Conservation généralisée des données : le Conseil d'Etat en quête de justifications devant la CJUE

Conservation généralisée des données : le Conseil d’Etat en quête de justifications devant la CJUE

French datas network

Avatar de l'auteur
Marc Rees

Publié dans

Droit

27/07/2018 8 minutes
9

Conservation généralisée des données : le Conseil d'Etat en quête de justifications devant la CJUE

Le Conseil d’État a transmis plusieurs questions préjudicielles à la justice européenne, portant sur l’obligation de conservation généralisée et indiscriminée des données de connexion. L’épisode permettra de mieux jauger cette contrainte pesant sur les intermédiaires techniques. Il faut surtout y voir la volonté de trouver des brèches.

À la lumière d’un arrêt du 21 décembre 2016, dit l’arrêt Télé2, la justice européenne a considéré comme illicite « une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ».

Confirmant un arrêt de 2014, elle a précisé en outre que l’accès des autorités devant être limité à la seule lutte contre la criminalité grave, accompagné d’une série de garanties.

Cet arrêt a provoqué un choc dans de nombreux États membres. Parmi eux, la France impose une telle conservation. Pas étonnant qu’elle soit vent debout contre cet arrêt. Déjà, elle a jugé cette obligation comme « strictement nécessaire pour garantir la disponibilité de ces données à des fins de préservation des intérêts vitaux de la sécurité nationale ». Selon Paris, une conservation ciblée ne parviendrait pas « à remplir les objectifs assignés à la politique de sécurité nationale, qui consistent à détecter, pour les prévenir, les menaces aux intérêts vitaux des États ».

Dans l’éternel débat entre sécurité et vie privée, la FDN, FFDN et la Quadrature du Net ont en tout cas attaqué devant le Conseil d’État des dispositions imposant cette conservation, dans un train de recours. C’est l’objet de plusieurs arrêts rendus hier par la haute juridiction administrative, après... trois longues années d'attente.

L'obligation de conservation pesant sur les opérateurs, FAI et hébergeurs

L’article R10-13 du Code des postes et des communications électroniques et le décret du 25 février 2011 obligent les intermédiaires – opérateurs et prestataires de services comme les FAI et hébergeurs - à conserver les données de connexion des internautes pour chaque geste sur les réseaux, de l’accès à la mise en ligne de contenus.

Sans grande difficulté, les requérants estiment ce socle national en contrariété avec la jurisprudence Télé2.

Hier, dans un exercice périlleux, le Conseil d’État a plutôt plaidé en faveur de la position gouvernementale. Aux antipodes de la CJUE, il écrit qu’une conservation indifférenciée « permet à l’autorité judiciaire d’accéder aux données relatives aux communications qu’un individu a effectuées avant d’être suspecté d’avoir commis une infraction pénale ». Pour lui, donc, cette conservation est d’une « utilité sans précédent ».

Plutôt que de décider d’une sèche annulation des dispositions litigieuses, il a préféré poser deux nouvelles questions à la Cour de justice de l’Union européenne.

Elles visent à savoir, d’une part, si l’ingérence dans la vie privée consécutive à l’obligation de conservation généralisée et indifférenciée ne pourrait pas être justifiée par des garanties, des contrôles aussi bien au stade du recueil que de l’utilisation des données. De même ne pourrait-on pas la justifier par des exigences de sécurité nationale, d’égales importances au respect de la vie privée.

D’autre part, il demande aux juges de l’Union si le respect des règles relatives à la responsabilité civile ou pénale n’autoriserait pas de lui-même une telle obligation.

Une salve de requêtes dans le sillage de la loi Renseignement

L’autre arrêt rendu hier s’attaque à la même problématique, mais sous le prisme de la loi Renseignement. Le contentieux y est plus technique, complexe, mais plus riche aussi, dépassant d’ailleurs cette seule question.

Pour faire simple, quatre décrets ont été mis à l’index par les demandeurs, défendus par Me Spinosi. Celui relatif à la désignation des services du renseignement ou des services spécialisés, celui touchant au contentieux de la surveillance et enfin celui dressant la liste des techniques du renseignement.

Le décret du 29 janvier 2016, relatif aux techniques de recueil, a introduit dans le Code de la sécurité intérieure, un article R.851-5. Il définit les données de connexion pouvant être recueillies par les services, comme nous l’avions présenté à l’époque.

À sa lecture, FDN, FFDN et la Quadrature du Net considèrent que cette disposition est trop généreuse, débordant d’un peu trop sur le périmètre des données de contenu. Dans de longs développements (p. 11 et suivantes de ce PDF), les trois organisations rappellent le cas épineux des URL.

« En incluant dans les données recueillies auprès des opérateurs, les données relatives à l’accès des équipements terminaux aux services de communication au public en ligne, le décret y inclue principalement — si ce n’est exclusivement — des informations échangées ainsi que des informations révélant les contenus consultés, comme l’URL » estiment-ils. Le Conseil d’État ne s’est pas posé mille questions : selon lui, le texte déféré ne parle que de données de connexion, pas plus...

Les boites noires, une surveillance généralisée ?

Ils se sont également attaqués aux boites noires (L851-3 du Code de la sécurité intérieure). « Cette technique vise uniquement à recueillir pendant une durée limitée, parmi l’ensemble des données de connexion traitées par [les opérateurs et les prestataires] celles de ces données qui pourraient présenter un lien avec une telle infraction grave » a résumé le C.E. face à ces trois demandeurs flairant une contrariété avec la directive e-commerce de 2000 qui interdit toute obligation de surveillance active. 

