L’arrêt French data network et autres du Conseil d’État du 21 avril 2021 et la conservation des données de connexion

Publié le 15/11/2021 - mis à jour le 15/11/2021 à 11H20
L’arrêt French data network et autres du Conseil d’État du 21 avril 2021 et la conservation des données de connexion
Spectral-Design / AdobeStock

Dans son arrêt French data network et autres du 21 avril 2021, le Conseil d’État a examiné la conformité des règles françaises de conservation des données de connexion au droit de l’Union européenne. Il a autorisé la conservation généralisée des données par les opérateurs de télécommunication au regard de la menace existante pour la sécurité nationale. Il a toutefois ordonné au gouvernement d’effectuer un « réexamen périodique de l’existence d’une telle menace » pour justifier cette conservation généralisée des données. Il lui a également demandé de subordonner l’exploitation de ces données par les services de renseignement à l’autorisation d’une autorité indépendante .

CE, ass., 21 avr. 2021, no 393099

Le droit français impose aux opérateurs de télécommunication de conserver pendant 1 an toutes les données de connexion des utilisateurs pour les besoins du renseignement et des enquêtes pénales1. Ces « métadonnées », qui ne portent pas sur le contenu des échanges, comprennent trois catégories : les données d’identité qui permettent d’identifier l’utilisateur d’un moyen de communication électronique, les données relatives au trafic (« fadettes ») et les données de localisation qui elles résultent du « bornage » d’un appareil par l’antenne relais à laquelle il s’est connecté.

Des associations actives dans le domaine de la protection des données personnelles, qui reprochaient au gouvernement de ne pas se conformer à la jurisprudence de la Cour de justice de l’Union européenne (CJUE) qui limite les possibilités d’imposer une conservation de ces données, ont saisi le Conseil d’État de recours contre plusieurs décrets. Elles ont contesté des dispositions réglementaires imposant aux opérateurs de télécommunication de conserver de manière généralisée et indifférenciée, pour une durée de 1 an, les données de trafic et de localisation. Elles ont également contesté les dispositions réglementaires permettant aux services de renseignement d’avoir accès à ces données.

Le Conseil d’État, qui a décidé de surseoir à statuer, s’est adressé en 20182 à la CJUE pour l’inviter à préciser la portée des règles figurant dans la directive n° 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, dite directive Vie privée et communications électroniques ou ePrivacy3 ainsi que dans le règlement général sur la protection des données (RGPD).

Dans sa décision rendue le 6 octobre 2020, la grande chambre de la CJUE est venue détailler les limites des pouvoirs reconnus aux États membres de l’Union européenne s’agissant du traitement des données personnelles aux fins de sauvegarde de la sécurité nationale et de la lutte contre la criminalité4.

La CJUE a confirmé que le droit de l’Union européenne s’oppose à une réglementation nationale imposant à un fournisseur de services de communications électroniques, à des fins de lutte contre les infractions en général ou de sauvegarde de la sécurité nationale, la conservation généralisée et indifférenciée de données relatives au trafic et à la localisation. En revanche, dans des situations dans lesquelles un État membre ferait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, celui-ci aura alors la possibilité de déroger à l’obligation d’assurer la confidentialité des données afférentes aux communications électroniques. Il pourra effectivement imposer une conservation généralisée et indifférenciée de ces données pour une durée temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace.

À la suite des précisions apportées par la CJUE, le Conseil d’État statuant en assemblée du contentieux a été amené à examiner la conformité du cadre juridique français au droit de l’Union européenne. Dans sa décision – fleuve (39 pages) – rendue le 21 avril 2021, il a affirmé la primauté de la Constitution française sur le droit européen et a précisé qu’il lui appartient de vérifier que l’application de ce droit, tel que précisé par la CJUE, ne compromet pas en pratique des exigences constitutionnelles qui ne sont pas garanties de façon équivalente par le droit de l’Union européenne. Selon le juge administratif, la conservation généralisée des données de connexion imposée aux opérateurs de télécommunication par le droit français se trouve aujourd’hui justifiée par la menace existante pour la sécurité nationale et cela conformément aux dérogations autorisées par la CJUE. Le gouvernement sera contraint de justifier chaque année par décret motivé de la permanence de cette menace.

