Par un arrêt d’assemblée du 21 avril 2021[1], le Conseil d’État a en effet jugé que la conservation généralisée et indifférenciée des données de communication électroniques de l’ensemble de la population était justifiée par la menace existante pour la sécurité nationale. À rebours de la jurisprudence Cour de justice de l’Union européenne, le juge administratif valide la surveillance de masse tout en offrant de fausses garanties de protection des libertés individuelles à la marge.
Cette affaire avait été introduite par plusieurs associations de défenses des libertés individuelles en ligne dont la Quadrature du Net, le French Data Network et Igwan.net et avait fait l’objet de questions préjudicielles devant la Cour de justice de l’Union européenne aboutissant à une jurisprudence capitale en la matière. Il convient aujourd’hui de retracer une partie de cette aventure juridique et de tirer les conséquences de la décision du juge administratif français.
Avant de s’intéresser au contenu de la décision du Conseil d’État (3) par une mise en perspective préalable avec la jurisprudence récente de la Cour de justice de l’Union européenne (2), il convient d’identifier les données personnelles qui sont en jeu dans cette affaire et qui sont susceptibles d’être utilisées par les services de police et de renseignement (1).
1) LES DONNÉES PERSONNELLES DONT IL EST QUESTION DANS CETTE AFFAIRE SUSCEPTIBLES D’ÊTRE UTILISÉES PAR LES SERVICES DE POLICE ET DE RENSEIGNEMENT
Le droit français fait en principe obligation aux opérateurs de services de communications électroniques – les fournisseurs d’accès internet et les opérateurs de téléphonie mobile – d’effacer ou de rendre anonyme toute donnée de connexion de leurs utilisateurs[2].
Les données de connexion, également appelée « métadonnées » pour les distinguer de celles qui portent sur le contenu des échanges électroniques peuvent être rangées en trois catégories :
- Les données d’identification des utilisateurs des réseaux de télécommunications électroniques (ex. les nom et prénom liés à un numéro de téléphone ou l’adresse IP par laquelle un utilisateur se connecte à internet)
- Les données relatives au trafic, communément appelées « fadettes », qui correspondent à « toutes les données traitées en vue de l’acheminement d’une communication par un réseau de communications électroniques ou en vue de sa facturation» (article 2 de la directive 2002/58/CE)
- Les données de localisation qui correspondent à « toutes les données traitées dans un réseau de communications électroniques ou par un service de communications électroniques indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communications électroniques » (article 2 de la directive 2002/58/CE)
Par dérogation au principe de suppression ou d’anonymisation, le droit français prévoit la possibilité d’imposer aux opérateurs de services de communications électroniques la conservation pendant un an de toute donnée de connexion des utilisateurs pour les besoins du renseignement[3] et des enquêtes pénales[4].
Ces dispositions nationales émanent d’une transposition de la directive européenne 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques).
L’article 15 de cette directive prévoit en effet que « les États membres peuvent adopter des mesures législatives visant à limiter [l’obligation d’anonymisation] lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques […] »
Ce même article précise qu’à cette fin, « les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit communautaire […] ».
C’est principalement sur la base de cette directive que la Cour de justice a été saisie de questions préjudicielles tendant à vérifier que les dispositions nationales sur l’obligation de conservation des données connexion étaient conformes aux exigences du droit de l’Union européenne et notamment de la Charte des droits fondamentaux (la Charte).
2) LA COUR DE JUSTICE DE L’UNION EUROPÉENNE EN FAVEUR D’UNE LIMITATION DE L’OBLIGATION DE CONSERVATION DES DONNÉES DE COMMUNICATION ÉLECTRONIQUES
Dans son arrêt de grande chambre du 6 octobre 2020[5], la Cour de justice rappelle sans détour que l’objectif premier de la directive 2002/58/CE est de concrétiser les droits des utilisateurs de moyens de communications électroniques à la liberté, à la sûreté et au respect de leur vie privée et familiale consacrés par la Charte. Ainsi, les utilisateurs « sont en droit de s’attendre, en principe à ce que leurs communications et les données y afférentes restent, en l’absence de leur consentement, anonymes et ne puissent pas faire l’objet d’un enregistrement » (point 110).
