France : la conservation généralisée des données est anticonstitutionnelle
Le Conseil constitutionnel a déclaré anticonstitutionnelle une décision antérieure concernant la conservation généralisée des données. Les membres du Conseil constitutionnel voient dans la conservation généralisée et indifférenciée des données de connexion une « atteinte disproportionnée à la vie privée ». Le jugement se réfère à une décision qui avait déjà été rendue caduque par la nouvelle loi contre le terrorisme votée en juillet 2021. L’association de défense des droits civils La Quadrature du Net a qualifié cette décision de bonne nouvelle. Elle ne mènera cependant pas directement à ce que la pratique soit modifiée.
À travers cette loi, les opérateurs de télécoms pouvaient être contraints à conserver les données de trafic pendant un an pour les besoins du renseignement et des enquêtes pénales. Plusieurs fédérations et associations avaient déposé un recours à ce sujet, dont le fournisseur d’accès à but non lucratif Franciliens.net et l’association La Quadrature du Net.
Le Conseil constitutionnel a constaté que les dispositions contestées n’engendraient pas uniquement une conservation des données de connexion. L’emplacement des appareils de communication, les caractéristiques techniques, la date, l’heure et la durée d’une communication seraient également enregistrés. Selon le Conseil constitutionnel, de telles données enregistrées fournissent de nombreuses informations précises sur les utilisateurs eux-mêmes et, le cas échéant, sur des tiers. Il s’agit d’une atteinte particulièrement forte à la vie privée. Le droit à la liberté, inscrit dans la Déclaration des droits de l’homme et du citoyen de 1789, comprend également le droit au respect de la vie privée.
La CJUE avait déclaré que la conservation des données était illégale
En octobre 2020, la Cour de justice européenne (CJUE) avait rejeté la conservation généralisée des données en France : le stockage généralisé des données de connexion Internet et téléphoniques n’est pas autorisé, avait-elle statué. Des exceptions étaient toutefois possibles, par exemple en cas de menaces pour la sécurité nationale.
En avril 2021, la Conseil d’État s’était attelé à la question de la conservation généralisée des données. Les juges avaient également statué que cette dernière était illégale tout en s’appuyant sur les exceptions énoncées par la CJUE. Ils avaient déclaré qu’en raison de la menace pour la sécurité nationale, elle était actuellement justifiée. Le Conseil d’État avait obligé le gouvernement à réévaluer régulièrement le niveau de menace.
Comme l’a rapporté le journal Le Monde vendredi dernier, un conflit de jurisprudence pourrait désormais résulter de ces deux décisions. Dans ce cas, la Cour de cassation, qui examine d’éventuelles erreurs juridiques dans les jugements, devrait alors trancher.
Pas d’impact sur la nouvelle loi
L’association La Quadrature du Net a salué le fait que cette décision jette les bases de la protection de la vie privée. Le Conseil constitutionnel a d’après elle pris un autre chemin que le Conseil d’État. C’est selon elle une bonne nouvelle, mais la décision arriverait trop tard. En effet, grâce à la modification de la loi, la conservation des données reste possible : en cas de menace pour la sécurité nationale, le Premier ministre peut ordonner par décret aux fournisseurs de télécommunication de conserver les données de trafic et de localisation pendant un an. Le décret correspondant a été signé en octobre 2021. Selon l’association, l’arrêt du Conseil constitutionnel ne signifie pas que la nouvelle réglementation sera également jugée inconstitutionnelle ; elle est plus complexe et suit l’interprétation du Conseil d’État.
En outre, La Quadrature du Net a critiqué le fait que le Conseil constitutionnel ne se soit penché dans son jugement que sur les poursuites pénales. Cela signifie que la conservation des données à des fins de renseignement n’est pas concernée par la décision.
Le contentieux sur la conservation des données
La conservation des données fait l’objet d’une controverse depuis des années : les autorités et les personnalités politiques chargées de la sécurité affirment qu’elle est un instrument central dans la lutte contre le crime organisé et le terrorisme. Les défenseurs des droits des citoyens et des consommateurs y voient en revanche une atteinte inadmissible aux droits fondamentaux. En effet, les entreprises devraient enregistrer en masse les données de connexion de leurs clients, sans qu’il n’y ait de soupçon de délit à leur encontre. Cela recèle un grand potentiel d’abus.
La CJUE avait précédemment interdit plusieurs fois la conservation généralisée des données, notamment dans des cas concernant l’Estonie, le Royaume-Uni ou la Belgique. Suite à cela, la Cour constitutionnelle belge avait également mis un terme à la conservation des données en avril 2021.
Au Danemark, en 2019, la conservation des données avait mené à l’un des plus gros scandales judiciaires du pays (en allemand). Des données de connexion et de mouvement mal évaluées avaient été citées comme preuve dans des milliers de procès pendant plusieurs années.
En Allemagne, la conservation des données est suspendue depuis 2017. Actuellement, la CJUE examine si les dispositions allemandes sont compatibles avec le droit de l’Union. En novembre, l’avocat général de la CJUE avait dans son avis final (en allemand) également déclaré que la conservation générale et indifférenciée des données ne serait toujours autorisée qu’en cas de menace grave pour la sécurité nationale. La CJUE doit encore se prononcer sur cette affaire. Les conclusions des avocats généraux de la CJUE sont des propositions de décision qui ne contraignent pas les juges. Toutefois, il arrive fréquemment qu’ils s’en inspirent. (js)