FADET et données de connexion : le Conseil constitutionnel dit stop à l’open bar

Hier soir, le Conseil constitutionnel a censuré une partie des articles de la loi Macron. Parmi les dispositions épinglées, l’article 216 tentait d’accrocher au ceinturon de l’Autorité de la concurrence un droit de communication sur les données de connexion et les FADET, les fameuses factures détaillées. Un vrai coup de semonce des neuf Sages.

Le sujet avait attiré notre attention début janvier. Au détour du projet de loi Macron, une disposition gouvernementale armait l’Autorité de la concurrence du pouvoir de réclamer la communication des données conservées et traitées par les opérateurs et hébergeurs, histoire de flairer des fraudes économiques.

Quelles données ? Il y a non seulement les FADET (et avec elles, les références du contrat, l’adresse de l’abonné, les coordonnées bancaires...) mais aussi les données de connexion, soit le contentant des contenus échangés (depuis quel lieu tel abonné s'est connecté au réseau, à quelles dates, à quelles heures, sous quel identifiant - numéro téléphone ou adresse(s) IP, référence du terminal...).

Ce droit de communication n’est pas un ilot isolé. L’article L 34-1 du Code des postes et des communications électroniques qui pose le fragile principe de l’effacement immédiat des données de connexion reconnait plusieurs exceptions qui, toutes, le rabotent : le pénal, la loi Hadopi et l’ANSSI peuvent réclamer communication des données qui doivent donc être conservées. Avec le temps, le droit de communication a surtout été reconnu à d’autres administrations avec un encadrement trop souvent réduit pour ses détracteurs. Et la loi Macron ne dérogeait pas à la règle.

L'arrêt Digital Rights de la Cour de justice de l'Union européenne

Seulement, depuis quelques mois, le contexte a changé. Le 8 avril 2014, la Cour de justice de l’Union européenne tirait déjà la sonnette d’alarme. En invalidant la directive sur la conservation des données de connexion, elle exige désormais un bon nombre de garanties. Pourquoi ? Tout simplement parce que « ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ».

En somme, le nuage de métadonnées laissé dans le sillage d’une personne permet de reconstituer très facilement toute sa vie sexuelle, privée, sociale, économique, etc. Il n’est donc pas très prudent que la rétention des données soit la norme et que le droit de communication sur ce gisement soit ouvert comme une porte d’église.

Les appels à la prudence de la CNIL et du Conseil d’État

Certes, la législation française ne procède pas de la directive invalidée, mais la messe dite à la CJUE était suffisamment vaste pour qu’elle se sente concernée. En juin 2014, Isabelle Falque-Pierrotin, présidente de la CNIL, implorait ainsi le législateur de « clarifie[r] le champ de l'article 34-1 du Code des postes et des communications électroniques ».

Quelques mois plus tard, le Conseil d’État embrayait : dans son rapport sur les libertés numériques, il demandait à ce que « les conséquences de l’arrêt Digital Rights Ireland [soient] tirées en ce qui concerne l’accès aux données de connexion collectées au titre de l’obligation de conservation systématique prévue par notre législation, notamment en réservant l’accès à des fins de police judiciaire aux crimes et aux délits d’une gravité suffisante, en réexaminant les régimes prévoyant l’accès de certaines autorités administratives pour des finalités autres que la sécurité intérieure (notamment la HADOPI, l’ANSSI, l’administration fiscale, l’AMF) et en étendant, pour l’accès aux données de connexion, les règles spécifiques de protection qui bénéficient aux parlementaires, aux avocats, aux magistrats et aux journalistes en matière d’interceptions du contenu des communications ».

L'opposition frontale entre le gouvernement et les députés UMP

C’est donc dans ce contexte que l’extension du droit de communication à l’Autorité de la concurrence a été décriée dans la saisine constitutionnelle des députés. Reprenant leurs arguments en séance, les parlementaires estimaient qu’il y avait là une atteinte disproportionnée au respect de la vie privée garantie par l'article 2 de la Déclaration des droits de l'Homme de 1789 : « Le pouvoir des agents de l'Autorité de la concurrence apparait comme exorbitant puisque d'une part, ils pourront se faire communiquer des fadettes au cours d'une simple enquête, et non pas en cas d'infraction particulièrement grave, et d'autre part, ils n'encourent aucune sanction particulière en cas de divulgation de ces informations ».

Ils condamnaient aussi l'absence d’ « intervention du juge pour autoriser la saisie des relevés téléphoniques détaillés », une pratique parfois utilisée pour connaître les sources d’un journaliste.

Dans ses observations, le gouvernement a religieusement rétorqué que « ces dispositions visent à harmoniser les dispositions relatives au droit de communication des autorités administratives indépendantes et des administrations chargées de la répression des infractions économiques ». Il ajoute que ce droit « ne confère pas à des agents un pouvoir d'exécution forcée pour obtenir la remise de ces données » et qu’ « en l'absence d'autorisation préalable de l'autorité judiciaire, l'administration ne pourra obtenir que les documents qui lui ont été volontairement communiqués ». Selon lui, en somme, cette extension devait être jugée conforme.

Le Conseil constitutionnel exige de solides garanties

Mais le Conseil constitutionnel n’a pas avalé l'innocente analyse gouvernementale. Son analyse dénote avec ce qui a pu lui être reproché dans sa décision sur la loi Renseignement où il a jugé que les garanties relatives à un autre droit, le droit d'accès des services spécialisés, étaient suffisantes.

Il assène que « la communication des données de connexion est de nature à porter atteinte au droit au respect de la vie privée de la personne intéressée ». Si d’un côté, effectivement, les agents de l’Autorité de la concurrence sont soumis au secret et ne disposent pas d’un pouvoir d'exécution forcée, ce droit n’est assorti « d'aucune autre garantie ». « En particulier, le fait que les opérateurs et prestataires ne sont pas tenus de communiquer les données de connexion de leurs clients ne saurait constituer une garantie pour ces derniers ». Le Conseil constitutionnel considère donc que le législateur n’a pas su opérer de juste équilibre entre le droit au respect de la vie privée et « la prévention des atteintes à l'ordre public et la recherche des auteurs d'infractions ». Le second l'emportant un peu trop sur le premier.

Cette censure est aussi un coup de semonce qui devrait inciter le gouvernement à revoir rapidement l’encadrement du droit de communication dévolu à plusieurs administrations pour s’assurer de leur pleine conformité à cette décision. Il le contraindra aussi à s'interroger à l'avenir sur ce moyen confortable, voire sur l’obligation de conservation des données de connexion, à l’aune de l’arrêt Digital Rights. Et s'il traine des pieds, un prochain recours initié par la Quadrature du Net, FDN et FFDN devrait l'aider à réagir.