Le Conseil d'Etat tranche sur la conservation des données de connexion

 
unsplash-image-ImcUkZ72oUs.jpg
 
 

Il a déjà été longuement question, dans les pages du présent blog, de l’ingérence des agences gouvernementales américaines dans la vie privée des européens via les données détenues par les GAFAM, et l’article 702 du FISA. En effet, l’on sait que la possibilité qu’ont notamment la NSA et le FBI de procéder à une collecte en vrac des données des internautes a précipité la censure de l’accord du Privacy Shield l’été dernier.

Pourtant, de l’autre côté de l’Atlantique, la législation en cette matière n’est guère différente… En France, certaines dispositions du code des postes et des communications électroniques, et du code de la sécurité intérieure, dont le Conseil d’Etat a récemment commandé la révision, permettent à diverses autorités se rattachant à la nébuleuse des services de renseignement, d’exploiter de manière généralisée et non différenciée, des données relevant de la non moins nébuleuse notion de données de connexion. Entendez par là toutes les données relatives à la navigation sur internet — y compris les historiques de navigation enregistrés par les fournisseurs d’accès, et toutes les données relatives aux échanges téléphoniques, à l’exception du contenu des échanges lui-même…

En effet, il va être question ici de l’affaire ayant donné lieu à l’arrêt du Conseil d’Etat, le 21 le mercredi 21 avril dernier, qui constitue l’aboutissement d’un long feuilleton juridique. Plusieurs associations œuvrant pour la protection de la vie privée des citoyens — La Quadrature du net, Igwan.net, French Data Network — contestaient la conformité d’un tel dispositif d’exploitation des données issues de la vie privée des citoyens, au regard du droit de l’Union européenne, c’est à dire, essentiellement de la directive e-privacy, du RGPD et de la Charte des droits fondamentaux.

L’affaire étant remontée jusqu’à la Cour de justice de l’Union européenne, via le mécanisme de la question préjudicielle, laquelle a tranché le 6 octobre dernier, c’était donc au Conseil d’Etat de se prononcer. C’est ce qu’il a fait dans cet arrêt d’assemblée, qui mérite sans aucun doute sa place dans le recueil des Grands arrêts de la jurisprudence administrative (GAJA), ne serait-ce que pour son apport à l’articulation du droit de l’Union au droit national.

L’état du droit français avant l’arrêt du Conseil d’Etat, la Quadrature du net, du 21 avril 2021

Les obligations de conservation s’appliquant aux opérateurs de communications électroniques

Contrairement à ce que l’on pourrait penser, après avoir suivi les ramifications des affaires Schrems I et Schrems II, les autorités publiques des Etats membres de l’Union européenne disposent, elles aussi de prérogatives tout à fait étendues en matière d’accès aux données de connexion issues des communications électroniques.

En droit interne français, cet accès aux données se traduit d’abord par une obligation de conservation qui s’applique indifféremment à tous les opérateurs de services de communications électroniques. Sont concernés par cette obligation, aussi bien les opérateurs de téléphonie que les hébergeurs, ou bien même encore les éditeurs de sites internet.

En effet, par dérogation au principe d’anonymisation, prévu à l’article L. 34-1, I et II du code des postes et des communications électroniques , les dispositions des articles R. 10-13 et R. 10-14 du même code obligent les opérateurs de communications électroniques à conserver les données de connexion de leurs utilisateurs : données d’identification (adresses IP, identité attachée à un numéro de téléphone), nature du trafic (date, heure, nature des pages consultées, des sites visités), caractéristiques techniques des terminaux, informations relatives à la facturation et au paiement etc.

Ces données doivent être conservées pendant une durée d’un an.

Les données en question sont parfois appelés métadonnées, par opposition au contenu des échanges eux-mêmes. Toutefois, comme on peut le deviner, de telles données renseignent déjà beaucoup sur les comportements, voire, parfois beaucoup plus que les simples communications téléphoniques.

