Comment le Conseil d’État a sauvé la conservation des données de connexion

Le Conseil d’État a rendu hier son arrêt dit French Data Network. Un arrêt d’assemblée pour un sujet à la hauteur de l’enjeu, celui de la conservation des données de connexion. Une décision à l’image des conclusions du rapporteur public, contrastée, longue et technique. Next INpact vous propose un long format pour plonger dans ses rouages.

L’arrêt est long. Très long. 39 pages, très techniques, aux multiples recoins, soit autant de nouveaux nids à contentieux pour un dossier né voilà pourtant plusieurs années. C’est la première fois que la juridiction administrative admet des brèches dans le régime actuel, monolithe que l'on pensait impénétrable. Si elle a tout fait pour sauver cette obligation, le point est notable.

• L'arrêt FDN et autres du 21 avril 2021

Pour mémoire, cette ou plutôt ces affaires jugées mercredi 21 avril concernent l’obligation de conservation des données de connexion, qui pèse sur les opérateurs télécoms, les FAI mais aussi les intermédiaires techniques du web comme les réseaux sociaux.

Schématiquement, tous ont l’obligation de conserver un an durant l’ensemble des métadonnées, à savoir le « qui », « où », « comment », « à qui » de tous les échanges. Des posts faits sur un réseau social, aux appels téléphoniques en passant par les SMS. Un véritable bassin de rétention où les services du renseignement comme le pouvoir judiciaire peut s’abreuver quand vient le besoin d’accéder à des informations jugées utiles au regard de leur mission respective.

Savoir qui a téléphoné à qui, quand et d’où permet par exemple de retracer le graphe social d’une personne. Cependant, cet aspect utilitaire a un revers mis en exergue par la Cour de justice de l’Union européenne par six fois depuis 2014 : cette obligation de conservation généralisée et indifférenciée n’est pas seulement un instrument au service des autorités. Il est aussi une atteinte à la vie privée.

De ces données, il est possible de tirer des conclusions très précises sur la vie privée d’une personne. Si un téléphone borne quand l’une d’elles rentre dans un temple, une église, une mosquée ou un sex-shop, des versants intimes de sa vie scintillent sur les rétines des services indiscrets. De même quand une personne téléphone à une autre, avant de commettre un attentat, on peut soupçonner un lien d’intérêt entre elles.

Dans ses six arrêts, la juridiction européenne n'a pas condamné cette conservation mais a exigé plusieurs garanties que le Conseil d’État a été amené à éprouver sur l’autel du droit français.

La logique défendue à la CJUE a conduit celle-ci à dresser toute une échelle de scénarios pour autoriser ici la conservation, là l’interdire. Des couches successives que le gouvernement français a tenté de faire balayer d’un revers de la main dans les dossiers soulevés par FDN, FFDN, Free, Igwan.net et la Quadrature du Net.

• Conservation des données : le gouvernement demande au Conseil d’État d’ignorer la justice européenne

Il faut dire que les associations et sociétés requérantes ont contesté tout le corpus règlementaire qui impose aux opérateurs, aux FAI et aux hébergeurs la conservation généralisée et indifférenciée, des données de trafic et de localisation de l’ensemble des utilisateurs ainsi que de leurs données d’identité civile et certaines données relatives à leurs comptes et aux paiements. Bref, tout le bassin d'informations relevant de la métacatégorie des données de connexion.

Contrôle ultra vires, clause de sauvegarde

Craignant l’effondrement d'un édifice, ouvert aujourd'hui à de nombreux acteurs dont la Hadopi, les douanes, la sécurité sociale, etc., l’exécutif invitait la juridiction française, qui avait questionné son homologue européen en 2018, à activer un contrôle dit « ultra vires ».

Soit, en droit, une bombe atomique. Derrière l’expression, c’est en effet la possibilité, inédite dans notre pays, pour le juge de contrôler puis de constater un dépassement par la Cour de justice de l’Union européenne des bornes de ses compétences avec celles des États membres.

« Est-il imaginable que le Conseil d’État, défenseur de l'état de droit, incite à la crânerie d'autres pays ? » a réagi la juridiction, lors d'une conférence de presse organisée hier.

