Accueil
Le quotidien du droit en ligne
Envoyer à un ami-A+A
Article

Conservation des données : la guerre des juges n’aura pas lieu

Le Conseil d’État affirme la primauté de la Constitution sur le droit de l’Union européenne et l’existence d’une clause de sauvegarde lui permettant d’écarter le second pour faire primer la première. Sur la question de la conservation des données de connexion, il sauve l’essentiel du système français sans avoir recours à cette clause.

par Marie-Christine de Monteclerle 26 avril 2021

Le système français de conservation généralisée des données de connexion a tremblé sur ses bases, après l’arrêt de la Cour de justice de l’Union européenne (CJUE) La Quadrature du Net (CJUE 6 oct. 2020, aff. C-511/18, Dalloz actualité, 13 oct. 2020, obs. C. Crichton ; AJDA 2020. 1880 ; D. 2021. 406, et les obs. , note M. Lassalle ; ibid. 2020. 2262, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; AJ pénal 2020. 531 ; Dalloz IP/IT 2021. 46, obs. E. Daoud, I. Bello et O. Pecriaux ; Légipresse 2020. 671, étude W. Maxwell ; RTD eur. 2021. 175, obs. B. Bertrand ; ibid. 181, obs. B. Bertrand ). Mais la décision rendue par l’assemblée du Conseil d’État le 21 avril, par une habile interprétation de l’arrêt de la CJUE, en préserve l’essentiel.

Tout en évitant la guerre des juges qu’aurait été un contrôle ultra vires (v. encadré), la haute juridiction affirme avec une force inédite la primauté de la Constitution. Elle considère que, « tout en consacrant l’existence d’un ordre juridique de l’Union européenne intégré à l’ordre juridique interne, […] l’article 88-1 confirme la place de la Constitution au sommet de ce dernier. Il appartient au juge administratif, s’il y a lieu, de retenir de l’interprétation que la Cour de justice de l’Union européenne a donné des obligations résultant du droit de l’Union la lecture la plus conforme aux exigences constitutionnelles autres que celles qui découlent de l’article 88-1, dans la mesure où les énonciations des arrêts de la Cour le permettent. Dans le cas où l’application d’une directive ou d’un règlement européen, tel qu’interprété par la Cour de justice de l’Union européenne, aurait pour effet de priver de garanties effectives l’une de ces exigences constitutionnelles, qui ne bénéficierait pas, en droit de l’Union, d’une protection équivalente, le juge administratif, saisi d’un moyen en ce sens, doit l’écarter dans la stricte mesure où le respect de la Constitution l’exige ».

Objectifs à valeur constitutionnelle

En l’espèce, l’État invoquait la sauvegarde des intérêts fondamentaux de la nation, la prévention des atteintes à l’ordre public, notamment celle des atteintes à la sécurité des personnes et des biens, la lutte contre le terrorisme, ainsi que la recherche des auteurs d’infractions pénales. Ceux-ci « constituent des objectifs de valeur constitutionnelle, nécessaires à la sauvegarde de droits et de principes de même valeur, qui doivent être conciliés avec l’exercice des libertés constitutionnellement garanties, au nombre desquelles figurent la liberté individuelle, la liberté d’aller et venir et le respect de la vie privée ».

Pour autant, le Conseil d’État n’active pas la clause de sauvegarde. Il s’appuie sur l’infléchissement de la position de la Cour de justice qui, dans son arrêt La Quadrature du Net, a admis la conservation généralisée et indifférenciée des données de connexion autres que les adresses IP « aux seules fins de sauvegarde de la sécurité nationale lorsqu’un État est confronté à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, sur injonction d’une autorité publique, soumise à un contrôle effectif d’une juridiction ou d’une autorité administrative indépendante […], pour une période limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace ». Or la France est confrontée, depuis 2015, au terrorisme, mais aussi au risque d’espionnage et d’ingérence étrangère ainsi qu’à des menaces graves pour la paix publique. La conservation de ces données est donc justifiée. Il est seulement enjoint au gouvernement de modifier, dans les six mois, les dispositions réglementaires contestées pour prévoir le réexamen périodique de l’existence d’une menace réelle et actuelle ou prévisible. Il devra également en limiter les finalités à la sauvegarde de la sécurité nationale.