La Cour de justice indique toutefois que la directive 2002/58/CE permet aux États membres d’introduire des exceptions à l’obligation de principe interdisant la conservation des données de connexion sans que ces exceptions ne deviennent la règle. Pour cela, l’article 15, paragraphe 1 n’autorise les États membres à adopter, entre autres à des fins de sécurité nationale ou de lutte contre la criminalité, des mesures législatives visant à limiter la portée des droits et des obligations prévus par la directive « que dans le respect des principes généraux du droit de l’Union, parmi lesquels figure le principe de proportionnalité, et des droits fondamentaux garantis par la Charte » (point 113).
Le principe et l’exception étant posés, quid d’une réglementation nationale qui imposerait à opérateurs de services de communication la conservation généralisée et indifférenciées de données de connexion ?
Pour la Cour de justice, la réponse varie selon la nature des données conservées et l’objectif poursuivi par cette conservation. Elle examine ainsi tour à tour les hypothèses d’une réglementation nationale prévoyant :
- la conservation préventive des données relatives au trafic et des données de localisation aux fins de la sauvegarde de la sécurité nationale ;
- la conservation préventive de données relatives au trafic des données de localisation aux fins de la lutte contre la criminalité et de la sauvegarde de la sécurité publique ;
- la conservation préventive des données d’identification aux fins de la lutte contre la criminalité et de la sauvegarde de la sécurité publique.
a) La conservation préventive des données relatives au trafic et des données de localisation aux fins de la sauvegarde de la sécurité nationale
La Cour de justice tient à rappeler que les données relatives au trafic et les données de localisation ne sont pas anodines. En effet, ces données « sont susceptibles de révéler des informations sur un nombre important d’aspects de la vie privée des personnes concernées, y compris des informations sensibles, telles que l’orientation sexuelle, les opinions politiques, les convictions religieuses, philosophiques, sociétales ou autres ainsi que l’état de santé […] Prises dans leur ensemble, lesdites données peuvent permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservée, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci. En particulier, ces données fournissent les moyens d’établir le profil des personnes concernées, information tout aussi sensible, au regard du droit au respect de la vie privée, que le contenu même des communications. » (point 117)
La Cour de justice identifie immédiatement les risques afférent à une telle concentration de données et à leur exploitation policière : (i) effets dissuasif sur l’exercice par les utilisateurs des moyens électroniques de leur liberté d’expression, (ii) atteinte au secret professionnel pour certaines catégories de personnes, (iii) atteinte aux droits des lanceurs d’alerte et (iv) risques d’abus et d’accès illicites.
Toute ingérence de l’État imposant la conservation de ces données devrait donc être se limiter au stricte nécessaire, être appropriée et rigoureusement proportionnée au but poursuivi, sans quoi il n’est pas de société démocratique.
La Cour de justice admet toutefois la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation lorsqu’elle est nécessaire aux fins de la sauvegarde de la sécurité nationale.
En effet, la sauvegarde de la sécurité nationale correspond à « l’intérêt primordial de protéger les fonctions essentielles de l’État et les intérêts fondamentaux de la société et inclut la prévention et la répression d’activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales d’un pays, et en particulier à menacer directement la société, la population ou l’État en tant que tel, telles que notamment des activités de terrorisme ».
Selon la Cour de justice, l’objectif de sauvegarde de la sécurité nationale apparaît comme bien plus important que les autres objectifs visés à l’article 15 de la directive 2002/58/CE, notamment les objectifs de lutte contre la criminalité en général, même grave, ainsi que de sauvegarde de la sécurité publique. En effet, les menaces visées par l’objectif de sauvegarde de la sécurité nationale « se distinguent, par leur nature et leur particulière gravité, du risque général de survenance de tensions ou de troubles, même graves, à la sécurité publique ». Dès lors, l’objectif de sauvegarde de la sécurité nationale est « susceptible de justifier des mesures comportant des ingérences dans les droits fondamentaux plus graves que celles que pourraient justifier ces autres objectifs ».