Après avoir rappelé la position de la Cour de justice de l’Union européenne relative à la conservation des données de connexion (I), nous verrons que le Conseil d’État s’est refusé à exercer un contrôle ultra vires (II).Nous observerons ensuite qu’il a souhaité affirmer la primauté du texte constitutionnel français sur le droit de l’Union européenne (III) et qu’il s’est livré à une interprétation de la jurisprudence de la CJUE lui permettant de concilier le respect du droit de l’Union européenne et l’efficacité de la lutte contre la criminalité (IV).

I – La décision de la Cour de justice de l’Union européenne du 6 octobre 2020

Dans son arrêt La Quadrature du Net et autres du 6 octobre 2020, la CJUE est venue répondre aux questions préjudicielles qui lui ont été posées par le Conseil d’État. Ce dernier lui avait notamment demandé si l’obligation de conservation généralisée et indifférenciée des données imposée aux opérateurs ne devait pas être regardée « dans un contexte marqué par des menaces graves et persistantes pour la sécurité nationale (…) comme une ingérence justifiée par le droit à la sûreté garanti à l’article 6 de la Charte des droits fondamentaux de l’Union européenne et les exigences de la sécurité nationale, dont la responsabilité incombe aux seuls États membres en vertu de l’article 4 du traité sur l’Union européenne ».

Il ressort de la décision La Quadrature du Net et autres que la CJUE ne revient pas sur son arrêt Tele2 Sverige5 du 21 décembre 2016 dans lequel elle avait clairement condamné le principe d’une conservation généralisée des données de connexion des utilisateurs des moyens de communications électroniques6.

L’arrêt La Quadrature du Net et autres du 6 octobre 2020 affirme que ces derniers « sont en droit de s’attendre, en principe, à ce que leurs communications et les données y afférentes restent, en l’absence de leur consentement, anonymes et ne puissent pas faire l’objet d’un enregistrement » (pt 109). Il indique que « la conservation des données relatives au trafic et des données de localisation à des fins policières est susceptible, à elle seule, de porter atteinte au droit au respect des communications, consacré à l’article 7 de la charte [des droits fondamentaux], et d’entraîner des effets dissuasifs sur l’exercice par les utilisateurs des moyens de communications électroniques de leur liberté d’expression, garantie à l’article 11 de celle-ci » (pt 118).Toutefois, selon la CJUE, ces droits fondamentaux « n’apparaissent pas comme étant des prérogatives absolues » et « doivent être pris en considération par rapport à leur fonction dans la société » (pt 120). Ils doivent donc être conciliés avec le droit à la sûreté.

Pour les juges de Luxembourg, la conservation généralisée et indifférenciée de données relatives au trafic et à la localisation ne peut être imposée aux opérateurs de télécommunication que pour les besoins de la sécurité nationale en cas de menace grave.

L’objectif de sauvegarde de la sécurité nationale est « susceptible de justifier des mesures comportant des ingérences dans les droits fondamentaux plus graves que celles que pourraient justifier [l]es autres objectifs » (pt 136).

La CJUE souligne que la directive Vie privée et communications électroniques du 12 juillet 2002 « ne s’oppose pas, en principe, à une mesure législative qui autorise les autorités compétentes à enjoindre aux fournisseurs de services de communications électroniques de procéder à la conservation des données relatives au trafic et des données de localisation de l’ensemble des utilisateurs des moyens de communications électroniques pendant une période limitée, dès lors qu’il existe des circonstances suffisamment concrètes permettant de considérer que l’État membre concerné fait face à une menace grave (…) pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible » (pt 137).

