Les données numériques, en particulier les métadonnées[1], revêtent aujourd’hui un intérêt incontestable pour le renseignement, les enquêtes judiciaires et la lutte contre la criminalité. Cependant, la conservation et l’accès à ces données de manière générale ou systématique par n’importe quelle autorité entraînerait de graves atteintes à la vie privée des individus. Le 25 février 2022, le Conseil constitutionnel a rendu une décision censurant une disposition de droit français sur la conservation généralisée des données de connexion. Elle s’aligne ainsi sur la position de la Cour de Justice de l’Union Européenne (CJUE) initiée en 2014 sur la preuve tirée des données de connexion en matière pénale et vient en contrepied de la décision rendue par le Conseil d’État en 2021.
L’article L.34-1 du code des postes et des communications électroniques est relatif au traitement des données à caractère personnel dans le cadre de la fourniture au public de services de communications électroniques. Les opérateurs de communications électroniques doivent rendre anonymes les données relatives au trafic enregistrées à l’occasion des communications électroniques dont ils assurent la transmission[2].
Il est prévu par dérogation que les opérateurs conservent certaines catégories de données de connexion[3], notamment des données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, ainsi que les données de trafic, en vue de leur mise à disposition de l’autorité judiciaire dans le cadre de la recherche, constatation et poursuite d’infractions pénales.
Ces dernières années, la Cour de Justice de l’Union européenne (CJUE) s’est positionnée à de nombreuses reprises sur l’accès aux données à caractère personnel dans le domaine des communications électroniques.
Pour rappel, dans un arrêt dit « Digital Rights » en 2014, la CJUE a énoncé que le droit de l’Union s’oppose à une règlementation nationale prévoyant une conservation généralisée et indifférenciée des données.
La CJUE a réitéré sa position dans un arrêt dit « Tele2 » du 21 décembre 2016 et a précisé que les États membres peuvent prévoir à titre préventif, une conservation ciblée des données de trafic et de localisation « dans le seul but de lutter contre la criminalité́ grave, à condition qu’une telle conservation soit, en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue, limitée au strict nécessaire. » En outre, l’accès aux données conservées devrait être subordonné à un contrôle préalable effectué par une juridiction ou une entité́ indépendante, sauf en cas d’urgence avec un contrôle a posteriori.
Dans un arrêt du 2 octobre 2018, la CJUE a ajouté que c’est la gravité de l’ingérence (par rapport aux catégories de données concernées) qui sert de curseur pour admettre la licéité ou non de l’accès aux données. Dans Tele2, les données concernées étaient des données de trafic et de localisation, ce type de données permettant de tirer des conclusions précises sur la vie privée des personnes concernées. Cette ingérence grave dans la vie privée ne peut être justifiée que par un motif grave de lutte contre la criminalité. En revanche, les données relatives à l’identité́ civile des utilisateurs ne permettent pas de tirer des conclusions précises sur la vie privée des utilisateurs et en conséquence ne constituent pas une ingérence grave dans la vie privée. L’accès à cette catégorie de données (prévue en droit français à l’article R.10-13 I du Code des postes et des communications électroniques) peut donc être justifié par un objectif de prévention, de recherche, de détection et de poursuite d’« infractions pénales » en général.
En 2020, la CJUE a confirmé que le droit de l’Union s’oppose à une règlementation nationale imposant à un fournisseur de services de communications électroniques, à des fins de lutte contre les infractions en général ou de sauvegarde de la sécurité́ nationale, la transmission ou la conservation généralisée et indifférenciée de données relatives au trafic et à la localisation.
En revanche, la CJUE admet qu’un État membre y déroge dans des situations dans lesquelles il fait face à une menace grave pour la sécurité́ nationale, qu’elle soit réelle et actuelle ou réelle et prévisible. Néanmoins, la conservation généralisée et indifférenciée de ces données (incluant les adresses IP) doit être assortie de garanties effectives, être limitée dans le temps et se faire sur le territoire de l’Union européenne. Une conservation ciblée peut également être mise en place pour lutter contre la criminalité grave et prévenir les menaces graves contre la sécurité́ publique.
Fin 2021, plusieurs associations ont reproché au droit français l’absence de proportionnalité dans l’obligation générale et indifférenciée pour les opérateurs de communications électroniques de conserver les données de connexion, d’autant qu’il existe dans certains cas d’autres moyens de preuve. Ces catégories de données devraient donc, dans la lignée de la jurisprudence de la CJUE, être réservées à la recherche des infractions les plus graves et être encadrées par des garanties suffisantes (autorisation préalable, contrôle d’une juridiction ou d’une autorité indépendante, etc.)
Le Conseil constitutionnel a alors constaté que les données de connexion conservées en application des dispositions contestées portent « non seulement sur l’identification des utilisateurs des services de communications électroniques, mais aussi sur la localisation de leurs équipements terminaux de communication, les caractéristiques techniques, la date, l’horaire et la durée des communications ainsi que les données d’identification de leurs destinataires. Compte tenu de leur nature, de leur diversité et des traitements dont elles peuvent faire l’objet, ces données fournissent sur ces utilisateurs ainsi que, le cas échéant, sur des tiers, des informations nombreuses et précises, particulièrement attentatoires à leur vie privée. »
Une telle conservation s’appliquant de façon générale à tous les utilisateurs des services de communications électroniques et l’obligation de conservation portant indifféremment sur toutes les données de connexion relatives à ces personnes (quelle qu’en soit la sensibilité et sans considération de la nature et de la gravité des infractions susceptibles d’être recherchées), le Conseil Constitutionnel en a déduit que ces dispositions portent une atteinte disproportionnée au droit au respect de la vie privée[4].
