Conservation de données à des fins de sécurité nationale et de lutte contre la criminalité : la CJUE rend ses arrêts

Le 6 octobre 2020, la Cour de justice de l’Union européenne (CJUE) s’est prononcée sur la question délicate de l’équilibre entre protection des droits et libertés fondamentaux, et accès à certaines données par les autorités compétentes à des fins de sécurité nationale et de lutte contre la criminalité. Sa décision, faisant suite à l’affaire Tele2, est particulièrement intéressante puisqu’elle concerne entre autres le droit français (v. CJUE 21 déc. 2016, Tele2, aff. jtes C-203/15 et C-698/15, Dalloz actualité, 2 janv. 2017, obs. M.-C. de Montecler ; AJDA 2016. 2466 ; ibid. 2017. 1106, chron. E. Broussy, H. Cassagnabère, C. Gänser et P. Bonneville ; D. 2017. 8 ; ibid. 2018. 1033, obs. B. Fauvarque-Cosson et W. Maxwell ; Dalloz IP/IT 2017. 230, obs. D. Forest ; JAC 2017, n° 43, p. 13, obs. E. Scaramozzino ; RTD eur. 2017. 884, obs. M. Benlolo-Carabot ; ibid. 2018. 461, obs. F. Benoît-Rohmer ; Rev. UE 2017. 178, étude F.-X. Bréchot ).

Les données en cause ne sont pas les données relatives au contenu des communications (le contenu d’un courriel, par exemple). Sont en effet concernées les données de tout utilisateur, issues de l’ensemble des moyens de communication, relatives au trafic – parfois grossièrement appelées métadonnées – et les données de localisation. La Cour précise que ce sont, « en particulier, celles qui sont nécessaires pour retrouver la source d’une communication et la destination de celle-ci, déterminer la date, l’heure, la durée et le type de la communication, identifier le matériel de communication utilisé ainsi que localiser les équipements terminaux et les communications, données au nombre desquelles figurent, notamment, le nom et l’adresse de l’utilisateur, les numéros de téléphone de l’appelant et de l’appelé ainsi que l’adresse IP pour les services internet » (pt 82).

Le droit français prévoit tout un arsenal précis qui impose aux fournisseurs de services de communications électroniques de conserver les données relatives au trafic et les données de localisation. Ces données peuvent être consultées le cas échéant par certaines autorités nationales. Les services spécialisés de renseignement sont évidemment concernés mais la réglementation prévoit d’autres hypothèses bien plus larges, comme l’accès de certaines données par les autorités dans le cadre d’une information judiciaire. Plus spécifiquement, la CJUE s’est interrogée sur les obligations pesant sur les fournisseurs de services de communications électroniques (CPCE, art. L. 34-1, R. 10-3, R. 10-14) ainsi que sur les fournisseurs d’accès à internet et les hébergeurs (L. n° 2004-575, 21 juin 2004, art. 6-II ; décr. n° 2011-219, 25 févr. 2011, art. 1^er), et les techniques de recueil de renseignements soumises à autorisation (spéc. CSI, art. L. 811-3, L. 811-4, L. 821-1, al. 1^er, L.  821-2 à L. 821-4, L. 833-4 et L. 841-1, L. 851-1 à L. 851-7).

