Recevez chaque jour toute l'actualité du numérique

x

La conservation généralisée des données de connexion invalidée par le Conseil constitutionnel

La saga sur la conservation généralisée des données de connexion continue. Cette fois-ci, c'est le Conseil constitutionnel – saisi d'une question prioritaire – qui a déclaré que l'ancien régime applicable à la conservation des données n'était pas conforme à la Constitution. Cependant, cette déclaration d'inconstitutionnalité ne peut pas être utilisée pour annuler les enquêtes judiciaires en cours. Depuis, le gouvernement a modifié la loi.
Twitter Facebook Linkedin Flipboard Email
×

La conservation généralisée des données de connexion invalidée par le Conseil constitutionnel
La conservation généralisée des données de connexion invalidée par le Conseil constitutionnel © Wikimedia/Mbzt/CC

Le Conseil constitutionnel a déclaré que l'article L. 34-1 du code des postes et des communications électroniques était contraire à la Constitution, dans une décision rendue le 25 février, car il portait une atteinte disproportionnée à la vie privée.

Ce texte, dans sa version antérieure à la loi du 30 juillet 2021, prévovait que les opérateurs de télécommunications électroniques "effacent ou rendent anonymes" les données relatives au trafic enregistrées à l'occasion des communications électroniques. Il prévoyait également qu'ils pouvaient être tenus de conserver certaines catégories de "données de trafic" à des fins de recherche, de constatation et de poursuite des infractions pénales.

Une conservation trop large
Les requérants, à l'origine d'une question prioritaire de constitutionnalité, reprochaient à cet article d'imposer aux opérateurs la conservation générale et indifférenciée des données de connexion sans la cantonner à la recherche des infractions les plus graves ni la subordonnée à l'autorisation ou au contrôle d'une autorité. Ils ajoutaient qu'une telle conservation n'était pas nécessaire en raison de l'existence de moyens alternatifs d'investigation.

Le Conseil constitutionnel a jugé qu'en autorisant la conservation générale et indifférenciée des données de connexion, l'article visé violait le droit au respect de la vie privée. En effet, les données conservées portaient non seulement sur l'identification des personnes des services de communications électroniques mais également sur la localisation de leurs équipements terminaux de communication, les caractéristiques techniques, la date, l'horaire et la durée des communications ainsi que les données d'identification de leurs destinataires. L'ensemble de ces informations fournissent des "informations nombreuses et précises particulièrement attentatoires à [la] vie privée". 

De plus, les juges constitutionnels relèvent que la conservation s'applique de façon générale à tous les utilisateurs de services de communications électroniques et qu'elle porte sur des données de connexion relatives à des personnes, quelle qu'en soit la sensibilité et sans considération de la nature et de la gravité des infractions recherchées.

Les enquêtes en cours ne sont pas remises en cause
L'article L. 34-1 du code des postes et des communications électroniques a été modifié par la loi du 30 juillet 2021 relative à la prévention d'actes de terrorisme et au renseignement. Cette précision est importante car le Conseil constitutionnel a considéré que les mesures prises sur le fondement de l'ancien texte n'étaient pas remises en cause. En effet, dans le cas contraire, il estime que cela méconnaîtrait les objectifs de valeur constitutionnelle de sauvegarde de l’ordre public et de recherche des auteurs d’infraction. Par conséquent, la décision prononcée ne remet pas en cause les procédures judiciaires au cours desquelles des données de connexion ont été recueillies.

L'histoire de la conservation des données de connexion a fait l'objet de nombreux rebondissements. Depuis 2014, date de la première décision, le juge européen a petit à petit restreint le champ de conservation des métadonnées au nom de la protection de la vie privée. L'un des derniers arrêts date du 6 octobre 2020. La Cour de justice de l'Union européenne a déclaré le droit européen s'opposait à une réglementation nationale imposant à un fournisseur de services de communications électroniques "la transmission ou la conservation généralisée et indifférenciée" des données de trafic et de localisation. Elle précisait néanmoins que dans le cas d'une "menace grave pour la sécurité nationale" ou "d'activités de terrorisme", les Etats pouvaient enjoindre les opérateurs de conserver les données de connexion de manière généralisée et indifférenciée. Il posait néanmoins deux conditions, de temps et procédurale, à cette conservation exceptionnelle.

La France refusait de changer ses pratiques
Mais le gouvernement français a longtemps refusé de se plier à ces règles. En mars 2021, il a remis au Conseil d'Etat un mémoire lui demandant de contourner les arrêts de la Cour de justice car ils seraient contraires à "l'identité constitutionnelle française". Problème : le droit européen prévaut sur le droit français dans la hiérarchie des normes. Autrement dit, la France a l'obligation de se plier, en modifiant sa législation par exemple, aux exigences de la jurisprudence européenne même si elle n'est pas d'accord.

C'est le Conseil d'Etat qui a partiellement mis fin à cette saga dans une décision rendue le 21 avril 2021. Il a jugé que la conservation généralisée des données est justifiée par la menace existante pour la sécurité nationale. En revanche, en dehors de ce cas, cette obligation n'est plus justifiée. Le gouvernement avait six mois pour modifier sa loi. C'est chose faite avec le nouvel article L.34-1 du code des postes et des communications électroniques. Il reste à savoir si ce texte est désormais conforme aux exigences européennes. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.