Néanmoins, la Cour de justice veille à préciser que l’injonction à la conservation généralisée et indifférenciée les données relatives au trafic et les données de localisation aux fin de la sauvegarde de la sécurité nationale n’est en aucun cas absolue. L’obligation de conservation :
- ne peut être imposée aux opérateurs de services de communication que s’il existe « des circonstances suffisamment concrètes permettant de considérer que l’État membre concerné fait face à une menace grave […] pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible» (point 137)
- doit « être temporellement limitée au stricte nécessaire» (point 138)
- doit pouvoir faire l’objet d’un « contrôle effectif soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, visant à vérifier l’existence [d’une menace grave pour la sécurité nationale] ainsi que le respect des conditions et des garanties devant être prévues» (point 139)
La Cour de justice est sans équivoque : la conservation généralisée et indifférenciée de toute donnée de connexion n’est permise qu’en cas d’existence d’une menace grave pour la sécurité nationale, une menace qui doit pouvoir être vérifiée et une conservation qui ne saurait s’étendre indéfiniment.
b) La conservation préventive des données relatives au trafic et des données de localisation aux fins de la lutte contre la criminalité et la sauvegarde de la sécurité publique
Pour ce qui est de l’objectif de prévention, de recherche, de détection et de poursuite d’infractions pénales, la Cour de justice estime que « conformément au principe de proportionnalité, seule la lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique sont de nature à justifier des ingérences graves dans les droits fondamentaux […] telles que celles qu’implique la conservation des données relatives au trafic et des données de localisation » (point 140).
La Cour de justice précise toutefois qu’une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation en vue de lutter contre la criminalité grave excèderait « les limites du strict nécessaire et ne saurait être considérée comme justifiée dans une société démocratique » (point 141). Et pour cause, cette conservation généralisée et indifférenciée couvrirait « la quasi-totalité de la population sans qu’aucune différenciation, limitation ni exception soient opérées en fonction de l’objectif poursuivi » (point 143). Elle s’appliquerait à des personnes sans que ces dernières ne se trouvent « dans une situation susceptible de donner lieu à des poursuites pénales » ou « pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec cet objectif de lutte contre des actes de criminalité grave » (point 143).
Si la conservation généralisée et indifférenciées des données précitées n’est pas admise par la Cour de justice, en revanche, les objectifs de lutte contre la criminalité grave et de prévention d’atteintes graves à la sécurité publique « sont susceptibles de justifier […] l’ingérence grave que comporte une conservation ciblée des données relatives au trafic et des données de localisation » (point 146).
S’appuyant sur un précédent arrêt[6], la Cour de justice indique qu’une conservation ciblée devrait permettre « de viser les personnes dont les données relatives au trafic et les données de localisation sont susceptibles de révéler un lien, au moins indirect, avec des actes de criminalité grave, de contribuer d’une manière ou d’une autre à la lutte contre la criminalité grave ou de prévenir un risque grave pour la sécurité publique […] » (point 148).
La Cour de justice propose également un cadre matériel et géographique à cette conservation ciblée : « les personnes ainsi visée peuvent notamment être celles ayant été préalablement identifiées, dans le cadre de procédures nationales applicables et sur la base d’éléments objectifs, comme présentant une menace pour la sécurité publique ou la sécurité nationale de l’État membre concerné. La délimitation […] peut également être fondée sur un critère géographique lorsque les autorités nationales compétentes considères, sur la base d’éléments objectifs et non discriminatoires, qu’il existe dans une ou plusieurs zones géographiques, une situation caractérisée par un risque élevé de préparation ou de commission d’actes de criminalité grave ». Et de citer des exemples de zones particulièrement exposés à la commission d’actes de criminalité graves « tels que des lieux ou des infrastructures régulièrement fréquentés par un nombre très élevé de personnes, ou encore des lieux stratégiques, tels que des aéroports, des gares ou des zones de péages » (points 149 et 150).