Si l’idée d’un tel entrechoquement frontal n’a pas été suivie, la juridiction française a préféré poursuivre le « dialogue des juges ». Et pour cause, « ce n'est pas la guerre des juges qui permet de résoudre ce désaccord, mais l'initiative politique » a-t-elle encore commenté. « Les juges ont toujours cherché à éviter les heurts tout en élaborant des mécanismes qui permettent de prévenir des collisions, des conflits ».

Une telle voie aurait en effet nourri les velléités des États eurosceptiques voire provoqué un dangereux précédent pour les autres contentieux nés en France.

Dans un bel exercice d’équilibrisme, le Conseil d’État a donc préféré se souvenir des fondamentaux du droit constitutionnel où en substance, la Constitution reconnait l’existence de l’ordre juridique de l’Union européenne, tout en se plaçant elle-même au sommet de la pyramide de cet ordonnancement.

C’est dans ce contexte que le Conseil d’État va rassurer l'exécutif d'une autre arme, celle de la clause de sauvegarde :

« Dans le cas où l’application d’une directive ou d’un règlement européen, tel qu’interprété par la Cour de justice de l’Union européenne, aurait pour effet de priver de garanties effectives l’une de ces exigences constitutionnelles, qui ne bénéficierait pas, en droit de l’Union, d’une protection équivalente, le juge administratif, saisi d’un moyen en ce sens, doit l’écarter dans la stricte mesure où le respect de la Constitution l’exige » (point 5 de l’arrêt)

En clair, quand il est reproché à un texte règlementaire de ne pas respecter le droit de l’Union européenne, alors ce moyen doit être écarté lorsque son respect aurait pour conséquence de bloquer une garantie constitutionnelle inexistante dans le droit de l’UE. Le cas échéant, le Conseil d’État contrôle alors la conformité du texte règlementaire non au droit européen, mais directement aux dispositions constitutionnelles.

« C’est un arrêt important, explique toujours en conférence de presse le Conseil d’État, sur la manière de résoudre les tensions entre droit européen et droit national, pas par la rébellion, mais par le choix d'une conciliation qui conduira quand la Constitution l'exige, à faire primer le droit constitutionnel quand il n’y a pas d'équivalent dans le droit européen ».

Dit autrement, il n’est pas possible d’imposer un strict respect du droit de l’Union si ce contrôle doit aboutir à priver d’effet des normes de valeur supérieure dans l’ordonnancement juridique. C’est la clause dite de sauvegarde, que la haute juridiction administrative a détaillée dans les premières lignes de son arrêt.

Le gouvernement a donc utilement soulevé dans ses écritures l’étendard de plusieurs dispositions de valeur constitutionnelle, comme la sauvegarde des intérêts fondamentaux de la Nation, la nécessaire prévention des atteintes à l’ordre public, la recherche des auteurs d’infractions pénales, la lutte contre le terrorisme. Autant d'arguments qu’a pris en compte l’arrêt :

« Il ressort en effet de l’article 12 de la Déclaration des droits de l’homme et du citoyen de 1789 que la garantie des droits de l’homme et du citoyen, sans laquelle une société n’a point de constitution selon l’article 16 de la même Déclaration, nécessite une force publique. La sauvegarde des intérêts fondamentaux de la Nation, la prévention des atteintes à l’ordre public, notamment celle des atteintes à la sécurité des personnes et des biens, la lutte contre le terrorisme, ainsi que la recherche des auteurs d'infractions pénales constituent des objectifs de valeur constitutionnelle, nécessaires à la sauvegarde de droits et de principes de même valeur, qui doivent être conciliés avec l’exercice des libertés constitutionnellement garanties, au nombre desquelles figurent la liberté individuelle, la liberté d’aller et venir et le respect de la vie privée » (point 10).

Des exigences qui ne se retrouvaient pas dans l’ordre européen. Résultat : la clause de sauvegarde peut bien être actionnée. Mais le juge administratif n'en a finalement pas eu besoin.

Le recours des requérants, une valse en deux mouvements

Le premier mouvement de ces requêtes concerne donc l’obligation de conservation. L’article R. 10-13 du Code des postes et des communications électroniques et le décret du 25 février 2011 imposent aux opérateurs de communications électroniques, aux fournisseurs d’accès à internet et aux hébergeurs de conserver, pour une durée d’un an, toutes les données de trafic, de localisation et celles relatives à l’identité de leurs utilisateurs.

Cette conservation est ciblée, motivée notamment « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales et la sauvegarde de la sécurité nationale ». S’ils n'y procèdent pas, ils encourent un an d’emprisonnement et 75 000 euros d’amende.

