Conseil d’État, 21 avril 2021, n°393099, French data network et autres

Le Conseil d’État a été saisi en juillet 2018 par plusieurs sociétés de télécom au sujet de la conversation des données de connexion fondée sur la lutte contre la criminalité et le terrorisme. Après avoir sollicité l’opinion de la Cour de Justice de l’Union Européenne par voie de question préjudicielle et sursis à statuer jusqu’à la décision de ladite Cour, le Conseil d’État a finalement rendu sa décision le 21 avril 2021. Cette décision a été rendue par la section contentieuse du Conseil d’État qui est la section la plus solennelle de cette institution.   

Conformément à l’article L.851-1 du code de la sécurité intérieure et ses décrets d’application, le législateur autorise la conservation de données de l’utilisateur dans le seul but de garantir la sécurité nationale contre les actes de criminalité et de terrorisme. La mise en œuvre de ces dispositions sont sujettes à autorisation du Premier Ministre (article L.821-4 du code la sécurité intérieure). Cette autorisation peut être précédée d’un avis rendu par la Commission Nationale du Contrôle des Techniques de renseignement. Néanmoins, le Premier Ministre n’est pas tenu par cet avis.

En application de cette autorisation, l’opérateur de télécommunication peut conserver certaines données de l’utilisateur dans le but d’assurer le maintien de la sécurité nationale, objectif à valeur constitutionnelle. Les données de connexion couvrent les données relatives à l’identité des utilisateurs, leur localisation, les données relatives au trafic (fadettes).

La Cour de Justice de l’Union Européenne (CJUE) a apporté, dans sa décision C-623/17 du 6 octobre 2020, des clarifications tenant à définir la légalité du régime français au regard du droit Européen et notamment au regard de la Directive 2002/598 et du RGPD :

  1. La conservation généralisée et indifférenciée des données de connexion (autres que les données d’identité) ne peut être imposée aux opérateurs que pour les besoins de la sécurité nationale en cas de menace grave. En outre, l’accès à ces données par les services de renseignement doit être soumis au contrôle préalable d’une autorité indépendante et au contrôle d’un juge en aval lors de l’exploitation des données conservées.
  2. Pour la lutte contre la criminalité grave, les États peuvent seulement imposer la conservation ciblée de données, dans certaines zones ou pour certaines catégories de personnes pré-identifiées comme présentant des risques particuliers. Mais, comme le prévoit la convention de Budapest de 2001, les autorités peuvent demander aux opérateurs de geler les données de trafic et de localisation relatives à une personne, pour les besoins d’une enquête pénale, sur une courte période (méthode dite de « conservation rapide » des données).
  3. La conservation des données de connexion n’est pas permise pour d’autres motifs, notamment pour la recherche des infractions ne relevant pas de la criminalité grave.

Par cette décision, le Conseil d’État procède à une balance entre les exigences du droit européen telles qu’interprétées par la CJUE avec les principes de droit constitutionnel français et notamment le principe de protection de la sécurité nationale.

A ce titre, le Conseil d’État considère que la conservation généralisée des données est à ce jour justifiée par l’existence d’une menace grave d’atteinte à la sécurité nationale. Le Conseil d’État ajoute que la possibilité d’accéder à ces données permet effectivement de prévenir ces potentielles atteintes.

Néanmoins, le Conseil d’État ordonne au Gouvernement de réévaluer régulièrement la gravité de la menace sur le territoire national afin de garantir que la conservation des données soit bien justifiée par la poursuite dudit objectif. De plus, le Conseil d’État exige que l’accès à ces données fasse l’objet d’une procédure d’autorisation par une autorité indépendante. En effet, le Conseil d’État relève que le contrôle préalable prévu par le régime actuellement en vigueur est insuffisant. Il est vrai qu’en vertu du droit en vigueur, l’avis rendu par la Commission Nationale du Contrôle des Techniques de Renseignement, avant autorisation du Premier Ministre, n’est pas contraignant. Bien qu’en pratique, le Premier Ministre ne soit jamais passé outre un avis défavorable de la Commission, le Conseil d’Etat impose que cette modification intervienne dans un délai de 6 mois.

Ainsi, le renforcement du contrôle préalable de l’accès aux données est le seul point de ce régime sur lequel le Conseil d’État estime qu’une modification s’impose pour se conformer au droit européen. Il est entendu que cette modification n'entre pas en conflit avec les dispositions constitutionnelles françaises. En effet, tel que cela ressort tant du RGPD que de l’arrêt de la CJUE,  la conversation des données de connexion n'est justifiée qu'en présence d'une menace grave. Il est donc essentiel que le système français dispose d'un mécanisme permettant de réévaluer régulièrement si une menace grave persiste sur le territoire.

Pour conclure, il apparaît tout d'abord que la section du contentieux du Conseil d'État refuse de contrôler si la CJUE a agi dans le cadre de sa compétence, malgré l'avis du gouvernement ("contrôle d'ultra vires").

En second lieu, le Conseil d'État réaffirme dans les considérants 5 et 6 de la décision que, conformément à l'article 88-1 de la Constitution, l'État français est tenu au respect du droit de l'Union, qui s'intègre dans l'ordre juridique interne au sein duquel la Constitution française demeure la norme la plus élevée.  

Par conséquent, le Conseil d'État conclut qu"il appartient au juge administratif, le cas échéant, de retenir l'interprétation que la Cour de justice de l'Union européenne a donnée aux obligations résultant du droit de l'Union dans le sens le plus conforme aux exigences constitutionnelles autres que celles découlant de l'article 88-1, dans la mesure où les dispositions des arrêts de la Cour le permettent. "

Cette décision est une parfaite application de la combinaison de ces principes. En effet, le Conseil d'État s'est attaché à démontrer que la loi française sur la conservation des données est conforme au droit européen mais engage le gouvernement à respecter les dispositions qui ne sont pas en l'état satisfaisantes au regard des exigences européennes.