Même si le droit français encadre strictement les conditions de conservation des données par les fournisseurs de services de communications électroniques, les conditions d’accès à ces données par les autorités compétentes ainsi que leurs modalités de contrôle, le Conseil d’État, saisi par quatre associations (La Quadrature du Net, French Data Network, Fédération des fournisseurs d’accès à internet associatifs, Igwan.net), s’est interrogé sur la comptabilité de ce régime avec la directive 2002/58/CE du 12 juillet 2002, dite « vie privée et communication électronique » ou « ePrivacy », lue à la lumière de la Charte de l’Union européenne, et a saisi la CJUE d’une question préjudicielle. La Cour constitutionnelle belge ayant saisi la CJUE sur les mêmes interrogations, les affaires ont été jointes (aff. C-511/18, C-512/18 et C-520/18). Parallèlement, la CJUE a été saisie par le tribunal chargé des pouvoirs d’enquêtes au Royaume-Uni (Investigatory Powers Tribunal) d’une question similaire mais portant cette fois-ci sur l’obligation imposée aux fournisseurs de services de communications électroniques de transmettre aux services de sécurité et de renseignement des données relatives au trafic et des données de localisation (aff. C-623/17). Contrairement au droit français qui prévoit la simple conservation, le droit anglais impose la transmission totale des données aux autorités. C’est la raison pour laquelle cette seconde affaire ne sera que brièvement évoquée pour se concentrer sur les enjeux de droit français.

Afin de répondre à ces questions, la CJUE procède à un contrôle de proportionnalité minutieux entre l’atteinte au droit des personnes et l’objectif d’intérêt public recherché. À grands traits, plus l’objectif d’intérêt public est grave, plus l’ingérence dans la vie privée des personnes pourra être grave. Chaque traitement imposé par la loi est ainsi examiné par rapport à chaque objectif poursuivi. Ces différents traitements sont résumés dans le tableau en fin d’article.

Avant d’examiner chaque traitement, la teneur du contrôle de proportionnalité sera présentée.

Le contrôle de proportionnalité effectué par la Cour

La Cour examine la réglementation française à l’aune de la directive « ePrivacy » 2002/58/CE du 12 juillet 2002 lue à la lumière de la Charte de l’Union européenne, qui est applicable aux réglementations objets de la question préjudicielle (pt 104). Avant toute analyse de fond, la Cour procède à une interprétation en fonction du contexte et des objectifs poursuivis par la directive « ePrivacy », dont la finalité est la mise en œuvre effective du respect de la vie privée et familiale et de la protection des données à caractère personnel consacrés par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union. Cette mise en œuvre effective des droits passe par la régulation du traitement et du stockage des données relatives au trafic par les fournisseurs de services de communications électroniques. Ainsi, en adoptant la directive « ePrivacy », le législateur « a concrétisé [ces droits] de telle sorte que les utilisateurs des moyens de communications électroniques sont en droit de s’attendre, en principe, à ce que leurs communications et les données y afférentes restent, en l’absence de leur consentement, anonymes et ne puissent pas faire l’objet d’un enregistrement » (pt 109).

C’est plus précisément l’article 15, paragraphe 1, de la directive « ePrivacy » qui intéresse la Cour. Il permet de limiter la portée des droits prévue par la directive, à condition que la mesure de limitation soit « nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques ». La CJUE précise que cette disposition autorise des limitations, mais ne permet pas que « la dérogation à l’obligation de principe de garantir la confidentialité des communications électroniques et des données y afférentes et, en particulier, à l’interdiction de stocker des données […], devienne la règle » (pt 111). Dès lors, la limitation autorisée par l’article 15, paragraphe 1, de la directive reste une exception qui doit, d’une part, être interprétée strictement et, d’autre part, respecter le principe de proportionnalité (pts 112-113). Vu la nature intrusive des données relatives au trafic et à la localisation, leur seule conservation, qu’importe leur utilisation effective ou non, porte atteinte non seulement aux articles 7 et 8 de la Charte mais aussi à son article 11 relatif à la liberté d’expression (pts 114-119). Toutefois, ces droits ne sont pas absolus et « doivent être pris en considération par rapport à leur fonction dans la société » (pt 119). Ils doivent, en conséquence, être conciliés avec le droit à la sûreté (pts 120-128).