En somme, lorsqu’il s’agit de la lutte contre la criminalité et la prévention d’atteinte à la sécurité publique, la Cour de justice considère que la conservation des données de trafic et de localisation est admise uniquement :
- S’il s’agit de lutter contre la criminalité grave et de prévenir les atteintes graves à la sécurité publique;
- Si cette obligation de conservation est ciblée, sur la base d’éléments objectifs et non discriminatoire, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique ; et
- Si cette obligation de conservation est limitée dans le temps au strict nécessaire.
c) La conservation préventive des données d’identification aux fins de la lutte contre la criminalité et de la sauvegarde de la sécurité publique
Comme évoqué précédemment, les données d’identification correspondent principalement aux adresses IP des utilisateurs des moyens de communication électroniques ainsi qu’aux données relatives à leur identité civile.
S’agissant d’une part des adresses IP, la Cour de justice estime que « quoique faisant partie des données relatives au trafic, [elles] sont générées sans être rattachées à une communication déterminée et servent principalement à identifier […] la personne physique propriétaire d’un terminal à partir duquel une communication au moyen de l’Internet est effectuée » (point 152). Pour la Cour de justice, cette catégorie de données ne présente pas un degré de sensibilité aussi important que les autres données relatives au trafic.
Toutefois, la Cour de justice relève que l’adresse IP peut être utilisée pour tracer le parcours de navigation d’un utilisateur internet et, par suite, son activité en ligne avec la possibilité d’établir le profil détaillé. L’obligation de conservation de ces donnée constituerait donc une ingérence grave dans les droits fondamentaux de l’internaute.
Compte tenu de ces éléments, la Cour de justice admet une conservation généralisée et indifférenciée des seules adresses IP mais aux seules fins de la lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique.
S’agissant d’autre part des données relatives à l’identité civile, la Cour de justice considère qu’elles « ne permettent pas, à elles seules, de connaître la date, l’heure, la durée et les destinataires des communications effectuées, non plus que les endroits où ces communications ont eu lieu ou la fréquence de celles-ci avec certaines personnes pendant une période données, de telle sorte qu’elles ne fournissent […] aucune information sur les communications données et, par voie de conséquence, sur leur vie privée » (point 157)
Dans ces conditions, la Cour de justice admet que la conservation des données relatives à l’identité civile de l’ensemble des utilisateurs des moyens de communications électroniques aux fins de la prévention, de la recherche, de la détection et de la poursuite d’infractions pénales ainsi que de la sauvegarde de la sécurité publique, sans qu’il soit nécessaire que ces infractions pénales ou ces menaces soient graves.
3) LE CONSEIL D’ÉTAT JUSTIFIE L’OBLIGATION DE CONSERVATION GÉNÉRALISÉE DES DONNÉES DE COMMUNICATION ÉLECTRONIQUES PAR LA MENACE PERSISTANTE SUR LA SÉCURITÉ NATIONALE
Dans son arrêt du 21 avril 2021, le Conseil d’État reprend point par point l’analyse de la Cour de justice pour l’appliquer aux dispositions nationales litigieuses. Si d’apparence, l’arrêt de la Cour de justice semble suivi, le Conseil d’État se livre en réalité à un véritable contournement de cette jurisprudence pour valider l’ensemble du dispositif de conservation des données de connexion mis en place par l’État français depuis 2015 et la surveillance généralisée de la population qui en découle.
a) La conservation généralisée et indifférenciée des adresses IP au prétexte de l’impossible rattachement d’une infraction à la criminalité grave
Tout en reconnaissant que la conservation généralisée et indifférenciée des adresses IP ne devrait se faire qu’à des fins de lutte contre la criminalité grave ou de prévention de menaces graves contre la sécurité publique, le Conseil d’État ajoute qu’il ne résulte pas de l’arrêt de la Cour de justice que « le législateur serait tenu d’énumérer les infractions relevant du champ de la criminalité grave en se référant à des catégories strictement prédéfinies en droit interne ». Pour le Conseil d’État, « le rattachement d’une infraction pénale à la criminalité grave [a] vocation à s’apprécier de façon concrète, sous le contrôle du juge pénal, au regard de la nature de l’infraction commise et de l’ensemble des faits de l’espèce ».
