Conseil d’Etat : la conservation généralisée des données justifiée par la menace existante pour la sécurité nationale
Plusieurs associations ainsi qu’un opérateur de télécoms ont saisi le Conseil d’État pour qu’il examine la conformité des règles françaises de conservation des données de connexion au droit européen.
En droit français, les opérateurs de télécommunication sont tenus de conserver, pendant un an, les données de connexion de leurs utilisateurs à des fins de lutte contre la criminalité et le terrorisme.
Ces données incluent :
- Les données d’identité, qui permettent d’identifier l’utilisateur d’un moyen de communication électronique, telles que les nom et prénom liés à un numéro de téléphone ;
- Les données relatives au trafic, retraçant les dates, heures et destinataires des communications électroniques ou la liste des sites internet consultés ;
- Les données de localisation.
Dans une série d’arrêts rendus le 6 octobre 2020, la CJUE a dégagé trois limites à la possibilité d’imposer aux opérateurs la conservation de données de connexion[1].
A la suite des précisions apportées par la CJUE, le Conseil d’Etat devait examiner la conformité du droit français au droit européen.
Il se prononce d’abord sur le cadre juridique du litige et sur la hiérarchie des normes et rappelle que la Constitution française demeure la norme suprême du droit national.
Il relève ensuite que la conservation généralisée imposée aux opérateurs de télécommunication par le droit français est justifiée par une menace pour la sécurité nationale. Il impose toutefois au gouvernement de procéder, sous le contrôle du juge administratif, à un réexamen périodique de l’existence d’une telle menace.
En revanche, il juge illégale l’obligation de conservation généralisée des données (hormis les données peu sensibles, comme l’état civil, l’adresse IP et les comptes et paiement) pour les besoins autres que ceux de la sécurité nationale, notamment la poursuite des infractions pénales.
Concernant enfin l’exploitation des données conservées pour les besoins du renseignement, le Conseil d’État constate que le contrôle préalable par une autorité indépendante prévu par le cadre juridique français n’est pas suffisant. En effet, l’avis rendu par la Commission nationale de contrôle des techniques de renseignement (ci-après « CNCTR ») avant toute autorisation n’est pas contraignant.
Le Conseil d’État ordonne au Premier ministre de modifier le cadre réglementaire pour respecter ces exigences, dans un délai de six mois.
Le Cabinet UGGC Avocats et son équipe spécialisée en droit des données personnelles se tiennent à votre disposition pour toute question que vous pourriez avoir à ce sujet.
Par l’équipe IP/IT du Cabinet UGGC Avocats
Source : Conseil d’Etat
[1] CJUE, 6 octobre 2020, aff. C-623/17, C-511/18, C-512/18