Afin de respecter l’exigence de proportionnalité, la réglementation d’un État membre doit prévoir, en tout état de cause et sans préjudice de la gravité de l’ingérence, les garanties suivantes : « des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant des exigences minimales, de telle sorte que les personnes dont les données à caractère personnel sont concernées disposent de garanties suffisantes permettant de protéger efficacement ces données contre les risques d’abus. Cette réglementation doit être légalement contraignante en droit interne et, en particulier, indiquer en quelles circonstances et sous quelles conditions une mesure prévoyant le traitement de telles données peut être prise, garantissant ainsi que l’ingérence soit limitée au strict nécessaire. La nécessité de disposer de telles garanties est d’autant plus importante lorsque les données à caractère personnel sont soumises à un traitement automatisé, notamment lorsqu’il existe un risque important d’accès illicite à ces données. Ces considérations valent en particulier lorsqu’est en jeu la protection de cette catégorie particulière de données à caractère personnel que sont les données sensibles » (pt 132).

Il convient de préciser que ces garanties sont effectivement prévues en droit français. Il incombera au Conseil d’État d’examiner minutieusement si elles sont suffisantes face au standard de proportionnalité européen.

Sur la conservation préventive des données relatives au trafic et à la localisation aux fins de la sauvegarde de la sécurité nationale (pts 134-139)

C’est la première fois que la CJUE examine « l’objectif de sécurité nationale » au regard de la directive « ePrivacy » (pt 134) ; objectif qui relève de la compétence exclusive des États membres (TUE, art. 4, § 2 ; pt 135). À cet égard, la CJUE juge que cet objectif est bien plus important que ceux listés par l’article 15, paragraphe 1, et peut justifier des ingérences plus graves dans les droits et libertés fondamentaux des personnes (pt 136). C’est pourquoi l’article 15, paragraphe 1, ne s’oppose pas à une mesure, prise sur cet objectif, qui autorise les autorités compétentes à enjoindre aux fournisseurs de services de communications électroniques de procéder à la conservation des données relatives au trafic et des données de localisation de l’ensemble des utilisateurs des moyens de communications électroniques. En effet, il existe pour la Cour un rapport évident entre la conservation des données « de manière indifférenciée » et la prévention de la menace grave pour la sécurité nationale (pt 137).

Cependant, cette mesure doit être ordonnée pendant une « période limitée » et « dès lors qu’il existe des circonstances suffisamment concrètes permettant de considérer que l’État membre concerné fait face à une menace grave […] pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible » (pt 137). Autrement dit, la mesure doit être « temporellement limitée au strict nécessaire » dans un « laps de temps prévisible » et « limité[e] aux situations dans lesquelles il existe une menace grave pour la sécurité nationale » (pts 138-139). La mesure doit également « faire l’objet d’un contrôle effectif soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, visant à vérifier l’existence d’une de ces situations ainsi que le respect des conditions et des garanties devant être prévues » (pt 139).

Contrairement à l’affaire anglaise C-623/17 rendue le même jour, la conservation des données « à la française » est donc par principe autorisée pourvu qu’elle soit proportionnée à l’objectif de la sauvegarde de la sécurité nationale et qu’elle prévoit des garanties suffisantes. En effet, le droit anglais impose la transmission généralisée et indifférenciée des données relatives au trafic et des données de localisation aux services de sécurité et de renseignement aux fins de la sauvegarde de la sécurité nationale, ce qui est, en toutes hypothèses, contraire au droit de l’Union.

Sur la conservation préventive des données relatives au trafic et des données de localisation aux fins de la lutte contre la criminalité et de la sauvegarde de la sécurité publique (pts 140-151)

L’objectif poursuivi est en ce cas moindre, avec un traitement identique. La Cour rappelle que, si un État se fonde sur l’objectif de prévention, de recherche, de détection et de poursuite d’infractions pénales, « seules la lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique sont de nature à justifier des ingérences graves dans les droits fondamentaux […], telles que celles qu’implique la conservation des données relatives au trafic et des données de localisation » (pt 140). Or une telle conservation généralisée et indifférenciée « excède les limites du strict nécessaire ». Elle n’est pas justifiée dans la mesure où elle vise la totalité des individus, ce même pour le seul objectif, quoiqu’important, de lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique (pts 141-143 ; v. déjà CJUE 21 déc. 2016, Tele2, aff. jtes C-203/15 et C-698/15, préc.).