La décision faisant injonction aux fournisseurs de services de communications électroniques de procéder à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, doit « faire l’objet d’un contrôle effectif soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant » (pt 139). Cette décision ne peut être prise que « pour une période temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de cette menace » (pt 138).

Afin de lutter contre la criminalité grave ou de prévenir des menaces graves contre la sécurité publique, les États membres de l’Union européenne peuvent imposer « la conservation ciblée de données dans certaines zones ou pour certaines catégories de personnes pré-identifiées comme présentant des risques particuliers ». La CJUE exige que la conservation ciblée de données relatives au trafic et de données de localisation repose sur des « éléments objectifs et non discriminatoires ». Elle précise également que la durée des mesures de conservation ciblée des données « ne saurait dépasser celle qui est strictement nécessaire » (pt 151), un « renouvellement éventuel » étant envisageable en cas de persistance de la menace.

De plus, comme le prévoit la convention de Budapest sur la cybercriminalité du 23 novembre 20017, qui a été ratifiée par la France, les autorités nationales peuvent demander aux opérateurs de télécommunication de geler les données de trafic et de localisation relatives à une personne, pour les besoins d’une enquête pénale, sur une courte période (méthode dite de « conservation rapide » des données). La Cour de justice de l’Union européenne reconnaît aux États membres de l’Union européenne la « possibilité, au moyen d’une décision de l’autorité compétente soumise à un contrôle juridictionnel effectif, d’enjoindre aux fournisseurs de services de communications électroniques de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont ils disposent » (pt 163).

Enfin, on observera que, dans un arrêt du 2 mars 20218, la CJUE a confirmé l’interprétation de la directive ePrivacy qu’elle a donnée dans son arrêt La Quadrature du Net et autres. Elle a notamment jugé que « l’accès, à des fins pénales, à un ensemble de données de communications électroniques relatives au trafic ou à la localisation, permettant de tirer des conclusions précises sur la vie privée, n’est autorisé qu’en vue de lutter contre la criminalité grave ou de prévenir des menaces graves contre la sécurité publique »9.

II – Le refus du Conseil d’État d’exercer un contrôle ultra vires

La haute juridiction administrative n’a pas souhaité exercer un contrôle ultra vires. Elle a clairement refusé de contrôler que les organes de l’Union européenne, et notamment la CJUE, n’ont pas excédé leurs compétences.

Elle n’a pas suivi le gouvernement qui lui demandait de juger que l’arrêt La Quadrature du Net et autres de la CJUE du 6 octobre 2020 ne respecte pas la répartition des compétences entre l’Union européenne et ses États membres.

Dans ses conclusions rendues le 16 avril 2021, Alexandre Lallet, rapporteur public au Conseil d’État, a d’ailleurs évoqué le caractère inédit d’une telle demande : « Pour la première fois depuis la signature du traité de Rome, [le gouvernement] vous demande (…) de ne pas appliquer une décision de la Cour de justice de l’Union européenne » car il estime qu’elle « compromet purement et simplement l’exercice de leurs missions tant par les services de renseignement que par les services d’enquête judiciaire »10.

Le gouvernement a soutenu que « la réponse apportée par la Cour de justice de l’Union européenne aux questions préjudicielles qui lui étaient posées a manifestement méconnu le principe d’attribution prévu à l’article 5 du traité sur l’Union européenne (TUE) en empiétant sur les compétences appartenant aux États membres en vertu de l’article 4 paragraphe 2 de ce traité »11.

On rappellera que selon l’article 4, paragraphe 2, du TUE, « l’Union respecte l’égalité des États membres devant les traités et leur identité nationale inhérente à leurs structures fondamentales, politiques et constitutionnelles, y compris leur système d’autonomie locale et régionale. Elle respecte les fonctions essentielles de l’État, notamment celles de sauvegarder l’intégrité territoriale, de maintenir l’ordre public et de sauvegarder la sécurité nationale. En particulier, la sécurité nationale reste la responsabilité exclusive de chaque État membre ».

