Le Conseil d'État a rendu ce mercredi 21 avril un arrêt qui porte sur l'obligation de conservation des données de connexion à la charge des opérateurs télécoms, des FAI et d'autres intermédiaires numériques. La solution retenue par la Haute Juridiction administrative fait preuve de diplomatie vis-à-vis de la Cour de justice et tente d'asseoir la souveraineté de la France sur le terrain régalien de la sécurité nationale en interprétant les dispositions du droit de l'Union dans le sens du maintien de la conservation et d'accès des autorités publiques aux données des citoyens pour leur propre sécurité.

L'arrêt du Conseil d'État intervient en réaction à la jurisprudence récente de la Cour de justice du 6 octobre 2020 déjà commentée ici (CJUE, 6 oct. 2020, aff. jtes C-511/18, La Quadrature du Net e.a., C-512/18, French Data Network e.a., et C-520/18, Ordre des barreaux francophone et germanophone e.a.) de l'arrêt intercalaire Prokuratuur du 2 mars 2021 (CJUE, 2 mars 2021, aff. C-746/18, H. K. c/ Prokuratuur), ainsi que des arrêts de la Cour de justice plus anciens qui stipulent en unisson le caractère fondamental et inaliénable des libertés individuelles dans l'univers numérique et en demandent la garantie aux autorités publiques des États membres (CJUE, 8 avr. 2014 aff. C-293/12 et C-594/12, Digital Rights Ireland  – CJUE, 21 déc. 2016, aff. C-203/15 et C-698/15, Tele2 Sverige).

La solution de l'arrêt du Conseil d'État mêle droit et diplomatie. En effet, le Conseil d'État a fait le choix de ne pas suivre les recommandations du gouvernement français qui l'appelait à faire pure abstraction de l'arrêt de la Cour de justice du 6 octobre 2020 au nom de la souveraineté constitutionnelle de la France en matière des questions tenant à sa sécurité. Pour ce faire, il aurait en effet été possible de faire jouer la carte de la « sauvegarde des intérêts fondamentaux de la Nation » (pts 9 et 10).

Or, le juge administratif suprême n'a pas souhaité attiser les mouvements eurosceptiques présents notamment à l'est de l'Europe (Hongrie, Pologne) et a essayé d'inscrire son raisonnement dans la logique juridique et institutionnelle de l'Union européenne, avec plus ou moins de succès et quelques compromis. Voici quelques points de cet arrêt très dense.

Solutions dans le sens de l'arrêt de la Cour de justice

Annulation de certains textes. On ne manquera pas de marquer une victoire symbolique des requérants auprès de la Cour de justice (la Quadrature du Net, FDN, FFDN, Igwan.net et Free), la première depuis plusieurs années, face à un statu quo administratif monolithe et inébranlable. Le Conseil d'État annule et enjoint l'abrogation dans un délai de six mois du décret du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne (D. n° 2011-219, 25 févr. 2011), dans la mesure où ce texte :

• d'une part, ne limite pas les finalités de l'obligation de conservation généralisée et indifférenciée des données de trafic et de localisation autres que les données d'identité civile, les coordonnées de contact et de paiement, les données relatives aux contrats et aux comptes et les adresses IP à la sauvegarde de la sécurité nationale et ;
• d'autre part, ne prévoit pas un réexamen périodique de l'existence d'une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale.

Le Conseil d'État annule également les décrets du 11 décembre 2015 et du 29 janvier 2016 dans la mesure où ils permettent la mise en œuvre des dispositions des  articles L. 851-1, L. 851-2, L. 851-4 et du IV de l'article L. 851-3 du Code de la sécurité intérieure :

• sans contrôle préalable par une autorité administrative indépendante dotée d'un pouvoir d'avis conforme ou une juridiction ;
• en dehors des cas d'urgence dûment justifiée.

Le Conseil d'État démontre qu'il a bien pris en compte l'arrêt de la Cour de justice du 6 octobre 2020 en retenant que le droit de l'Union européenne s'oppose à ce que soit imposée aux opérateurs la conservation généralisée et indifférenciée des données de trafic et de localisation autres que les adresses IP, y compris aux fins de lutte contre la criminalité grave (pt 30). En revanche, il n'en accepte pas toutes les solutions, loin s'en faut.

