Dans une décision rendue le 21 avril 2021, le Conseil d’État a examiné la conformité du droit français au droit européen concernant les dispositions relatives à l’obligation de conservation données de connexion par les intermédiaires techniques (CE, Chambre contentieuse, 21 avril 2020, Nos393099, 394922, 397844, 397851, 424717, 424718).
Il a jugé que la conservation généralisée des données de connexion par les intermédiaires techniques aux fins de sauvegarde de la sécurité nationale est justifiée en raison de la menace actuelle qui pèse sur le territoire national.
En revanche, il a ordonné au Gouvernement de modifier les textes concernés afin d’y intégrer un réexamen régulier de cette menace et de subordonner l’accès à ces données par les services de renseignement à un avis contraignant de la Commission nationale des techniques du renseignement (CNCTR).
Quels sont les motifs de la solution rendue par le Conseil d’Etat ? Quelles conséquences en pratique ?
Rappel du contexte
En 2018, plusieurs associations et sociétés ont contesté devant le Conseil d’État les dispositions réglementaires françaises qui imposent aux intermédiaires techniques de conserver de manière généralisée et indifférenciée, pour une durée d’un an, les données de trafic et de localisation (l’article R. 10-13 du Code des postes et des communications électroniques et le décret n° 2011-219 du 25 février 2011). Elles ont également contesté les dispositions règlementaires qui permettent aux services de renseignement d’accéder à ces données.
En effet, les requérantes estimaient que ces dispositions étaient contraires au droit européen et notamment à la jurisprudence de la Cour de la justice de l’Union européenne (CJUE) prévoyant une interdiction faite aux États membres d’imposer aux intermédiaires techniques une obligation de conservation généralisée et indifférencie des données de trafic et de localisation (CJUE, 21 décembre 2016, Aff. Conjointes, C-2013/15, Tele2 Sverige e.a et C‑698/15 Watson e.a ).
Le Conseil d’État a saisi en 2018 la CJUE en lui soumettant plusieurs questions préjudicielles sur la portée de sa jurisprudence. Deux ans après, la CJUE a rapporté des précisions dans un arrêt du 6 octobre 2020 que Mathias Avocats explique dans un article précédent. En synthèse, la CJUE a maintenu le principe d’interdiction de conservation généralisée et indifférenciée des données de connexion, assortie d’exceptions strictes.
Dans ce contexte, le Conseil d’État a statué sur les demandes formulées par les associations et sociétés afin d’examiner la conformité du droit français au droit européen.
Quel contrôle effectué par le Conseil d’État ?
Avant de se prononcer, le Conseil d’État a rejeté la demande du gouvernement français consistant à écarter le droit européen au profit du droit français au motif que la CJUE aurait excédé les compétences qui lui sont dévolues. A ce titre, la Haute juridiction administrative a rappelé qu’il ne lui appartenait pas de s’assurer du respect de la répartition des compétences entre l’Union européenne et les États membres.
En revanche, le Conseil d’État a précisé qu’il lui revenait de vérifier que l’application du droit européen tel qu’interprété par la CJUE ne remet pas en cause les exigences consacrées par la Constitution française. En effet, ces exigences, à savoir notamment la sauvegarde des intérêts fondamentaux de nation et la lutte contre le terrorisme et les infractions pénales, ne bénéficient pas en droit européen d’une protection équivalente à celle consacrée par la Constitution.
En d’autres termes, lorsque la conformité d’un texte national est contestée devant le Conseil d’Etat au regard du droit européen, l’application de ce dernier peut être écartée si elle a pour effet de remettre en cause une exigence constitutionnelle qui n’a pas d’équivalent en droit européen.
C’est ainsi que la Conseil d’État a examiné la conformité les dispositions réglementaires contestées au droit européen.
Conservation généralisée des données de connexion justifiée, sous condition d’une réévaluation régulière
Selon le Conseil d’État, la conservation généralisée et indifférenciée des données de connexion est justifiée puisqu’il existe bien une menace grave non seulement prévisible mais aussi actuelle pour la sécurité nationale. Plus précisément, la Haute juridiction administrative a retenu que :
« Cette menace est, à la date de la présente décision, non seulement prévisible mais aussi actuelle. Cette menace procède d’abord de la persistance d’un risque terroriste élevé, ainsi qu’en témoigne notamment le fait que sont survenues sur le sol national au cours de l’année 2020 six attaques abouties ayant causé sept morts et onze blessés. Deux nouveaux attentats ont déjà été déjoués en 2021. »
« Par ailleurs, la France est particulièrement exposée au risque d’espionnage et d’ingérence étrangère, en raison notamment de ses capacités et de ses engagements militaires et de son potentiel technologique et économique. De nombreuses entreprises françaises, tant des grands groupes que des petites et moyennes entreprises, font ainsi l’objet d’actions malveillantes, visant leur savoir-faire et leur potentiel d’innovation (…) ».
« La France est également confrontée à des menaces graves pour la paix publique, liées à une augmentation de l’activité de groupes radicaux et extrémistes » (considérant 44).
Toutefois, le Conseil d’État a estimé qu’il était nécessaire de réaliser de manière régulière une réévaluation de la menace pour la sécurité nationale. Par conséquent, il a ordonné au Gouvernement de modifier le cadre réglementaire existant, dans un délai de six mois, afin d’intégrer cette exigence de réévaluation régulière.
Notons que le Conseil d’Etat reste silencieux sur les critères à prendre en compte dans le cadre de la réévaluation de menaces graves.
