Information et veille juridique en droit de l'Union européenne

Décision du Conseil d’Etat sur la conservation des données de connexion

 

conseil d'état

Conseil d'Etat

Auteur JB Eyguesier -  Copyright CE/Dircom

 

 

Comment concilier la jurisprudence pointilleuse et restrictive de la Cour de Justice de l’Union Européenne (CJUE) sur la conservation des données de connexion dont disposent les fournisseurs d’accès à internet et la volonté du Gouvernement français de donner aux services de renseignement la possibilité d’aller puiser dans ces données sous couvert de lutte contre le terrorisme et contre la criminalité ? C’est à cette « injonction paradoxale » que s’est trouvé confronté le Conseil d’Etat à la suite des recours formés par des associations de défense de la vie privée en ligne contre des décrets imposant aux fournisseurs d’accès à internet une obligation de conservation des données qu’ils estiment contraire à la législation de l’Union européenne et à l’interprétation qu’en donne la CJUE dans une jurisprudence à présent bien étoffée et dont laquelle s’inscrit l’arrêt du 6 octobre 2020 rendu à la demande du Conseil d’Etat.
 

Dans sa décision du 21 avril 2021, le juge administratif donne un bel exemple de l’utilisation de la désormais célèbre formule « en même temps » pour sortir de l’embarrassante situation dans laquelle il se trouvait, pris entre le marteau du droit européen et l’enclume des prérogatives régaliennes de l’Etat qui ne souffrent aucune limitation, pas même celle du droit de l’UE. On le sait, l’interprétation de la Cour de Justice de l’Union Européenne lie le juge national. Aller à l’encontre c’était nier la primauté du droit communautaire et déclencher un conflit de juges. Mais il n’était pas plus aisé de désavouer le Gouvernement qui invoquait la souveraineté de la France en matière de sécurité nationale et la préservation de ses principes et objectifs constitutionnels pour « inviter » le Conseil d’Etat à ne pas tenir compte de l’arrêt de la CJUE.
 

Comment ne pas voir l’expression d’un soulagement (ou une application de la méthode coué? ) dans le titre du communiqué de presse du Conseil d’Etat : « Données de connexion : le Conseil d’État concilie le respect du droit de l’Union européenne et l’efficacité de la lutte contre le terrorisme et la criminalité » ? .


Le Conseil d’Etat a évité, ou tenté d’éviter (mais son arrêt est déjà critiqué par ceux qui dénoncent une violation de la primauté du droit communautaire), l’écueil du conflit avec la CJUE en écartant tout d’abord l’argument du Gouvernement qui l’aurait conduit à ne pas tenir compte de l’arrêt de la Cour au motif qu’elle aurait excédé sa compétence (en statuant  « ultra vires ») (point 8).
Il a examiné ensuite si les règles européennes qui encadrent la conservation des données sont compatibles avec « les objectifs de valeur constitutionnelle de sauvegarde des intérêts fondamentaux de la Nation, de prévention des atteintes à l’ordre public et de recherche des auteurs d’infractions pénales et de lutte contre le terrorisme » qui sont sensés justifier les décrets attaqués. Une réponse négative aurait conduit à écarter le droit de l'Union Européenne. Le Conseil d’Etat refuse de prendre une position aussi tranchée. Mais il se reconnaît le droit et la compétence de vérifier que l’encadrement de la conservation des données par le droit communautaire ne remet pas en cause les exigences constitutionnelles relatives à la sécurité nationale et à la lutte contre la criminalité, dans la mesure où le droit communautaire ne peut assurer la protection de ces exigences  de manière équivalente à celle que garantit la Constitution (à rapprocher avec la jurisprudence qui est la sienne depuis l’arrêt Arcelor de 2007) (points 9 et 10).

 

Le Conseil d’Etat passe alors à l’examen des différentes questions posées. Dans ses réponses, il s’écarte de l’interprétation donnée par la Cour de Justice de l’Union Européenne, tout en s’efforçant de ne pas aller jusqu’à la contredire. Les cours suprêmes nationales sont rompues à ces exercices d’équilibrisme depuis qu’elles doivent tenir compte de l’ordre juridique communautaire (le Tribunal constitutionnel allemand en donne un bon exemple, plus d’une fois au bord de la rupture sans que celle-ci se produise).
 

