La CJUE revient à la charge sur la la question de la conservation des données de connexion

 

Paysage irlandais… mais pas question de Google Ireland cette fois!

 
 

Près d’un an après l’arrêt du Conseil d’Etat, du 21 avril 2021, La Quadrature du net, que nous n’avions pas manqué de commenter dans le présent blog, l’épineuse question de l’exploitation des données connexion des utilisateurs des services de téléphonie et des fournisseurs d’accès à internet revient sur le devant de la scène avec un arrêt du 5 avril 2022, de la Cour de justice de l’Union européenne Commissioner of the Garda Síochána e.a. (C‑140/20). Cette affaire nous mène une nouvelle fois en Irlande, mais cette fois, rien à voir avec Google et ses serveurs : c’est d’une affaire criminelle dont il était question — « Garda Síochána », qui signifie « gardiens de la paix » est le nom de la police nationale d’Irlande, partie devant la Cour de justice de l’Union européenne.

La Cour de justice y vient rappeler son opposition à la conservation et à l’exploitation généralisée et indifférenciée des données de connexion des utilisateurs de téléphonie, même à des fins de lutte contre la criminalité grave — pour reprendre la typologie qu’elle a elle-même élaborée dans l’arrêt La Quadrature — et censure, par conséquent, les dispositions du droit national irlandais qui instituaient un tel contrôle.

Rappelons que, jusqu’à l’arrêt La Quadrature du net, le droit français imposait aux opérateurs de téléphonie et aux fournisseurs d’accès à internet de conserver, de façon généralisée et indifférenciée — ou en vrac pour reprendre un terme déjà employé à l’occasion du Cloud act , c’est-à-dire, sans critère de ciblage, toutes les données de connexion de leurs utilisateurs, y compris les données de trafic historiques de navigation, historiques des appels entrants et sortants aux fins de la poursuite des infractions pénales. Ainsi, une telle obligation de conservation généralisée ne se cantonnait pas au cadre limité du maintien de la sûreté de l’Etat, mais pouvait être employée de façon beaucoup plus large, dans le cadre de la lutte contre la criminalité, ce qui justifiait d’ailleurs qu’aient accès aux données conservées, non seulement les services de renseignement, mais encore les directions centrales de la police judiciaire.

Il va sans dire qu’un tel dispositif juridique apparaît, a posteriori, comme manifestement contraire au droit de l’Union…

Certes, la législation française relative à la conservation et à l’exploitation des données de connexion des utilisateurs des réseaux de communication électronique a notoirement évolué depuis maintenant un an. D’une part, l’arrêt La Quadrature a appelé l’intervention du législateur, dans la mesure où le Conseil d’Etat, faisant application de ses pouvoirs de juge de la conventionnalité, a écarté les dispositions de loi contraires aux objectifs de la directive e-privacy, telle qu’interprétée par la Cour de justice. D’autre part, le Premier ministre a, lui aussi, dû répondre à l’injonction qui lui était faite par ce même Conseil d’Etat, de modifier les dispositions réglementaires incriminées. Enfin, notons, de manière intéressante que le Conseil constitutionnel est parvenu au mêmes conclusions que la Cour de justice, sur le fondement du seul droit Constitutionnel français.

Toutefois, des divergences d’interprétation demeurent quant à la position du Conseil d’Etat (français) et la Cour de justice de l’Union européenne, notamment sur la possibilité technique, et l’opportunité, de procéder à un ciblage des données concernées.

C’est ce que la Cour de justice de l’Union européenne vient rappeler ici, à l’occasion de cette affaire irlandaise.

L’arrêt de la CJUE du 5 avril 2022 : une réaffirmation de la nécessité d’une conservation ciblée des données de connexion

La législation irlandaise relative à la conservation des données de connexion à des fins de la lutte contre la criminalité en question

Condamné pour meurtre en 2015, un dénommé G.D. contestait, en appel, la régularité, au regard du droit de l’Union européenne, de l’usage de ses données téléphoniques de trafic et de localisation, en tant qu’éléments de preuve.