Le deuxième mouvement concerne les règles d’accès à ce bassin par les services du renseignement.

Auscultons ces deux pas de danse consécutivement.

De l’obligation de conservation

Avant de plonger dans les méandres de l'arrêt, il faut d'entrée préciser que les finalités (infraction pénale et sauvegarde de la sécurité nationale) précitées ne sont pas les seules à justifier l’obligation de conservation.

Le Code de la sécurité intérieure prévoit aussi un accès aux données par les services du renseignement. Or, ceux-ci se voient confier des missions par son article L811-3. C'est la « défense » mais aussi la « promotion » des « intérêts fondamentaux de la Nation » suivants :

• L'indépendance nationale, l'intégrité du territoire et la défense nationale ;
• Les intérêts majeurs de la politique étrangère, l'exécution des engagements européens et internationaux de la France et la prévention de toute forme d'ingérence étrangère ;
• Les intérêts économiques, industriels et scientifiques majeurs de la France ;
• La prévention du terrorisme ;
• La prévention des atteintes à la forme républicaine des institutions, des actions tendant au maintien ou à la reconstitution de groupements dissous, des violences collectives de nature à porter gravement atteinte à la paix publique ;
• La prévention de la criminalité et de la délinquance organisées ;
• La prévention de la prolifération des armes de destruction massive.

Conclusion dressée par le Conseil d’État, dans la droite ligne de son rapporteur public : il y a finalement trois finalités motivant la conservation des données :

• La recherche, la constatation et la poursuite des infractions pénales
• La sauvegarde de la sécurité nationale
• La défense et la promotion d’intérêts fondamentaux de la Nation

Dans son arrêt du 6 octobre 2020, rendu en réponse aux questions préjudicielles posées par le Conseil d’État en 2018, la Cour de justice de l’Union européenne avait posé un cadre. Un mode d'emploi issu à la fois de la directive ePrivacy de 2002 (pour les opérateurs et les FAI) et du RGPD (pour les hébergeurs).

• Le RGPD expliqué ligne par ligne 

Et cet encadrement « diffère selon la nature des données en cause, les finalités poursuivies et le type de conservation », résume encore le Conseil d’État.

Pour y voir plus clair, le tableau ci-dessous, que nous avons rempli à partir de la présentation faite aux points 29 et suivants de l’arrêt de la CJUE, par la décision du Conseil d’État rendue ce 21 avril 2021.

Crédits : Marc Rees

Le Conseil d’État a donc calqué ce tableau pour éprouver les textes réglementaires et procéder aux ajustements nécessaires.

Quels sont ses constats ?

Données d’identification, de contrat et de paiements

Pour la juridiction française, l’obligation de conserver ces données relatives à l’identification des utilisateurs de moyens de communications électroniques, pesant sur les opérateurs, les FAI et les hébergeurs, n’est pas contraire au droit de l’UE interprété par la CJUE.

Peu importe donc que le droit français prévoie une conservation généralisée et indifférenciée « pour les besoins de toute procédure pénale, de la prévention de toute menace contre la sécurité publique et de la sauvegarde de la sécurité nationale ». Ce constat vaut également pour les données contractuelles et les données de paiement.

Si la CJUE a elle-même été peu sourcilleuse sur ces données, c'est en raison d’une atteinte proportionnée à la vie privée. Ces données, prises seules, « ne permettent pas, à elles seules, de connaître la date, l’heure, la durée et les destinataires des communications effectuées, non plus que les endroits où ces communications ont eu lieu ou la fréquence de celles-ci avec certaines personnes pendant une période donnée ».

Bien malheureusement, ce point ne purge pas vraiment la situation des autorités administratives indépendantes, en particulier la Hadopi. Cette dernière s’abreuve à grandes lampées des données d’identification, horodatées, conservées par les FAI, pour adresser ensuite ses fameux courriers d’avertissements, suite aux adresses IP chalutées par les sociétés de gestion collective et l’ALPA.

Adresses IP : la cacahuète de la pirouette

Cette fois, le Conseil d’État considère, au regard de l’arrêt de la CJUE, que « la conservation généralisée et indifférenciée des adresses IP ne saurait être justifiée par les besoins de la lutte contre l’ensemble des infractions pénales ». 

