Le 25 février prochain, le Conseil constitutionnel rendra une nouvelle décision sur la conservation des données de connexion, à savoir l’obligation pour les opérateurs de conserver un an durant toutes les informations relatives à l’ensemble des communications et leur localisation. Le texte à l’index a été modifié l’an passé, mais la décision attendue pourrait l’éclabousser.
Cette décision à venir fait suite à une question prioritaire de constitutionnalité (QPC) transmise par la chambre criminelle de la Cour de cassation, le 7 décembre dernier (le premier arrêt, le second arrêt). À l'index, un article du Code des postes et des communications électroniques, du moins dans sa rédaction antérieure à la réforme de l’an dernier par la loi relative à la prévention des actes de terrorismes.
Cette ancienne version de l’article L.34-1 du CPCE consacre un principe : les opérateurs de communications électroniques doivent effacer ou rendre anonymes toutes les données relatives au trafic. Mais à peine consacré, ce principe est battu en brèche dès les points II et III du même article : l’obligation d’anonymisation est repoussée d'un an, notamment pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales.
C’est l’obligation dite de conservation des données de connexion. Une obligation alors généralisée et indifférenciée pour la lutte contre toutes les infractions, alors que la Cour de justice de l’UE exige, en substance, de ne réserver ce devoir de mémoire qu’à la lutte contre les seules infractions graves.
Une atteinte au principe de proportionnalité
Mardi matin au Conseil constitutionnel, en appui de la question prioritaire de constitutionnalité, Me Raphaël Chiche, avocat des parties requérantes, a épinglé cette version du 34-1 du CPCE pour dénoncer une atteinte aux principes de « nécessité » et de proportionnalité.
Selon lui, le champ de la conservation des données est bien trop vaste et ne permet pas de concilier la recherche des auteurs d’infractions pénales avec l'impérieuse protection de la vie privée. Et pour cause, il n’y a aucun seuil de gravité, notamment pour définir le moment à partir duquel l’autorité peut accéder aux données.
Si cette technique est fondamentale pour permettre la caractérisation d’infractions, l’avocat réclame une abrogation immédiate de la disposition. Une abrogation qui va nécessairement avoir des effets dans un grand nombre de dossiers où les enquêteurs se sont appuyés sur ces fameuses données.
Dialogue des juges
Intervenant volontairement, Me Patrice Spinosi, représentant la Ligue des Droits de l'Homme et l'association des avocats pénalistes, a plaidé lui aussi pour une telle issue, invitant surtout les neuf sages à engager enfin un « dialogue des juges », plutôt qu’une « dispute » avec la CJUE.
Il a fustigé en ce sens les actes de résistance de la part de juridictions internes qui refusent encore et toujours d’appliquer, avec rigueur, le cadre européen. Une situation source d'insécurité juridique.
En guise de témoignage, il rappelle l’épisode du contentieux de la conservation des données de connexion joué devant le Conseil d’État, où malgré plusieurs arrêts très clairs de la CJUE, celui-ci a cru bon devoir lui adresser une nouvelle salve de questions pour espérer sauvegarder le régime français.
Et malgré la décision européenne rendue en octobre 2020, la juridiction administrative a encore tout fait pour sauver les meubles français en avril 2021.
Pourtant, a insisté Me Spinosi, « la messe européenne est dite, toute résistance ne peut aller qu’à l’encontre du principe de primauté ».
Il souhaite dès lors que l’imperméable Conseil constitutionnel s'inspire de son homologue belge. Le 22 avril 2021, la cour constitutionnelle belge a en effet terrassé la législation nationale sur la conservation des données de connexion en s’appuyant justement sur la jurisprudence européenne. « Vous avez votre rôle à jouer. Vous ne pouvez plus vous tenir à une approche distanciée en mettant en avant les frontières imperméables de votre contrôle ».