En effet, le droit irlandais obligeait, d’une part, les opérateurs de téléphonie à conserver, de manière généralisée et indifférenciée les données de connexion téléphonique, c’est-à-dire l’heure, la source et la destination d’une communication, ainsi que sa géolocalisation. D’autre part, il autorisait les services de police à accéder auxdites données, à des fins, non seulement de sauvegarde de la sûreté de l’Etat, mais encore à la prévention, de détection, de recherche ou de poursuite d’une infraction grave.

L’intéressé, qui avait fait appel de sa condamnation pénal, excipait de l’incompatibilité d’une telle législation avec le droit de l’Union, d’où le renvoi préjudiciel de la Cour suprême d’Irlande.

La question dont était ici saisie la Cour de justice se limitait à la conservation des données de connexion et à leur accès, à des fins de lutte contre la criminalité. La Cour n’était donc invitée à se prononcer sur un dispositif de conservation et de collecte prévu à des fins de sauvegarde de la sûreté de l’Etat, pour suivre la typologie qu’elle a employé dans son arrêt La Quadrature du Net (C‑511/18 et C‑512/18).

Rappel du cadre européen : arrêts Tele2 et La Quadrature

L’on sait que, dans un arrêt Tele2 Sverige AB (C‑203/15), du 21 décembre 2016, la Cour de justice s’était déjà opposée à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique.

C’est d’ailleurs ce principe de l’interdiction d’une conservation généralisée et indifférenciée — par opposition à une conservation ciblée — qui sera repris dans l’arrêt La Quadrature, et étendu à l’ensemble des hypothèses d’application de l’article 15 de la directive e-privacy, avec les exceptions que l’on connaît.

En effet, l’on sait que si l’article 5 de cette directive institue un principe de confidentialité des communications, qui interdit en principe aux tiers l’accès aux communications électroniques, et leur conservation, l’article 15 de cette même directive leur permet de déroger à une telle règle lorsqu'une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d'une société démocratique, pour sauvegarder la sécurité nationale - c'est-à-dire la sûreté de l'État - la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d'infractions pénales ou d'utilisations non autorisées du système de communications électroniques.

précisions sur les critères de ciblage objectifs et non-discriminatoires

Dans la continuité de sa jurisprudence, notamment des arrêt Tele2 et La Quadrature, la Cour de justice considère évidemment comme contraire au droit de l’Union européenne le dispositif de collecte généralisée et indifférenciée, prévu par le droit irlandais. En effet, reprenant en cela quasiment à l’identique ses précédentes formulations, la Cour estime que, en matière de lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, la législation doit se contenter d’une conservation ciblée et limitée dans le temps à ce qui est nécessaire, mais renouvelable — hormis l’hypothèse de la conservation des adresses IP et des données d’identification des utilisateurs des réseaux, où la possibilité d’une conservation et d’une collecte indifférenciée perdurent, comme on l’a vu précédemment.

La Cour précise encore, reprenant, là encore, la formule de l’arrêt la Quadrature, que les critères de ciblages doivent être objectifs et non-discriminatoires, précision importante, mais difficile à mettre en pratique, comme en témoigne d’ailleurs le refus du Conseil d’Etat de transposer, pour ainsi dire, une telle interprétation jurisprudentielle.

De façon intéressante, la Cour de justice apporte, dans son arrêt, des précisions sur ce qu’il convient de considérer comme des critères de ciblage objectifs et non-discriminatoires, en fonction des catégories de personnes ou de critères géographiques. Ainsi, par exemple, l’autorité de police peut surveiller spécifiquement les individus ayant déjà fait l’objet d’une condamnation pénale pour des faits de criminalité grave. De même, elle peut se fonder sur des critères géographiques, lorsqu’il peut être établi que le lieu en question implique un plus fort risque de criminalité grave. Sont évidemment concernés les lieux de forte affluence tels que les aéroports ou les lieux stratégiques ou sensibles — centrales nucléaires, installations militaires, etc.

