Passer

Les obligations de conservation des données de connexion : quels risques pour les opérateurs ?

Dans une décision récente, le Conseil d’Etat en France est venu préciser que la conservation généralisée des données est à ce jour justifiée par la menace existante pour la sécurité nationale.

En outre, le Conseil d’Etat relève que la possibilité d’accéder à ces données pour la lutte contre la criminalité grave permet, à ce jour, de garantir les exigences constitutionnelles de prévention des atteintes à l’ordre public et de recherche des auteurs d’infractions pénales.

1. Que dit la loi ?

En France, un décret du 25 février 20111 impose aux opérateurs de télécommunication de conserver pendant un an toutes les données de connexion des utilisateurs pour les besoins du renseignement et des enquêtes pénales.

Cette obligation a été prise dans un contexte particulier, après des événements terroristes ayant conduit l’exécutif à prendre des mesures particulièrement large quant à la conservation de ces données. 

Cette disposition, largement contestée, a été notamment l’objet d’un long contentieux européen. En effet, la Cour de justice de l’Union européenne vient d’annuler la directive 2006/24/CE du 15 mars 2006 relative à la conservation de données à caractère personnel générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications. En 2014, cette directive déroge au régime de protection du droit au respect de la vie privée instauré par les directives 95/46 (directive relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données) et 2002/58 (directive vie privée et communications électroniques)2.

Saisie de différents recours contre les décrets qui prévoyaient la conservation de ces données et qui organisaient leur traitement pour les besoins du renseignement et des enquêtes pénales, le Conseil d’État a demandé des précisions à la CJUE sur la portée de sa jurisprudence suite notamment à l’annulation de la directive de 2006 mais aussi de la lecture de la directive 2002 (vie privée et communications électroniques) et du règlement de 2016 (règlement général sur la protection des données – RGPD).

décrets qui prévoyaient la conservation des données

2. La conservation des données de connexion en France jugée le 6 octobre par la justice européenne. Quelles sont les limites de la CJUE ?

Par trois décisions rendues le 6 octobre 2020,  la Cour de justice de l’Union européenne vient préciser les limites à cette conservation des données de connexion dans 3 cas :

  • la Cour estime que, dans des situations où l’État membre concerné fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, la directive « vie privée et communications électroniques », lue à la lumière de la Charte, ne s’oppose pas au fait d’enjoindre aux fournisseurs de services de communications électroniques de conserver de manière généralisée et indifférenciée des données relatives au trafic et à la localisation3. En résumé, la conservation générales de ces données de connexion est possible dans ce contexte particulier de risques comme le terrorisme  ; 
  • Cette conservation est possible si elle est ciblée, temporellement limitée au strict nécessaire, des données relatives au trafic et à la localisation, qui soit délimitée, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique. Ainsi, une loi peut permettre le recours à une conservation rapide des données dont disposent les fournisseurs de services dès lors que se présentent des situations dans lesquelles survient la nécessité de conserver lesdites données au-delà des délais légaux de conservation des données aux fins de l’élucidation d’infractions pénales graves ou d’atteintes à la sécurité nationale ;
  • Enfin, il peut être valablement imposé par la loi aux fournisseurs de services de communications électroniques de recourir au recueil en temps réel, notamment, des données relatives au trafic et à la localisation, lorsque ce recueil est limité aux personnes à l’égard desquelles il existe une raison valable de soupçonner qu’elles sont impliquées, d’une manière ou d’une autre, dans des activités de terrorisme et est soumis à un contrôle préalable, effectué soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant.
Cour de justice de l’Union européenne

3. La décision du Conseil d’Etat

Saisi sur la comptabilité de cette jurisprudence européenne, le Conseil d’Etat vient élaborer une balance largement défavorable de la protection des données personnelles vis-à-vis des exigences constitutionnelles relatives à la sécurité nationale et à la lutte contre la criminalité.

Le Conseil souligne ainsi que la conservation généralisée aujourd’hui imposée aux fournisseurs de communication électronique par le droit français est justifiée par une menace pesant sur la sécurité nationale. La CJUE prévoyant cette exception, cette règle n’enfreint pas le droit européen.

