Le Conseil constitutionnel confirme l’interdiction de conservation généralisée des données de connexion

/ Blog

Le 25 février 2022, le Conseil Constitutionnel s’est positionné sur la conservation généralisée et indifférenciée des données de connexion dans le cadre d’une obligation passée, pour les fournisseurs d’accès Internet (FAI), de conserver de telles données afin de les fournir aux forces de l’ordre pour des finalités de prévention, recherche, constatation et poursuite d’infractions pénales. Selon lui, cette obligation, qui était déjà abrogée au moment de la décision, portait une « atteinte disproportionnée à la vie privée » des personnes concernées, et était donc contraire à la Constitution (en particulier, à l’article 2 de la DDHC).


Le 20 décembre 2021, le Conseil constitutionnel a été saisi par la Cour de cassation d’une question prioritaire de constitutionnalité (QPC) relative à l’ancienne rédaction de l’article L. 34-1 du code des postes et des communications électroniques. Selon cet article dans sa rédaction antérieure, résultant de la loi n° 2013-1168 du 18 décembre 2013, les FAI :

  1. « effacent ou rendent anonyme toute donnée relative au trafic, sous réserve des dispositions des subdivisions suivantes de l’article »
  2. sont tenus de conserver certaines catégories de données de connexion pendant 1 an pour des finalités de recherche, constatation et poursuite d’infractions pénales, dans le cadre des traitements mis en œuvre par les autorités judiciaires, qui peuvent demander la mise à disposition des données auprès des FAI.

Selon les requérants,  le fait d’ « imposer aux opérateurs de communications électroniques la conservation générale et indifférenciée des données de connexion, sans la réserver à la recherche des infractions les plus graves ni la subordonner à l’autorisation ou au contrôle d’une juridiction ou d’une autorité indépendante » alors même qu’il existe d’autres moyens d’investigation, ce qui aurait pour résultat de porter une atteinte disproportionnée à la vie privée des personnes concernées. Ces doléances ont été favorablement accueillies par le Conseil Constitutionnel.

Cette nouvelle décision s’inscrit dans un contexte jurisprudentiel extrêmement fourni, qui a débuté en 2014.

De quelles données parle-t-on exactement ?


Avant de plonger dans le cœur du sujet, afin de bien le comprendre, ils est essentiel de bien comprendre l’objet du débat. La question porte sur le fait de savoir s’il est possible de conserver les données relatives ou trafic et à la localisation, appelées parfois données de connexion. Ces catégories de données sont très larges, et comprennent aussi bien les données téléphoniques comme les données relatives à l’utilisation de moyens de communications électroniques autres que le contenu des communications sont concernées. De manière plus concrète, peuvent être compris :

  • Le numéro de téléphone de l’appelant et le numéro de l’appelé
  • Le nom et l’adresse et l’identifiant de l’abonné ou de l’utilisateur inscrit
  • La date, l’heure, et la durée de la communication
  • La date et l’heure de l’ouverture et de la fermeture de la session du service d’accès à internet
  • L’adresse IP de l’utilisateur, ainsi que son identifiant d’abonné
  • Les données relatives à la localisation du terminal
  • Des données relatives à l’identification du matériel

Bref, les données qui peuvent être conservées sont toutes les métadonnées, c’est-à-dire qui ne relèvent pas de la communication elle-même. Cela reste extrêmement intrusif pour les personnes concernées, puisqu’il est possible de suivre une personne à la trace. Par ailleurs, certaines de ces métadonnées permettent d’identifier aisément le contenu de la communication, parfois même l’état de santé de la personne concernée : il y a une forte probabilité qu’une personne localisée à l’hôpital soit blessée ou malade.

Une conservation généralisée interdite par la CJUE depuis 2014, au profit d’une conservation ciblée


Au niveau de la Cour de Justice de l’Union Européenne, le principe est établi depuis 2014 (CJUE, 8 avril 2014, C-293/12, « Digital Rights » ) : selon elle, il ne pouvait pas être garanti que l’ingérence dans les droits au respect de la vie privée et à la protection des données personnelles, reconnus par la charte des droits fondamentaux de l’Union européenne, que comportait l’obligation générale de conservation des données relatives au trafic et à la localisation prévue par la directive qui faisait l’objet de l’analyse (la directive 2006/24/CE) était limitée au strict nécessaire pour sauvegarder la sécurité nationale. Autrement dit, en 2014, la Cour de Justice reproche à la directive visée un manque d’encadrement. En revanche, la conservation ciblée de données (notamment) restait tout à fait possible.

