La conservation généralisée des données est aujourd’hui justifiée par la menace existante pour la sécurité nationale. La possibilité d’accéder à ces données pour la lutte contre la criminalité grave permet, à ce jour, de prévenir les atteintes à l’ordre public et de rechercher les auteurs d’infractions pénales. Saisi par plusieurs associations ainsi qu’un opérateur de télécoms, le Conseil d’État a examiné la conformité des règles françaises de conservation des données de connexion au droit européen.

Sep 06, 2021 par Frédéric Dieu

 Il a aussi été amené à vérifier que le respect du droit européen tel qu’interprété par la Cour de justice de l’Union européenne (CJUE) ne compromettait pas les exigences de la Constitution française. Dans sa décision du 21 avril 2021, il juge que la conservation généralisée des données est aujourd’hui justifiée par la menace existante pour la sécurité nationale. Il relève également que la possibilité d’accéder à ces données pour la lutte contre la criminalité grave permet, à ce jour, de prévenir les atteintes à l’ordre public et de rechercher les auteurs d’infractions pénales. En revanche, le gouvernement devra réévaluer régulièrement la menace qui pèse sur le territoire pour justifier la conservation généralisée des données. Il devra aussi subordonner l’exploitation de ces données par les services de renseignement à l’autorisation d’une autorité indépendante.

Le droit français impose aux opérateurs de télécommunication de conserver les données de connexion de leurs utilisateurs à des fins de lutte contre la criminalité et le terrorisme.

L’exploitation des données de connexion joue aujourd’hui un rôle majeur dans la recherche des infractions pénales et dans l’activité des services de renseignement, notamment pour lutter contre le terrorisme. Ces données, parfois appelées « métadonnées » pour les distinguer de celles qui portent sur le contenu des échanges, comprennent trois catégories :

  •  les données d’identité, qui permettent d’identifier l’utilisateur d’un moyen de communication électronique (par exemple les nom et prénom liés à un numéro de téléphone ou l’adresse IP par laquelle un utilisateur se connecte à internet) ;
  • les données relatives au trafic parfois appelées « fadettes », qui tracent les dates, heures et destinataires des communications électroniques, ou la liste des sites internet consultés ;
  • les données de localisation, qui résultent du « bornage » d’un appareil par l’antenne relais à laquelle il s’est connecté.

Le droit français impose aux opérateurs de télécommunication de conserver pendant un an toutes les données de connexion des utilisateurs pour les besoins du renseignement et des enquêtes pénales.

Récemment, le juge européen a cependant fortement limité la possibilité d’imposer aux opérateurs la conservation des données de connexion.

Par trois décisions du 6 octobre 2020, la CJUE a jugé que la conservation généralisée et indifférenciée des données de connexion (autres que les données d’identité) ne peut être imposée aux opérateurs que pour les besoins de la sécurité nationale en cas de menace grave. En outre, l’accès à ces données par les services de renseignement doit être soumis au contrôle préalable d’une autorité indépendante et au contrôle d’un juge en aval lors de l’exploitation des données conservées. Le juge européen ajoute que, pour la lutte contre la criminalité grave, les États peuvent seulement imposer la conservation ciblée de données, dans certaines zones ou pour certaines catégories de personnes pré identifiées comme présentant des risques particuliers.

Les autorités peuvent toutefois demander aux opérateurs de geler les données de trafic et de localisation relatives à une personne, pour les besoins d’une enquête pénale, sur une courte période (méthode dite de « conservation rapide » des données). La conservation des données de connexion n’est en revanche pas permise pour d’autres motifs, notamment pour la recherche des infractions ne relevant pas de la criminalité grave.

L’encadrement de la conservation des données par le droiteuropéen ne remet pas en cause la priorité accordée par ledroit français à la protection de la sécurité nationale et à lalutte contre la criminalité.

Dans sa décision du 21 avril 2021, le Conseil d’État a constaté que le droit de l’Union européenne ne garantit pas autant que notre droit national (notre Constitution) la sauvegarde des intérêts fondamentaux de la nation, la prévention des atteintes à l’ordre public, la lutte contre le terrorisme et la recherche des auteurs d’infractions pénales. Il a donc dû vérifier que les limites définies par le juge européen ne mettaient pas en péril l’accomplissement de ces objectifs.

Pour le juge français, la conservation généralisée aujourd’hui imposée aux opérateurs par le droit national est bien justifiée par une menace pour la sécurité nationale. Mais, comme le prévoit le juge européen, la décision du Conseil d’État impose au gouvernement de procéder à un réexamen périodique de l’existence d’une telle menace. Le Conseil d’État juge en revanche illégale l’obligation de conservation généralisée des données (hormis les données peu sensibles : état civil, adresse IP, comptes et paiements) pour les besoins autres que ceux de la sécurité nationale, notamment la poursuite des infractions pénales.  

Pour ces infractions, la solution suggérée par la CJUE de conservation ciblée en amont des données n’est ni matériellement possible, ni – en tout état de cause – opérationnellement efficace. En effet, il n’est pas possible de prédéterminer les personnes qui seront impliquées dans une infraction pénale qui n’a pas encore été commise ou le lieu où elle sera commise. Cela dit, la méthode de « conservation rapide » autorisée par le droit européen peut à ce jour s’appuyer sur le stock de données conservées de façon généralisée pour les besoins de la sécurité nationale, et peut être utilisée pour la poursuite des infractions pénales. 

S’agissant d’abord de la distinction établie par la CJUE entre la criminalité grave et la criminalité ordinaire, pour laquelle elle n’admet aucune conservation ou utilisation de données de connexion, le Conseil d’État rappelle que le principe de proportionnalité entre gravité de l’infraction et importance des mesures d’enquête mises en oeuvre, qui gouverne la procédure pénale, justifie également que le recours aux données de connexion soit limité aux poursuites d’infractions d’un degré de gravité suffisant.

S’agissant ensuite de l’exploitation des données conservées pour les besoins du renseignement, enfin, le Conseil d’État constate que le contrôle préalable par une autorité indépendante prévu par le cadre juridique français n’est pas suffisant, puisque l’avis que rend la commission nationale de contrôle des techniques de renseignement (CNCTR) avant toute autorisation n’est pas contraignant.

Le droit national devra donc être modifié pour qu’il le devienne, même si, en pratique, le Premier ministre n’a jamais outrepassé un avis défavorable de la CNCTR pour l’accès des services de renseignement à des données de connexion. Pour respecter ces exigences, le gouvernement devra modifier le cadre réglementaire dans un délai de six mois.  

Social media & sharing icons powered by UltimatelySocial