Comment la France contourne la justice européenne avec les données de connexion

2021-05-05 Off By dporgpd

Le Conseil d’État était appelé à se prononcer sur l’application d’une jurisprudence de la Cour de justice de l’Union européenne ayant jugé illégale l’obligation de conservation généralisée imposée aux opérateurs. Tout en reconnaissant ces décisions, il en écarte leur application en raison de la «menace» pesant actuellement sur la sécurité nationale.

C’est une véritable acrobatie juridique à laquelle s’est livré le Conseil d’État dans sa décision, rendue mercredi 21 avril, relative à l’obligation de conservation généralisée des données de connexion imposée en France aux acteurs du numérique.

Saisie par un collectif d’associations qui demandaient son annulation, la plus haute juridiction administrative était confrontée à un dilemme en apparence insoluble. D’un côté, une jurisprudence constante au niveau européen, encore rappelée au mois d’octobre dernier dans un arrêt de la Cour de justice de l’Union européenne (CJUE), a déjà jugé cette obligation contraire aux textes européens protégeant la vie privée. Mais, ce faisant, ce sont des dizaines de milliers de procédures pénales utilisant des données de connexion ou de géolocalisation qui risqueraient de tomber dans l’illégalité.

Comme le rappelle le Conseil, ces données sont en effet particulièrement nombreuses et utilisées massivement par les services de renseignement, la police et certaines autorités administratives.

Il les classe ainsi en trois catégories :

« Les données d’identité, qui permettent d’identifier l’utilisateur d’un moyen de communication électronique (par exemple les nom et prénom liés à un numéro de téléphone ou l’adresse IP par laquelle un utilisateur se connecte à Internet) ; les données relatives au trafic, parfois appelées “fadettes”, qui tracent les dates, heures et destinataires des communications électroniques, ou la liste des sites internet consultés ; les données de localisation, qui résultent du “bornage” d’un appareil par l’antenne- relais à laquelle il s’est connecté.»

Face à la perspective de chaos juridique que représenterait l’annulation du droit d’accès à ces données, le Conseil d’État était pressé, de l’autre côté, par le gouvernement de tout simplement écarter l’application de la jurisprudence européenne, au mépris de la Constitution et au risque d’une guerre juridique ouverte entre les juges français et européens.

Grâce à une pirouette juridique particulièrement technique, détaillée dans un arrêt de 39 pages, les magistrats du Palais-Royal ont finalement réussi à trouver une voie médiane. Mais celle- ci les conduit à faire le grand écart en acceptant la jurisprudence de la CJUE, tout en neutralisant son application en France par un raisonnement juridique inédit.

La position de la CJUE sur la question de la conservation et de l’accès aux données de connexion est pourtant bien connue, et affirmée par une série de décisions sans ambiguïtés. La décision fondatrice de cette jurisprudence, l’arrêt « Digital Rights Ireland », a été rendue dès 2014. Celle-ci avait invalidé une directive européenne visant à harmoniser les législations nationales en matière de collecte et d’utilisation des données de connexion.

Dans l’arrêt « Digital Rights Ireland », la cour estimait que l’obligation de conservation indiscriminée faite aux opérateurs constituait « une ingérence » dans les droits fondamentaux « d’une vaste ampleur et d’une gravité particulière dans l’ordre juridique de l’Union, sans qu’une telle ingérence soit précisément encadrée par des dispositions permettant de garantir qu’elle est effectivement limitée au strict nécessaire ».

Deux ans plus tard, l’arrêt « Tele2 » du 21 décembre 2016 avait jugé contraire à la législation européenne toute « réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et aux données de localisation de tous les abonnés et les utilisateurs inscrits concernant tous les moyens de communication ».

Parallèlement, en France, un collectif d’associations, regroupant notamment La Quadrature du Net et le fournisseur d’accès associatif French Data Network (FDN), avait saisi le Conseil d’État pour demander l’annulation de plusieurs décrets imposant une obligation de conservation, notamment ceux pris en application de la loi renseignement de juillet 2015.

En juillet 2018, le juge administratif avait finalement décidé de demander, avant de se prononcer, l’avis de la CJUE, à laquelle il avait envoyé une série de questions préjudicielles.

