Recevez chaque jour toute l'actualité du numérique

x

Le Conseil d'Etat valide la conservation des données pour la préservation de la sécurité nationale

Dans une décision très attendue rendue ce mercredi, le Conseil d'Etat a jugé que l'obligation de conservation généralisée des données, qui pèse sur les opérateurs télécoms, était légale à des fins de préservation de la sécurité nationale. En revanche, en dehors de ce cas, cette obligation n'est plus justifiée. Le gouvernement a désormais six mois pour modifier cette règle afin de se mettre en conformité avec le droit de l'Union européenne. 
Twitter Facebook Linkedin Flipboard Email
×

Le Conseil d'Etat valide la conservation des données pour la préservation de la sécurité nationale
Le Conseil d'Etat valide la conservation des données pour la préservation de la sécurité nationale © Conseil d'Etat

Le Conseil d'Etat a rendu ce mercredi 21 avril une décision très attendue sur la conservation des données de connexions par les opérateurs télécoms. Les données de connexion et de trafic – comme l'adresse IP, la géolocalisation ou les relevés téléphoniques – sont devenues très précieuses pour les enquêteurs. 

La sauvegarde de la sécurité nationale
Il juge que la conservation généralisée des données est justifiée par la menace existante pour la sécurité nationale. "L'état des menaces pesant sur la sécurité nationale (…) justifie légalement que soit imposée aux opérateurs la conservation générale et indifférenciée des données de connexion", peut-on lire dans la décision. Le Conseil d'Etat précise néanmoins que le gouvernement doit procéder, sous le contrôle du juge administratif, à un réexamen périodique de l’existence d’une telle menace.

En revanche, la plus haute juridiction administrative juge illégale l'obligation de conservation des données – hormis les données liées à l'état civil, les adresses IP et les comptes et paiements – pour les besoins autre que la préservation de la sécurité nationale, ce qui exclut la poursuite des infractions pénales du quotidien.

La méthode de "conservation rapide"
Toutefois, les enquêteurs pourront recourir à la méthode de "conservation rapide", autorisée par le droit de l'Union européenne, précise le juge. Elle permet d'imposer aux opérateurs une conservation de certaines données dont ils disposent pour une durée limitée, sous le contrôle d’un juge, lorsqu'elles sont susceptibles de contribuer à "l’élucidation d’une infraction grave" ou à "la prévention de menaces graves contre la sécurité publique". 

Par conséquent, le juge exige une modification du cadre légal français afin de limiter les finalités poursuivies et ainsi être en conformité avec le droit de l'Union européenne. Le Premier ministre dispose d'un délai d’au plus six mois à compter de la notification de cette décision pour effectuer ce changement.


Plusieurs associations avaient saisi le Conseil d'Etat
Pour rappel, le Conseil d'Etat avait été saisi par plusieurs associations, dont la Quadrature du Net et French Data Network. Elles demandaient l'annulation de certaines dispositions françaises qui, d'après elles, étaient trop permissives au regard de la protection de la vie privée. L'opérateur Free s'était greffé à ce litige.


La juridiction administrative avait saisi la Cour de justice de l'Union européenne (CJUE) dans le cadre d'une question préjudicielle, une procédure permettant à une juridiction nationale d'interroger le juge européen sur l'interprétation du droit de l'UE dans le cadre d'un litige dont elle est saisie.

La Cour européenne limite le droit français
La CJUE avait rendu sa décision le 6 octobre 2020. Elle jugeait que le droit de l'UE s'opposait à une réglementation nationale imposant à un fournisseur de services de communications électroniques "la transmission ou la conservation généralisée et indifférenciée" des données de trafic et de localisation. Cette interdiction s'étend aux lois qui imposent cette conservation à titre préventif pour éviter la commission d'une infraction grave.

En effet, une telle réglementation viole la directive "vie privée et communications électroniques", dites "ePrivacy". La cour estime que ces obligations constituent "des ingérences particulièrement graves dans les droits fondamentaux garantis par la Charte", tels que la protection de la vie privée.

Cette conclusion n'a pas du tout plu au gouvernement français qui, dans un mémoire dont Contexte avait eu une copie, demandait au Conseil d'Etat de contourner les arrêts de la Cour de justice car ils seraient contraires à "l'identité constitutionnelle française", en particulier à la protection de la sécurité intérieure.

Le droit européen prime
Or, dans la hiérarchie des normes, le droit européen prévaut sur le droit français. Autrement dit, la France est dans l'obligation de se plier en modifiant sa législation même si elle n'est pas d'accord. Le mécontentement du gouvernement allait très loin puisqu'il suggérait même de modifier les traités européens fondateurs, d'après un document consulté par Politico.

La balle était donc dans le camp du Conseil d'Etat qui a finalement tenté de trouver un équilibre. Il respecte dans les grandes lignes la décision du 6 octobre 2020 tout en laissant le temps au gouvernement de modifier la règlementation. "Il n'y a pas de surprise. Le Conseil d'Etat applique deux jurisprudences déjà existantes, Sarran et Levacher et Arcelor. La première dispose que la Constitution française est au sommet de la hiérarchie des normes et la seconde permet au Conseil d'Etat 'd'interpréter' le droit de l'Union pour en faire une application conforme au droit national", analyse Jean-Luc Sauron, haut fonctionnaire, professeur à l'Université Paris-Dauphine et responsable du diplôme d'université Délégué à la protection des données, sollicité par L'Usine Digitale


Le juriste ajoute que cet arrêt illustre parfaitement ce que l'on appelle le "dialogue des juges", désignant la collaboration entre les magistrats issus de différents niveaux de juridiction.

La France défend sa position 
La position réfractaire de la France a des conséquences concrètes. En effet, elle a ainsi failli empêcher le Conseil européen de présenter un texte définitif sur une révision de la directive "ePrivacy". L'Hexagone a demandé à plusieurs reprises à la présidence portugaise d'exclure la question de la conservation des métadonnées.

Finalement, et après trois ans de blocage, le Conseil a présenté un compromis le 10 février 2021. "Le changement le plus important que la présidence portugaise a proposé est la réintroduction de la possibilité de traiter les métadonnées des communications électroniques et d’utiliser les capacités de traitement et de stockage des équipements terminaux des utilisateurs finaux, y compris la collecte d’informations pour un traitement ultérieur compatible", peut-on lire dans cette proposition qui va désormais être débattue devant le Parlement européen. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.