En octobre 2020, la CJUE a réaffirmé sa position par le biais de 3 décisions : Tout d’abord, elle confirme que « la directive ePrivacy est bien applicable aux réglementations nationales imposant aux fournisseurs de services de communications électroniques de procéder, aux fins de la sauvegarde de la sécurité nationale et de la lutte contre la criminalité, à des traitements de données à caractère personnel, tels que leur transmission à des autorités publiques ou leur conservation » . Cela lève les doutes générés par le fait que les Etats ont compétence exclusive s’agissant de la réglementation visant à la sauvegarde de la sécurité nationale.
Ensuite, elle répète que les Etats ne peuvent pas exiger des opérateurs de communications électroniques une collecte indifférenciée des données de connexion à des fins judiciaire et de renseignement. Ce nouvel arrêt a été l’occasion pour elle d’affiner son analyse : selon la Cour, la directive « vie privée et communications électroniques » ne s’oppose pas, notamment, à des mesures législatives « permettant, aux fins de la sauvegarde de la sécurité nationale, le recours à une injonction faite aux fournisseurs de services de communications électroniques de procéder à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation » . Néanmoins, un certain nombre de conditions cumulatives doivent être remplies :

  • L’État membre concerné fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible ;
  • La décision prévoyant cette injonction pouvant faire l’objet d’un contrôle effectif, soit par une juridiction, soit par une entité administrative indépendante ;
  • Cette juridiction ou entité administrative indépendante a la possibilité de prendre des décisions dotées d’un effet contraignant, et doit vérifier l’existence d’une de ces situations ainsi que le respect des conditions et des garanties devant être prévues
  • L’injonction ne doit être émise que pour une période temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de cette menace

Autrement formulé, il existe des situations dans lesquelles il est possible de prévoir la conservation généralisée seulement à des fins de sauvegarde de la sécurité nationale, mais cette pratique doit être temporaire et particulièrement encadrée par une autorité indépendante. La Cour de Justice prend toutefois le soin de proposer des alternatives pour les autres cas de criminalité, précisant que la directive ne s’oppose pas à une conservation ciblée des données relatives au trafic, des données de localisation ou encore de l’adresse IP, à l’analyse automatisée des données de connexion dont il est question, ni à leur recueil en temps réel, sous réserve de respecter les conditions propres qui sont fixées.

Une jurisprudence combattue par la france mais confirmée par le conseil d’etat en 2021


Alors même que le Conseil d’Etat est à l’origine de la saisine de la CJUE qui a abouti à l’un des arrêts d’octobre 2020 (voir CE, 26 juillet 2018, Quadrature du Net et autres, n° 394922), celui-ci a longtemps été combattu par le Gouvernement, qui estimait que la conservation ciblée insuffisante. En mars 2021, il aurait remis au CE un mémoire non publié lui demandant de contourner les arrêts de la Cour de Justice car ils seraient contraires à « l’identité constitutionnelle française » , en particulier à la protection de la sécurité intérieure qui doit, selon lui, prévaloir sur la protection de la vie privée. Cette demande s’inscrit dans un contexte de tensions , alors que la fin de l’année 2021 a connu de nombreux drames.

En avril 2021, le Conseil d’Etat n’a pas fait droit aux demandes du Gouvernement, prenant le soin d’esquiver la question relative à la compétence de la CJUE en la matière. Il a tout d’abord constaté que « le droit français impose aux opérateurs de télécommunication de conserver pendant un an les données de connexion de leurs utilisateurs à des fins de lutte contre la criminalité et le terrorisme » . Le Conseil a ensuite rappelé que la CJUE a toutefois limité cette conservation à la préservation de la sécurité nationale en cas de menace grave uniquement.
Le Conseil d’Etat a finalement estimé que « la conservation généralisée aujourd’hui imposée aux opérateurs par le droit français est bien justifiée par une menace pour la sécurité nationale, comme cela est requis par la CJUE« , sans toutefois développer les raisons qui ont abouti à cette décision. Se pliant à la décision de la Cour de Justice de l’UE, il a alors demandé au Gouvernement de réévaluer périodiquement la présence de ladite menace, sous le contrôle du juge administratif.

Enfin, ayant bien noté les propositions de la CJUE, les membres du Conseil Constitutionnel ont estimé que la « solution de la conservation ciblée en amont des données n’est ni matériellement possible, ni – en tout état de cause –opérationnellement efficace » car il n’est « pas possible de pré-déterminer les personnes qui seront impliquées dans une infraction pénale qui n’a pas encore été commise ou le lieu où elle sera commise. » Autrement dit, il n’est pas possible de trouver une infraction et de qualifier sa gravité sans … avoir au préalable surveillé les personnes impliquées. Le CE se rabat, pour cette raison, sur la méthode de la « conservation rapide », qui aurait été autorisée par le droit européen.


Finalement, après quelques rebondissements et de longs débats, le Conseil Constitutionnel a, le 25 février 2022, suivi l’argumentation du Conseil d’Etat et en a fait application en censurant l’ancienne rédaction de l’article L. 34-1 du code des postes et des communications électroniques : une conservation généralisée et indifférenciée porte une atteinte disproportionnée au respect de la vie privée.

Pour approfondir…

> CE, Quadrature du Net et autres, n°393099
21 avril 2021
> CJUE, Communiqué de Presse n° 123/20, 3 décisions jointes
06 octobre 2020
> CJUE, Arrêt C-293/12, Digital Rights
08 avril 2014
> Directive 2006/24/CE
15 mars 2006 [invalidée]

Retour en haut