Dans une décision n° 393099 French Data Network et autres rendue le 21 avril 2021, l’Assemblée du Conseil d’État s’est prononcée sur la conformité du droit français au droit européen concernant la conservation des données de connexion par les fournisseurs de services de communications électroniques. Dans ce cadre, il a été amené à vérifier que le respect du droit européen, tel qu’interprété par la Cour de Justice de l’Union Européenne (CJUE), ne compromettait pas les exigences constitutionnelles françaises.
La question de la conservation et du traitement des données de connexion
Les requérants ont saisi le Conseil d’État de recours contre plusieurs textes, parmi lesquels le décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne. Ces textes prévoyaient la conservation pendant un an de toutes les données de connexion des utilisateurs pour les besoins du renseignement et des enquêtes pénales.
Estimant que ces dispositions méconnaissaient le droit de l’Union européenne et notamment le principe de confidentialité des communications électroniques et des données de trafic, les requérants demandaient leur annulation pour excès de pouvoir.
Le principe de confidentialité des communications électroniques et des données de trafic rappelé par la CJUE
Le Conseil d’État a saisi la Cour de Justice de l’Union Européenne (CJUE) de plusieurs questions préjudicielles afin que celle-ci précise les règles européennes qui encadrent la conservation et le traitement des données de connexion, qu’il s’agisse de la directive 2002/58 du 12 juillet 2002, dite « vie privée et communications électroniques » ou du règlement général sur la protection des données – RGPD.
Dans son arrêt La Quadrature du Net et autres du 6 octobre 2020, la Grande Chambre de la CJUE a rappelé le principe de confidentialité des communications électroniques et des données de trafic énoncé par la directive 2002/58/CE du 12 juillet 2002.
Elle s’est ainsi opposée à la conservation généralisée et indifférenciée des données de connexion par les fournisseurs de services de communications électroniques et à leur transmission aux autorités nationales de sécurité et de renseignement.
Elle a toutefois admis une exception à cette interdiction de conservation généralisée des données de connexion, en cas de menace grave et actuelle pour la sécurité nationale.
La CJUE a ainsi fortement limité la possibilité d’imposer aux opérateurs la conservation des données de connexion.
La décision du Conseil d’État : la recherche d’un équilibre entre application du droit européen et exigences constitutionnelles
Suite à l’arrêt de la CJUE, le Conseil d’État a procédé à un examen de la conformité du droit français à la réglementation européenne dans sa décision du 21 avril 2021.
Pour cela, il a d’abord précisé le cadre de son contrôle. Contrairement à ce que lui demandait le Gouvernement, il a refusé de vérifier que les organes de l’Union européenne, notamment la CJUE, avaient bien respecté la répartition des compétences entre l’UE et les États membres et qu’ils n’avaient pas excédé leurs compétences. Il n’a donc pas effectué de contrôle ultra vires.
Il a ensuite précisé que l’encadrement de la conservation des données par le droit européen ne devait pas remettre en cause les exigences constitutionnelles de préservation de la sécurité nationale. Il a ainsi rappelé que l’article 88-1 de la Constitution française consacrait l’existence d’un ordre juridique de l’UE intégré à l’ordre juridique interne, mais que la Constitution était au sommet de ce dernier.
Le Conseil d’État a également précisé que les exigences de sauvegarde des intérêts fondamentaux de la Nation, de prévention des atteintes à l’ordre public, de lutte contre le terrorisme ou encore de recherche des auteurs d’infractions pénales constituaient des objectifs de valeur constitutionnelle.
Il s’est donc attaché à vérifier que l’application du droit européen, tel que précisé par la CJUE, ne compromettait pas les exigences constitutionnelles relatives à la sécurité nationale.
À l’issue de son analyse, le Conseil d’État a jugé que la conservation généralisée des données était, au moment de la décision, justifiée par la menace existante pour la sécurité nationale. Cette conservation généralisée permettait en effet de garantir les exigences constitutionnelles de prévention des atteintes à l’ordre public et de recherche des auteurs d’infractions pénales.
En revanche, le Conseil d’État a imposé au Gouvernement de procéder à un examen périodique de l’existence de menace sur la sécurité nationale pour justifier la conservation généralisée des données de connexion.
Le Conseil d’État a donc annulé les dispositions contraires et a invité le gouvernement à modifier le cadre réglementaire actuel, dans un délai de six mois.
Les suites données à la décision du Conseil d’État
Prenant acte de la décision du Conseil d’État, le Gouvernement a pris un nouveau décret n° 2021-1362 du 20 octobre 2021 relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne. Ce texte abroge les décrets contestés, notamment le décret n° 2011-219 du 25 février 2011, et modifie l’article R10-13 du code des postes et des communications électroniques qui précise les informations que les opérateurs de communications électroniques sont tenus de conserver.
Concernant la vérification régulière de l’existence d’une menace grave pour la sécurité nationale imposée par le Conseil d’État, depuis la décision du 21 avril 2021, deux décrets ont imposé la conservation des données de connexion pour une durée d’un an au regard de la menace grave et actuelle contre la sécurité nationale (décret n° 2021-1363 du 20 octobre 2021 et décret n° 2022-1327 du 17 octobre 2022).