Ainsi, l’opérateur de téléphonie doit, pour chaque client, dont il connaît les données d’identification, en sus du numéro de téléphone, pouvoir tracer sur un an l’ensemble des appels sortants et entrants, les numéros appelés, les dates, heures, et durées des appels en question, ainsi que l’historique de géolocalisation de l’appareil. De même, les fournisseurs d’accès à internet conservent, pour chaque utilisateur, l’historique des données de navigation, c’est à dire, tous les sites internet consultés, avec les pages visitées, les horaires de connexion, les appareils utilisés etc. Les hébergeurs, et même les éditeurs de sites internet — dont fait partie votre serviteur — doivent, quant à eux, pouvoir justifier de l’ensemble des connexions qui ont eu lieu sur leurs sites, avec les adresses IP et la localisation des visiteurs, les types d’appareils et de navigateurs utilisés, les dates et heures des connexions, les pages consultées.

L’on voit donc d’emblée le degré d’ingérence dans la vie privée qu’implique la collecte de telles informations.

Les pouvoirs de collecte des services de renseignement et des administrations habilités

L’objet même des obligations de conservation précédemment exposées est de permettre à un certain nombre d’autorités publiques d’exploiter les données de connexion.

En effet, en aval de cette obligation, plusieurs dispositifs juridiques, détaillés aux articles L. 851-1, L. 851-2, L. 851-3 et L. 851-4 du code de la sécurité intérieure permettent aux services de renseignement d’accéder à ces données. Ainsi, ces services peuvent recourir, non seulement à l’extraction des données à une échéance donnée, mais encore procéder à leur collecte en temps réel : par exemple lorsqu’il est question de suivre à la trace les déplacement d’un individu donné, au jour le jour.

En vertu de l’article L. 811-3 du même code, dont il a déjà été question, les services de renseignement ont le droit d’accéder aux données de connexion, en vertu d’un certain nombre de motifs, notamment le respect de l’intégrité du territoire national, les intérêt majeurs de la politique étrangère de la France, la prévention du terrorisme, la lutte contre la criminalité organisée, ainsi que les intérêts économiques, industriels et scientifiques majeurs de la France.

Toutefois, les dispositions de l’article L. 34-1, I et II du code des postes et des communications électroniques permettent encore de déroger à l’obligation de confidentialité des communication dans bien d’autres circonstances, notamment en ce qui concerne la constatation des infractions pénales.

Cet accès n’est, d’ailleurs pas exclusivement réservé aux services de renseignement, au sens strict, puisqu’en vertu des dispositions des articles L. 811-4 et R. 851-1 du code de la sécurité intérieure, peuvent avoir recours aux techniques exposées aux articles L. 851-1 à L. 851-4, les directions centrales de la police judiciaire, la direction centrale de la police aux frontières, certaines unités de la gendarmerie nationale, etc. La liste des institutions ainsi habilitées est ainsi arrêté par décret, après avis — purement consultatif — de la Commission nationale de contrôle des techniques de renseignement (CNCTR), une autorité administrative indépendante censée veiller au respect du droit en matière de mise en œuvre des techniques de renseignement.

Un procédé contestable au regard des exigences du droit de l’Union européenne

Le dispositif de conservation des données de connexion, prévu par le droit français, est problématique du point de vue des exigences du droit de l’Union européenne.

En effet, l’article 5 de la directive 2002/58/CE, dite directive e-privacy énonce un principe de confidentialité des communications, selon lequel il est interdit à toute autre personne que les utilisateurs d'écouter, d'intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d'interception ou de surveillance, sans le consentement des utilisateurs concernés, sauf lorsque cette personne y est légalement autorisée.

Certes, l’article 15 de la même directive, dont il a déjà été question dans nos précédents articles, prévoit d’emblée une exception à ce principe de confidentialité, lorsque l’ingérence, par les autorités des Etats membres dans les données de connexion des utilisateurs constitue une mesure nécessaire, appropriée et proportionnée, au sein d'une société démocratique, pour sauvegarder la sécurité nationale.