Ses réponses sont tombées le 6 octobre 2020. Sans surprise, ce nouvel arrêt « La Quadrature du Net » a confirmé la jurisprudence de la CJUE. Si elle reconnaît le droit aux États d’exiger un accès aux données de connexion détenues par les opérateurs et fournisseurs d’accès, notamment en cas de « menace pour la sécurité nationale », l’obligation de conservation doit « être temporellement limitée au strict nécessaire ». « Cette conservation ne saurait présenter un caractère systématique », réaffirmait l’arrêt.

Enfin, le 2 mars dernier, la CJUE rendait un nouvel arrêt concernant cette fois plus spécifiquement l’utilisation des données de connexion dans le cadre d’une procédure pénale.

Dans cette nouvelle décision, les juges européens ont jugé illégal tout accès « à des fins pénales » à ces données en dehors « des procédures visant à la lutte contre la criminalité grave ou à la prévention de menaces graves contre la sécurité publique ». En pratique, cela voudrait dire que les services de police et de gendarmerie n’ont désormais plus le droit d’accéder aux données stockées par les opérateurs dans le cadre d’une bonne partie de leurs enquêtes ne portant pas sur des infractions assez graves.

La décision rendue mercredi 21 avril concerne le recours déposé par La Quadrature du Net et FDN. Acculé par la réponse aux questions préjudicielles du 6 octobre 2020 et par le nouvel arrêt du 2 mars, le gouvernement a tenté ces dernières semaines de convaincre le Conseil d’État d’opter pour une solution radicale : tout simplement refuser d’appliquer la jurisprudence de la CJUE.

Selon le site d’information Contexte, l’exécutif a dans ce but transmis au Conseil un mémoire affirmant que la conservation généralisée des données de connexion est « indispensable » pour que l’État puisse remplir certains objectifs « constitutionnels », comme la sauvegarde des intérêts fondamentaux de la nation, la recherche d’auteurs d’infractions et leur prévention, et la lutte contre le terrorisme. Le gouvernement, pointe Contexte, affirme que les données de connexion sont utilisées dans plus de 85 % des enquêtes. Autant de procédures qui seraient menacées en cas d’application de la jurisprudence de la CJUE.

Dans son arrêt, le Conseil d’État écarte clairement la solution proposée par le gouvernement et qui aurait conduit à un conflit ouvert entre juges français et européens.

« Contrairement à ce que soutient le premier ministre, il n’appartient pas au juge administratif de s’assurer du respect, par le droit dérivé de l’Union européenne ou par la Cour de justice elle-même, de la répartition des compétences entre l’Union européenne et les États membres, affirme l’arrêt. Il ne saurait ainsi exercer un contrôle sur la conformité au droit de l’Union des décisions de la Cour de justice et, notamment, priver de telles décisions de la force obligatoire dont elles sont revêtues.»

Une définition « monstrueuse » de la sécurité nationale

En conséquence, l’arrêt ordonne bien au gouvernement d’abroger « dans un délai de six mois » deux textes imposant aux opérateurs de communications électroniques la conservation des données de connexion pendant un an : l’article R. 10-13 du code de la propriété intellectuelle « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales » et un décret du 25 février 2011 pour pouvoir identifier les auteurs de contenus illicites.

Mais, dans le même temps, « le Conseil d’État rappelle que la Constitution française demeure la norme suprême du droit national. En conséquence, il lui revient de vérifier que l’application du droit européen, tel que précisé par la CJUE, ne compromet pas en pratique des exigences constitutionnelles qui ne sont pas garanties de façon équivalente par le droit européen », explique le communiqué de la juridiction. Et, parmi ces « exigences constitutionnelles », figurent celles « relatives à la sécurité nationale et à la lutte contre la criminalité ».

Or, affirme l’arrêt, « à la date de la présente décision, l’état des menaces pesant sur la sécurité nationale […] justifie légalement que soit imposée aux opérateurs la conservation générale et indifférenciée des données de connexion ». Cette menace « procède d’abord de la persistance d’un risque terroriste élevé ». « Par ailleurs, poursuit l’arrêt, la France est particulièrement exposée au risque d’espionnage et d’ingérence étrangère, en raison notamment de ses capacités et de ses engagements militaires et de son potentiel technologique et économique. » Enfin, « la France est également confrontée à des menaces graves pour la paix publique, liées à une augmentation de l’activité de groupes radicaux et extrémistes ».

