Données personnelles en matière de criminalité : le Conseil d’Etat confirme l’obligation de conservation des données de connexion

Le Conseil d'État a examiné la conformité des règles françaises de conservation des données de connexion au droit européen. Il a validé le principe de leur conservation aux motifs de la lutte contre le terrorisme et la criminalité organisée.

Source : Article du Conseil d'Etat du 21/04/2021 et COMMUNIQUE DE PRESSE n° 123/20, Cour de justice de l’Union européenne Luxembourg, du 6/10/2020

 

A travers sa décision du 21 avril 2021 (n°393099), le Conseil d’État a examiné la conformité des règles françaises de conservation des données de connexion au droit européen et, réciproquement, le respect de ce dernier au droit français plus contraignant.

 

En effet, les opérateurs de télécommunication exerçant sur le territoire national ont pour obligation de conserver pendant un an toutes les données de connexion des utilisateurs, pour les besoins du renseignement et des enquêtes pénales.

 

Cependant, plusieurs recours ont ainsi été déposés pour remettre en cause cette règle, le Conseil d’Etat étant ici invité à se prononcer et ce, à la suite de la position adoptée par la CJUE dans 3 arrêts en date du 6 octobre 2020 à travers lesquelles elle détaillait les principes définis par le droit européen, à savoir :

 

  La conservation généralisée et indifférenciée des données de connexion (autres que les adresses IP) ne peut être imposée aux opérateurs que pour les besoins de la sécurité nationale en cas de menace grave ;

 

  Dans le cadre de la lutte contre cette criminalité grave, les États peuvent seulement imposer la conservation ciblée de données ;

 

  La conservation des données de connexion n’est pas permise pour d’autres motifs, notamment pour la recherche des infractions ne relevant pas de la criminalité grave.

 

Les enjeux étaient considérables puisque les répercussions auraient pu ébranler le renseignement français, raison pour laquelle le gouvernement avait requis un contrôle « ultra vires », permettant au juge de constater un dépassement par la CJUE qui se serait prononcée sur des compétences appartenant aux Etats membres.

 

En préambule, le Conseil d’État rappelle que la Constitution française demeure la norme suprême du droit national.

 

Il préciser également que « Dans le cas où l’application d’une directive ou d’un règlement européen, tel qu’interprété par la Cour de justice de l’Union européenne, aurait pour effet de priver de garanties effectives l’une de ces exigences constitutionnelles, qui ne bénéficierait pas, en droit de l’Union, d’une protection équivalente, le juge administratif, saisi d’un moyen en ce sens, doit l’écarter dans la stricte mesure où le respect de la Constitution l’exige »

 

En l’occurrence, il lui appartient de vérifier que l’application du droit européen, tel que précisé par la CJUE à travers les 3 arrêts précités, ne compromet pas des exigences constitutionnelles qui ne seraient pas garanties de façon équivalente par le droit européen.

 

Le Conseil d’État constate que les exigences constitutionnelles que sont la sauvegarde des intérêts fondamentaux de la Nation, la prévention des atteintes à l’ordre public, la lutte contre le terrorisme et la recherche des auteurs d’infractions pénales ne bénéficient pas, en droit de l’Union, d’une protection équivalente à celle que garantit la Constitution.

 

Surtout, le Conseil d’État ne remet pas en cause la conservation généralisée imposée aux opérateurs de télécommunication par le droit français, justifiée par une menace pour la sécurité nationale.

 

Conformément aux exigences de la CJUE, il conditionne toutefois celle-ci en imposant au gouvernement de procéder, sous le contrôle du juge administratif, à un réexamen périodique de l’existence d’une telle menace.

 

En revanche, il juge illégal l’obligation de conservation généralisée des données pour les besoins autres que ceux de la sécurité nationale, notamment la poursuite d’infractions pénales.

 

Pour celles-ci, il estime que la solution adoptée par la CJUE de conservation ciblée en amont des données n’apparait pas réalisable dès lors qu’il est évidemment impossible de pré-déterminer les personnes qui seront impliquées dans une infraction pénale qui n’a pas encore été commise.

 

S’agissant de la distinction établie par la Cour entre la criminalité grave et la criminalité ordinaire, pour laquelle elle n’admet aucune conservation ou utilisation de données de connexion, le Conseil d’État rappelle que le principe de proportionnalité entre gravité de l’infraction et importance des mesures d’enquête mises en œuvre justifie également que le recours aux données de connexion soit limité aux poursuites d’infractions d’un degré de gravité suffisant.

 

En dernier lieu et s’agissant de l’exploitation des données conservées pour les besoins du renseignement, le Conseil d’État constate que le contrôle préalable effectuée par une autorité administrative indépendante, en l’occurrence la Commission Nationale de Contrôle des Techniques de Renseignement (CNCTR), n’est pas suffisant, dès lors que cet avis n’est pas contraignant.

 

Il invite en conséquence l’exécutif français à modifier sur ce point le cadre réglementaire pour se conformer à ses prescriptions.