La conservation généralisée des données de connexion viole la constitution

Le Conseil constitutionnel confirme la jurisprudence sur la conservation généralisée des données de connexion et l’atteinte disproportionnée portée au droit au respect de la vie privée.

Dans sa décision du 25 février 2022 (1), il confirme la position des juges européens et nationaux. L’obligation de conservation généralisée des données de connexion porte une atteinte disproportionnée au droit au respect de la vie privée.

Point  sur la conservation généralisée des données de connexion

La Cour de justice de l’Union européenne (CJUE) soumet la conservation généralisée des données, au respect de critères cumulatifs (2). Or jusqu’en juillet 2021 (3), la législation française :

• prévoyait une conservation indifférenciée des données de connexion et
• renvoyait au juge pour le contrôle de leur utilisation.

Elle considérait que la sauvegarde des intérêts fondamentaux de la Nation, la prévention des atteintes à l’ordre public, la protection des populations contre les menaces terroristes relevaient du pouvoir et des missions régaliens de l’État, dans le respect de la constitution française, hiérarchiquement supérieure au droit européen.

En ce sens, le point III de l’article L.34-1 du CPCE obligeait les intermédiaires techniques à conserver un an durant, l’intégralité des données dites de connexion de tous les appels et échanges électroniques.

Cette obligation de conservation était justifiée par les besoins de la recherche, de la constatation et de la poursuite des infractions pénales (4).

Dans ce contexte, le Conseil d’Etat s’est prononcé sur la conservation généralisée et indifférenciée des données de connexion (5).

Une conservation généralisée et indifférenciée

Cette conservation dépend de quatre conditions cumulatives :

• Un niveau actuel de menace pour la sécurité nationale qui le justifie ;
• L’existence d’un réexamen périodique de cette menace par le gouvernement sous le contrôle du juge administratif ;
• La prise en considération du niveau de gravité des infractions en se :
  • limitant aux seules infractions présentant un niveau de gravité suffisant,
  • basant sur les données dont l’opérateur dispose au moment où les forces de police le sollicite ;
• Une absence de conservation généralisée des données (autres que celles sur l’identité) pour tout autre type de menace.

L’article L.34-1 du CPCE a été modifié en ce sens en juillet 2021. Sa nouvelle rédaction précise désormais les catégories de données devant être conservées par les opérateurs de communications électroniques. Ainsi, selon les cas, pour les :

• Besoins des procédures pénales, de la prévention des menaces contre la sécurité publique et de la sauvegarde de la sécurité nationale :
  • les informations relatives à l’identité civile de l’utilisateur, jusqu’à l’expiration d’un délai de cinq ans à compter de la fin de validité de son contrat ;
• Mêmes finalités que celles énoncées ci-dessus :
  • les autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte ainsi que
  • les informations relatives au paiement, jusqu’à l’expiration d’un délai d’un an à compter de la fin de validité de son contrat ou de la clôture de son compte ;
• Besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale :
  • les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés,
  • et ce, jusqu’à l’expiration d’un délai d’un an à compter de la connexion ou de l’utilisation des équipements terminaux.

La décision du Conseil constitutionnel du 25 février 2022

Un décret fixe les nouvelles règles de conservation des données de connexion (6). Son contenu fait référence aux dispositions de l’article L.34-1 du CPCE. Ces nouvelles règles s’inscrivent dans le prolongement des arrêts de la CJUE précités.

C’est cet article, dans sa version antérieure à la loi du 30 juillet 2021 précitée, qui a fait l’objet de la présente décision du Conseil constitutionnel. La question prioritaire de constitutionnalité (QPC) visait la compatibilité entre le droit au respect de la vie privée et l’absence :

• de limitation de la conservation des données de connexion aux infractions les plus graves ;
• d’autorisation et de contrôle d’une autorité ou juridiction indépendante.

Le droit au respect de la vie privée

Le Conseil constitutionnel a rattaché le droit au respect de la vie privée à d’autres principes de droit :

« Le but de toute association politique est la conservation des droits naturels et imprescriptibles de l’Homme. Ces droits sont la liberté, la propriété, la sûreté, et la résistance à l’oppression » (7).

Il rappelle le rôle du législateur, qui, aux termes de l’article 34 de la Constitution, doit :

« assurer la conciliation entre, d’une part, l’objectif de valeur constitutionnelle de recherche des auteurs d’infraction et, d’autre part, le droit au respect de la vie privée ».

En l’espèce, le Conseil constitutionnel, constate que la conservation des données de connexion telle que prévue par les anciennes dispositions de l’article L.34-1 du CPCE est :

• Généralisée : le point 11 de la décision fait référence à des données de connexion conservées qui « portent non seulement sur l’identification des utilisateurs des services de communications électroniques, mais aussi sur la localisation de leurs équipements terminaux de communication, les caractéristiques techniques, la date, l’horaire et la durée des communications ainsi que les données d’identification de leurs destinataires».

Le Conseil Constitutionnel précise « Compte tenu de leur nature, de leur diversité et des traitements dont elles peuvent faire l’objet, ces données fournissent sur ces utilisateurs ainsi que, le cas échéant, sur des tiers, des informations nombreuses et précises, particulièrement attentatoires à leur vie privée ».

• Indifférenciée car elle porte « sur toutes les données de connexion relatives à ces personnes, quelle qu’en soit la sensibilité et sans considération de la nature et de la gravité des infractions susceptibles d’être recherchées ».

Une question de proportionnalité

Par conséquent, le Conseil constitutionnel considère que cette ancienne version de l’article L.34-1 du CPCE porte une atteinte disproportionnée au droit au respect de la vie privée, et déclare ces dispositions contraires à la Constitution.

Le Conseil constitutionnel a fixé les conditions de cette déclaration d’inconstitutionnalité en précisant que :

• « D’une part, les dispositions déclarées contraires à la Constitution, dans leur rédaction contestée, ne sont plus en vigueur.
• D’autre part, la remise en cause des mesures ayant été prises sur le fondement des dispositions déclarées contraires à la Constitution méconnaîtrait les objectifs de valeur constitutionnelle de sauvegarde de l’ordre public et de recherche des auteurs d’infractions et aurait ainsi des conséquences manifestement excessives. Par suite, ces mesures ne peuvent être contestées sur le fondement de cette inconstitutionnalité ».

Frédéric Forster
Raphaël Liotier
Morgane Ammar, élève avocate
Lexing Télécoms

Notes

(1) Décis. du Conseil Constitutionnel n°2021-976/977, QPC du 25-02-2022.
(2) Affaires jointes C-511/18, C-512/18, C-520/18, et affaire C-623/17.
(3) Loi n°2021-998 du 30 juillet 2021 réformant la rédaction de l’article L. 34-1 du CPCE, Pour aller plus loin.
(4) A noter que plus récemment, le cadre des réquisitions des données de connexion en enquête préliminaire a été jugé inconstitutionnel (Décis. CC n°2021-952, QPC du 03-12-2021). Pour aller plus loin.
(5) CE, n° 393099 du 21-04-2021.
(6) Décr. n°2021-1361 du 20 10 2021. Pour aller plus loin.
(7) Article 2 de la Déclaration des Droits de l’Homme et du Citoyen.