Il considère toutefois qu’il ne revient pas non plus au législateur d’identifier les infractions relevant du champ de la « criminalité grave ». Ce rattachement doit en effet être effectué de façon concrète, par le juge, en fonction de la nature de l’infraction et des faits.

Par une pirouette, il juge donc que ce tri ne pouvant être effectué par avance, « une obligation de conservation généralisée et indifférenciée des adresses IP peut ainsi être imposée aux opérateurs ». CQFD. Le tri ne peut être fait finalement qu'après. Il faut donc que « les conditions d’accès à ces données par les services d’enquête soient fixées en fonction de la gravité des infractions susceptibles de le justifier, dans le respect du principe de proportionnalité ».

Et tout va pour le mieux puisque ce principe de proportionnalité se retrouve déjà dans la loi Renseignement ou dans le Code de procédure pénale dont l’article préliminaire pose qu’« au cours de la procédure pénale, les mesures portant atteinte à la vie privée d'une personne ne peuvent être prises, sur décision ou sous le contrôle effectif de l'autorité judiciaire, que si elles sont, au regard des circonstances de l'espèce, nécessaires à la manifestation de la vérité et proportionnées à la gravité de l'infraction ».

S’agissant enfin de la durée de la conservation des IP (un an), il pose par une formule un peu péremptoire qu’« il ne ressort pas des pièces du dossier que cette durée de conservation ne serait pas strictement nécessaire aux besoins de la lutte contre la criminalité grave et de la prévention des menaces graves pour la sécurité publique. »

Conclusion : pour la juridiction administrative, la conservation généralisée et indifférenciée des IP, pesant sur les épaules des opérateurs, des FAI et des hébergeurs, n’est pas contraire au droit de l’UE.

Sécurité nationale, données de trafic et de localisation (hors IP)

Leur conservation généralisée et indifférenciée peut être justifiée par la sauvegarde de la sécurité nationale, dans laquelle le Conseil d’État range, nous l'avons vu, la défense et la promotion des intérêts fondamentaux de la Nation, celles qui pilotent l’activité des services du renseignement avant tout déploiement des mesures de surveillance.

La première condition exigée par la CJUE est donc remplie, selon lui.

Néanmoins, doit exister une menace grave, réelle, actuelle ou prévisible sur la sécurité nationale. Deuxième condition posée par la CJUE.  Au vu des pièces du dossier, la juridiction française souligne sur ce point que « la France est confrontée à une menace pour sa sécurité nationale, appréciée au regard de l’ensemble des intérêts fondamentaux de la Nation listés (…) qui, par son intensité, revêt un caractère grave et réel ».

Il y a d'abord un risque terroriste élevé : six attaques terroristes abouties en 2020, deux attentats déjoués en 2021. Un plan Vigipirate élevé en « Urgence attentats » entre octobre 2020 et mars 2021, passé depuis en « Sécurité renforcée –  risque attentat ».

« Par ailleurs, la France est particulièrement exposée au risque d’espionnage et d’ingérence étrangère, en raison notamment de ses capacités et de ses engagements militaires, et de son potentiel technologique et économique » soutient-il. « De nombreuses entreprises françaises, tant des grands groupes que des petites et moyennes entreprises, font ainsi l’objet d’actions malveillantes, visant leur savoir-faire et leur potentiel d’innovation, à travers des opérations d’espionnage industriel ou scientifique, de sabotage, d’atteintes à la réputation ou de débauchage d’experts ».

Enfin, la France « est également confrontée à des menaces graves pour la paix publique, liées à une augmentation de l’activité de groupes radicaux et extrémistes ».

Comme les finalités de la loi Renseignement mixent ces questions terroristes, économiques et d’intelligence, le Conseil d’État en déduit que la menace est bien là, et que l’obligation de conservation généralisée et indifférenciée est justifiée. Et là aussi, il estime que la durée d’un an ne dépasse pas le strictement nécessaire.

Par contre, il relève qu’aucun texte ne prévoit de réexamen successif de cette menace. Dès lors, il engage l'annulation des dispositions en cause, mais seulement en raison de cet oubli. Il enjoint le gouvernement à les combler dans le délai de 6 mois. Dans l'intervalle, comme la menace est persistante, les intermédiaires techniques peuvent et même doivent continuer à conserver les données de trafic et de localisation.