Toutefois, il s’agit là uniquement des motifs tirés de la sécurité de l’Etat, et non pas de motifs plus ordinaires, tels que le maintien de l’ordre public, ou la répression de la criminalité ordinaire. De plus, dans ses célèbres jurisprudences Télé2 Sverige et Digital Rights Ireland, la Cour de justice avait encore pu considérer qu’eu égard à son caractère particulièrement attentatoire à la vie privée, la conservation et l’exploitation des données de connexion, dont il a été ci-avant question aux fins d’enquêtes criminelles ne devait avoir lieu que dans les cas de criminalité grave, et donc, ne pas être généralisé à toutes les hypothèses relevant du droit pénal.

D’ailleurs, cette exigence de proportionnalité est encore proclamée à l’article 52 de la Charte des droits fondamentaux de l’Union européenne, selon lequel toute limitation aux droits et libertés garantis par ladite charte doit être prévue par la loi, et être nécessaire aux objectifs d’intérêt général poursuivis. Pouvaient également être invoqués les articles 7, 8, 11 de la même charte, dont il a déjà été question au sujet de l’affaire Schrems, et qui proclament respectivement le droit au respect de la vie privée, à la protection des données personnelles, à la liberté d’expression.

Or, comme on l’a vu, le droit français permet une exploitation généralisée des données de connexion des utilisateurs, sans prévoir de véritable hiérarchisation dans l’atteinte au respect du droit à la vie privée, en fonction des objectifs poursuivis. En effet, les finalités en vue desquelles une telle exploitation sont nombreuses, larges et variées. Elles incluent notamment la répression de la criminalité ordinaire de droit commun, et non pas seulement des motifs tirés la protection de la souveraineté de la nation. De plus la distinction entre criminalité ordinaire et criminalité grave, au sens de l’arrêt Télé2 Sverige, est absente. Enfin, un tel accès, s’opère également hors de tout contrôle juridictionnel véritablement effectif…

D’où le recours ci-avant nommées, et ses suites européennes.

La position de la Cour de justice de l’Union européenne

La question préjudicielle adressée par le Conseil d’Etat

La question de la conformité de ce dispositif juridique français de collecte des données de connexion à des fins de sécurité intérieure a donc été soulevée dès 2018, devant le Conseil d’Etat, lequel a transmis une question préjudicielle à la Cour de justice de l’Union européenne.

Saisi de cette question, la Cour, a d’ailleurs joint l’affaire relative à la conformité du droit français à plusieurs autres affaires analogues relatives aux droits d’autres Etats membres, notamment le droit belge, adoptant une position de principe sur l’accès aux données de connexion des utilisateurs par les autorités des Etats membres.

Dans son arrêt du 6 octobre 2020, relatif aux trois affaires jointes, la Cour de justice, bien que réaffirmant le principe de la confidentialité des échanges, énonce plusieurs exceptions, dont l’étendue est fonction du degré d’importance des finalités poursuivies, dans la continuité des jurisprudences Télé2 et Digital Rights précitées.

Une collecte généralisée et indifférenciée limitées aux seules fins de sécurité nationale, dans un contexte de menace grave pour la sécurité

Tout d’abord, la collecte généralisée et indifférenciée des données de connexion n’est possible, qu’aux fins de la sécurité nationale, et doit être limitée aux seuls situations où l’Etat membre concerné fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible. De plus, la Cour de justice précise que, dans un tel cas, la décision prévoyant cette injonction doit faire l’objet d’un contrôle effectif, soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant.

De même pour ce qui est du recours à la méthode de l’analyse automatisée des données de connexion, qui consiste à segmenter, identifier, et isoler, grâce à des algorithmes, certaines catégories d’individus à partir d’une masse de données.