Dans son arrêt French Data Network et autres, le Conseil d’État a souligné qu’« il n’appartient pas au juge administratif de s’assurer du respect, par le droit dérivé de l’Union européenne ou par la Cour de justice elle-même, de la répartition des compétences entre l’Union européenne et les États membres » (pt 8). Il a indiqué qu’il « ne saurait ainsi exercer un contrôle sur la conformité au droit de l’Union des décisions de la Cour de justice et, notamment, priver de telles décisions de la force obligatoire dont elles sont revêtues, rappelée par l’article 91 de son règlement de procédure, au motif que celle-ci aurait excédé sa compétence en conférant à un principe ou à un acte du droit de l’Union une portée excédant le champ d’application prévu par les traités » (pt 8).

Ce faisant, la décision French Data Network et autres du juge administratif français se distingue de l’arrêt du 5 mai 2020 de la Cour constitutionnelle fédérale d’Allemagne (BVerfG) concernant le programme d’achat d’actifs du secteur public sur les marchés secondaires, dit « PSPP » de la Banque centrale européenne (BCE)12. En effet, dans cette célèbre décision, la Cour de Karlsruhe a écarté au titre de l’ultra vires la décision de la BCE portant sur le programme PSPP et l’arrêt Weiss de la CJUE du 11 décembre 2018 qui avait affirmé que ce programme n’enfreignait pas le droit de l’Union européenne13.

III – Le droit de l’Union européenne et les exigences constitutionnelles

Le Conseil d’État vient réaffirmer avec force que « la Constitution française demeure la norme suprême du droit national »14. Il souligne que « tout en consacrant l’existence d’un ordre juridique de l’Union européenne intégré à l’ordre juridique interne, (…) l’article 88-1 confirme la place de la Constitution au sommet de ce dernier » (pt 5).

Il précise également qu’« il appartient au juge administratif, s’il y a lieu, de retenir de l’interprétation que la Cour de justice de l’Union européenne a donné des obligations résultant du droit de l’Union la lecture la plus conforme aux exigences constitutionnelles autres que celles qui découlent de l’article 88-1, dans la mesure où les énonciations des arrêts de la Cour le permettent. Dans le cas où l’application d’une directive ou d’un règlement européen, tel qu’interprété par la Cour de justice de l’Union européenne, aurait pour effet de priver de garanties effectives l’une de ces exigences constitutionnelles, qui ne bénéficierait pas, en droit de l’Union, d’une protection équivalente, le juge administratif, saisi d’un moyen en ce sens, doit l’écarter dans la stricte mesure où le respect de la Constitution l’exige » (pt 5).

L’arrêt French data network et autres du 21 avril 2021 s’inscrit ici dans le sillage de la jurisprudence Arcelor. Dans son arrêt Arcelor, rendu le 8 février 200715, le Conseil d’État est venu définir les modalités de la conciliation du principe de suprématie de la Constitution avec l’exigence de transposition des directives européennes. Comme l’a rappelé Jean-Marc Sauvé, il a jugé que « pour examiner si un acte de transposition des dispositions précises et inconditionnelles d’une directive méconnaît un principe de valeur constitutionnelle, il doit d’abord rechercher si un principe similaire existe et se trouve effectivement protégé en droit de l’Union, auquel cas il lui revient de contrôler la conformité de la directive à ce principe, le cas échéant en posant une question préjudicielle à la Cour de justice de l’Union (…). Si, en revanche, le principe constitutionnel invoqué ne fait pas l’objet d’une protection effective en droit de l’Union, le juge administratif accepte de contrôler directement la conformité à la Constitution de l’acte contesté »16.

En l’espèce, l’État soutenait que les dispositions réglementaires, contestées au motif qu’elles seraient contraires au droit de l’Union européenne, ne sauraient être écartées sans priver de garanties effectives les objectifs de valeur constitutionnelle de sauvegarde des intérêts fondamentaux de la Nation, de prévention des atteintes à l’ordre public et de recherche des auteurs d’infractions pénales et de lutte contre le terrorisme.