Selon le Conseil d’État, « la conservation généralisée et indifférenciée des adresses IP peut être imposée aux opérateurs, dès lors que les conditions d’accès à ces données par les services d’enquête sont fixées en fonction de la gravité des infractions susceptibles de le justifier […] » (point 38).
Le Conseil d’État relève en fait un paradoxe : comment admettre d’un côté la conservation généralisée et indifférenciée des adresses IP tout en voulant d’un autre côté la limiter aux seules fins de la lutte contre la criminalité grave ou de prévention de menace grave contre la sécurité publique ? Et pour cause, il est impossible de savoir à l’avance quelle infraction sera commise, quelle sera sa gravité et quelle adresse IP pourra servir à la caractérisation de cette infraction. Il n’y a donc pas d’entre deux : soit l’État décide de conserver l’ensemble des adresses IP de sa population pour éventuellement s’en servir ensuite dans la lutte contre la criminalité grave ou la prévention de menaces graves contre la sécurité publique, soit il n’en conserve aucune. Le Conseil d’État souligne en d’autres termes que l’évaluation de la criminalité grave ou de la menace grave contre la sécurité publique ne peut pas se faire au moment de l’injonction de conserver les adresses IP, puisque de tels actes sont imprévisibles, mais au moment où de tels actes surviennent, dans la décision de recourir à la consultation et au traitement de ces adresses IP.
Le Conseil d’État affirme ainsi que l’obligation de conservation « n’est donc imposée aux opérateurs, sous le contrôle des juridictions compétentes, que pour les besoins de la recherche, de la constatation et de la poursuite d’infractions pénales susceptibles de présenter un degré de gravité suffisant pour justifier l’ingérence dans les droits protégés [par la Charte]. » Et d’ajouter que seules « de telles infractions pouvant légalement justifier l’accès des services d’enquêtes aux données conservées par les opérateurs, il s’ensuit que la conservation des adresses IP imposée de façon généralisée et indifférenciée aux opérateurs ne saurait être regardée comme méconnaissant les exigences de la [directive 2002/58/CE] » (point 39).
Si la réponse du Conseil d’État apparaît logique, elle n’est pourtant pas satisfaisante et ce pour deux raisons.
En premier lieu, il est illusoire de considérer que sous le régime du droit pénal français, les adresses IP ne seraient conservées que pour les besoins de la lutte contre des infractions pénales « susceptibles de présenter un degré de gravité suffisant ». En effet, comme nous l’avions indiqué dans un précédent article, que ce soit en enquête de flagrance (article 60-1 du code de procédure pénale) ou en enquête préliminaire (article 77-1-1 du code de procédure pénale), les services de police ont la possibilité d’accéder aux données de connexion et a fortiori aux adresses IP quelle que soit l’infraction poursuivie et indépendamment de son degré de gravité. Qui plus est, le contrôle du juge sur la régularité d’une telle utilisation, intervient a posteriori donc trop tard alors que l’ingérence grave dans les droits de la personne a déjà été commise.
En second lieu, il est tout à fait possible d’inscrire dans la loi les infractions qui relèvent de la catégorie de la criminalité grave et pour lesquelles la conservation et l’éventuelle exploitation des adresses IP serait justifiée. Le législateur a déjà procédé à ce type de classement sans qu’il soit nécessaire de procéder à une appréciation in concreto, c’est le cas notamment pour les infractions qui donnent lieu lors d’une enquête à prélèvement d’empreintes génétiques et enregistrement au fichier national automatisé des empreintes génétiques (liste exhaustive établie à l’article 706-55 du code de procédure pénale).
En somme, les dispositions relatives à l’obligation de conservation des adresses IP combinées avec les dispositions applicables en matière de procédure pénale n’offrent pas les garanties suffisantes afin de s’assurer que ces données ne soient pas conservées pour d’autres fins que la lutte contre la criminalité grave et la prévention de menace grave contre la sécurité publique. Le Conseil d’État aurait donc pu les déclarer non conformes aux exigences du droit de l’Union européenne.
b) La conservation généralisée et indifférenciée des données de connexion au prétexte d’une menace extensive pour la sécurité nationale
Le contournement de la jurisprudence de la Cour de justice par le Conseil d’État est d’autant plus flagrant en ce qui concerne la conservation généralisée et indifférenciée des données de connexion aux fins de la sauvegarde de la sécurité nationale.
