Conservation des données : le Garde des Sceaux interrogé sur les effets de l’arrêt Télé2

C’est une nouvelle fois Lionel Tardy qui met les pieds dans le plat. Le député vient de questionner le ministre de la Justice sur la portée de l'arrêt Tele2 rendu le 21 décembre 2016. Un arrêt fondamental qui pilonne l’obligation générale de conservation de données de connexion.

Avant de plonger dans le corps de la question, il faut remonter un peu dans le temps. En 2016, le ministre de la Justice lui avait déjà répondu que l’affaire Digital Rights était sans effet sur le droit français.

Dans ce précédent arrêt du 9 avril 2014, la Cour invalidait la directive sur la conservation des données, voyant dans ce texte « une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel sans que cette ingérence soit limitée au strict nécessaire ».

De l'arrêt Digital Rights à l'arrêt Télé2

Et pour cause, le texte européen organisait une obligation de conservation qui couvre « de manière généralisée toute personne et tous les moyens de communication électronique ainsi que l’ensemble des données relatives au trafic sans qu’aucune différenciation, limitation ni exception soit opérée en fonction de l’objectif de lutte contre les infractions graves ».

En juin 2016, Jean-Jacques Urvoas expliquait au député de Haute-Savoie que les textes français, qui organisent peu ou prou la même chose, ne procèdent pas de cette directive.

Pas d’inquiétude sur l’insécurité juridique née de cette invalidation, d’autant que « la législation française apporte des garanties supérieures à celles prévues par la directive invalidée en matière de protection des données et de contrôle des demandes d'accès aux données ».

D’ailleurs, « les données de connexion sont conservées sur le territoire français et soumises au contrôle de la Commission nationale de l'informatique et des libertés ». De plus, « des sanctions pénales sont encourues en cas de consultations indues et [...] les personnes habilitées à consulter ces données sont déterminées par la loi ».

Avec le récent arrêt Télé2, la patience parlementaire touche à sa fin. Voyant que la Cour a considéré cette fois que « les États membres ne peuvent pas imposer une obligation générale de conservation de données aux fournisseurs de services de communications électroniques », Lionel Tardy estime que l’arrêt « vient infirmer » l’interprétation du Garde des Sceaux : « les mesures nationales de conservation des données par les fournisseurs de services de communications électroniques relèvent bien du champ d'application du droit de l'Union »

Des conséquences possiblement douloureuses

Comme expliqué longuement, la Cour a considéré que « seule la lutte contre la criminalité grave » est susceptible de justifier une conservation des données relatives au trafic et à la localisation des individus. Mieux : toute « réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique » est interdite.

Or, en France, l’état des lieux fait pâle figure. L'article L. 34-1 du Code des postes et des télécommunications par exemple : « s'il pose le principe d'un effacement ou anonymisation des données de connexion, explique le parlementaire, [cette disposition] prévoit immédiatement une dérogation permettant la conservation des données de connexion pour une durée d'un an ».

Autre contrariété. La CJUE a conditionné l'accès aux données conservées au respect de plusieurs exigences, par exemple le contrôle préalable d’une autorité indépendante ou d’une juridiction, sauf évidemment situation d’urgence.

Retour en France où le député s’interroge sur « la validité des demandes formulées au titre d'enquêtes diligentées sous l'autorité du parquet d'une part et d'autre part du droit de communication de l'administration pour des données conservées par les fournisseurs de services de communications électroniques ». Pour ces cas, « il n'existe à ce jour aucun contrôle préalable des demandes de l'administration, hormis pour les sujets relevant de l'accès administratif aux données de connexion soumis au contrôle de la CNCTR ».

Vers une mise à jour de la législation française ? 

Sur le bureau des juges européens, on découvre en outre que « les données en cause [doivent être] conservées sur le territoire de l’Union ». Or, cette exigence interpelle le député qui « pose la question de la validité de demandes portant sur des données conservées hors de l'Union par de grands acteurs d'Internet ».

Dans sa question publiée sur le site de l’Assemblée nationale, Lionel Tardy sollicite du coup « des précisions quant à la portée de cet arrêt Tele2 sur les procédures initiées au niveau national visant à solliciter de la part des fournisseurs de services de communications électroniques, la transmission de données sur l'activité de leurs utilisateurs ». Devant la porte du ministère, il insiste sur risque élevé qui pèse dorénavant sur les procédures en cours, suggérant au gouvernement une sérieuse mise en conformité du droit national.

Nous reviendrons sur la réponse apportée par Jean-Jacques Urvoas… ou son éventuel successeur, sachant que le ministère avait mis deux ans pour faire cas de la première question.