Toutefois, respecte le principe de proportionnalité une mesure prévoyant, « à titre préventif, une conservation ciblée des données relatives au trafic et des données de localisation », si elle est limitée au strict nécessaire « en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue » (pt 147). La Cour donne l’exemple d’une limite aux personnes qui ont été « préalablement identifiées, dans le cadre des procédures nationales applicables et sur la base d’éléments objectifs, comme présentant une menace pour la sécurité publique ou la sécurité nationale de l’État membre concerné » (pt 149), ou une délimitation fondée sur un critère géographique « lorsque les autorités nationales compétentes considèrent, sur la base d’éléments objectifs et non discriminatoires, qu’il existe, dans une ou plusieurs zones géographiques, une situation caractérisée par un risque élevé de préparation ou de commission d’actes de criminalité grave » (pt 150).

Sur la conservation préventive des adresses IP et des données relatives à l’identité civile aux fins de la lutte contre la criminalité et de la sauvegarde de la sécurité publique (pts 152-159)

Contrairement aux données relatives au trafic ou aux données de localisation, la Cour estime proportionnée une règle prévoyant la conservation par les fournisseurs de services de communications électroniques de données relatives à l’identité civile de l’ensemble de ses utilisateurs aux fins de la prévention, de la recherche, de la détection et de la poursuite d’infractions pénales ainsi que de la sauvegarde de la sécurité publique (pts 157-159). La gravité de l’infraction ou de la menace est une condition indifférente. En effet, la seule connaissance de l’identité des utilisateurs ne constitue pas une ingérence grave dans leurs droits.

En revanche, les adresses IP dévoilent un certain nombre d’informations déduites du parcours de navigation d’un internaute. Ainsi, leur conservation constitue une ingérence grave dans les droits de l’utilisateur (pt 153). Vu cette gravité, et compte tenu du principe de proportionnalité, seule leur conservation dans un objectif de lutte contre la criminalité grave ou de prévention des menaces graves contre la sécurité publique, à l’instar de la sauvegarde de la sécurité nationale, est de nature à justifier une telle ingérence dans les droits et libertés de l’utilisateur (pts 154-156) avec les garanties habituellement imposées comme la limitation dans le temps et au strict nécessaire.

Sur la conservation rapide des données relatives au trafic et des données de localisation aux fins de la lutte contre la criminalité grave (pts 160-168)

Il est des situations où il est nécessaire de conserver les données relatives au trafic et les données de localisation au-delà du délai prévu aux fins de l’élucidation d’infractions pénales ou d’atteintes à la sécurité nationale. Ces cas se présentent soit dans la situation où ces infractions ou ces atteintes ont déjà pu être constatées, soit dans celle où leur existence peut, au terme d’un examen objectif de l’ensemble des circonstances pertinentes, être raisonnablement soupçonnée (pt 161). Il est alors possible de prévoir une réglementation permettant d’enjoindre aux fournisseurs de services de communications électroniques de conserver ces données (pt 163). Puisque cette conservation constitue une ingérence grave aux droits des personnes, elle ne doit répondre qu’à l’objectif de lutte contre la criminalité grave et, a fortiori, de sauvegarde de la sécurité nationale (pt 164). La mesure doit être limitée dans le temps au strict nécessaire, bien qu’elle puisse être prolongée si l’objectif poursuivi le justifie (ibid.). Concernant les personnes dont les données font l’objet de la mesure de prorogation de conservation, il est possible de viser d’autres personnes que les celles concrètement soupçonnées, son entourage par exemple (pt 165).

