Données de connexion : leur conservation jugée conforme au droit européen

Saisi par différentes associations et un opérateur de télécommunications, le Conseil d'État a examiné la conformité des règles françaises de conservation des données de connexion au droit européen. Il a validé le principe de leur conservation aux motifs de la lutte contre le terrorisme et la criminalité organisée.

Le Conseil d'État, place du Palais-Royal, Paris 1er.
Le Conseil d'État juge néanmoins illégale l’obligation de conservation généralisée des données qui pèse sur les opérateurs de télécom pour les besoins autres que ceux liés à la sécurité nationale. © UlyssePixel - stock.adobe.com

Réuni en assemblée du contentieux, la formation la plus solennelle, le Conseil d'État avait à examiner comment concilier la protection de la vie privée et l'efficacité des enquêtes pénales et du renseignement. 

Dans son arrêt rendu le 21 avril 2021 sur les données de connexion, le Conseil d'État se devait à la fois de prendre en compte la jurisprudence de la Cour de justice de l'Union européenne (CJUE) et les inquiétudes des enquêteurs et des magistrats de se voir privés des relevés de communication (les "fadettes") dont ils se servent dans la plupart des enquêtes.

Droit européen et exigences constitutionnelles françaises

Dans son arrêt du 21 avril, le Conseil d'État considère que que le "droit européen ne compromet pas les exigences de la Constitution française". Il relève que la conservation généralisée imposée aux opérateurs par le droit français est justifiée par une menace pour la sécurité nationale, conformément aux dérogations autorisées par la CJUE. Le Conseil d'État ordonne toutefois au gouvernement de "réévaluer régulièrement la menace", comme exigé par le droit européen.

En revanche, le Conseil juge illégale l’obligation de conservation généralisée des données qui pèse sur les opérateurs de télécommunication (hormis certaines données peu sensibles : état civil, adresse IP, comptes et paiements) pour les besoins autres que ceux de la sécurité nationale, notamment la poursuite des infractions pénales.

En outre, les autorisations pour l'exploitation des données de connexion par les services de renseignement ne doivent plus être délivrées par le Premier ministre mais par une autorité indépendante. Le gouvernement dispose désormais de six mois pour modifier cette règle afin de se mettre en conformité avec le droit de l'Union européenne.

Conservation des données de connexion : l'état du droit européen

L'arrêt rendu par la CJUE le 6 octobre 2020 au sujet du traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) se situe dans la ligne d'une jurisprudence qui limite fortement la possibilité d'imposer une conservation généralisée et indifférenciée de ces données. Parmi l'une des rares dérogations offertes par la CJUE pour le maintien de cette pratique figure la "menace pour la sécurité nationale".

Pour sa part, le droit français imposait aux opérateurs des télécommunications en France de conserver les métadonnées des connexions internet et téléphoniques (localisation, date, durée...) pendant un an, afin de pouvoir les mettre à disposition des services d'enquête sur demande d'un magistrat ou, en matière de renseignement, sur autorisation du Premier ministre.

Ainsi, en France, les magistrats, enquêteurs et services de renseignement pouvaient conserver les "fadettes" pour l'ensemble de leurs enquêtes s'agissant des poursuites pénales du quotidien. Durant l'année 2020, environ 2,5 millions de réquisitions judiciaires ont été adressées aux plateformes des opérateurs.