Lutte contre la criminalité, prévention de la menace à l’ordre public et conservation des données de connexion

On l'a vu, les opérateurs et FAI ont l’obligation de conserver les données « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ». On ne parle plus ici de législations mettant en jeu la sécurité nationale. Les hébergeurs (comme un réseau social) doivent eux aussi conserver pour leur part toutes « les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont [ils] sont prestataires ». C’est cette obligation qui permet d’identifier une personne derrière un pseudo, dans le cadre d’une procédure en diffamation notamment.

Le Conseil d’État rappelle cette fois que la CJUE s’est opposée à une législation qui organise la conservation généralisée et indifférenciée des données de trafic et de localisation pour la lutte contre la criminalité et la prévention des menaces pour la sécurité publique, quel que soit le degré de gravité de cette criminalité ou de ces menaces.

Seules finalement les menaces graves pour la sécurité nationale autorisent ce devoir de mémoire.

Pour le gouvernement, cependant, appliquer brutalement l’arrêt de la CJUE priverait d’effectivité des garanties constitutionnelles comme la prévention des atteintes à l’ordre public, dont les atteintes à la sécurité des personnes et des biens, outre la recherche des auteurs d’infractions pénales. En somme, il a réclamé la mise en jeu de la clause de sauvegarde.

Au Conseil d’État, le rapporteur public avait déjà relevé l'impérieuse nécessité de « répondre aux menaces du XXIe siècle avec des outils du XXIe siècle pour satisfaire des exigences du corps social du XXIe siècle », car « dans la vraie vie, les gens veulent qu’on mette les criminels hors d’état de nuire en exploitant les traces de chaussures et les enveloppes cachetées des temps modernes que sont les données de connexion ».

Message entendu par les magistrats de la section d’Assemblée, plus haute formation de jugement. La conservation des données ? Voilà une « condition déterminante de succès des enquêtes conduites en vue de la recherche, de la constatation et de la poursuite des auteurs d’infractions à caractère criminel et délictuel ».

L’exploitation a posteriori de ce vivier de données ? C’est souvent « l’unique moyen de retrouver les auteurs » d’infractions, en l’absence de « méthodes alternatives ».

Alors certes, existent des méthodes traditionnelles, des méthodes scientifiques, et enfin des méthodes technologiques. Le Conseil d’État juge respectivement que les filatures et les surveillances « ne permettent pas d’apporter d’éléments sur des événements passés et sont inefficaces pour les infractions dématérialisées ». La recherche d’empreintes digitales et de traces génétiques suppose la détention d’éléments matériels. Enfin, la captation de données en temps réel est plus intrusive et donc plus attentatoire aux libertés.

Suivant les conclusions du rapporteur, il en déduit que « l’accès différé aux données de connexion revêt une importance d’autant plus cruciale que l’utilisation des moyens de communications électroniques, notamment cryptées, constitue un instrument qui facilite la commission de ces crimes et délits et rend plus difficile la recherche de leurs auteurs. Il permet, à l’inverse, de lever les soupçons pesant sur des personnes suspectées, à tort, d’y être impliquées ».

La conservation ciblée est peu opérationnelle

Le mode d’emploi de la CJUE en main, il relève dans la foulée que la cour européenne milite aussi pour un système de conservation ciblée sur certaines personnes soupçonnées ou des lieux spécifiques.

Le Conseil d’État peine à y voir une solution opérationnelle, en elle-même.

D'une part, le bornage n’est pas précis, source d’erreurs et d’oublis. D'autre part, le ciblage des personnes n’est pas plus satisfaisant : « La Fédération française des télécoms fait valoir qu’elle se heurterait au fait que les informations contenues dans les données de trafic ne permettent pas d’effectuer un tri selon des catégories de personnes. Les sociétés Free et Free Mobile précisent, pour leur part, que les personnes sont identifiées par des données – le numéro de téléphone, le numéro IMSI et le numéro IMEI – qui peuvent varier dans le temps et que ces données sont gérées de façon étanche pour répondre aux exigences du RGPD ».

En outre, sauf à s’engager sur un scénario digne de Minority Report, on ne peut identifier par avance une personne susceptible de commettre telle infraction, ou deviner un lieu où est susceptible de se dérouler telle autre.

« Aucune présomption de dangerosité ne saurait être légalement retenue à l’encontre de personnes en fonction de leur lieu de résidence ou d’activité professionnelle pour justifier la conservation de leurs données de trafic et de localisation » ajoute le Conseil d’État, armé du principe d’égalité devant la loi.

