la fourniture au public de services de communications électroniques, dont le paragraphe II prévoit que les opérateurs de communications électroniques effacent ou rendent anonymes les données relatives au trafic enregistrées à l’occasion des communications électroniques dont ils assurent la transmission.

Par dérogation, il est prévu que ces mêmes opérateurs peuvent être tenus de conserver pendant un an certaines catégories de données de connexion, dont les données de trafic, pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, en vue de la mise à disposition de telles données à l’autorité judiciaire.

Dans son arrêt du 25 février 2022 (n°2021-976/977), le Conseil constitutionnel relève en premier lieu que les données de connexion conservées en application de l’article précité visent de multiples éléments ayant trait à la vie privée tels que l’identité, la localisation, les dates, heures et durées de communication, ou encore l’identité des correspondants.

Compte tenu de leur nature, de leur diversité et des traitements dont elles peuvent faire l’objet, ces données fournissent sur ces utilisateurs ainsi que, le cas échéant, sur des tiers, des informations nombreuses et précises, particulièrement attentatoires à leur vie privée.

Le Conseil constitutionnel en conclut qu’en autorisant la conservation générale et indifférenciée des données de connexion, les dispositions contestées portent une atteinte disproportionnée au droit au respect de la vie privée.

Par conséquent, elles doivent être déclarées inconstitutionnelles.

Le Conseil constitutionnel prive néanmoins sa décision de tout réel effet en soulignant que la disposition attaquée n’est plus en vigueur, et que la remise en cause des mesures prises sur le fondement de cette disposition méconnaîtrait les objectifs de valeur constitutionnelle de sauvegarde de l’ordre public et de recherche des auteurs d’infractions et aurait ainsi des conséquences manifestement excessives.

Print Friendly, PDF & Email
Partager cet article