Des alternatives
Alexis Fitzjean Ó Cobhthaigh, avocat de la Quadrature du Net et de Franciliens.net, a rappelé pour sa part combien ces données de connexion – les qui, comment, où, à qui des échanges électroniques – pouvaient être bavardes. « Si on parle tout à coup à un oncologue, on peut deviner beaucoup de choses » a-t-il illustré devant les neuf Sages. Il les a invités pour sa part à faire évoluer la jurisprudence pour intégrer les données de connexion dans le champ du secret des correspondances.
Comme ses deux prédécesseurs, il considère que la version de l’article L34-1 du CPCE sur le grill entraîne une atteinte par nature disproportionnée aux grands principes, dont celui de la vie privée.
Selon l’avocat, des alternatives existeraient : un mécanisme d’injonctions rapides, de conservation ciblée, voire en cas de menace grave pour la sécurité nationale, une conservation généralisée pendant le temps strictement nécessaire.
« Quelle crédibilité accorder à une France qui reproche à la Pologne ou la Hongrie de s’asseoir sur le droit européen, mais qui elle-même n’hésite pas à contourner le juge de l’UE lorsque cela l’arrange ? » a embrayé de son côté la Quadrature, dans un communiqué. L’association reproche en effet à la France de s’entêter « à vouloir donner à sa police tous les moyens pour user et abuser de surveillance des télécommunications ».
Pas de solutions moins attentatoires, selon le gouvernement
Des critiques parfois tranchantes, qui contrastent avec les positions de l'exécutif. Lors de l’audience organisée mardi, le représentant du gouvernement a plaidé la pleine conformité de cette disposition aux principes constitutionnels, répétant qu’il ne revient pas au Conseil de contrôler la solidité d’une loi vis-à-vis du droit européen.
Sur le terrain constitutionnel, l’article L34-1 serait donc en parfaite conformité : le texte serait entouré des garanties nécessaires avec une conservation limitée aux seules données de connexion, pour un an.
Cette conservation se justifierait en outre par l’objectif de recherche des auteurs d’infractions pénales, sachant que les données de connexion conservées sont nécessaires à la résolution de 85 % des enquêtes pénales et qu’il y a eu 2,5 millions de requêtes aux opérateurs, rien qu’en 2020.
Ces mesures permettent donc d’identifier les auteurs d’une infraction, et leurs complices. Supprimer la conservation reviendrait à priver les enquêteurs et victimes d’éléments de preuves. Ainsi, l’examen de la fréquence des messages adressés d’une personne à une autre permet de caractériser éventuellement des faits de harcèlement.
Les données de localisation permettent pour leur part de disculper une personne, reconstituer un réseau criminel ou retrouver un disparu… De plus, ces données ne sont pas éparpillées aux quatre vents : les opérateurs doivent respecter les dispositions de la loi de 1978 et du RGPD, pour assurer leur sécurité outre les différents droits reconnus aux personnes physiques.
« Il n’existe en pratique aucune solution moins attentatoire au droit au respect de la vie privée que la conservation généralisée et indifférenciée des données de connexion pour permettre de parvenir à l’objectif poursuivi de recherche des auteurs d’infractions pénales » a exposé le représentant du gouvernement, rejetant les solutions alternatives comme le ciblage géographique ou sur une catégorie de personnes déterminées.
Un tel ciblage ne serait pas opérant puisqu’il est par définition impossible d’identifier par avance les personnes susceptibles de commettre une infraction. « Si les services d’enquête étaient privés de ces données, ils devraient recourir aux méthodes d’investigation traditionnelles moins fiables, moins probantes et chronophages pour les services d’enquêtes ».
Le Conseil constitutionnel rendra sa décision le 25 février 2022. Elle ne concernera qu’une version antérieure de l’article L34-I, mais une éventuelle censure pourrait nourrir de nouvelles QPC et donc éclabousser la nouvelle version du texte, par ricochet.