De façon plus surprenante, la Cour de justice estime encore que les autorités nationales peuvent se fonder sur le taux de criminalité observé dans une zone donnée pour caractériser une zone de ciblage… L’on peut s'interroger sur la pertinence d’un tel critère, et sur son applicabilité au contexte culturel français, où celui-ci passerait facilement pour une forme de discrimination — d’où peut-être, d’ailleurs la réticence du Conseil d’Etat.

Un accès par les autorités de l’Etat qui doit être subordonné à l’autorisation préalable d’une juridiction ou d’une autorité administrative indépendante

Interrogée en cela, par l’une des questions préjudicielles qui lui étaient adressées, la Cour de justice considère qu’une législation, semblable à la législation irlandaise dont il a été précédemment question, et qui ne permet qu’un contrôle juridictionnel a posteriori, de l’injonction d’accès aux données de connexion conservées par le service de communications électroniques, est contraire au droit de l’Union européenne.

La Cour de justice estime, en effet, que, compte tenu de la gravité de l’intrusion qu’il implique, du point de vue des droits et libertés, il est nécessaire qu’un tel accès soit subordonné à l’autorisation préalable d’une juridiction ou d’une autorité administrative indépendante.

Cette précision n’est par surprenante car, déjà dans son arrêt La Quadrature, la Cour de justice imposait le contrôle d’une juridiction ou d’une autorité administrative dotée d’un avis contraignant. La Cour met néanmoins ici l’accent sur le caractère obligatoirement préalable d’un tel contrôle.

L’impossibilité d’une exploitation ciblée des données en droit interne français

L’hostilité du Conseil d’Etat à Collecte ciblée des donnees de connexion, à des fins de lutte contre la criminalité grave

En France, la possibilité, offerte par la Cour de justice, et réaffirmée dans son arrêt Garda Síochána, de procéder à une conservation, et à une exploitation ciblées des données de connexion des utilisateurs des opérateurs de réseaux électroniques, se heurte à la réticence qu’y a opposée le Conseil d’Etat dans son arrêt La Quadrature, de 2021, laquelle s’est in fine, prolongée dans la législation qui en a résulté.

En effet, comme on l’a dit alors, le Conseil d’Etat considère comme irréaliste et contre-performante une telle conservation ciblée, ne manquant pas, d’ailleurs, d’exposer assez abondamment les motifs d’un tel scepticisme. Ainsi, le système français des relais de téléphonie mobile n'est pas compatible avec des limites géographiques prédéfinies et, l'information de localisation n'est pas systématiquement présente dans les données collectées, ce qui rendrait particulièrement hasardeux, d’un point de vue technique, la mise en place d’un critère de ciblage géographique. De plus, quant bien même celui-ci serait techniquement possible, il ne serait pas aisé de cibler des profils utilisateurs à risques: existence de primodélinquants, usage cartes de téléphones pré-payés, et donc intraçables, etc.

Aussi, le Conseil d’Etat, a-t-il choisi, d’exclure tout bonnement la conservation et l’exploitation des données de connexion — autres que les coordonnées de contact et de paiement, les données relatives aux contrats et aux comptes et les adresses IP — pour toute finalité autre que la sauvegarde de la sécurité nationale, et de censurer, en conséquence, les dispositions des articles R. 10-13 et R. 10-14 du code des postes et des communications électroniques, alors en vigueur, qui encadraient les obligations de conservation.

L’intervention du législateur et du pouvoir réglementaire suite à l’arrêt La Quadrature du Conseil d’Etat

Le Conseil d’Etat ayant écarté l’application de l’article L. 34-1 du code des postes et des communications électroniques et enjoint au Premier ministre de procéder, dans un délai de six mois, à la modification des dispositions litigieuses des articles R. 10-13 et R. 10-14 du même code, le législateur et le pouvoir réglementaire n’ont eu d’autre choix que de se conformer à son interprétation restrictive.