Concrètement, si la CJUE interdit depuis plusieurs années cette conservation générale et indifférenciée des données de connexion, les législations de plusieurs États de l’Union européenne, dont la France, ne l’ont pas complètement pris en compte pour des raisons pratiques dans le cadre d’enquêtes pénales, afin que policiers, magistrats ou services de renseignement puissent accéder à ces données. En France, l’accès aux données est obtenu à la demande d’un magistrat, et en matière de renseignement, soumis à autorisation des services du Premier ministre.
C’est pour ces raisons que le Conseil d’État avait rendu, le 21 avril 2021, un arrêt dit « French Data Network » dans lequel il oppose le droit de l’Union avec les exigences constitutionnelles françaises lesquelles « ne bénéficient pas, en droit de l’Union, d’une protection équivalente à celle que garantit la Constitution » et qu’il doit donc « s’assurer que les limites définies par la CJUE ne mettent pas en péril ces exigences constitutionnelles. » Il semble prêt à déroger au droit de l’Union dès lors que « la sauvegarde des intérêts fondamentaux de la Nation, la prévention des atteintes à l’ordre public, la lutte contre le terrorisme et la recherche des auteurs d’infractions pénales » ne seraient pas suffisamment protégées.
Le Conseil d’État a relevé ainsi que la conservation généralisée imposée aux opérateurs par le droit français est justifiée par une menace pour la sécurité nationale et impose au Gouvernement de procéder, sous le contrôle du juge administratif, à un réexamen périodique de l’existence d’une telle menace et de subordonner l’exploitation de ces données par les services de renseignement à l’autorisation d’une autorité indépendante[5].
Pour la poursuite des infractions pénales, le Conseil d’État écarte la solution suggérée par la CJUE de conservation ciblée des métadonnées mais retient la méthode de « conservation rapide » pour s’appuyer sur le stock de données conservées de façon généralisée pour les besoins de la sécurité nationale, et qui pourrait être utilisée pour la poursuite des infractions pénales. Il rappelle enfin le principe de proportionnalité entre gravité de l’infraction et importance des mesures d’enquête mises en œuvre, qui gouverne la procédure pénale, affirmant dans la lignée de la CJUE que « le recours aux données de connexion doit être limité aux poursuites d’infractions d’un degré de gravité suffisant ».
Alors que la CJUE pose des garde-fous en faveur de la protection de la vie privée des individus, le Conseil d’État s’évertue à conserver le droit de rechercher des preuves numériques pour la sauvegarde des intérêts fondamentaux de la Nation, la prévention des atteintes à l’ordre public, la lutte contre le terrorisme et la recherche des auteurs d’infractions pénales. Il est indéniable que certaines infractions ne peuvent être caractérisées et poursuivies qu’en ayant accès aux preuves numériques. Cela impliquerait donc une conservation généralisée « de principe » des données, le principe de proportionnalité devant être le gouvernail permettant de donner l’accès ou non aux données pour des finalités précises et à des destinataires déterminés.
Le risque de cette position « d’entre deux » est que des éléments de preuve numérique soient écartés par le juge pénal car considérés recueillis de manière illicite.
Gageons que le sujet donnera lieu à de nouveaux débats en droit interne, voire à une nouvelle intervention du législateur.
[1] Les métadonnées comprennent trois grandes catégories de données : les données d’identité (nom, prénom, numéro de téléphone…), les données relatives au trafic (« les fadettes » – logs de connexion, historique de connexion, destinataires des messages…) et les données de localisation (suite au bornage d’un appareil, adresse IP…)
[2] Article L.34-1 II du Code des postes et communications électroniques
[3] Article L.34-1 II bis et III du Code des postes et communications électroniques et article R.10-13 IV et V du Code des postes et communications électroniques
[4] Article 2 de la Déclaration des droits de l’homme et du citoyen de 1789 (bloc de constitutionnalité)
[5] Le Conseil d’État estime que le contrôle préalable par une autorité indépendante prévu par le cadre juridique français n’est pas suffisant, puisque l’avis rendu par la commission nationale de contrôle des techniques de renseignement (CNCTR) avant toute autorisation n’est pas contraignant, bien qu’un avis défavorable de la CNCTR n’ait jamais été écarté. La loi n°2021-998 du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement a donc prévu, après avis de la CNIL (délibération CNIL n°2021-040 du 8 avril 2021 portant avis sur un projet de loi relatif à la prévention d’actes de terrorisme et au renseignement), un contrôle préalable de la Commission nationale de contrôle des techniques de renseignement (CNCTR) pour l’ensemble des techniques de renseignement sur le territoire national est renforcé. Un caractère contraignant est donné à ses avis et une exception est prévue en cas d’urgence.