Sur l’analyse automatisée des données relatives au trafic et des données de localisation aux fins de prévention du terrorisme (pts 172-182)

Les articles L. 851-1 à L. 851-8 du code de la sécurité intérieure (CSI), précisés par les articles R. 851-1 à R. 851-10, encadrent les accès administratifs aux données listées à l’article R. 851-5 détenues notamment par les fournisseurs de services communications électroniques, en vue de la prévention du terrorisme. À titre liminaire, la Cour précise que les données en cause sont des données à caractère personnel puisqu’elles sont susceptibles de permettre d’identifier une personne (pt 171). De fait, les personnes qui font l’objet des mesures précédemment décrites doivent en être informées afin d’exercer dûment leurs droits si « cette communication n’est pas susceptible de compromettre les missions qui incombent à ces autorités » (pts 190-191).

L’article L. 851-3 du CSI permet, aux seules fins de prévention du terrorisme, d’imposer un traitement automatisé des données relatives au trafic et des données de connexions. Ce traitement automatisé consiste à filtrer la totalité des données afin de mettre en valeur les données ayant le paramètre recherché et d’identifier le cas échéant la personne. Selon la CJUE, une telle technique revient, pour les fournisseurs de services de communication électronique, à effectuer un traitement généralisé et indifférencié, indépendamment « du recueil subséquent des données afférentes aux personnes identifiées à la suite de l’analyse automatisée » (pt 172). Le seul traitement automatisé de toutes les données constitue donc une ingérence grave dans les droits fondamentaux des personnes qui doit respecter les exigences de proportionnalité. Il doit ainsi être encadré par une loi (pt 175) qui prévoit les mêmes garanties que celles qui ont été énoncées pour la conservation des données (pt 132), spécifiquement les conditions matérielles et procédurales (pt 176).

La Cour précise que la mise en œuvre d’une telle mesure ne peut se faire « face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, et à la condition que la durée de cette conservation soit limitée au strict nécessaire » (pt 177 ; v. égal. pt 178).

La décision autorisant l’analyse automatisée doit également pouvoir « faire l’objet d’un contrôle effectif soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, visant à vérifier l’existence d’une situation justifiant ladite mesure ainsi que le respect des conditions et des garanties devant être prévues » (pt 179).

S’agissant de l’algorithme, celui-ci doit posséder des modèles et des critères spécifiques et fiables, qui ne se fondent pas exclusivement sur des données sensibles (pts 180-181). Un réexamen régulier de cette fiabilité doit être effectué (pt 182).

L’analyse automatisée doit, enfin, être réexaminée par une personne avant l’adoption de toute mesure individuelle produisant des effets préjudiciables à l’égard des personnes concernées, ce notamment afin d’éviter les faux positifs (ibid.).

Sur le recueil en temps réel des données relatives au trafic et des données de localisation aux fins de prévention du terrorisme (pts 183-189)

Tout comme les données précédentes, les données en cause sont des données à caractère personnel (pt 171) et les personnes doivent être informées du traitement dans les cas où l’information ne compromet pas l’objectif poursuivi (pts 190-191). Le recueil en temps réel des données relatives au trafic et des données de localisation est régi par l’article L. 851-2 du code de la sécurité intérieure. Il permet de surveiller individuellement une personne, ainsi que son entourage le cas échéant, pour les seuls besoins de la prévention du terrorisme. À l’instar de la conservation des données étudiée précédemment, il s’agit d’une ingérence grave dans les droits fondamentaux de la personne (pts 184-187). Vu l’objectif de prévention du terrorisme, la Cour estime proportionnée la mesure vis-à-vis des personnes pour lesquelles il existe une raison valable de soupçonner qu’elles sont impliquées d’une manière ou d’une autre dans des activités de terrorisme (pt 188). Pour les autres, en revanche, la mesure n’apparaît pas proportionnée en ce qu’elles peuvent être consultées en différé (pt 188).

La décision d’autoriser le recueil des données en temps réel, précise la Cour, doit être fondée sur des critères objectifs et non discriminatoires prévus dans la législation nationale qui doit déterminer les conditions d’autorisation et les personnes qui peuvent être visées (pt 189). La mise en œuvre de la décision d’autorisation doit être soumise à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant (ibid.).

