Conservation des données de connexion : le Conseil d’État, option droit de l’Union européenne, un bon et habile élève
Par Fabienne Jault-Seseke, Professeur des Universités en Droit Privé, Université Paris Saclay (Versailles Saint-Quentin).
Par Fabienne Jault-Seseke, Professeur des Universités en Droit Privé, Université Paris Saclay (Versailles Saint-Quentin)
Après l’arrêt rendu par la Cour de justice de l’Union européenne dans l’affaire « La Quadrature du net » le 6 octobre 2020, la décision du Conseil d’État au sujet de la conformité des règles françaises de conservation des données de connexion au droit européen était très attendue. Elle l’était d’autant plus que le gouvernement – ce qui n’est pas sans inquiéter – avait invité les sages du Palais royal à s’affranchir de la position exprimée par la CJUE. C’est finalement un arrêt rendu le 21 avril, en assemblée du contentieux, sa formation la plus solennelle, qui met fin au suspense.
La garantie de la sûreté nationale est-elle soluble dans le droit de l’Union européenne ?
Le gouvernement français estimait que la Cour de justice avait excédé ses compétences et qu’elle empiétait sur la souveraineté constitutionnelle française. La position était inédite en France (sur la saga allemande, v. https://blog.leclubdesjuristes.com/la-bce-et-la-cour-constitutionnelle-allemande-comprendre-larret-du-5-mai-de-la-cour-constitutionnelle-allemande/). La réponse claire du Conseil d’État qui a refusé de suivre le gouvernement devrait le dissuader de persévérer dans cette voie. Il aurait été particulièrement malvenu que le Conseil d’État, après avoir sollicité la CJUE, l’éconduise. En outre, cette mise en cause des institutions européennes aurait été à contre-courant de l’image de garant des valeurs de l’État de droit qu’entendent se donner les autorités françaises, notamment pour faire face aux dérives polonaises ou hongroises.
On se souvient que le Conseil d’État s’était fait tancer par la CJUE pour ne pas l’avoir interrogée (CJUE 4 oct. 2018, Commission c/ France, aff. C-416/17). Ici, la haute juridiction administrative se fait le chantre de la primauté du droit européen en citant l’article 91 du règlement de la Cour, selon lequel ses arrêts ont force obligatoire. La réponse au gouvernement est assez cinglante.
Cela ne veut pas dire pour autant qu’aucun argument constitutionnel ne pourrait être opposé aux initiatives européennes. En effet, la Constitution est « la norme suprême du droit national » et « dans le cas où l’application d’une directive ou d’un règlement européen, tel qu’interprété par la Cour de justice de l’Union européenne, aurait pour effet de priver de garanties effectives l’une de ces exigences constitutionnelles, qui ne bénéficiera pas, en droit de l’Union, d’une protection équivalente, le juge administratif, saisi d’un moyen en ce sens, doit l’écarter dans la stricte mesure où le respect de la Constitution l’exige ». Si ce rappel qui correspond au mécanisme de conciliation mis en place par l’article 53 de la Charte des droits fondamentaux de l’UE n’altère pas la primauté du droit de l’Union européenne, il peut apparaître comme un avertissement adressé à la CJUE. En l’espèce, le Conseil d’État ne juge pas utile de faire prévaloir une quelconque exigence constitutionnelle puisque le droit de l’UE permet en cas de menace grave sur la sécurité nationale la conservation généralisée et indifférenciée des données de connexion. Mais si cette solution devait être remise en cause, le Conseil d’État indique clairement qu’il n’hésiterait pas à faire prévaloir les objectifs de valeur constitutionnelle.
Les exigences de la Cour de justice remettent-elles en cause le système de surveillance à la française ?
Le Conseil d’État a choisi la voie du dialogue plutôt que celle de l’affrontement. L’arrêt de la CJUE, contrairement à ce qui a pu être soutenu, laissait une place, même étroite, à la discussion et le Conseil d’État s’en est saisi, quitte à pousser un peu les murs dressés par la CJUE pour préserver dans ses grandes lignes le système français.
