Par un arrêt d’assemblée dit « French Data Network » du 21 avril 2021 (CE, Ass., 21 avr. 2021, n°393099), le Conseil d’Etat s’est prononcé sur l’obligation de conservation généralisée et indifférenciée des données de connexion imposée aux opérateurs télécoms, aux fournisseurs d’accès internet et aux hébergeurs. Il a considéré que cette obligation est justifiée compte tenu de l’état de menace pour la sécurité nationale.
Cet arrêt s’inscrit dans le cadre de diverses procédures entamées depuis 2018. Ainsi, le Conseil d’Etat avait été saisi par plusieurs associations et un opérateur télécoms et avait sursis à statuer jusqu’à l’arrêt rendu par la CJUE sur renvoi préjudiciel le 6 octobre 2020 (C-511/18, C-512/18 et C-520/18).
Pour rappel, dans son arrêt en date du 6 octobre 2020, la CJUE, interrogée sur la portée des règles issues de la directive 2002/58 « vie privée et communications électroniques » et du RGPD, a considéré que l’obligation de conservation généralisée et indifférenciée des données de connexion (autres que les données d’identité) imposée aux opérateurs doit être limitée à ce qui est nécessaire pour les besoins de la sécurité nationale en cas de menace grave. En outre, la CJUE ajoute que l’accès à ces données par les services de renseignement doit être soumis au contrôle préalable d’une autorité indépendante (AAI) ou d’un juge.
A titre liminaire, dans son arrêt en date du 21 avril 2021, le Conseil d’Etat rappelle qu’il « vérifie que l’application du droit européen ne compromet pas les exigences de la Constitution française ». Ensuite, le Conseil d’Etat opère une distinction en fonction des finalités de la conservation et du type de données considéré. Le Conseil d’Etat retient que l’obligation imposée aux opérateurs français, pour ce qui est des données de trafic et de localisation est justifiée face à la menace pour la sécurité nationale. Il enjoint toutefois au Gouvernement d’évaluer régulièrement l’existence de cette menace. En revanche, l’arrêt juge illégale l’obligation de conservation généralisée des données pour des besoins autres que la sauvegarde de la sécurité nationale. Seules les données peu sensibles telles que les données d'identité civile, les coordonnées de contact et de paiement, les données relatives aux contrats et aux comptes et les adresses IP peuvent faire l’objet d’une obligation généralisée de conservation indépendamment des impératifs de sécurité nationale.
Le Conseil d’Etat considère par ailleurs que l’accès par les services de renseignement aux données conservées ne doit intervenir que sur avis conforme d’une autorité administrative indépendante (AAI). Il annule donc les dispositions règlementaires qui permettent un tel accès sur simple avis consultatif de la Commission nationale des techniques du renseignement (CNCTR).
Enfin, le Conseil d’Etat enjoint au Premier ministre de procéder, dans un délai de six mois, à l’abrogation des textes d’application du Code des postes et des télécommunications électroniques (CPCE) et de la loi sur la confiance dans l’économie numérique (LCEN) mais seulement en ce qu’ils prévoient une obligation de conservation pour d’autres finalités que la sauvegarde de la sécurité nationale.
Il est intéressant de relever que le lendemain de l’arrêt du Conseil d’Etat, la Cour Constitutionnelle belge a également été amenée à se prononcer sur la question de la conservation des données de connexion. Contrairement à la Haute Juridiction française, la Cour Constitutionnelle belge a annulé les dispositions de la loi belge imposant une conservation généralisée et indifférenciée de telles données.
Par ailleurs, le 25 mai 2021, la Cour européenne des droits de l’homme (CEDH) a adopté une position plus souple dans deux arrêts portant sur la surveillance électronique de masse Big Brother Watch et autres c. Royaume-Uni (req. n°58170/13, 62322/14 et 24960/15) et Centrum för Rättvisa c. Suède (req. n°35252/08). Dans ces arrêts, la CEDH admet la surveillance généralisée du contenu et des données de connexion des communications électroniques pour les besoins notamment de la sécurité nationale et laisse aux Etats « une ample marge d’appréciation pour déterminer de quel type de régime d’interception ils ont besoin à cet effet ». La CEDH exige cependant que des garanties suffisantes soient mises en place pour éviter les abus et décisions arbitraires, et c’est à ce titre seulement qu’elle condamne le Royaume-Unis et la Suède, mis en cause dans les arrêts précités.
Behring, Anne-Solène Gay, Juris Initiative, données de connexion, conservation généralisée, Conseil d’Etat, CJUE, sécurité nationale, renseignement