Sur la conservation généralisée et indifférenciée de données par les fournisseurs d’accès à des services de communication au public en ligne et aux fournisseurs de services d’hébergement (pts 193-212)

Cette situation s’avère plus particulière que la précédente puisqu’elle est régie par la loi n° 2004-575 du 21 juin 2004, dite LCEN, portant sur les obligations qui pèsent sur les fournisseurs d’accès à internet et les hébergeurs. L’article 6-II de la LCEN prévoit ainsi que ces prestataires « détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires » afin, le cas échéant, d’identifier une personne à l’origine d’un contenu illicite. Les modalités d’application de cette disposition sont précisées par le décret n° 2011-219 du 25 février 2011. Il est également prévu à l’article L. 851-1 du CSI que le recueil de ces informations peut être autorisé dans le cadre du renseignement.

Selon la CJUE, la directive 2000/31/CE du 8 juin 2000 sur le commerce électronique est inapplicable au litige lié à la protection de la confidentialité des communications et des données à caractère personnel (pts 197-199), qui doit être apprécié à l’aune de la directive « ePrivacy » 2002/58/CE et le cas échéant du règlement (UE) 2016/679 du 27 avril 2016, dit RGPD (pts 200-201). En effet et à tout le moins, la directive « ePrivacy » s’applique aux services d’accès à internet et aux services de messagerie sur internet s’ils impliquent entièrement ou principalement la transmission de signaux sur des réseaux de communication électronique (pts 204-205). Le juge national devra toutefois vérifier que l’ensemble des services visés par la LCEN relèvent des services de communications électroniques (pt 203).

Sur le fond, si les données traitées sont soumises à la directive « ePrivacy », la CJUE renvoie à l’appréciation qui a été faite précédemment, à propos de la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation (pt 206).

Si en revanche le traitement en cause constitue un traitement de données à caractère personnel, le RGPD s’oppose à une réglementation prévoyant que les fournisseurs d’accès à internet et les hébergeurs doivent conserver de manière généralisée et indifférenciée les données (pts 207-212).

Sur les pouvoirs du juge national (pts 213-228)

Une dernière question se posait à la Cour, consistant à savoir si « une juridiction nationale peut faire application d’une disposition de son droit national qui l’habilite à limiter dans le temps les effets d’une déclaration d’illégalité lui incombant, en vertu de ce droit, à l’égard d’une législation nationale imposant aux fournisseurs de services de communications électroniques, en vue, entre autres, de la poursuite des objectifs de sauvegarde de la sécurité nationale et de lutte contre la criminalité, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, résultant de son caractère incompatible [avec le droit de l’Union] » (pt 213).

En vertu du principe de primauté (pt 214), la CJUE rappelle que le juge national est chargé d’assurer le plein effet du droit de l’Union, « en laissant au besoin inappliquée, de sa propre autorité, toute disposition contraire de la législation nationale, même postérieure, sans qu’il ait à demander ou à attendre l’élimination préalable de celle-ci par voie législative ou par tout autre procédé constitutionnel » (pt 215). En ce sens, expose la CJUE, le juge ne peut pas limiter dans le temps les effets d’une déclaration d’illégalité lui incombant à l’égard d’une législation nationale imposant aux fournisseurs de services de communications électroniques une conservation généralisée et indifférenciée des données (pts 216-220).

Le juge pénal doit dès lors écarter « des informations et des éléments de preuve qui ont été obtenus au moyen d’une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation incompatible avec le droit de l’Union, dans le cadre d’une procédure pénale ouverte à l’encontre de personnes soupçonnées d’actes de criminalité, si ces personnes ne sont pas en mesure de commenter efficacement ces informations et ces éléments de preuve, provenant d’un domaine échappant à la connaissance des juges et qui sont susceptibles d’influencer de manière prépondérante l’appréciation des faits » (pts 221-226).