Concernant la durée de conservation de ces données, le Conseil d’État a relevé qu’il ne ressortait pas « des pièces du dossier que la durée de conservation de ces données, fixée à un an, ne serait pas strictement nécessaire aux besoins de la sauvegarde de la sécurité nationale » (considérant 44).
Accès par les services de renseignement soumis à l’autorisation préalable d’une autorité indépendante
Les services de renseignement français peuvent accéder aux données de connexion selon plusieurs modalités (article L851-1 et suivants du Code de la sécurité intérieure). Il peut s’agir par exemple d’un accès en temps différé ou encore d’un accès en temps réel à des fins de prévention du terrorisme. Les services de renseignement peuvent également analyser ces données au moyen d’un outil automatisé afin de révéler une menace terroriste.
Or, pour l’accès aux données de connexion conservées à des fins de sauvegarde de la sécurité nationale, la CJUE conclut qu’une autorisation préalable par une autorité administrative ou judiciaire indépendante dotée d’un pouvoir contraignant est nécessaire.
En France, cet accès n’est possible que sur avis préalable de la CNCTR, qui n’est toutefois pas contraignant (décret n° 2016-67 du 29 janvier 2016 relatif aux techniques de recueil de renseignement).
Ainsi, le Conseil d’Etat a déclaré que le droit national doit « être modifié, même si, en pratique, le Premier ministre n’a jamais outrepassé un avis défavorable de la CNCTR pour l’accès des services de renseignement à des données de connexion ». Le Gouvernement a donc six mois pour modifier le cadre réglementaire pour accorder aux avis rendus par la CNCTR un caractère contraignant.
Quid de la conservation des données de connexion pour la lutte contre les infractions pénales ?
Pour rappel, la CJUE s’oppose à une conservation généralisée des données de connexion pour la poursuite des infractions pénales, quel que soit le degré de gravité de l’infraction. Seule une conservation ciblée et limitée est autorisée par le juge européen, et ce pour les infractions graves uniquement. Toutefois, les autorités peuvent enjoindre aux intermédiaires de geler pour une courte durée les données de connexion dans le cadre d’une enquête pénale, méthode également appelée « conservation rapide », sous réserve que le droit national le prévoie expressément.
Or, selon la juridiction administrative, cette conservation ciblée n’est ni techniquement possible ni opérationnelle en pratique, parce qu’elle ne permettrait pas « d’accéder aux données de connexion d’une personne suspectée d’une infraction qui n’aurait pas été préalablement identifiée comme étant susceptible de commettre un tel acte » (considérant 54).
En ce qui concerne la méthode de conservation rapide des données, le Conseil d’État a également souligné son caractère inopérationnel. Selon la juridiction administrative, pour que les autorités puissent demander aux intermédiaires techniques de geler les données, il faut au préalable que lesdits intermédiaires aient conservé les données en question.
Dans ce contexte, selon le Conseil d’Etat, « ni la possibilité d’imposer une obligation de conservation ciblée, ni le recours à la technique de la conservation rapide ne permettent, par eux-mêmes, de garantir le respect les objectifs de valeur constitutionnelle de prévention des atteintes à l’ordre public » (considérant 57).
En revanche, le Conseil d’Etat a précisé que la conservation rapide des données pourrait contribuer à la lutte contre les infractions pénales « lorsque cette conservation rapide porte sur des données initialement conservées aux fins de sauvegarde de la sécurité nationale ». Par conséquent, l’autorité judiciaire peut accéder aux données dans le cadre d’une poursuite pénale sous réserve que la gravité de l’infraction le justifie. Il en va de même pour les autorités administratives indépendantes « disposant d’un droit d’accès aux données de connexion en vertu de la loi en vue de lutter contre les manquements graves aux règles dont elles ont la charge d’assurer le respect » (considérant 57).
Pour statuer ainsi, le Conseil d’Etat s’est appuyé sur la décision de la CJUE selon laquelle « une telle conservation rapide peut non seulement porter sur les données des personnes soupçonnées d’avoir projeté ou commis une infraction (…) mais aussi sur les données d’autres personnes » (considérant 55).
Ainsi, selon le Conseil d’Etat, l’application du droit européen ne prive pas les objectifs à valeur constitutionnelle de leur efficacité.
Que retenir ?
Si les textes réglementaires devront être modifiés par le Gouvernement, l’obligation de conservation généralisée des données de connexion reste intacte en dépit de la position de la CJUE. Cela signifie qu’en pratique, les intermédiaires techniques devront continuer à conserver ces données sous peine de sanctions.
Or, après ce même arrêt rendu par la CJUE le 6 octobre 2020, la Cour constitutionnelle belge a annulé les dispositions de la loi belge portant sur la conservation généralisée et indifférenciée des données relatives aux communications électroniques et l’accès à celles-ci.
Elle a jugé que « l’arrêt de la CJUE impose un changement de perspective par rapport au choix du législateur : l’obligation de conservation des données de communications électroniques doit être l’exception, et non la règle ».
Par conséquent, elle a conclu « qu’il appartient au législateur d’élaborer une réglementation qui respecte les principes applicables en la matière, à la lumière de la jurisprudence de la CJUE, et par lequel il est tenu compte, le cas échéant, des précisions apportées par celle-ci en ce qui concerne les différents types de mesures législatives jugées compatibles avec le droit de l’Union ».
Ainsi, il serait intéressant de voir les adaptations réalisées par le législateur belge et les impacts de l’arrêt de la CJUE sur d’autres législations européennes.