Une collecte ciblée possible aux fins de la lutte contre la criminalité grave

Ensuite, la lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique ne peuvent pas justifier une conservation généralisée et indifférenciée des données de connexion, mais seulement leur conservation ciblée, c’est-à-dire que celle-ci ne peut concerner, pour une période limitée, que certaines catégories d’utilisateurs, préalablement identifiés, selon des critères de risques, et non, de manière indifférenciée, l’ensemble de ceux-ci. Seules les adresses IP, relatives à une connexion, peuvent être conservées de manière généralisée et indifférenciée, là encore, pour une période limitée.

Par exception à ce principe, peuvent néanmoins être conservées de manière généralisée et indifférenciée, aux fins de la lutte contre la criminalité grave, les adresse IP des utilisateurs à la source d’une connexion, pour une période temporellement limitée au strict nécessaire. La Cour de justice autorise aussi, pour la lutte contre cette même criminalité grave, de geler les données de trafic et de localisation relatives à une personne, pour les besoins d’une enquête pénale, sur une courte période, selon la méthode dite de « conservation rapide », permise par la Convention de Budapest, du 23 novembre 2001.

Aucune conservation des données de connexion, qu’elle soit généralisée ou ciblée, n’est possible pour des motifs qui ne relèveraient pas de la sécurité nationale, ou de la lutte contre criminalité grave. Seule demeure autorisé, aux fins de la lutte contre la criminalité en général, la conservation indifférenciée des données relatives à l’identité civile des utilisateurs des services de communications électroniques du fait de son faible impact sur la vie privée — il n’est question ici que d’identifier le titulaire d’un numéro de téléphone ou d’une adresse IP.

Enfin, pour ce qui est de la collecte en temps réel des données de connexion, celle-ci ne peut s’appliquer qu’aux personnes soupçonnées d’être impliquées dans une activité de terrorisme, et, là encore, sous le contrôle effectif d’une juridiction ou d’une autorité administrative indépendante.

La position du Conseil d’Etat dans son arrêt du 21 avril 2021, La Quadrature du net

Le cas des informations relatives à l’identité civile et des adresses IP

Suite au précisions apportée par la Cour de justice, à l’occasion du renvoi préjudiciel, c’est au Conseil d’Etat qu’il est revenu de se prononcer, à son tour, sur la conformité du dispositif juridique français d’exploitation des données de connexion.

De même que la Cour de justice, le Conseil d’Etat procède à des distinctions, et à un échelonnement des atteintes possibles au respect du droit à la vie privée, en fonction de l’importance des objectifs d’intérêt public poursuivis: sécurité nationale, criminalité grave, criminalité ordinaire.

Ainsi, il commence par rappeler que, conformément à ce que considère la Cour de justice, la conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs des services de communication électronique est toujours possible, de même que celles des adresses IP des utilisateurs à l’origine d’une connexion, pour la lutte contre la criminalité grave, et pour une durée limitée.

La possibilité d’une collecte généralisée et indifférenciée des données de connexion à des fins de sécurité nationale, au vu de la situation que traverse la France depuis 2015

En ce qui concerne la conservation généralisée et indifférenciée de toutes les autres données de connexion, c’est-à-dire, toutes les données autres que les adresses IP des utilisateurs, le Conseil d’Etat considère, ensuite, que la situation à laquelle est confrontée la France, de manière permanente, depuis 2015, suite aux attentats terroristes, caractérise une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, au sens où l’entend la Cour de justice, dans son arrêt précité du 6 octobre 2020, La quadrature du net. Ainsi, il est possible que l’Etat français impose la conservation, et procède à l’exploitation, a priori, de telles données, à des fins de protection de la sécurité nationale.