Bref, pour la juridiction, ces pistes ne sont pas opérationnelles, pas plus celle qui reposerait sur une conservation volontaire des opérateurs. Aucune ne permet « de garantir le respect des objectifs de valeur constitutionnelle de prévention des atteintes à l’ordre public, notamment celle des atteintes à la sécurité des personnes et des biens, ainsi que de recherche des auteurs d’infractions, notamment pénales ».

Quant au « quick freeze », soit la conservation rapide et limitée dans le temps des données de connexion, elle est bien « de nature à faire obstacle à la disparition, des informations nécessaires à la recherche, à la constatation et à la poursuite des auteurs d’infractions pénales à compter de la date et de l’heure à laquelle il est enjoint à un opérateur d’y procéder ». Sauf que cette belle solution est elle-même conditionnée à l’existence d’une obligation préalable de conservation des données : comment conserver ce qui n'a pas été gardé ?

Néanmoins, et c'est là l'astuce qui permet de sauver l'édifice, puisque l’état de la menace impose la conservation généralisée des données de localisation et de trafic, la conservation rapide (le « quick freeze ») reste dans tous les cas possible.

Ainsi, « l’autorité judiciaire est donc en mesure d’accéder aux données nécessaires à la poursuite et à la recherche des auteurs d’infractions pénales dont la gravité le justifie ». Et l’arrêt d’ajouter que « le même principe s’applique nécessairement aux autorités administratives indépendantes disposant d’un droit d’accès aux données de connexion en vertu de la loi en vue de lutter contre les manquements graves aux règles dont elles ont la charge d’assurer le respect ».

Dans sa construction destinée à sauver le soldat Conservation, le Conseil d’État juge donc inutile d’activer la clause de sauvegarde sollicitée par le gouvernement. L’application du droit de l’UE ne prive en rien la poursuite des objectifs à valeur constitutionnelle.

Dans le strict marbre des textes, néanmoins, les textes d’application du Code des postes et des télécommunications électroniques et de la LCEN devront être revus et corrigés en ce qu’ils prévoient une obligation de conservation pour d’autres finalités que la sauvegarde de la sécurité nationale. Le gouvernement se voit offrir six mois pour épurer les finalités surabondantes.

Les services du renseignement

C'est le deuxième temps de la valse. Plusieurs techniques sont mises à l’index par les requérants :

• L’accès en temps différé, « qui permet de connaitre le passé » ( L851-1 du Code de la sécurité intérieure)
• L’accès en temps réel aux données de connexion en matière terroriste (L851-2 du CSI)
• La géolocalisation en temps réel, ouverte à toutes les finalités de la loi (L851-4 du CSI)
• Les boites noires ou traitements algorithmiques (L851-3 du CSI), pour deviner une menace terroriste à partir des données téléphoniques, ou théoriquement à ce jour, sur les autres données.

Les décrets d’applications de ces textes impliquent tous une conservation des données, mais organisent aussi un accès aux données de connexion, puisqu’il faut bien nourrir ces machines à surveillance avec le carburant adapté.

Le Conseil d’État a sans mal rattaché ces outils aux finalités de la loi renseignement, celles-là mêmes qu’il a déjà considérées comme relevant de la sauvegarde de la sécurité nationale. Comme le déploiement de mesures doit obéir au principe de proportionnalité, dans l’ingérence dans la vie privée, ces textes passent sans mal, sur le papier, le test des exigences posées par la CJUE.

Proportionnalité et outils de surveillance du renseignement

S’agissant de l’accès, cette même jurisprudence européenne exige, sauf urgence, un contrôle par un juge ou une autorité administrative indépendante (AAI) dotée d’un pouvoir contraignant (voir notre tableau).

En l’état, le droit français issu de la loi renseignement prévoit bien un avis préalable de la Commission nationale des techniques du renseignement (CNCTR), seulement cet avis n’est que simple. En théorie – cela ne s’est pas produit en fait – lorsqu’il autorise le déploiement de cette surveillance administrative, le Premier ministre peut donc l’ignorer. Certes, la CNCTR dispose du pouvoir de saisir le Conseil d’État si elle entend combattre ce feu vert, seulement cette procédure n’est ouverte que trop tardivement : après l’autorisation, et donc possiblement après l’atteinte à la vie privée.