Arguments en faveur de la conservation des données

A. Fondement de la gravité

Dans le même point 30 et dans ceux qui suivent, le Conseil d'État admet l'imposition aux opérateurs de la conservation généralisée et indifférenciée :

• « […] en fonction de catégories de personnes, dont des éléments objectifs permettent d'établir que leurs données sont susceptibles de révéler un lien au moins indirect avec des actes de criminalité grave, de contribuer, d'une manière ou d'une autre, à la lutte contre cette criminalité ou de prévenir un risque grave pour la sécurité publique, d'une part, ou en fonction de zones géographiques caractérisées par un risque élevé de préparation ou de commission d'actes de criminalité grave, d'autre part » (pt 30) ;
• « […] aux seules fins de sauvegarde de la sécurité nationale lorsqu'un État est confronté à une menace grave pour la sécurité nationale qui s'avère réelle et actuelle ou prévisible […] » (pt 31) ;
• des adresses IP dès lors qu'elle peut constituer le seul moyen d'investigation permettant l'identification d'une personne ayant commis une infraction grave en ligne, la gravité visant les menaces contre la sécurité publique et la sauvegarde de la sécurité nationale (pt 33) ;
• des données relatives à l'identité civile des utilisateurs, sans délai particulier, aux fins de prévention des menaces à la sécurité publique, de recherche, de détection et de poursuite des infractions pénales en général et de sauvegarde de la sécurité nationale (pt 34).

Le Conseil d'État valide également la légalité d'une "conservation rapide" des données de trafic et de localisation (max. 90 jours) lorsque ces données sont susceptibles de contribuer à l'élucidation d'une infraction grave ou à la prévention de menaces graves contre la sécurité publique (pt 32).

On constate que le Conseil d'État construit ses arguments pour justifier la conservation préventive généralisée des données autour de la menace actuelle pour la sécurité nationale de la France qui présente un caractère grave et réel (V. pt 44, terrorisme, espionnage, etc.). En effet, telles étaient les conditions de l'exception posées par l'arrêt de la Cour de justice du 6 octobre 2020.

Or, cela implique l'exclusion des délits de la base légale de ce dispositif exceptionnel. En outre, le Conseil d'État impose aux pouvoirs publics un réexamen périodique de l'existence d'une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale (pt 46).

B. Solutions de la CJUE inefficaces ou infaisables

Pour justifier la conservation généralisée et indifférenciée ou rapide des données imposée aux opérateurs, le Conseil d'État démontre l'inefficacité opérationnelle et/ou l'infaisabilité technique ou juridique, des solutions proposées par la Cour de justice.

Ainsi, le juge administratif défend les techniques modernes d'investigation des infractions dématérialisées qui ne peuvent pas selon lui être remplacées par des méthodes alternatives (pt 50).

En ce qui concerne la conservation ciblée des données relatives au trafic et des données de localisation que le droit de l'Union admet, le Conseil d'État relève que les pratiques des opérateurs télécoms et les données dont ils disposent ne permettraient pas une exploitation efficace de ces données par les enquêteurs (pts 52 et 53).

Le juge administratif va jusqu'à soulever le principe constitutionnel d'égalité devant la loi pour exclure toute présomption de dangerosité à l'encontre de personnes en fonction de leur lieu de résidence ou d'activité professionnelle pour justifier la conservation de leurs données de trafic et de localisation (pt 54).

Les paragraphes 55 et 56 justifient la conservation rapide des données de trafic dont la France a l'obligation en vertu de l'article 16 de la convention de Budapest (Convention sur la cybercriminalité, 23 nov. 2001).

Pour résumer, selon le Conseil d'État les solutions proposées par la Cour de justice ne permettraient pas de garantir le respect des objectifs de valeur constitutionnelle de prévention des atteintes à l'ordre public, notamment celle des atteintes à la sécurité des personnes et des biens, ainsi que de recherche des auteurs d'infractions (V. le sommaire de ces arguments au pt 57).

Sources Lexis-Nexis