Ainsi, une loi du 30 juillet 2021 (n°2021-998) a supprimé, dans la rédaction du III de l’article L. 34-1 précité, toute référence à la conservation des données de trafic — c’est-à-dire les historiques de navigation, les historiques des appels entrants et sortants, etc. — pour des finalités autres que la sauvegarde de la sécurité nationale. Un décret du 20 octobre 2021 (n° 2021-1361) est également venu modifier, en conséquence, les articles R. 10-13 et R. 10-14.

Seules demeurent donc exploitables, pour la recherche, de la constatation et de la poursuite des infractions pénales , les données ne relevant pas du trafic, c’est-à-dire, les adresses IP des utilisateurs, les données d’identification et de paiement qu’ils ont confiées aux opérateurs de réseaux de communications électroniques. Notons que, hors des obligations de conservations exposées aux II bis et III de l’article L. 34-1 du code des postes et des communications électroniques, les opérateurs de réseaux de communication sont tenus d’effacer ou de rendre anonymes les données.

La Censure de l’article L. 34-1 III du code des postes et des communications électroniques par le Conseil constitutionnel

Il est intéressant de relever que, saisi d’une question prioritaire de constitutionnalité relative le Conseil constitutionnel a estimé, dans une décision du 25 février 2022 (n° 2021-976/977 QPC), que l’ancienne rédaction de l’article L. 34-1 du code des postes et des communications électroniques, qui instituait une exploitation généralisée et indifférenciée des données de connexion à des fins de lutte contre la criminalité, était contraire à droit au respect de la vie privé déduit de l’article 2 de la Déclaration des droits de l’Homme et du citoyen de 1789.

Aussi, le Conseil constitutionnel a-t-il censuré, en conséquence, les dispositions du III de l’article L. 34-1 faisant référence aux nécessités de la recherche, de la constatation et de la poursuite des infractions pénales.

Cette censure intervient toutefois tardivement. En effet, comme on l’a vu précédemment, le législateur avait déjà devancé le Conseil constitutionnel depuis longtemps lorsque ce dernier s’est prononcé, puisque la loi du 30 juillet 2021 avait supprimé toute référence à la collecte générale et indifférenciée hors des finalités tenant à la sûreté de l’Etat.

Les limites du rejet d’une collecte ciblée

La position restrictive formulée par le Conseil d’Etat dans son arrêt La Quadrature, puis retranscrite par le législateur et le pouvoir réglementaire a, au moins, le mérite de la simplicité. De plus, celle-ci assure, du moins en apparence, une sur-conformité quant au respect du droit de l’Union, tel qu’interprété par la Cour de justice : au lieu de s’embarrasser à déterminer des critères de ciblage, dont la complexité ne fait aucun doute, et dont le caractère objectif et non-discriminatoire ne pourra jamais être garanti, l’on supprime tout bonnement la possibilité d’une exploitation des données de trafic lorsqu’on ne se situe pas sur le terrain de lu maintien de la sûreté de l’Etat.

Toutefois, comme c’est souvent le cas, en ce qui concerne l’interprétation interne du droit européen, l’on peut se demander si cette volonté d’être, en quelque sorte, plus européen que l’Europe ne cache pas certaines inadéquations, notamment du point de vue du droit au respect de la vie privée.

En effet, n’oublions pas que si, dans son arrêt La Quadrature, le Conseil d’Etat s’est montré plus sévère que la Cour de justice quant à la possibilité d’instaurer des critères de ciblage, celui-ci a néanmoins considéré que, la situation à laquelle était confrontée la France, de manière permanente, depuis 2015, suite aux attentats terroristes, caractérisait une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, au sens où l’entend la Cour de justice, et justifiant la collecte, cette fois généralisée et indifférenciée des données de connexion, à des fins de protection de la sécurité nationale.

L’exploitation massive des données à des fins de protection de la sécurité nationale, qui semble ainsi pouvoir perdurer durablement, et, par là même, prospérer…

Certes, la nouvelle rédaction du III de l’article L. 34-1 et de l’article R. 10-13 du code des postes et des communications électroniques, imposent que l’existence d’une menace grave pour la sécurité nationale soit formellement constatée par injonction du Premier ministre, pour une durée limitée d’un an, renouvelable.