Au même moment en Allemagne, et devant la Cour de cassation
Hasard du calendrier, hier, au même moment, la chancellerie allemande a indiqué sur Twitter qu’elle mettrait un terme à la conservation des données « car nous considérons qu'il s'agit d'une atteinte disproportionnée aux droits fondamentaux ».
Relevons que dans le même temps, plusieurs pourvois ont été adressés à la Cour de cassation, fondés sur un arrêt récent de la CJUE qui menace tout l’équilibre des enquêtes actuelles.
Dans cet arrêt dit Prokuratuur du 2 mars 2021, rendu à l’égard de l’Estonie, mais qui concerne aussi la France quoi qu'en pense le ministère de la Justice, la Cour exige que l’accès aux données conservées soit soumis à une autorisation d’un magistrat indépendant ou une autorité administrative indépendante de l’enquête. Des exigences que ne respecte visiblement pas la France.
Commentaires (10)
#1
C’est un serpent de mer qui est apparu avec la LCEN, puis qui a perduré au travers de la LOPSI et de la LOPPSI et qui pose d’un côté un problème sociétal et, d’un autre, un problème légal aux entreprises et tiers tenus de conserver les données en question (concrètement, aujourd’hui, il peut leur être reproché soit de ne pas respecter le droit français, soit de ne pas respecter les décisions de la CJUE, mais ils ne peuvent pas être gagnants - même s’il vaut mieux qu’ils respectent la loi française pour pouvoir ensuite se réfugier derrière la bonne foi).
On est quand-même un des états occidentaux les moins libertaires à ce niveau (et encore, maintenant c’est un an ; il a été question à plusieurs reprises que ce soit prolongé jusqu’à trois ans).
#2
Du coup, juridiquement, comment ça se passe pour les entreprises ?
Est-ce que les entreprises doivent respecter la loi Française et la loi “Européenne” ? Ou doivent-elles uniquement respecter la loi Française, et c’est à la loi Française d’être en conformité avec la loi Européenne ?
De cette question anodine découle la notion de responsabilité pour une entreprise. Car quand 2 lois se contredisent… que faire ?
#3
Moi je prends la version Française car je pense que c’est l’entité ayant le plus de “pouvoir de nuisance” à court terme pour une entreprise (Française) .
#4
C’est typiquement l’insécurité juridique qu’épinglait Me Spinosi durant son intervention. Les professionnels sont placés dans un étau insupportable, avec à droite le respect du droit “interne” et de l’autre la crainte légitime de voir son régime remis en cause par un client.
#4.1
Merci. C’est bien ce que j’ai compris. En attendant, j’ai un client qui vient d’installer un réseau et qui donne accès à internet à des tiers (c’est un espace de coworking). Du coup, je ne sais pas quoi lui dire… conserver ot not conserver, that is the question…
#5
Les procédures UE sont très longues en effet.
#6
Ce sous-titre, c’est de la qualitay
#7
Faut regarder l’actuel 34-1 CPCE :)
#7.1
Je pense que tu as mal interprété ma question (qui a une double interprétation, je le concède). Je me pose la question de savoir quoi dire à mon client : conserver, ou ne pas conserver les données. Les données elles-mêmes sujettes à la conservation, je sais de quoi il s’agit (justement via le 34-1 CPCE).
Et quand on le sait, ça fait peur. J’ai fais une démonstration à un client plus ancien lorsque la CJUE ne s’était pas encore prononcé, pour lequel j’avais mis une solution en place. Il avait halluciné quand je lui ai dit qu’il avait regardé tel ou tel site depuis tel PC à telle heure, depuis telle salle
Et pourtant, je n’avais que les metadatas !
Du coup, je suis complètement d’accord avec le côté disproportionné relevé par la CJUE
#8
Discussion régulière avec notre directrice juridique et notre DPO sur ce sujet. Pour le moment on reste au statu-quo et on garde 365 jours car c’est toujours la loi française qui s’applique. Mais on est prêts à passer à 6 (cjue) mois si le CC statue dans le bon sens.