La plus haute juridiction administration française a rendu son verdict ce mercredi et permet à l'État de maintenir l'obligation imposée aux opérateurs de conserver les données de connexion de leurs utilisateurs durant un an.
La décision du Conseil d'État sur les données de connexion était très attendue. La juridiction a été invitée à trancher entre le respect du droit de l'Union européenne, pas vraiment favorable à la conservation des données, et l'efficacité de la lutte contre le terrorisme et la criminalité portée par le gouvernement français. Après s'être réuni vendredi dernier, le Conseil a tranché.
Le Conseil d'État répond à l'Europe, opposée à la conservation des données
Saisi par plusieurs associations (La Quadrature du Net, French Data Network, Igwan.net et la Fédération des fournisseurs d'accès à Internet associatifs) et par l'opérateur Free Mobile (et la société Free), le Conseil d'État a dû examiner la conformité du cadre juridique français au droit européen.
Pour s'aiguiller et prendre sa décision, il a d'abord dû rappeler que la Constitution française reste la norme suprême du droit national. Ainsi, elle passe devant la décision de la Cour de justice de l'Union européenne, qui s'est opposée, dans une série de trois arrêts rendus le 6 octobre 2020, au principe de conservation des métadonnées des utilisateurs, sauf dans le cas où la sécurité nationale du pays concerné est en jeu.
Aujourd'hui, plusieurs décrets permettent en France d'obliger les opérateurs télécoms, les FAI et les hébergeurs de contenus à conserver « de façon généralisée et indifférenciée, pour une durée d'un an, les données de trafic et de localisation de l'ensemble de leurs utilisateurs ainsi que leurs données d'identité civile et certaines données relatives à leurs comptes et aux paiements qu'ils effectuent en ligne ».
Ces données peuvent donc aussi bien être des identifiants, des adresses IP, des adresses (postales et e-mails), des numéros de téléphone, des informations sur la durée d'appel, sur l'opérateur concerné, sur la géolocalisation, etc. En gros : les données d'identité, les « fadettes » (données relatives au trafic, dates, sites internet consultés) et les données de localisation, regroupées sous ce que l'on appelle les « métadonnées », peuvent être conservées par les opérateurs dans le cadre de « la recherche des infractions pénales et dans l'activité des services de renseignement, notamment pour lutter contre le terrorisme ».
La décision du Conseil d'État était justement attendue sur cette distinction entre ce qui tombe sous le coup de la légalité de la conservation des données et ce qui n'y tombe pas. Et ce, en sachant que la position de la CJUE consiste à ne permettre la conservation des données uniquement pour des infractions relevant de la criminalité grave. Pas pour le reste.
Pour le juge administratif, on ne peut se priver de la conservation généralisée des données
Le Conseil d'État juge dans un premier temps « illégale » l'obligation de conservation généralisée des données (hormis les données peu sensibles comme l'état civil, l'adresse IP, les comptes et paiements) lorsqu'une affaire n'est pas de l'ordre de la sécurité nationale. Cela comprend donc les infractions pénales autres que le terrorisme.
Mais la plus haute juridiction administrative française affirme qu'il n'est matériellement pas possible, pour ces infractions « moins graves », de répondre à la solution suggérée par la CJUE, qui préconise une conversation ciblée et en amont des données. Le Conseil d'État affirme en effet qu'« il n'est pas possible de prédéterminer les personnes qui seront impliquées dans une infraction pénale qui n'a pas encore été commise ou le lieu où elle sera commise ».
Dans l'esprit, donc, le Conseil d'État essaie d'adopter une position intermédiaire, sans pour autant s'opposer à la conservation des données, puisqu'il estime que la conservation généralisée est aujourd'hui justifiée par la menace existante pour la sécurité nationale. Il considère aussi que la possibilité d'accéder à ces données pour la lutte contre les crimes les plus graves permet de garantir la prévention des atteintes à l'ordre public et de recherche des auteurs d'infractions pénales.
Le gouvernement a 6 mois pour adapter son cadre réglementaire
Pour satisfaire à la volonté de la CJUE, le juge administratif ordonne tout de même au gouvernement de procéder régulièrement à un réexamen de l'existence d'une menace pour la sécurité nationale, le tout sous le contrôle du juge administratif. Par extension, le Conseil d'État appelle à ce qu'un contrôle préalable de l'exploitation des données puisse être exercé par une autorité indépendante, dans le cadre des besoins des services de renseignement.
La juridiction affirme qu'aujourd'hui, le contrôle préalable n'est pas suffisant, puisque l'avis rendu par la Commission nationale de contrôle des techniques de renseignement (CNCTR, n'est pas contraignant. Il faudra ainsi adapter le droit national pour s'assurer de la bonne conformité de la décision par les autorités françaises. Le Conseil d'État donne officiellement 6 mois au Premier ministre pour modifier le cadre réglementaire.
Source : communiqué de presse
Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)
Lire d'autres articles
