Données de connexion : le Conseil d'État soutient le principe de la conservation des métadonnées

21 avril 2021 à 15h25
7
Conseil d'Etat © Conseil d'Etat
© Conseil d'État / Tous droits réservés

La plus haute juridiction administration française a rendu son verdict ce mercredi et permet à l'État de maintenir l'obligation imposée aux opérateurs de conserver les données de connexion de leurs utilisateurs durant un an.

La décision du Conseil d'État sur les données de connexion était très attendue. La juridiction a été invitée à trancher entre le respect du droit de l'Union européenne, pas vraiment favorable à la conservation des données, et l'efficacité de la lutte contre le terrorisme et la criminalité portée par le gouvernement français. Après s'être réuni vendredi dernier, le Conseil a tranché.

Le Conseil d'État répond à l'Europe, opposée à la conservation des données

Saisi par plusieurs associations (La Quadrature du Net, French Data Network, Igwan.net et la Fédération des fournisseurs d'accès à Internet associatifs) et par l'opérateur Free Mobile (et la société Free), le Conseil d'État a dû examiner la conformité du cadre juridique français au droit européen.

Pour s'aiguiller et prendre sa décision, il a d'abord dû rappeler que la Constitution française reste la norme suprême du droit national. Ainsi, elle passe devant la décision de la Cour de justice de l'Union européenne, qui s'est opposée, dans une série de trois arrêts rendus le 6 octobre 2020, au principe de conservation des métadonnées des utilisateurs, sauf dans le cas où la sécurité nationale du pays concerné est en jeu.

Aujourd'hui, plusieurs décrets permettent en France d'obliger les opérateurs télécoms, les FAI et les hébergeurs de contenus à conserver « de façon généralisée et indifférenciée, pour une durée d'un an, les données de trafic et de localisation de l'ensemble de leurs utilisateurs ainsi que leurs données d'identité civile et certaines données relatives à leurs comptes et aux paiements qu'ils effectuent en ligne ».

Ces données peuvent donc aussi bien être des identifiants, des adresses IP, des adresses (postales et e-mails), des numéros de téléphone, des informations sur la durée d'appel, sur l'opérateur concerné, sur la géolocalisation, etc. En gros : les données d'identité, les « fadettes » (données relatives au trafic, dates, sites internet consultés) et les données de localisation, regroupées sous ce que l'on appelle les « métadonnées », peuvent être conservées par les opérateurs dans le cadre de « la recherche des infractions pénales et dans l'activité des services de renseignement, notamment pour lutter contre le terrorisme ».

La décision du Conseil d'État était justement attendue sur cette distinction entre ce qui tombe sous le coup de la légalité de la conservation des données et ce qui n'y tombe pas. Et ce, en sachant que la position de la CJUE consiste à ne permettre la conservation des données uniquement pour des infractions relevant de la criminalité grave. Pas pour le reste.

Pour le juge administratif, on ne peut se priver de la conservation généralisée des données

Le Conseil d'État juge dans un premier temps « illégale » l'obligation de conservation généralisée des données (hormis les données peu sensibles comme l'état civil, l'adresse IP, les comptes et paiements) lorsqu'une affaire n'est pas de l'ordre de la sécurité nationale. Cela comprend donc les infractions pénales autres que le terrorisme.

Mais la plus haute juridiction administrative française affirme qu'il n'est matériellement pas possible, pour ces infractions « moins graves », de répondre à la solution suggérée par la CJUE, qui préconise une conversation ciblée et en amont des données. Le Conseil d'État affirme en effet qu'« il n'est pas possible de prédéterminer les personnes qui seront impliquées dans une infraction pénale qui n'a pas encore été commise ou le lieu où elle sera commise ».