Il n’en demeure pas moins qu’une telle exploitation est hautement problématique du point de vue du droit au respect de la vie privée. En effet, la notion de motifs tenant à la sauvegarde de la sécurité nationale, formulée au III de l’article L. 34-1 du code des postes et communications électroniques est assez large, quand bien même l’ingérence serait limitée à celle des services de renseignement — à l’exclusion des direction de police judiciaire.

***

Dans son arrêt Garda Síochána, la Cour de justice vient ainsi compléter son édifice normatif encadrant l’exploitation des données de connexion des utilisateurs des réseaux de communication électronique, se faisant le promoteur d’une exploitation ciblée de ces données de connexion, lorsque les motifs d’une telle exploitation relèvent de la lutte contre la criminalité grave, et non du maintien de la sûreté de l’Etat.

En France, si la réticence du Conseil d’Etat à mettre en place une telle collecte ciblée a pu conduire le législateur et le pouvoir réglementaire à abandonner tout bonnement la possibilité de recourir à une telle collecte ciblée à des fins de répression de la criminalité, il n’en demeure pas moins que la collecte généralisée et indifférenciée au service du maintient de la sûreté de l’Etat continue d’être une réalité, durablement ancrée dans les pratiques des services de renseignement, celle-ci étant justifiée par l’existence d’une menace grave pour la sécurité nationale, à la suite des attentats de 2015.

Une telle logique n’est pas sans rappeller celle dont il a déjà été question dans nos précédents articles au sujet de la NSA, aux Etats-Unis. En effet, c’est bien la perception d’une menace grave pour la sécurité nationale, suite aux attentats de 2001, qui avait justifié les modifications du FISA invervenues dans le cadre du Patriot Act, permettant l’ingérence de la NSA, et d’autres agences gouvernementales américaines dans les données personnelles des utilisateurs des réseaux de communications américains, modifications qui se sont par la suite pérénisées, jusqu’à l’adoption du Cloud Act

Sur le même thème

 
Mis en avant
La publicité ciblée et l’exploitation des données en débat devant les institutions de l'Union européenne
La publicité ciblée et l’exploitation des données en débat devant les institutions de l'Union européenne

Le sujet ne fait peut-être pas la une de l’actualité, mais deux texte absolument essentiels, et qui pourraient sans doute modifier considérablement le paysage numérique européen dans les prochaines années, sont actuellement en discussion devant le Parlement de l’Union européenne, dans le cadre de la procédure législative ordinaire : « Digital Markets Act » (ou « DMA »), et le « Digital Services Act » (ou « DSA »).

Le Conseil d'Etat tranche sur la conservation des données de connexion
Le Conseil d'Etat tranche sur la conservation des données de connexion

Il a déjà été longuement question, dans les pages du présent blog, de l’ingérence des agences gouvernementales américaines dans la vie privée des européens via les données détenues par les GAFAM, via l’article 702 du FISA. En effet, l’on sait que la possibilité qu’ont notamment la NSA et le FBI de procéder à une collecte en vrac des données des internautes a été l’un des éléments de discorde au sujet de l’équivalence transatlantique en matière de protection des données personnelles, et a justifié la censure de l’accord du Privacy Shield l’été dernier

Recommandations du CEPD suite à l'arrêt « Schrems II »: la méthodologie du « test » des transferts précisée
Recommandations du CEPD suite à l'arrêt « Schrems II »: la méthodologie du « test » des transferts précisée

Un peu moins de quatre mois après la retentissante décision « Schrems II » de la Cour de justice, dont il a été question dans une précédente publication, c’est au tour du Comité européen de protection des données personnelles (CEPD) d’apporter des précisions sur les règles s’appliquant aux transferts de ces mêmes données en direction de pays tiers, non membres de l’Union européenne, dans un projet de recommandation du 10 novembre dernier

La CJUE revient àAlexis Deroudille