La CJUE elle-même lui a facilité la tâche en infléchissant sa jurisprudence dans son arrêt du 6 octobre 2020 dans lequel elle admet la conservation généralisée et indifférenciée des données de connexion autres que les adresses IP aux seules fins de sauvegarde de la sécurité nationale. Le Conseil d’Etat reprend cette formulation et rappelle les conditions qui doivent être respectées, conformément à ce qu’a prescrit la Cour de Justice de l’Union Européenne : l’existence d’une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale, doit être régulièrement réévaluée, et peut faire l’objet d’un contrôle du juge administratif. L’accès des services de renseignement aux données ne peut avoir lieu qu’après le feu vert d’une autorité administrative indépendante dotée d’un pouvoir contraignant ou après un contrôle juridictionnel (ce qui n’est pas le cas actuellement) (point 74). Mais, et c’est là où le bât blesse aux yeux des opposants à la réglementation française, le Conseil d’Etat adopte une définition plutôt large de la notion de menace à la sécurité nationale: « Cette menace procède d’abord de la persistance d’un risque terroriste élevé, ainsi qu’en témoigne notamment le fait que sont survenues sur le sol national au cours de l’année 2020 six attaques abouties ayant causé sept morts et onze blessés. Deux nouveaux attentats ont déjà été déjoués en 2021. Le plan Vigipirate a été mis en oeuvre au niveau « Urgence attentat » entre le 29 octobre 2020 et le 4 mars 2021 puis au niveau « Sécurité renforcée – risque attentat » depuis le 5 mars 2021, attestant d’un niveau de menace terroriste durablement élevé sur le territoire. Par ailleurs, la France est particulièrement exposée au risque d’espionnage et d’ingérence étrangère, en raison notamment de ses capacités et de ses engagements militaires et de son potentiel technologique et économique. De nombreuses entreprises françaises, tant des grands groupes que des petites et moyennes entreprises, font ainsi l’objet d’actions malveillantes, visant leur savoir-faire et leur potentiel d’innovation, à travers des opérations d’espionnage industriel ou scientifique, de sabotage, d’atteintes à la réputation ou de débauchage d’experts. La France est également confrontée à des menaces graves pour la paix publique, liées à une augmentation de l’activité de groupes radicaux et extrémistes. Ces menaces sont de nature à justifier l’obligation de conservation généralisée et indifférenciée des données de connexion listées à l’article R. 10-13 du code des postes et des communications électroniques autres que les données relatives à l’identité civile et aux adresses IP » (point 44).
 

De plus, le Conseil d’Etat concède au Gouvernement une marge de manœuvre confortable pour apprécier les cas dans lesquels il peut imposer une conservation généralisée et indifférenciée des données de connexion. Dans son arrêt du 6 octobre 2020, la CJUE a posé un principe général d’interdiction dans le cadre de la lutte contre la criminalité « ordinaire ». Elle n’admet d’y déroger que dans un but d’enquête et de poursuites de faits de criminalité grave et à condition d’avoir recours à des critères et  des procédés permettant une conservation « ciblée » des données (délimitée, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique, pour une période temporellement limitée au strict nécessaire, mais renouvelable, en vue de lutter contre la criminalité grave ou de prévenir des menaces graves contre la sécurité publique). Pour le Conseil d’Etat, la conservation ciblée est irréalisable (points 53 et 54). Il l’écarte donc. Comme les solutions proposées par la CJUE sont jugées impraticables, il reste le critère de la gravité de l’infraction et la menace pour la sécurité publique qu’elle représente. La conservation des données pourra alors se justifier s’il y a proportionnalité entre gravité de l’infraction et importance des mesures d’enquête mises en œuvre, autrement dit s’il s’agit de poursuivre des infractions d’un degré de gravité suffisant (points 38, 39 et 41).
 

Face à ces menaces, le Conseil d‘Etat estime que la durée de conservation des données qui est fixée à un an n’est pas excessive et ne viole pas le principe de proportionnalité (point 44).

 

Décision

Le Conseil d’Etat « annule les décisions du Premier ministre refusant d’abroger l’article R. 10-13 du code des postes et des communications électroniques et le décret du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne ». En effet ces textes :
« d’une part, ne limitent pas les finalités de l’obligation de conservation généralisée et indifférenciée des données de trafic et de localisation autres que les données d’identité civile, les coordonnées de contact et de paiement, les données relatives aux contrats et aux comptes et les adresses IP à la sauvegarde de la sécurité nationale et, d’autre part, ne prévoient pas un réexamen périodique de l’existence d’une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale ».

 

Le Gouvernement a six mois pour abroger ces dispositions.
 

De plus, le Conseil d’Etat annule les décrets du 11 décembre 2015 et du 29 janvier 2016 « en tant seulement qu’ils permettent la mise en oeuvre des dispositions des articles L. 851-1, L. 851-2, L. 851-4 et du IV de l’article L. 851-3 du code de la sécurité intérieure sans contrôle préalable par une autorité administrative indépendante dotée d’un pouvoir d’avis conforme ou une juridiction en dehors des cas d’urgence dûment justifiée ».


 

Les PLus

 

Les PLus

 

 

Jurisprudence

 

  • Commentaires de décisions de la Cour de Justice de l'Union Européenne et d'arrêts du Tribunal,
  • Conclusions des avocats généraux

 

 

Archives de l'ancien site

Articles d'actualité européenne

2001 / 04 - 2013

Brèves d'information

2009 / 04 - 2013

 

ME JOINDRE