L’arrêt French data network et autres du 21 avril 2021 rappelle que la sauvegarde des intérêts fondamentaux de la Nation, la prévention des atteintes à l’ordre public, la lutte contre le terrorisme ainsi que la recherche des auteurs d’infractions pénales sont des exigences constitutionnelles. Elles constituent « des objectifs de valeur constitutionnelle, nécessaires à la sauvegarde de droits et de principes de même valeur, qui doivent être conciliés avec l’exercice des libertés constitutionnellement garanties, au nombre desquelles figurent la liberté individuelle, la liberté d’aller et venir et le respect de la vie privée » (pt 9).

Le Conseil d’État observe que ces exigences constitutionnelles ne bénéficient pas en droit de l’Union européenne d’une « protection équivalente »17 à celle que garantit la Constitution du 4 octobre 1958 (pt 10). « Il doit donc s’assurer que les limites définies par la CJUE ne mettent pas en péril ces exigences constitutionnelles »18.

IV – L’interprétation de l’arrêt de la CJUE par le Conseil d’État

Le juge administratif n’a pas eu besoin de recourir à la fameuse clause de sauvegarde constitutionnelle, laquelle clause lui permet de vérifier si une disposition réglementaire adoptée en application d’une directive européenne respecte bien une exigence prévue par le droit constitutionnel français qui ne disposerait pas d’une « protection comparable » en droit de l’Union européenne.

Le Conseil d’État s’est appuyé sur la décision La Quadrature du Net et autres de la CJUE, qui précise les conditions très strictes dans lesquelles les États membres de l’Union européenne sont autorisés à déroger à l’obligation d’assurer la confidentialité des données afférentes aux communications électroniques en enjoignant aux services de communications électroniques une conservation généralisée et indifférenciée de ces données. Mais si le juge administratif a bien pris en compte l’arrêt La Quadrature du Net et autres de la CJUE, il ne l’a pas appliqué à la lettre.

A – La conservation généralisée des données de connexion justifiée par une menace existante pour la sécurité nationale

Le Conseil d’État a relevé que la conservation généralisée des données de connexion actuellement imposée aux opérateurs de télécommunication par le droit français est justifiée par une menace pour la sécurité nationale, comme cela est requis par la CJUE.

Il a considéré que cette menace est ininterrompue depuis les attentats de 2015. Elle « est, à la date de la présente décision, non seulement prévisible mais aussi actuelle ». Le juge administratif a constaté qu’elle procède d’abord « de la persistance d’un risque terroriste élevé ». Mais il a également indiqué que la France « est particulièrement exposée au risque d’espionnage et d’ingérence étrangère, en raison notamment de ses capacités et de ses engagements militaires et de son potentiel technologique et économique » et qu’elle est « confrontée à des menaces graves pour la paix publique, liées à une augmentation de l’activité de groupes radicaux et extrémistes » (pt 44).

S’agissant de la durée de conservation des données de connexion, le Conseil d’État a précisé qu’il ne ressort pas des pièces du dossier que « la durée de conservation de ces données, fixée à un an, ne serait pas strictement nécessaire aux besoins de la sauvegarde de la sécurité nationale » (pt 44).

Il est à noter que l’interprétation large de la notion de « menace » pour la sécurité nationale par le Conseil d’État a été critiquée par les associations requérantes. La Quadrature du Net, qui est l’une des associations à l’origine de la procédure initiée il y a 6 ans, a vu dans l’arrêt French data network et autres la consécration d’un « état d’urgence permanent »19.

Conformément aux exigences de la CJUE, le Conseil d’État a imposé au gouvernement de procéder, sous le contrôle du juge administratif, à un réexamen périodique de l’existence de la menace pour la sécurité nationale. Le gouvernement devra modifier les dispositions réglementaires contestées afin d’intégrer cette exigence de réévaluation régulière.

