L’obligation de conservation des données de connexion auscultée par la CJUE

Un litige né en Suède et transmis à la Cour de justice de l’Union européenne risque de provoquer quelques sueurs froides dans les ministères, notamment français. Il concerne l’obligation pesant pour les intermédiaires techniques de conserver, sur une période de plusieurs mois, un grand nombre de données de connexion.

La justice suédoise demande en particulier si cette conservation, « relative à toute personne et à tous les moyens de communication électronique et portant sur l’ensemble des données relatives au trafic, sans qu’aucune différenciation, limitation ni exception » est bien conforme au droit de l’Union lorsqu’il s’agit de poursuivre un objectif de lutte contre la criminalité.

Dans le cas contraire, poursuivent les mêmes juges nationaux, ne pourrait-on pas l’admettre en encadrant cependant au cordeau l’accès des autorités, tout en imposant des obligations de sécurisation strictes ?

En Suède, l’obligation de conservation est limitée à 6 mois, mais l’affaire implique également la France. Notre pays consacre une obligation générale de conservation de toutes les données de connexion durant un an. Un vivier qui sert ensuite à bon nombre d’autorités, qu’elles soient judiciaires ou administratives.

Un dossier suivi de près par la France

L’affaire en question est actuellement examinée par les services de la CJUE. Voilà quelques jours, la France est spécialement montée au créneau afin de défendre son régime, arguant d’après un témoin de l’audience, que la rétention des données est utile aussi bien pour lutter contre le crime et prévenir le terrorisme que pour assurer le respect des droits de la défense et permettre de démontrer l’innocence des personnes éventuellement mises en cause. Les conclusions de l’avocat général sont attendues le 19 juillet prochain. L’arrêt de la CJUE suivra quelques semaines plus tard.

Selon son sens, la décision est susceptible d’être une petite bombe, sans doute plus bruyante encore que l’invalidation de la directive sur les données personnelles en avril 2014 par la même CJUE. Rappelons que cette directive sur les données personnelles voulait harmoniser la collecte et la conservation des données de connexion dans toute l’Europe : origine, destination, heure et équipements utilisés auraient dû être conservés par les FAI et les opérateurs entre six mois et deux ans, au choix des États membres. Ce texte a été décapité par la justice européenne qui l’a trouvé bien trop léger sur le terrain du respect des libertés et de la vie privée. Mais l’invalidation a laissé intacts bon nombre de textes français tout simplement parce qu’ils ne procèdent pas spécialement de ce fondement juridique..

Appelé à examiner ce régime, la section du contentieux au Conseil d’État a déjà jugé que l’obligation de conservation des métadonnées en France « est fondée sur des règles précises et contraignantes, dont la méconnaissance est sanctionnée ». Ne trouvant rien à redire, la haute juridiction a balayé les critiques acidulées formulées par la Quadrature du Net, FDN, FFDN et RSF.