La conservation des adresses IP a été admise par la CJUE à des fins de lutte contre la criminalité grave ou de prévention des menaces graves contre la sécurité publique. Mais, estime le Conseil d’État, cela n’oblige pas le législateur à énumérer les infractions en cause. « Le rattachement d’une infraction pénale à la criminalité grave a donc vocation à s’apprécier de façon concrète, sous le contrôle du juge pénal, au regard de la nature de l’infraction commise et de l’ensemble des faits de l’espèce. Une obligation de conservation généralisée et indifférenciée des adresses IP peut ainsi être imposée aux opérateurs, dès lors que les conditions d’accès à ces données par les services d’enquête sont fixées en fonction de la gravité des infractions susceptibles de le justifier, dans le respect du principe de proportionnalité. »

La conservation ciblée est irréalisable

La CJUE a, par ailleurs, admis la possibilité d’une conservation ciblée des données de certaines personnes ou recueillies dans certaines zones géographiques à risque. Une hypothèse que le Conseil d’État écarte car techniquement à peu près irréalisable et d’un intérêt opérationnel incertain. En revanche, l’hypothèse d’une « conservation rapide » des données sur injonction de l’autorité judiciaire saisie d’une infraction suffisamment grave est, confirme l’arrêt, conforme au droit européen.

Était également contesté l’accès aux données de connexion des services de renseignement. Pour le Conseil d’État, ces services concourant à la sauvegarde des intérêts de la nation, cet accès est compatible avec la directive du 12 juillet 2002. Toutefois, la jurisprudence de la CJUE exige un contrôle préalable par une juridiction ou une autorité administrative indépendante. Tel n’est pas le cas de la réglementation française dans la mesure où l’avis de la Commission nationale de contrôle des techniques de renseignement n’est pas contraignant. Il est donc enjoint au Premier ministre de mettre en place un tel contrôle.

Pas de contrôle ultra vires

C’est une première depuis la signature du traité de Rome, avait fait observer le rapporteur public Alexandre Lallet. Le gouvernement, dans ses écritures, avait invité le Conseil d’État à juger que l’arrêt de la Cour de justice La Quadrature du Net ne respecte pas la répartition des compétences entre l’Union européenne et ses États membres. Ce contrôle ultra vires, illustré avec fracas en mai 2020 par la Cour constitutionnelle allemande, a été écarté par le Conseil d’État. En particulier, explique-t-on au Palais-Royal, parce que, « s’il y a un désaccord entre l’Union et ses États membres, ce n’est pas la guerre des juges qui permettra de le résoudre ». C’est aux politiques « de se mettre autour d’une table et de négocier un nouvel équilibre ». Équilibre qui, en matière de données, pourrait être trouvé dans le projet de règlement e-privacy.

 

Commentaires

Il s’agit moins d’une habile interprétation que d’un usage pervers de la hiérarchie des normes.
L’affirmation de la supériorité de la Constitution française – refusée en mains autres domaines fera t-on observer - est un pis aller pour répondre au refus de la CJUE, sourde aux objurgations françaises, de considérer que les questions liées à la sécurité nationale des Etats membres échapperaient au droit communautaire. Il fallait bien trouver une parade « nationale », puisqu’au plan communautaire il n’en existe aucune.

Il y a d’autre part un refus du Conseil d’Etat de considérer la notion d’acte grave utilisée par la CJUE et la CEDH pour qualifier la conservation généralisée des données de connexion. A la place le Conseil d’Etat s’accroche à la distinction – déjà artificielle du Conseil Constitutionnel – entre actes coercitifs et actes non coercitifs. La conservation et l’exploitation des données sont rangées parmi les premiers encore une fois grâce à une distinction inconnue du droit communautaire.
La seule concession faite à ce dernier est la distinction entre ce qui relève du renseignement, donc de la sécurité nationale, et des enquêtes de droit commun. Le renseignement échappe à toute restriction ce que la CJUE admettait mais avec une contrepartie que le droit français refuse, à savoir une restriction d’accès et de traitement des données en ce qui concerne aussi bien la criminalité organisée que la délinquance de droit commun.
Les modifications de texte ordonnées par le Conseil d’Etat sont minimes et de toutes façons le CE a déjà implicitement indiqué quelles modifications devront être apportées. Il y a là une autre violation du droit communautaire puisque le CE accorde un délai de 6 mois ce que la CJUE refuse au motif – parfaitement fondé – que ça fait des années que les autorités françaises violent le droit communautaire. Un délai de grâce ne s’impose pas.

Enfin au-delà de la décision du CE le sommet de l’indécence est atteint avec l’utilisation de la mort d’une policière pour annoncer un nouveau texte sur le renseignement examiné dès mercredi prochain au conseil des ministres. Il sera consacré aux algorythmes pour lâcher la bride aux services de renseignement en permanence au mépris absolu des restrictions exigées par la CJUE qui ne l’accepte que dans le cadre d’un état d’urgence dûment constaté.

Par cette décision le CE valide la surveillance de masse et – ironiquement – accomplit un Frexit numérique.

Réagissez à cet article

Le contenu de ce champ sera maintenu privé et ne sera pas affiché publiquement.