La décision du juge administratif a donné raison aux associations requérantes en annulant les décisions du Premier ministre refusant d’abroger l’article R. 10-13 du Code des postes et des communications électroniques20 et le décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne. Il est enjoint au Premier ministre de procéder à l’abrogation de ces dispositions réglementaires dans un délai de 6 mois dans la mesure où elles « ne prévoient pas un réexamen périodique de l’existence d’une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale » et « ne limitent pas les finalités de l’obligation de conservation généralisée et indifférenciée des données de trafic et de localisation autres que les données d’identité civile, les coordonnées de contact et de paiement, les données relatives aux contrats et aux comptes et les adresses IP à la sauvegarde de la sécurité nationale ».

B – La conservation des données de connexion et la lutte contre les infractions pénales

Le Conseil d’État a jugé « illégale » l’obligation de conservation généralisée des données (hormis les données peu sensibles : état civil, adresse IP, comptes et paiements) pesant sur les opérateurs de télécommunication pour les besoins autres que ceux de la sécurité nationale, en particulier la poursuite des infractions pénales.

Pour ces infractions, le juge administratif a affirmé que la solution préconisée par la CJUE de conservation ciblée en amont des données n’est pas matériellement possible. Il a jugé que la conservation ciblée des données de certaines catégories de personnes ou recueillies dans certaines zones géographiques à risque « présenterait un intérêt opérationnel particulièrement incertain, dès lors qu’elle ne permettrait pas, y compris en cas de faits particulièrement graves, d’accéder aux données de connexion d’une personne suspectée d’une infraction qui n’aurait pas été préalablement identifiée comme étant susceptible de commettre un tel acte » (pt 54).

En revanche, la méthode de « conservation rapide » des données de trafic et des données de localisation autorisée par le droit de l’Union européenne « peut à ce jour s’appuyer sur le stock de données conservées de façon généralisée pour les besoins de la sécurité nationale, et peut être utilisée pour la poursuite des infractions pénales »21.

En ce qui concerne la distinction établie par la CJUE entre la « criminalité grave » et la « criminalité ordinaire », pour laquelle aucune conservation ou utilisation de données de connexion n’est autorisée, le Conseil d’État a rappelé que « le principe de proportionnalité entre gravité de l’infraction et importance des mesures d’enquête mises en œuvre, qui gouverne la procédure pénale, justifie également que le recours aux données de connexion soit limité aux poursuites d’infractions d’un degré de gravité suffisant »22.

Selon le Conseil d’État, la décision de la CJUE n’oblige pas le législateur à énumérer les infractions relevant du champ de la criminalité grave en se référant à « des catégories strictement prédéfinies en droit interne ». « Le rattachement d’une infraction pénale à la criminalité grave a (…) vocation à s’apprécier de façon concrète, sous le contrôle du juge pénal, au regard de la nature de l’infraction commise et de l’ensemble des faits de l’espèce » (pt 38).

C – L’accès des services de renseignement aux données de connexion

S’agissant de l’exploitation des données de connexion par les services de renseignement, le Conseil d’État a constaté que le contrôle préalable par une autorité administrative indépendante prévu par le droit français n’est pas suffisant, dans la mesure où l’avis émis par la Commission nationale de contrôle des techniques de renseignement (CNCTR)23 avant toute autorisation n’est qu’un avis consultatif. Le cadre réglementaire existant devra donc être modifié dans un délai de 6 mois afin d’attribuer un caractère contraignant aux avis rendus par la CNCTR. Le Conseil d’État qui a suivi la jurisprudence de la CJUE, a jugé que le droit national doit « être modifié, même si, en pratique, le Premier ministre n’a jamais outrepassé un avis défavorable de la CNCTR pour l’accès des services de renseignement à des données de connexion ».