Toutefois, le Conseil d’Etat constate que l’évaluation de la réalité d’une telle menace, par une juridiction ou une autorité administrative indépendante, telle que celle-ci est exigée par la Cour de justice n’existe pas en droit interne. Ainsi, il censure les dispositions l'article R. 10-13 du code des postes et des communications électroniques, dont il a été précédemment question, seulement en tant qu’elles ne prévoient pas une telle évaluation périodique, et enjoint au Premier ministre de procéder à la révision de ce texte dans un délai de six mois.

L’impossibilité de recourir à une conservation ciblée aux fins de la lutte contre la criminalité grave

En ce qui concerne maintenant l’exploitation de ces mêmes données de connexion à des fins autres que celles de la sécurité nationale, c’est à dire pour la lutte contre la criminalité grave, le Conseil d’Etat considère — non sans raison, à notre point de vue — comme irréaliste contre-performante la conservation ciblée de ces données, telle que celle-ci est proposée par la Cour de justice de l’Union européenne. En effet, même dans le cas de la criminalité grave — notion dont le Conseil d’Etat laisse au juge judiciaire le soin de définir les contours — il n’est pas possible de cibler les utilisateurs à risques: existence de primodélinquants, usage cartes de téléphones pré-payés, et donc intraçables, etc.

Ainsi, le Conseil d’Etat, censure les dispositions de l’article R. 10-13 précitées du code des postes et des communications électroniques, et, conformément à ses attributions de juge de la conventionalité de la Loi, écarte l’application de celles de l’article L. 34-1 de ce même code, en tant qu’elles instituent une conservation généralisée et indifférenciée des données de connexion, pour des finalités autres que la sécurité nationale — comme on l’a vu précédemment, ces dispositions prévoyaient en effet de nombreux cas d’exploitation généralisée de ces données de connexion, et enjoint, là encore au Premier ministre de modifier celles-ci dans un délais de six mois.

Le Conseil d’Etat considère, en effet, que la méthode de la conservation rapide des données de connexions, limitée à quatre-vingt dix jours renouvelables, conformément aux engagements de la convention de Budapest, est suffisante pour assurer la poursuite des infractions pénales graves, sans avoir recours à une conservation plus généralisée.

La nécessité de soumettre les techniques de conservation des données de connexion à un contrôle juridictionnel contraignant de la CNCTR

En ce qui concerne l’usage des techniques prévues aux articles L. 851-1, L. 851-2, L. 851-3 et L. 851-4 du code de la sécurité intérieure le conseil d’Etat considère que celles-ci sont justifiées, car elles se rattachent toutes, selon lui, à des finalités se rattachant à la sécurité nationale. En effet, d’après le Conseil d’Etat, c’est à cette finalité générale que se rattachent les finalités décrites à l’article L. 811-3 du même code, y compris, d’ailleurs, les intérêts économiques, industriels et scientifiques majeurs de la France. Toutefois, là encore, le Conseil d’Etat censure les dispositions réglementaires organisant l’application de ces méthodes d’exploitation, en ce qu’elles ne permettent pas un contrôle juridictionnel contraignant de la Commission nationale de contrôle des techniques de renseignement (CNCTR), comme cela est pourtant exigé par la Cour de justice — comme on l’a vu, son avis est, à l’heure actuelle, un avis simple et non pas un avis conforme.

En matière de recueil en temps réel des données de connexion, le Conseil d’Etat constate que celui-ci est bien subordonné à la condition que les personnes qui en font l’objet soient suspectées de terrorisme, conformément aux dispositions de l’article L. 851-2 du code de la sécurité intérieure. Toutefois, faisant, là encore, application de l’exigence de contrôle juridictionnel effectif posé par la Cour de justice, le Conseil d’Etat écarte l’application des dispositions de l’article L. 851-4 du même code, en tant qu’elles ne prévoient pas un tel contrôle.