Puisque l’outil est taillé pour détecter de potentiels faits de terrorisme, pour une durée limitée, il n’y a donc pas de surveillance prohibée leur a répondu le Conseil d‘État, qui suit ici l’interprétation de la CJUE dans son arrêt SABAM. Celle-ci avait listé les cinq critères cumulatifs permettant de considérer comme disproportionné un tel régime. Il doit s’agir d’un système de filtrage : 

  • de toutes les communications électroniques transitant par ses services,
  • qui s’applique indistinctement à l’égard de toute sa clientèle;
  • à titre préventif;
  • à leurs frais exclusifs,
  • et sans limitation dans le temps

Il suffit ainsi qu’un seul de ces critères manque à l’appel, comme ici « la durée limitée » pour que le filtrage soit eurocompatible. 

Trois autres questions sur la conservation et l’accès aux données

Dans le flot de leurs critiques, la FDN, FFDN et la Quadrature ont également pris à parti les articles L.851-1, -2 et -4 du Code de la Sécurité intérieure qui autorisent le recueil de données de connexion, parfois en temps réel. Toutes ces dispositions induisent-elles aussi une conservation généralisée des données de connexion. Doivent-elle succomber face à la jurisprudence Télé2 ?

Le Conseil d’État a réexpliqué qu’une conservation indifférenciée « permet aux services de renseignement  d’accéder aux données relatives aux communications qu’un individu a effectuées avant que soient identifiées les raisons de penser qu’il présente une menace pour la sécurité publique, la défense ou la sûreté de l’État ».

Invoquant le risque terroriste, cette conservation a une importante utilité à ses yeux… alors que la conservation des données est exploitée pour l’ensemble des finalités justifiant la surveillance dans la loi renseignement, dont l’atteinte aux intérêts économiques français…

Cette fois, de cette législation, il a déduit trois autres questions adressées à la Cour de justice de l’Union.

conseil d'état questions

À chaque fois, il tente de trouver des failles dans la jurisprudence Télé2, arguant du contexte très menaçant ou bien tentant de présenter la possibilité de faire du recueil en temps réel comme un dispositif déconnecté de l’obligation de conservation des données. Pour la dernière question, il interroge même la CJUE pour savoir si l'information des personnes surveillées, une fois le risque évaporé, ne pourrait justifier ce devoir de mémoire, à moins que d’autres garanties ne soient suffisantes, comme l’effectivité d’un droit au recours. On se demande déjà comment assurer l’effectivité d’un tel droit lorsque les principaux concernés ne sont pas alertés…

La Cour de justice de l’Union rendra son arrêt au bas mot en 2019. Elle devra d’ailleurs entre-temps répondre à plusieurs questions soulevées par la justice belge portant sur le même sujet (cet arrêt de 76 pages). 

9

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

L'obligation de conservation pesant sur les opérateurs, FAI et hébergeurs

Une salve de requêtes dans le sillage de la loi Renseignement

Les boites noires, une surveillance généralisée ?

Trois autres questions sur la conservation et l’accès aux données

Commentaires (9)


Il ne reste plus qu’à espérer que la CJUE campe sur ses positions !


Ouais, qu’elle tape cette fois très fort sur les doigts de ce Conseil d’État imbécile, et de façon à bien faire comprendre une fois pour toutes aux autres qui seraient tentés d’instaurer un flicage généralisé éternel sous le prétexte facile du terrorisme (c’est pratique : tu peux justifier n’importe quelle sal×××rie, avec ça !) que c’est même pas la peine d’y penser !&nbsp;<img data-src=" />




Dans le flot de leurs critiques, la FDN, FFDN et la Quadrature





On ne les remerciera jamais assez de prendre du temps pour défendre ces libertés&nbsp;<img data-src=" />


Et dire que certains veulent sortir de l’Europe …..


C’est toujours suspect ces mouvements de loi en été.

<img data-src=" />

C’est pendant la transhumance qu’on noie les moutons noirs?



Et pendant ce temps, Vinci autoroute m’envoie un mail pour me proposer de visualiser le chassé-croisé du WE depuis mon salon: un drône filme les bouchons aux barres de péage pour une retransmission en direct.

<img data-src=" />

<img data-src=" />


Le CE me fait un peu penser à ces sites qui se retranchent derrière « l’intérêt légitime » pour justifier l’aspiration de toute donnée personnelle qui passe à leur portée.


La noblesse française va avoir de plus en plus de mal à mobiliser contre le vote pour les méchants fascistes du FN, alors qu’elle utilise déjà largement les méthodes fascistes elle-même <img data-src=" />


il interroge même la CJUE pour savoir si l’information des personnes surveillées,

une fois le risque évaporé, …



(je caricature

)[i]

“on vous a bien eu….on vous a épié, ET vous, vous, EN doutiez [/i] même pas” !!! <img data-src=" /><img data-src=" />


Le Conseil d’Etat me semble de plus en plus réactionnaire dans sa jurisprudence, mais encore ses rapports (le dernier sur le droit à mourir dignement est particulièrement parlant).



Je pense que les associations ne pourront faire l économie de saisir la CJUE après les réponses aux questions orientées du CE. Entre temps la surveillance généralisée aura gagné quelques mois supplémentaires (à moins que la CJUE retourne sa veste)