Recevez chaque jour toute l'actualité du numérique

x

Pourquoi la France entame-t-elle un bras de fer avec l'Europe sur la conservation des métadonnées ?

Décryptage Le gouvernement demande au Conseil d'Etat d'outrepasser la jurisprudence européenne sur la conservation des données de connexion et de trafic pour les besoins des enquêtes. En effet, il estime que cette limitation au nom de la vie privée est contraire à "l'identité constitutionnelle" française. Une notion floue incluant la prévention des infractions et la sauvegarde des intérêts de la nation. Or, le droit européen prime sur le droit français. L'issue de ce bras de fer est attendue dans les prochaines semaines. L'Usine Digitale fait le point sur ce litige qui montre une nouvelle fois la difficulté à trouver un juste équilibre entre la protection de la vie privée et la prévention des infractions.  
Twitter Facebook Linkedin Flipboard Email
×

Pourquoi la France entame-t-elle un bras de fer avec l'Europe sur la conservation des métadonnées ?
Pourquoi la France entame-t-elle un bras de fer avec l'Europe sur la conservation des métadonnées ? © CyberGEND

Les preuves numériques prennent de plus en plus de place dans les enquêtes policières et les opérations de renseignements. En effet, un email ou des messages échangés sur les réseaux sociaux peuvent permettre de constater la commission d'une infraction.

Les données de connexion et de trafic – comme l'adresse IP, la géolocalisation ou les relevés téléphoniques – sont également devenues très précieuses pour les enquêteurs. En effet, ces métadonnées permettent d'identifier une personne qui a contribué à la création d'un contenu en ligne. Dans ce cas, ce n'est pas le contenu du message qui intéresse les autorités mais les informations sur la source ou la destination de celui-ci. Il reste que ces données peuvent dévoiler beaucoup de détails sur la vie privée des internautes.

Une conservation limitée à une année
C'est la raison pour laquelle la législation française, en application du droit européen, a limité à un an la durée de conservation des métadonnées par les opérateurs de télécommunication, les fournisseurs d'accès à internet et les hébergeurs pour "les besoins de recherche, de la constatation et de la poursuite des infractions pénales", d'après le Code des postes et des communications électroniques.

Aujourd'hui, plus de 85 % des enquêtes s'appuient sur ces données de trafic et de localisation des terminaux, d'après le gouvernement, cité par Contexte. Un pourcentage qui justifie de s'opposer à la jurisprudence européenne qui restreint la conservation et le transfert des données aux autorités au nom de la vie privée, rétorque Matignon.

Un appel à contourner la jurisprudence européenne
En effet, le gouvernement a remis au Conseil d'Etat un mémoire, qui n'a pas été publié mais dont Contexte a eu une copie, dans lequel il lui demande de contourner les arrêts de la Cour de justice de l'Union (CJUE) européenne car ils seraient contraires à "l'identité constitutionnelle française", en particulier à la protection de la sécurité intérieure qui doit prévaloir sur la protection de la vie privée.

Pour comprendre cette affaire, il faut revenir sur les décisions phares du juge européen qui a petit à petit restreint le champ de la conservation des métadonnées au nom du droit à la protection de la vie privée, protégé notamment par la Charte des droits fondamentaux de l'Union européenne.

La première décision a été rendue par la Grande Chambre de la Cour de justice de l'UE le 8 octobre 2014. Elle a invalidé la directive 2006/24 relative à la conservation des données générées ou traitées dans le cadre de la fourniture d'un service de communications électroniques accessibles au public ou de réseaux publics de communications. Certes, les données conservées offrent aux autorités nationales des outils supplémentaires pour élucider des enquêtes mais la lutte contre la criminalité ne peut justifier une telle violation du droit à la vie privée, concluait le juge dans cet arrêt.

Matignon critique la conservation ciblée
A cette époque déjà, le procureur général près la Cour de cassation François Molins expliquait au Monde que certaines "enquêtes pénales en cours" pourraient être arrêtées net ou leurs actes frappés de nullité en réaction à cette décision. Matignon estimait de son côté qu'une conservation ciblée ne permettait pas de "remplir les objectifs assignés à la politique de sécurité nationale, qui consistent à détecter, pour les prévenir, les menaces aux intérêts vitaux des États".

Le 21 décembre 2016, la Cour répétait ce principe dans sa décision connue sous le nom de "Tele2 Sverige AB". "La directive du 12 juillet 2002 (…) s’oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique", tranchait une seconde fois le juge européen.

Le dernier arrêt sur ce contentieux date du 6 octobre dernier. La juridiction luxembourgeoise confirmait une nouvelle fois que le droit de l'UE s'opposait à une réglementation nationale imposant à un fournisseur de services de communications électroniques "la transmission ou la conservation généralisée et indifférenciée" des données de trafic et de localisation. Cette interdiction s'étend aux lois qui imposent cette conservation à titre préventif pour éviter la commission d'une infraction grave.

En effet, une telle réglementation viole la directive "vie privée et communications électroniques", dites "ePrivacy". La cour estime que ces obligations constituent "des ingérences particulièrement graves dans les droits fondamentaux garantis par la Charte", tels que la protection de la vie privée.

