Conservation des métadonnées en France : durée similaire et objectif précisé par le décret du 17 octobre 2022

Ce décret paru un mois après l’arrêt Space Net et Deutsche Telekom (CJUE 20 sept. 2022, aff. jtes C-793/19 et C-794/19, Dalloz actualité, 12 oct. 2022, obs. C. Saillant ; Bundesrepublik Deutschland c/ SpaceNet AG et Telekom Deutschland GmbH, AJDA 2022. 1757 ; D. 2022. 1662 ; Dalloz IP/IT 2022. 474, obs. E. Rançon ; Légipresse 2022. 525 et les obs. ) prend acte des exceptions entendues par la Cour de justice de l’Union européenne (CJUE) : si les limitations de conservation portant sur la durée ou l’étendue géographique des métadonnées sont insuffisantes et ne permettent pas une protection effective du droit à la vie privée, une exception est tolérée pour la sécurité nationale.

La durée de conservation des métadonnées portée à un an aux fins de sauvegarde de la sécurité nationale

Le décret de la Première ministre, entré en vigueur le 21 octobre, porte la durée de conservation des données de trafic et de localisation à un an lorsque la sauvegarde de la sécurité nationale est en jeu. Les données de connexion, et en particulier leur conservation, font débat depuis 2014 entre la CJUE et les États membres. La ligne jurisprudentielle de la CJUE est claire : la conservation généralisée et indifférenciée des données de localisation est proscrite. En cause, l’atteinte disproportionnée au droit à la vie privée des usagers puisque de telles données permettent une reconstitution précise des habitudes de vie des personnes concernées. En revanche, la CJUE donne quelques exceptions à cette interdiction, notamment aux fins de sauvegarde de la sécurité nationale, à condition que la menace soit (i) réelle et actuelle, (ii) justifiée par des circonstances concrètes et (iii) démontrer un caractère suffisamment grave et spécifique au point qu’il se distingue d’un risque général et permanent (C. Saillant, La CJUE et la conservation de masse des métadonnées, Dalloz actualité, 12 oct. 2022). La Cour de Luxembourg insiste néanmoins sur le fait que cette exception ne s’applique qu’à la sécurité nationale et en aucun cas à la criminalité grave, distinction précisée à l’occasion de la question préjudicielle.

Le gouvernement en prend note et définit un objectif précis justifiant l’injonction faite aux opérateurs : « aux fins de la sauvegarde de la sécurité nationale, il est enjoint aux opérateurs de communications électroniques […] de conserver, pour une durée d’un an, les données de trafic et de localisation ». L’obligation en tant que telle n’est pas nouvelle, l’article 6 du décret n° 2021-1362 du 20 octobre 2021 relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, prévoyait également une durée de conservation d’un an ; en revanche, l’objectif de cette conservation est clairement indiqué. La sauvegarde de la sécurité nationale est la seule exception qui permet une conservation généralisée et indifférenciée des métadonnées à condition que...