Conclusion : ces textes doivent également être patchés pour conférer aux avis préalables de la CNCTR un caractère conforme, et non plus simple. En ce sens, les avis de la Commission devront lier les décisions du Premier ministre.

Au passage, le Conseil d’État a sauvé d’une certaine manière le contrôle effectué par la CNCTR dans son contrôle de la mise en œuvre de l’article 851-3, relatif aux boites noires. Cette Commission émet ainsi « un avis sur la demande d'autorisation relative aux traitements automatisés et les paramètres de détection ». L’arrêt exige non seulement un avis conforme, mais aussi que ce contrôle repose « sur des critères objectifs et non discriminatoires ».

Les traitements algorithmiques (ou boites noires)

Derniers coups de balai avant fermeture du rideau

En fin de décision, il répond à une autre critique soulevée par les associations : le déficit de garantie légale lorsque les opérations de surveillance visent des personnes au statut protégé (magistrats, parlementaires, avocats, journalistes), soumises au secret professionnel.

Mais le Conseil d’État rappelle le contenu de l’article L 821-7 du CSI, issu de la loi renseignement, au terme duquel ces opérations de surveillance font l’objet d’une décision collégiale de la CNCTR, jugée suffisante. La critique est rejetée (un rappel néanmoins : ces dispositions sont actuellement auscultées par la Cour européenne des droits de l’homme, suite à un recours initié par des syndicats d’avocats et de journalistes).

• Renseignement : des journalistes et avocats gagnent une étape importante devant la CEDH

Autre critique des associations requérantes, le droit français ne limite pas le nombre de personnes autorisées à accéder aux données de connexion. Or la CJUE dans son arrêt Digital Rights de 2014 a torpillé une législation ne prévoyant « aucun critère objectif permettant de limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données conservées au strict nécessaire au regard de l’objectif poursuivi ».

• Loi Renseignement : la liste impressionnante des services autorisés à surveiller

Nouveau coup de balai : d’un, seuls peuvent mettre en œuvre les techniques de recueil de renseignements, les agents individuellement désignés et habilités par le ministre ou, par délégation, par le directeur dont ils relèvent. Et puisqu’existe un principe de proportionnalité, le nombre des agents habilités ne saurait excéder celui nécessaire à l’exercice de ces activités. Circulez.

Balayé également les critiques jugeant trop excessive la durée de conservation des données exploitées en temps différé (4 ou 6 ans, voire au-delà dans certains cas). Pour le Conseil d’État, on touche ici au régalien. On ne peut donc reprocher une quelconque violation du droit européen.

Même conclusion s’agissant du déficit supposé de contrôle sur l’exploitation des données, notamment dans le cadre de la surveillance internationale.

Quid de l’information des personnes surveillées ?

Enfin, restait la question de l’information des personnes ayant fait l’objet d’une surveillance. La CJUE a exigé que les autorités nationales compétentes, lorsqu’elles procèdent à un recueil en temps réel des données relatives au trafic et des données de localisation, informent les personnes concernées. Bien évidemment, pas tout de suite, mais lorsque cette communication « n’est pas susceptible de compromettre les missions qui incombent à ces autorités ».

La loi de 1978 pose toutefois, dans sa version antérieure au RGPD, applicable au litige, que l’obligation d’information ne s’applique pas pour les traitements mis en oeuvre pour le compte de l'État et intéressant la sûreté de l'État, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté « dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement. »

Le Conseil d’État en déduit que ces règles prévoient bien une information des personnes « dès le moment où cette communication n’est pas susceptible de compromettre les missions qui incombent aux services de renseignement ». Nous n’avons pas souvenir ceci dit, d’un cas médiatisé où une personne aurait été informée par ces services…

Qu'a décidé la juridiction ?

Au final, l'arrêt enjoint au Premier ministre d’abroger la conservation des données de connexion (CPCE et LCEN), mais seulement parce qu’elle ne se limite pas à la seule finalité de la sauvegarde de la sécurité nationale, et parce qu'elle oublie la mise en œuvre d’un examen périodique de l’état de la menace. L'exécutif a six mois pour toiletter ces textes règlementaires.

Autre annulation : ceux qui ne confèrent qu’un caractère simple aux avis de la CNCTR. Ils devront être corrigés. 