La légalité des "boîtes noires" au coeur des débats
La Cour de justice avait notamment été saisie par le Conseil d'Etat de questions préjudicielles, une procédure permettant à une juridiction nationale d'interroger la CJUE sur l'interprétation du droit de l'UE dans le cadre d'un litige dont elle est saisie. Le juge administratif avait lui-même été sollicité par la Quadrature du Net sur la légalité des fameuses "boites noires", un dispositif d'analyse automatisée des métadonnées dédié aux services de renseignement, introduites par la loi du 24 juillet 2015.

Le juge précise cette fois-ci que dans le cas d'une "menace grave pour la sécurité nationale" ou "d'activités de terrorisme", les Etats peuvent enjoindre les opérateurs de conserver les données de connexion de manière généralisée et indifférenciée. Il posait néanmoins deux conditions, de temps et procédurale, à cette conservation exceptionnelle. "La décision prévoyant cette injonction, pour une période temporairement limitée au strict nécessaire, doit faire l'objet d'un contrôle effectif, soit par une juridiction, soit par une entité administrative indépendante", tranche la cour. L'organe chargé du contrôle devra vérifier "l'existence d'une de ces situations ainsi que le respect des conditions et des garanties prévues".

Prévenir la commission d'infractions graves
Or, d'après le mémoire déposé par le gouvernement, la conservation généralisée est "indispensable" au regard de la sauvegarde des intérêts fondamentaux de la nation et de l'intégrité du territoire, de la prévention des infractions et de la recherche des auteurs d'infractions pénales et de la lutte contre le terrorisme. Le gouvernement conteste également le fait que l'UE s'arroge le droit de donner son avis sur des questions relatives à la sécurité intérieure française.

"L'identité constitutionnelle" de la France serait ainsi bafouée par la cour luxembourgeoise, explique le gouvernement. Or, comme le souligne Contexte, la notion "d'identité constitutionnelle" est volontairement très floue et n'est définie dans aucun texte. Seul Pierre Mazeaud, président du Conseil constitutionnel, a en donné une définition dans un discours prononcé le 3 janvier 2005 : "je veux parler ici de tout ce qui est inhérent à notre identité constitutionnelle, au double sens du terme 'inhérent' : crucial et distinctif. Autrement dit : l'essentiel de la République". 

Le droit français est soumis au droit européen
Problème : le droit européen prévaut sur le droit français dans la hiérarchie des normes. Autrement dit, la France a l'obligation de se plier, en modifiant sa législation par exemple, aux exigences de la jurisprudence européenne même si elle n'est pas d'accord. En théorie, la CJUE peut d'ailleurs sanctionner un Etat qui ne respecte pas ce principe, à la demande de la Commission européenne ou d'un autre Etat membre.

C'est donc loin d'être anodin si le Conseil d'Etat décidait se ranger du côté du gouvernement alors que le droit européen le lui y interdit pour des raisons évidentes. En effet, si tous les Etats membres faisaient pareil, le principe même d'une législation commune n'aurait plus aucun sens.

La position réfractaire de la France a d'ailleurs failli empêcher le Conseil européen de présenter un texte définitif sur une révision de la directive "ePrivacy". L'Hexagone a demandé à plusieurs reprises à la présidence portugaise d'exclure la question de la conservation des métadonnées. 

Finalement, et après trois ans de blocage, le Conseil a présenté un compromis le 10 février 2021. "Le changement le plus important que la présidence portugaise a proposé est la réintroduction de la possibilité de traiter les métadonnées des communications électroniques et d’utiliser les capacités de traitement et de stockage des équipements terminaux des utilisateurs finaux, y compris la collecte d’informations pour un traitement ultérieur compatible", peut-on lire dans cette proposition qui va désormais être débattue devant le Parlement européen.

Free veut échapper à l'obligation de conservation
Les opérateurs se sont également saisis de cette affaire. Next INpact révélait que Free et Free Mobile ont déposé un recours devant le juge administratif pour faire annuler l'article R10-13 du le Code des postes et des communications électroniques. En effet, c'est ce texte qui impose aux opérateurs de communications électroniques de conserver un certain nombre de données pour besoins des enquêtes. Une décision est attendue d'ici quelques semaines.

La balance entre vie privée et sécurité nationale est au cœur des débats actuels. En décembre dernier, le Conseil d'Etat rappelait une fois nouvelle fois à la préfecture de police de Paris de cesser immédiatement d'utiliser des drones à des fins de surveillance des manifestations et des rassemblements.

"La circonstance que seules les données traitées par le logiciel de floutage parviennent au centre de commandement n'est pas de nature à modifier la nature des données faisant l'objet du traitement, qui doivent être regardées comme des données à caractère personnel", tranchait la plus haute juridiction administratif dans son ordonnance. Elle réclamait l'adoption d'un texte encadrant cette nouvelle pratique de surveillance considérée comme particulièrement intrusive dans la vie privée des citoyens.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.