Deux précisions sont cependant apportées par le Conseil d’Etat dans sa décision d’avril 2021 :

  • La conservation généralisée des données est illégale au regard du droit français et du droit européen pour des infractions autres que celles relevant de la sécurité nationale, en particulier la poursuite des infractions pénales. Pour ces infractions, il vient rappeler que si la solution suggérée par la CJUE de conservation ciblée en amont des données n’est ni matériellement possible, ni – en tout état de cause – opérationnellement efficace, car il n’est pas possible de prédéterminer les personnes qui seront impliquées dans une infraction pénale qui n’a pas encore été commise ou le lieu où elle sera commise, la méthode de « conservation rapide » est à privilégier. Elle est autorisée par le droit européen et permet à ce jour de s’appuyer sur le stock de données conservées de façon généralisée pour les besoins de la sécurité nationale, et peut être utilisée pour la poursuite des infractions pénales. Cette lecture vient faire peser en réalité une obligation générale de conservation des données par opportunisme… Il suffit donc qu’une situation particulière menace la sécurité nationale pour venir mettre en place une obligation généralisée de conservation des données.
  • Il admet cependant que certaines catégories de données peu sensibles peuvent être conservées indistinctement du contexte : état civil, adresse IP, comptes et paiements. Sur ce dernier point, des risques réels pèsent sur les opérateurs : si le Conseil d’Etat autorise le stockage de ces données, ils ne pourront se retrancher derrière cette possibilité pour s’exonérer des obligations issues de la loi informatique et liberté et du règlement de 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Enfin, un dernier commentaire est à apporter sur l’exploitabilité de ces données. Celle-ci devant passer par le biais de l’avis non obligatoire d’une autorité indépendante (la commission nationale de contrôle des techniques de renseignement) avant toute autorisation, le Conseil d’Etat précise qu’aucune garantie n’existe sur le nombre de personnes pouvant accéder aux données de connexion et les exploiter. Pour ces raisons, cette disposition méconnaît le droit au respect de la vie privée et familiale et le droit entourant la protection des données à caractère personnel.

En résumé, la décision du Conseil d’Etat du 21 avril 2016 s’inscrit dans un contexte particulier où les menaces pesant sur la sécurité nationale permettent l’application d’un régime exorbitant du droit commun et appelle à 3 commentaires :

  • Si cette décision peut offrir aux opérateurs un sentiment de “sécurité” sur le stockage qu’il effectue de ces données, il convient de rappeler que la sécurité des données ne doit pas être négligée. Au contraire, celle-ci doit être renforcée. 
  • La fuite de ses données entraîne quant à elle l’application classique des sanctions prévues par la loi informatique et libertés et le règlement de 2016.
  • La perte de ces données par un opérateur pourra éventuellement engager sa responsabilité pénale dans le cadre d’une enquête visant la sécurité nationale. 

Vous souhaitez en savoir plus ? Découvrez notre expertise Cyber Trust !

  1 Décret n° 2011-219 du 25 février 2011

2 La décision de la CJUE estimait que cette directive dérogeait au régime de protection du droit au respect de la vie privée instauré par les directives 95/46 (directive relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données) et 2002/58 (directive vie privée et communications électroniques). En outre, ces deux directives prévoyaient  la confidentialité des communications et des données relatives au trafic ainsi que l’obligation d’effacer ou de rendre anonymes ces données lorsqu’elles n’étaient plus nécessaires à la transmission d’une communication, à l’exception des données nécessaires à la facturation.

3 “La Cour précise que la décision prévoyant cette injonction, pour une période temporellement limitée au strict nécessaire, doit faire l’objet d’un contrôle effectif, soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, afin de vérifier l’existence d’une de ces situations ainsi que le respect des conditions et des garanties prévues. Dans ces mêmes conditions, ladite directive ne s’oppose pas non plus à l’analyse automatisée des données, notamment celles relatives au trafic et à la localisation, de l’ensemble des utilisateurs de moyens de communications électroniques” (https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-10/cp200123fr.pdf)