Ce faisant, le Conseil d’État innove donc en reconnaissant l’existence d’un état d’exception, détaché de l’état d’urgence, qui permettrait de déroger au droit commun. « En revanche », pointe le Conseil d’État, cette solution va imposer « au gouvernement de réévaluer régulièrement la menace qui pèse sur le territoire ». Ainsi, un décret devrait être régulièrement pris afin de «justifier la conservation généralisée des données et de subordonner l’exploitation de ces données par les services de renseignement à l’autorisation d’une autorité indépendante ».

Cette première étape du raisonnement du Conseil d’État permet de justifier la conservation généralisée des données de connexion et leur exploitation par les services de renseignement. Reste la question de leur exploitation dans le cadre d’enquêtes pénales qui, elle, reste en théorie illégale.

Pour contourner ce problème, le juge administratif estime que la solution proposée par la CJUE, consistant en une conservation ciblée des données et limitée aux crimes graves, est, en toute logique, impossible à mettre en place. « En effet, pointe son communiqué, il n’est pas possible de prédéterminer les personnes qui seront impliquées dans une infraction pénale qui n’a pas encore été commise ou le lieu où elle sera commise.»

Par contre, souligne le Conseil, la CJUE a également autorisé l’utilisation, dans le cadre d’une enquête pénale portant sur la criminalité grave, de la pratique dite de « conservation rapide » des données consistant à «demander aux opérateurs de geler les données de trafic et de localisation relatives à une personne, pour les besoins d’une enquête pénale, sur une courte période».

Et cette autorisation vaut « lorsque cette conservation rapide porte sur des données initialement conservées aux fins de sauvegarde de la sécurité nationale », poursuit l’arrêt. «Ainsi, l’autorité judiciaire est en mesure d’accéder aux données nécessaires à la poursuite et à la recherche des auteurs d’infractions pénales dont la gravité le justifie. Le même principe s’applique nécessairement aux autorités administratives indépendantes disposant d’un droit d’accès aux données de connexion », conclut le Conseil d’État.

Ainsi, si la conservation indiscriminée des données de connexion est bien en théorie interdite, conformément à la jurisprudence de la CJUE, elle reste imposée aux opérateurs au motif de la menace actuelle pesant sur la sécurité nationale afin que puissent y accéder les services de renseignement. Et elles pourront toujours être utilisées dans les enquêtes pénales au titre de la « conservation rapide ». Le juge devra toutefois vérifier le respect du « principe de proportionnalité entre gravité de l’infraction et importance des mesures d’enquête mises en œuvre, qui gouverne la procédure pénale ».

Concernant l’accès des services de renseignement aux données de connexion, l’arrêt impose cependant une limite en apparence importante. Les avis de la Commission nationale de contrôle des techniques de renseignement (CNCTR), saisie des demandes d’accès, qui n’étaient jusqu’à présent que consultatifs, devront désormais être « conformes », c’est-à- dire qu’ils s’imposeront au gouvernement. Cependant, le premier ministre pourra contourner cette obligation en « cas d’urgence dûment justifiée ».

Une construction juridique qui a provoqué la colère des associations requérantes. « Le Conseil d’État a réinterprété la notion de “sécurité nationale” pour l’étendre très largement au-delà de la lutte contre le terrorisme et y inclure par exemple l’espionnage économique, le trafic de stupéfiants ou l’organisation de manifestations non déclarées, dénonce ainsi dans un communiqué La Quadrature du Net. Ainsi, il peut conclure que la sécurité nationale est systématiquement menacée, justifiant le contournement permanent des garanties protégeant les libertés fondamentales, et ce même en dehors des périodes officielles d’état d’urgence, soumises à un contrôle démocratique (aussi théorique soit-il).»

« Cette décision traduit le blanc- seing donné par le Conseil d’État au gouvernement et aux services de renseignement, poursuit le communiqué. Reléguant le droit à la vie privée, à la sûreté ou à la liberté d’expression à une pure déclaration de principe dénuée d’effectivité, le Conseil d’État confère à la sacro-sainte sécurité nationale une définition si monstrueuse qu’elle lui permet d’annihiler le reste des droits fondamentaux. Aujourd’hui, il a durablement inscrit dans le droit français le renversement de principe en matière de surveillance : tout le monde est suspect, de tout.»