Accueil
Le quotidien du droit en ligne
-A+A
Article

Collecte des données personnelles de connexion : censure du Conseil constitutionnel

Le Conseil constitutionnel a censuré une partie des dispositions obligations de conservation généralisée et indifférenciées de données de connexion des opérateurs et hébergeurs. Une décision forte qui s’inscrit dans le droit fil européen, mais qui reste de principe et aux effets limités.

Saisi le 10 décembre 2021 par la chambre criminelle de la Cour de cassation d’une question prioritaire de constitutionnalité, le Conseil constitutionnel a rendu le 25 février 2022 (n° 2021-976/977 QPC) une décision notable concernant la collecte et le traitement des données à caractère personnel en matière de communications électroniques, en déclarant une partie des dispositions de l’article L. 34-1 du code des postes et communications électroniques (dans sa version antérieure à la loi n° 2021-998 du 31 juill. 2021) contraires à la Constitution.

L’ancien article L. 34-1 du code des postes et des communications électroniques (« CPCE ») permettait en effet une conservation généralisée et indifférenciée pendant un an de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique.

En outre, l’autorité judiciaire ainsi que les services de police pouvait requérir communication de l’ensemble de ces informations, sans qu’il ne soit précisé de conditions, en particulier concernant l’auteur ou l’infraction suspectée dans l’hypothèse de la lutte contre la délinquance et sans autorisation préalable d’un magistrat.

Aux termes de leur décision, les Sages ont censuré une partie de l’obligation de conservation généralisée et indifférenciée des données de connexion pendant un an résultant de l’ancien article L. 34-1 du CPCE.

Une avancée heureuse, quoique très tardive au regard des directives et de la jurisprudence européenne, et dont l’impact sera quasi nul sur les procédures pénales en cours.

Le Conseil constitutionnel a en effet d’une part censuré l’article L. 34-1 du CPCE dans sa version antérieure au 31 juillet 2021 et a d’autre part entendu en limiter les effets en raison des conséquences manifestement excessives sur les procédures en cours.

Une décision uniquement de principe donc, mais qui rappelle à l’évidence l’enjeu démocratique majeur de protection de la vie privée à l’ère du renseignement de masse et de la cybersurveillance.

Le cadre européen de préservation de la vie privée numérique

Longtemps la France a résisté aux injonctions européennes en matière de préservation de la vie privée numérique et des données personnelles, dont le principe est consacré aux articles 7 et 8 de la Charte des droits fondamentaux de la l’Union européenne, en raison principalement de considérations relatives à la sécurité intérieure.

Dès 2022, la directive européenne « Vie privée et communications électroniques » (dir. 2002/58/CE du Parlement européen et du Conseil du 12 juill. 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques), transposée en France en 2004, a posé le principe de l’interdiction de conservation des données de communication et géolocalisation téléphoniques et la protection des données à caractère personnel dans le domaine des télécommunications.

Par dérogation, l’article 15 de ladite directive permettait néanmoins aux États de déroger à leur obligation de protection des données personnelles, « lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive 95/46/CE. »

Si les États membres peuvent adopter des mesures législatives visant à limiter la portée de ces droits et principes, notamment en prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés – parmi lesquels la recherche, la détection et la poursuite d’infractions pénales –, c’est à la condition qu’elles soient appropriées, rigoureusement proportionnées au but poursuivi et nécessaires dans une société démocratique. Elles doivent également être subordonnées à des garanties appropriées, dans le respect de la Convention européenne de sauvegarde des droits de l’homme.

La jurisprudence européenne

L’exception étant devenue la règle dans la majorité des États européens, la Cour de justice de l’Union européenne a été amenée, dans deux arrêts (CJUE 21 déc. 2016, Tele2 Sverige AB, aff. C‑203/15, AJDA 2016. 2466 ; ibid. 2017. 1106, chron. E. Broussy, H. Cassagnabère, C. Gänser et P. Bonneville ; D. 2017. 8 ; ibid. 2018. 1033, obs. B. Fauvarque-Cosson et W. Maxwell ; Dalloz IP/IT 2017. 230, obs. D....

Il vous reste 75% à lire.

Vous êtes abonné(e) ou disposez de codes d'accès :