Il a annulé les décrets du 11 décembre 2015 et du 29 janvier 2016 dans la mesure où ils permettent « la mise en œuvre des dispositions des articles L. 851-1, L. 851-2, L. 851-4 et du IV de l’article L. 851-3 du Code de la sécurité intérieure sans contrôle préalable par une autorité administrative indépendante dotée d’un pouvoir d’avis conforme ou une juridiction, en dehors des cas d’urgence dûment justifiée ».

On notera qu’en 2015, lors du débat au Parlement concernant le projet de loi relatif au renseignement, des parlementaires n’étaient pas parvenus à faire adopter des amendements donnant à la CNCTR le pouvoir de donner un avis conforme. Ainsi, l’Assemblée nationale avait rejeté un amendement visant à octroyer à la CNCTR « un véritable pouvoir de contrôle, en exigeant que son avis lie le gouvernement au lieu d’être simplement consultatif »24.

En conclusion, il apparaît que cette décision très attendue du Conseil d’État est particulièrement importante car elle permet de concilier la protection des droits fondamentaux et l’accès aux données de connexions par les autorités compétentes à des fins de sécurité nationale et de lutte contre la criminalité. On retiendra que la plus haute juridiction administrative a refusé d’exercer un contrôle ultra vires à l’allemande qui aurait entraîné une guerre ouverte avec les juges de Luxembourg. Mais elle a néanmoins opté pour un « dialogue rugueux »25 avec la CJUE et a souligné l’inefficacité de certaines solutions proposées par la Cour de justice de l’Union européenne. Ce faisant, force est constater que la décision French data network et autres du Conseil d’État se distingue nettement de la décision de la Cour constitutionnelle belge du 22 avril 202126. Celle-ci a fait une lecture très différente de l’arrêt La Quadrature du Net et autres de la CJUE en annulant les dispositions de la loi belge du 29 mai 2016 qui imposaient une conservation généralisée et indifférenciée des données de connexion27.