Le Conseil d’État reconnaît la possibilité « d’imposer aux opérateurs la conservation généralisée et indifférenciée des données de trafic et des données de localisation, sous réserve qu’une décision soumise à un contrôle effectif constate l’existence d’une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, pour une durée limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace » (point 42).
Or, selon le Conseil d’État, à la date de sa décision, la France est confrontée à une menace pour sa sécurité nationale, « une menace non seulement prévisible mais aussi actuelle ». Le juge administratif livre ensuite une analyse circonstanciée de cette menace : « [elle] procède d’abord de la persistance d’un risque terroriste élevé, ainsi qu’en témoigne notamment le fait que sont survenues sur le sol national au cours de l’année 2020 six attaques abouties ayant causé sept morts et onze blessés. Deux nouveaux attentats ont déjà été déjoués en 2021. Le plan Vigipirate a été mis en œuvre au niveau Urgence attentat depuis le 5 mars 2021, attestant d’un niveau de menace terroriste durablement élevé sur le territoire ».
Pire, là où la Cour de justice entendait cantonner l’exigence de sécurité nationale aux menaces les plus graves telles que le terrorisme (notion déjà excessivement incertaine), le Conseil d’État se permet d’étendre allègrement cette exigence à d’autres types de menaces. La conservation généralisée et indifférenciée des données de connexion serait donc également justifiée par (i) l’exposition de la France « au risque d’espionnage et d’ingérence étrangère, en raison notamment de ses capacité et de ses engagements militaires et de son potentiel technologique et économique » et (ii) la confrontation « à des menaces graves pour la paix publique, liées à une augmentation de l’activité de groupes radicaux et extrémistes ». Si l’on reconnaît dans cette motivation la plume d’une administration qui se plait à jouer la citadelle assiégée, elle dépasse de loin le cadre de ce qui était admis par la Cour de justice laquelle rappelons-le se refusait à y inclure « le risque général de survenance de tensions ou de troubles, même graves, à la sécurité publique ».
On peut s’interroger sur cette motivation et redouter le danger majeur pour les libertés que renferme un telle méthode d’analyse. La France vis en effet dans un état d’urgence depuis les attentats de janvier et novembre 2015, état d’urgence qui a été prorogé jusqu’au 1er novembre 2017 avant que ses dispositions ne soient transposées dans le droit commun par une loi du 30 octobre 2017.[7] En 6 ans, la France n’est donc jamais sortie de cet état de menace et il y a fort à craindre qu’avec une grille d’analyse si peu précautionneuse, l’état de menace ne devienne perpétuel.
Le Conseil d’État tente d’offrir des garanties en subordonnant le maintien en vigueur de l’obligation de conservation généralisée et indifférenciée des données de connexion « au constat, à échéance régulière, qui ne saurait raisonnablement excéder un an, de la persistance d’une menace grave, réelle et actuelle ou prévisible, pour la sécurité nationale » (point 45). Mais cette garantie est bien faible au vu de ce qui est décrit ci-dessus, quelques actualités suffisant à instituer durablement la surveillance généralisée de la population. En outre, rien ne permet d’assurer que l’évaluation de la menace ne sera pas opérée par le seul gouvernement sans le moindre contrôle démocratique.
c) La conservation généralisée et indifférenciée des données de connexion aux fins de la lutte contre la criminalité et la prévention des menaces à l’ordre public maintenue par l’existence d’une menace pour la sécurité nationale
En ce qui concerne la conservation des données de connexion aux fins de la lutte contre la criminalité et la prévention des menaces à l’ordre public, le Conseil d’État offre un raisonnement surprenant à rebours de la jurisprudence de la Cour de justice.