Rappelons brièvement le contexte. D’un côté, l’Union européenne, avec en fer de lance différents arrêts de la CJUE, pratique une politique de protection des données personnelles offensive interdisant en principe leur conservation généralisée. De l’autre, différentes lois adoptées pour lutter notamment contre le terrorisme font des données personnelles un outil à la disposition des services de renseignement et des services judiciaires, ce qui suppose nécessairement conservation. Un conflit de droits fondamentaux pouvait en résulter. Le Conseil d’Etat avait interrogé la CJUE pour qu’elle précise les modalités de conciliation du droit fondamental à la protection des données et du droit à la sûreté protégé par l‘article 6 de la Charte des droits fondamentaux, dont découlerait la lutte contre la criminalité. Confirmant sa jurisprudence passée, la CJUE avait indiqué que la surveillance mise en place par le biais de la conservation généralisée et indifférenciée pendant un an des métadonnées de l’ensemble de la population ne peut pas être permanente. Elle peut être justifiée au nom de la « sauvegarde de la sécurité nationale » que si l’État « fait face à une menace grave, (…) réelle et actuelle ou prévisible ». Jugeant que cette menace est ininterrompue depuis 2015, le Conseil d’État valide le dispositif français. Il apparaît clairement, au regard de la diversité des éléments retenus pour apprécier l’existence de la menace (risque terroriste, risque d’ingérence étrangère et d’espionnage, activité de groupes radicaux et extrémistes) que le Conseil entend appréhender le plus largement possible la notion de sécurité nationale. Ce faisant, le champ laissé à la conservation généralisée et indifférenciée des métadonnées s’agrandit. Néanmoins et pour se conformer aux exigences de la Cour de Luxembourg, il est enjoint au gouvernement, dans les six mois, de compléter l’arsenal réglementaire en prévoyant un réexamen périodique (au moins annuel) de l’existence d’une menace réelle et actuelle ou prévisible et en liant expressément la conservation des données de connexion à la finalité de la sauvegarde de la sécurité nationale. La concession apparaît minime et la garantie de façade.
Concernant la conservation des données justifiée par la poursuite des infractions pénales, le Conseil d’État indique, à la suite de la CJUE, qu’elle ne peut être générale que pour les données peu sensibles, ce qui l’amène à demander l’abrogation de l’article R.10-13 du code des postes et des communications électroniques. Il estime que la conservation ciblée, que suggérait la CJUE, est impraticable techniquement mais aussi juridiquement, car susceptible d’être discriminatoire. Mais là encore, le système français n’est pas remis en cause : en effet, les données conservées de façon généralisée pour un autre motif – les besoins de sécurité nationale – peuvent être utilisées (conservation dite « rapide ») sur injonction d’une autorité judiciaire. La solution est artificielle ; le système s’écroulerait en l’absence de menace grave à la sécurité nationale. Sans doute l’idée qu’il sera toujours possible d’établir une telle menace est-elle sous-jacente.
Enfin, concernant l’accès des services de renseignement aux données de connexion, il doit être davantage encadré. La CJUE exige un contrôle préalable par une juridiction ou une autorité administrative indépendante. Aussi le Conseil d’État est-il conduit à constater que les textes actuels qui se bornent à prévoir un avis non contraignant de la Commission nationale de contrôle des techniques de renseignement (CNTCR) ne sont pas suffisants et doivent être revus.
Ailleurs et demain ?
Là où le Conseil d’État s’est employé à identifier les modifications à apporter aux règles françaises, la Cour constitutionnelle belge a, elle, renvoyé la balle au législateur. Dans une décision rendue au lendemain de celle du Conseil d’État, elle a, pour tenir compte de l’arrêt du 6 octobre 2020, annulé différentes dispositions de la loi de 2016. Elle invite le législateur à revoir sa copie d’une part, en alignant la catégorisation des données sur les distinctions opérées par la CJUE et, d’autre part, en rendant l’obligation de conservation des données relatives aux communications électroniques exceptionnelle et en mettant en place les garanties permettant le respect du principe de nécessité et de proportionnalité.
En France, la révision de la loi sur le renseignement de 2015 et une adaptation de la loi pour la sécurité intérieure et la lutte contre le terrorisme (SILT) de 2017 étaient prévues. L’acte commis à Rambouillet deux jours après l’arrêt du Conseil d’État a précipité les choses. L’une des dispositions phare du projet qui devrait être présenté en conseil des ministres cette semaine vise à pérenniser et étendre l’usage d’un algorithme d’analyse des données de connexion. Les garanties exigées par le Conseil d’État dans la ligne de l’arrêt de la CJUE devront être mises en place.
[vcex_button url= »https://www.leclubdesjuristes.com/newsletter/ » title= »Abonnement à la newsletter » style= »flat » align= »center » color= »black » size= »medium » target= » rel= »none »]En savoir plus…[/vcex_button]