L’État est condamné à verser 3 000 euros à chacune des associations (FDN, FFDN, Igwant et La Quadrature du Net) et 1 500 euros à Free tout comme à Free mobile.

Gens qui rient, gens qui pleurent

Pour la Quadrature du Net, c’est la déception absolue : « le Conseil d’État isole la France dans son Frexit sécuritaire et libère les renseignements français des principes de l’État de droit ». Selon l’association, le Conseil d’État a autorisé « la conservation généralisée des données de connexion en dehors des situations exceptionnelles d’état d’urgence sécuritaire, contrairement à ce qu’exigeait la Cour de justice de l’UE ».

Et de reprocher à la juridiction française d’avoir réinterprété la notion de « sécurité nationale » afin de « l’étendre très largement au-delà de la lutte contre le terrorisme et y inclure par exemple l’espionnage économique, le trafic de stupéfiants ou l’organisation de manifestations non déclarées ». Conclusion : « il peut conclure que la sécurité nationale est systématiquement menacée, justifiant le contournement permanent des garanties protégeant les libertés fondamentales, et ce même en dehors des périodes officielles d’état d’urgence, soumises à un contrôle démocratique (aussi théorique soit-il) ».

Elle considère que la France « foule aux pieds les principes et les juridictions ». Voilà même un « sinistre précédent dans la négation des droits fondamentaux promus en Europe depuis la fin de la dernière guerre mondiale ». Une « défaite amère » pour la Quadrature.

Pour Me Hugo Roy, avocat de Privacy International et membre de FDN, au contraire, « cet arrêt met fin à la logique de suspicion généralisée qui existe, en France, depuis 2001 et que l’association FDN et Privacy International remettent en cause depuis 2015 ».

Il concède que « le Conseil d'État ne suit pas dans l'intégralité l'équilibre posé par la Cour de Justice de l'UE et, sur certains points, l'interprétation donnée à l'arrêt du 6 octobre apparaît pour le moins "créative" », néanmoins, « l'arrêt du Conseil d'État appelle clairement à une réforme du droit français en matière de surveillance des communications électroniques. Il appartient non seulement au gouvernement, mais aussi aux parlementaires d'en tirer les conséquences ».

Selon Me Alexandre Archambault, « le régime français (qui à l’origine ne réservait l’accès aux données de connexion qu’aux seuls cas de criminalité grave) [est] appelé à être mis en conformité ». 

Sur son compte personnel, Matthieu Audibert, officier de gendarmerie et doctorant en droit privé et sciences criminelles, « le Conseil d’État démontre les infaisabilités opérationnelles des solutions suggérées par la Cour de justice de l’Union européenne. C'est une manière de dire que ces solutions n'étaient pas en phase avec la réalité opérationnelle des enquêtes ». Finalement la solution trouvée réside dans « la méthode de conservation rapide autorisée par le droit européen [qui] peut à ce jour s’appuyer sur le stock de données conservées de façon généralisée pour les besoins de la sécurité nationale, et peut être utilisée pour la poursuite des infractions pénales ».

Aux yeux de Theodore Christakis, professeur de droit international et européen à l’Université de Grenoble, « le Conseil d’État a trouvé une stratégie pour adopter une décision acceptable par la justice française ! Il dit que 1) les données sont de toute façon conservées légalement pour raisons de sécurité nationale ; 2) L’État peut demander, sur cette base, la "conservation rapide" à des fins de lutte contre la criminalité ».

Finalement, le problème est « résolu », il n’y a « pas de conflit entre la France et la Cour de justice de l’Union européenne [et] pas de conflit non plus avec la justice française ! ». Une solution d'apparence « astucieuse », mais l’enseignant l’estime « néanmoins controversée pour plusieurs raisons. La plus importante est que l’ensemble de l’édifice risque de s’effondrer s’il n’y a plus de menace pour la sécurité nationale justifiant une conservation préventive généralisée ! »

Voilà qui risque d’ouvrir la porte à de « nouvelles batailles juridiques », commente-t-il avant de concéder que « le Conseil d’État propose une solution pragmatique qui "gagne du temps" tant pour des initiatives politiques que pour le dialogue des juges ».

Cet arrêt a été rendu la veille de celui de la Cour constitutionnelle belge. Celle-ci a cette fois décidé que la législation sur la conservation des données n'était pas conforme aux arrêts de la CJUE. Elle l'a annulée sans nuance et sans attendre.