Tout au long de ces motifs, le Conseil d’État tend à expliquer que « l’obligation de conservation généralisée et indifférenciée des données de connexion […] est une condition déterminante de succès des enquêtes conduites en vue de la recherche, de la constatation et de la poursuite d’auteurs d’infractions à caractère criminel et délictuel », qu’une « conservation ciblée se heurte à des obstacles techniques qui en compromettent manifestement la mise en œuvre », que cette conservation ciblée « ne permettrait pas, y compris en cas de faits particulièrement graves, d’accéder aux données de connexion d’une personne suspectée d’infraction qui n’aurait pas été préalablement identifiée comme susceptible de commettre un tel acte » et qu’enfin « aucune présomption de dangerosité ne saurait être légalement retenue à l’encontre de personnes en fonction de leur lieu de résidence ou d’activité professionnelle pour justifier la conservation de leurs données de trafic et de localisation [sans être] contraire au principe constitutionnel d’égalité devant la loi ».
Pourtant, le Conseil d’État reconnaît que la conservation généralisée et indifférenciée des données connexion (autres que les données relatives à l’identité civile et aux adresses) aux fins de la lutte contre la criminalité et de prévention des menaces à l’ordre public est contraire au droit de l’Union européenne. Il ne prend même pas la peine d’opérer la distinction entre la criminalité grave et les infractions pénales en générale qui comme indiqué ci-dessus lui apparaît inopportune au stade de la conservation des données.
Cette position du Conseil d’État est cependant trompeuse et soulève une difficulté. En effet, dans son mémoire en défense, le Premier ministre soutenait que si le juge administratif décidait d’écarter les dispositions du droit national imposant la conservation généralisée et indifférenciée des données de connexion pour des finalités autres que de sauvegarde de la sécurité nationale, cela priverait de garanties effectives les objectifs de valeur constitutionnelle de prévention des atteintes à l’ordre public, notamment des atteintes à la sécurité des personnes et des biens, et de recherche des auteurs d’infractions pénales.
Le Conseil d’État est parvenu à repousser ce risque de contradiction entre la Constitution et le droit de l’Union européenne en indiquant qu’en tout état de cause, « aussi longtemps que l’existence d’une menace grave sur la sécurité nationale justifie la conservation généralisée et indifférenciée des données de connexion, l’application du droit de l’Union européenne, en conduisant à écarter le droit national, ne prive pas de garanties effectives les objectifs de valeur constitutionnelles invoqués ». En d’autres termes, les autorités de poursuite d’infraction pénale pourront continuer à consulter les données de connexion auprès des opérateurs de communications électroniques[8] tant que l’état de menace sur la sécurité nationale perdurera.
Le Conseil d’État aboutit à une solution plus qu’insatisfaisante en ce qu’elle travestit totalement l’esprit de l’arrêt de la Cour de justice et instaure une insécurité juridique dont il sera difficile de sortir.
Cette décision est un profond désaveux pour les défenseurs des libertés. Il convient de s’interroger sur certains choix politiques en matière de sécurité et il est clair que ces sujets dépassent de loin la seule compétence du Conseil d’État. Toutefois ce dernier mériterait de prendre de la hauteur sans céder au chant des sirènes et réaffirmer la nécessité absolue de préserver des libertés fondamentales, sans quoi il ne sera plus de société démocratique.
[1] CE, 26 juillet 2018, Quadrature du Net et autres et Igwan.net, n°s 394922 394925 397844 397851, T.
[2] Article L.34-1, II du code des postes et des télécommunications
[3] Article L.851-1 du code de la sécurité intérieure
[4] Article L.34-1, III du code des postes et des télécommunications
[5] CJUE, 6 octobre 2020, La Quadrature du Net e.a., C-511/18 et C-512/18
[6] CJUE, 21 décembre 2016, Tele2, C-203/15 et C-698/15
[7] Loi n°2017-1510 du 30 octobre 2017 renforçant la sécurité intérieure et la lutte contre le terrorisme
[8] Par la méthode de « conservation rapide » admise par le droit de l’Union européenne. Voir les arrêts de la Cour de justice et du Conseil d’État pour de plus amples développements sur ce sujet