Notes de bas de pages

  • 1.
    Ces données de connexion sont devenues un élément essentiel pour les enquêtes pénales, quatre enquêtes sur cinq reposant sur l’exploitation de ces données. En 2020, 2,5 millions de réquisitions judiciaires ont été transmises aux plateformes des opérateurs contre 1,8 million en 2017 (V. les conclusions du rapporteur public Alexandre Lallet, avr. 2021, p. 2).
  • 2.
    CE, 26 juill. 2018, nos 394922, 394925, 397844 et 397851, Quadrature du Net et a. et Igwan.net.
  • 3.
    Cette directive n° 2002/58/CE du 12 juillet 2002, modifiée par la directive n° 2009/136/CE du 25 novembre 2009, a été transposée en droit français par l’ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques.
  • 4.
    CJUE, 6 oct. 2020, nos C-511/18, C-512/18 et C-520/18, La Quadrature du Net et a.
  • 5.
    CJUE, 21 déc. 2016, n° C-203/15. Cette décision a été critiquée par le rapport qui a été rendu par la mission d’information parlementaire sur l’évaluation de la loi du 24 juillet 2015 relative au renseignement. Selon la mission d’information, la décision Tele2 Sverige « s’apparente à un hold-up jurisprudentiel de la Cour de justice de l’Union européenne qui a débordé de sa compétence en méconnaissance des stipulations du Traité sur l’Union européenne, réservant la sécurité nationale à la compétence des États membres ». Elle est « une épée de Damoclès pour les services de renseignement » (V. rapp. AN n° 3069, 10 juin 2020).
  • 6.
    Dans cet arrêt Tele2 Sverige, la grande chambre de la CJUE a affirmé que le droit de l’UE s’oppose « à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ». Cette décision s’inscrit dans le prolongement de l’arrêt Digital Rights Ireland du 8 avril 2014 de la CJUE qui avait invalidé la directive n° 2006/24/CE du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications. Ce texte obligeait les opérateurs de télécommunication à conserver les données relatives aux communications de leurs abonnées pour une « durée minimale de six mois et maximale de deux ans » en vue de leur exploitation « à des fins de recherche, de détection et de poursuite d’infractions graves ».
  • 7.
    Le décret portant publication de cette convention du Conseil de l’Europe a été publié au Journal Officiel du 24 mai 2006 (D. n° 2006-580, 23 mai 2006, portant publication de la Convention sur la cybercriminalité, faite à Budapest le 23 novembre 2001 : JO, 24 mai 2006, p. 7568).
  • 8.
    CJUE, 2 mars 2021, n° C-746/18, H. K. c/ Prokuratuur.
  • 9.
    CJUE, 2 mars 2021, communiqué de presse n° 29/21.
  • 10.
    V. les conclusions du rapporteur public Alexandre Lallet, avr. 2021, p. 23.
  • 11.
    Le gouvernement a également fait valoir que cette réponse de la CJUE n’était pas de nature « à garantir l’effectivité des objectifs de valeur constitutionnelle de sauvegarde des intérêts fondamentaux de la Nation, de prévention des infractions et de recherche des auteurs d’infractions pénales et de lutte contre le terrorisme, composante de l’objectif de valeur constitutionnelle de protection de l’ordre public ».
  • 12.
    BVerfG, 5 mai 2020, 2 BvR 859/15, 2 BvR 1651/15, 2 BvR 2006/15, 2 BvR 980/16.
  • 13.
    V. J.-C. Zarka, « L’arrêt du 5 mai 2020 de la Cour constitutionnelle fédérale d’Allemagne concernant le programme PSPP de la Banque centrale européenne », LPA 3 juill. 2020, n° 154f6, p. 7.
  • 14.
    CE, 21 avr. 2021, communiqué de presse.
  • 15.
    CE, 8 févr. 2007, n° 287110, Sté Arcelor Atlantique et Lorraine et a. : Lebon, p. 56.
  • 16.
    Discours prononcé le 19 octobre 2017 par Jean-Marc Sauvé, alors vice-président du Conseil d’État, au Congrès du 25e anniversaire de l’Académie de droit européen (ERA) à Trèves : « L’autorité du droit de l’Union européenne : le point de vue des juridictions constitutionnelles et suprêmes », disponible à l’adresse suivante : https://lext.so/qFfn37.
  • 17.
    V. F.-X. Millet, « Réflexions sur la notion de protection équivalente des droits fondamentaux », RFDA 2012, p. 307.
  • 18.
    CE, 21 avr. 2021, communiqué de presse.
  • 19.
    V. J.-B. Jacquin, « Le Conseil d’État autorise la conservation des données de connexion », Le Monde, 23 avr. 2021.
  • 20.
    L’actuel article R. 10-13 du Code des postes et des communications électroniques contraint les opérateurs de communications électroniques à conserver pendant 1 an « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales », un certain nombre de données de leurs clients.
  • 21.
    CE, 21 avr. 2021, communiqué de presse.
  • 22.
    CE, 21 avr. 2021, communiqué de presse.
  • 23.
    Créée par la loi n° 2015-912 du 24 juillet 2015 relative au renseignement, la CNCTR qui est composée de magistrats, de parlementaires et d’une personnalité qualifiée, est chargée du contrôle externe de la légalité de l’activité des services de renseignement.
  • 24.
    V. amendement n° 289, 9 avr. 2015, sur le projet de loi relatif au renseignement, déposé par des députés du groupe socialiste, écologiste et républicain, disponible à l’adresse suivante : https://lext.so/FaRvM_.
  • 25.
    Pour reprendre l’expression du vice-président du Conseil d’État, Bruno Lasserre (V. J.-B. Jacquin, « Le Conseil d’État autorise la conservation des données de connexion », Le Monde, 23 avr. 2021).
  • 26.
    Cour const. belge, 22 avr. 2021, n° 57/2021.
  • 27.
    V. M.-C. de Montecler, « Conservation des données : la Cour constitutionnelle belge donne sa lecture de l’arrêt La Quadrature du net », AJDA 2021, p. 897.
X