Dans l'esprit, donc, le Conseil d'État essaie d'adopter une position intermédiaire, sans pour autant s'opposer à la conservation des données, puisqu'il estime que la conservation généralisée est aujourd'hui justifiée par la menace existante pour la sécurité nationale. Il considère aussi que la possibilité d'accéder à ces données pour la lutte contre les crimes les plus graves permet de garantir la prévention des atteintes à l'ordre public et de recherche des auteurs d'infractions pénales.

Le gouvernement a 6 mois pour adapter son cadre réglementaire

Pour satisfaire à la volonté de la CJUE, le juge administratif ordonne tout de même au gouvernement de procéder régulièrement à un réexamen de l'existence d'une menace pour la sécurité nationale, le tout sous le contrôle du juge administratif. Par extension, le Conseil d'État appelle à ce qu'un contrôle préalable de l'exploitation des données puisse être exercé par une autorité indépendante, dans le cadre des besoins des services de renseignement.

La juridiction affirme qu'aujourd'hui, le contrôle préalable n'est pas suffisant, puisque l'avis rendu par la Commission nationale de contrôle des techniques de renseignement (CNCTR, n'est pas contraignant. Il faudra ainsi adapter le droit national pour s'assurer de la bonne conformité de la décision par les autorités françaises. Le Conseil d'État donne officiellement 6 mois au Premier ministre pour modifier le cadre réglementaire.

Source : communiqué de presse

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
7
4
GRITI
C’est marrant ça…Parfois on nous sort l’argument :"Il faut s’adapter aux lois européennes " et parfois…non. C’est comme cela les arrange…<br /> Petite coquille cher Alex<br /> La juridiction a été invitée à trancher entrer le respect du droit de l’Union européenne,<br />
AlexLex14
GRITI:<br /> C’est marrant ça…Parfois on nous sort l’argument :"Il faut s’adapter aux lois européennes " et parfois…non. C’est comme cela les arrange…<br /> Je pense que cette décision va être longuement commentée.<br /> En tout cas, La Quadrature du Net a déjà dégainé : https://twitter.com/laquadrature/status/1384853008849252352<br /> (pour la coquille, merci, notre SR s’occupe de ça )
cirdan
AlexLex14:<br /> notre SR s’occupe de ça<br /> Super Relecteur ?
GRITI
Services des Réclamations ?
cirdan
Tu as Surement Raison.
AlexLex14
<br /> Secrétaire de rédaction
GRITI
Ca m’intéresse !
AlexLex14
Ahh ça il faut voir avec les patrons, s’il y a des besoins pour le moment ça semble pas être le cas mais sait-on jamais
GRITI
Euh on s’est pas compris…C’est LA secrétaire qui m’intéresse. Oui je sais, c’est sexiste de penser que c’est forcément une femme…Mais pas le choix, sinon ma boutade tombe à l’eau .
AlexLex14
Ahhhhhhhh punaise, me suis fait avoir comme un bleu là <br /> Mis K.O debout à la deuxième reprise ^^
Voir tous les messages sur le forum

Lectures liées

L'excellent antivirus optimisé Mac en promo : pourquoi Intego est un service indispensable ?
Surfshark VPN fait encore chuter ses tarifs, un service VPN performant à ne pas manquer !
Plusieurs montres connectées pour enfants présentent d’importants risques de sécurité
CyberGhost n'arrête plus de casser ses prix, faut-il craquer pour ce VPN au top ?
Plus de 150 000 cartes bancaires françaises trouvées en vente sur le dark web
Bitdefender poursuit les promos, un antivirus complet pour une protection efficace et abordable
Vous cherchez un antivirus performant et peu cher ? Craquez pour l'offre Cyber Monday d'Avira
Plus de 1 000 cybercriminels arrêtés par Interpol, 27 millions de dollars saisis
Black Friday : à l'occasion du Cyber Monday, CyberGhost n'hésite pas à pulvériser le tarif de son VPN de - 85% !
Devenez complotiste ou fan de chats ? L'Unesco propose de changer d'identité numérique grâce à une extension Chrome
Haut de page