***

Pour reprendre l’expression d’une célèbre tirade, l’on pourrait dire bien des choses encore cet important arrêt La Quadrature : respect du principe de primauté, examen de la compatibilité entre les principes constitutionnels français et les principes fondamentaux issus du droit de l’Union européenne et de l’interprétation de la Cour de justice, sans compter, en ce qui concerne cette dernière, ses avancées concernant l’application, de plus en plus directe, du droit issus de la Convention européenne de sauvegarde des droits de l’Homme, via la clause d’équivalence…

Force est de constater que la position du Conseil d’Etat, dans cet arrêt, est loin de faire l’unanimité… Pour l’une de associations intéressées, il s’agirait là, en effet, d’une trahison des principes formulés par la Cour de justice, en réponse aux questions préjudicielles.

Une telle affirmation est exagérée. Il faut rappeler que, dans cette affaire, le gouvernement français, qui était défendeur, avait invoqué la non-application du droit de l’Union, eu égard à l’importance des principes d’identité constitutionnelle, dans la lignée de l’antique jurisprudence Arcelor… solution que n’a pas retenue, cette fois, le Conseil d’Etat, estimant que la Cour de justice avait tout à fait respecté l’identité constitutionnelle de la France.

Il faut souligner que le Conseil d’Etat a, à juste titre, écarté la proposition hasardeuse formulée par la Cour de justice au sujet de la conservation ciblée des données, totalement irréalisable et contre-productive d’autant plus que le ciblage, lui-même pose également le problème d’une atteinte à la vie privée… A bon droit, il a écarté, d’une façon générale, et assez peu ambigüe, l’application du procédé de la conservation des données de connexion généralisée et indiscriminée à tous les motifs qui ne relèveraient pas de la sécurité nationale, y compris les motifs pouvant se rattacher à la criminalité grave — exception faite de la possibilité d’une conservation rapide, issue de la convention de Budapest.

Reste à voir le Premier ministre mettra en œuvre l’injonction qui lui est faite de procéder à la révision desdits textes, et comment il délimite les contours de ce qu’il faut entendre par sécurité nationale… ce qui pourrait donner lieu à de nouveaux rebondissements…

Sur le même thème

 
Mis en avant
La CJUE revient à la charge sur la la question de la conservation des données de connexion
La CJUE revient à la charge sur la la question de la conservation des données de connexion

Près d’un an après l’arrêt du Conseil d’Etat, du 21 avril 2021, La Quadrature du net, que nous n’avions pas manqué de commenter dans le présent blog, l’épineuse question de l’exploitation des données connexion des utilisateurs des services de téléphonie et des fournisseurs d’accès à internet revient sur le devant de la scène avec un arrêt du 5 avril 2022, de la Cour de justice de l’Union européenne Commissioner of the Garda Síochána e.a. (C‑140/20).

La publicité ciblée et l’exploitation des données en débat devant les institutions de l'Union européenne
La publicité ciblée et l’exploitation des données en débat devant les institutions de l'Union européenne

Le sujet ne fait peut-être pas la une de l’actualité, mais deux texte absolument essentiels, et qui pourraient sans doute modifier considérablement le paysage numérique européen dans les prochaines années, sont actuellement en discussion devant le Parlement de l’Union européenne, dans le cadre de la procédure législative ordinaire : « Digital Markets Act » (ou « DMA »), et le « Digital Services Act » (ou « DSA »).

Recommandations du CEPD suite à l'arrêt « Schrems II »: la méthodologie du « test » des transferts précisée
Recommandations du CEPD suite à l'arrêt « Schrems II »: la méthodologie du « test » des transferts précisée

Un peu moins de quatre mois après la retentissante décision « Schrems II » de la Cour de justice, dont il a été question dans une précédente publication, c’est au tour du Comité européen de protection des données personnelles (CEPD) d’apporter des précisions sur les règles s’appliquant aux transferts de ces mêmes données en direction de pays tiers, non membres de l’Union européenne, dans un projet de recommandation du 10 novembre dernier

Le Conseil d'Etat trancheAlexis Deroudille