Dans quelles hypothèses des données de connexion peuvent-elles faire l’objet d’une conservation ? Le Conseil d’Etat répond à cette question, dans une décision du 21 avril 2021 [1].

Le contexte :

La réglementation française impose aux opérateurs de communications électroniques, aux fournisseurs d’accès à internet et aux hébergeurs de contenus, la conservation généralisée et indifférenciée, pour une durée d’un an, des données de connexion de leurs utilisateurs.

Ces données comprennent : les données de trafic et de localisation des utilisateurs, leurs données d’identité civile, certaines données concernant leurs comptes et les paiements qu’ils effectuent en ligne.

Cette conservation des données de connexion répond notamment à un objectif de préservation de la sécurité nationale et de lutte contre la criminalité grave. A ce titre, les services de renseignement sont autorisés à recueillir et opérer des traitements sur ces données.

Plusieurs associations et sociétés ont contesté la conformité de ces dispositions légales au regard de la réglementation européenne. Elles ont alors formé un recours devant le Conseil d’Etat.

En raison de certaines questions d’interprétation du droit européen, le Conseil d’Etat a décidé de surseoir à statuer et de saisir la Cour de justice de l’Union Européenne (CJUE).

La décision de la CJUE :

Dans un arrêt du 6 octobre 2020 [2], la CJUE répond aux questions posées par le Conseil d’Etat.

La CJUE s’oppose aux mesures législatives prévoyant, à titre préventif, une conservation généralisée et indifférenciée des données de connexion par les opérateurs.

Toutefois, la cour pose plusieurs exceptions à cette interdiction, en différenciant notamment les types de données.

Les données de trafic et de localisation peuvent être conservées, si :
 La conservation est ciblée, en fonction de catégories de personnes ou de zones géographiques présentant des risques de criminalité grave ;
 Un Etat-membre de l’Union Européenne « est confronté à une menace grave pour la sécurité nationale, qui s’avère réelle et actuelle ou prévisible ». Plusieurs conditions doivent alors être remplies :
- La conservation des données de connexion doit faire l’objet d’une injonction par une autorité publique ;
- Cette injonction doit être soumise à un contrôle effectif d’une juridiction ou d’une autorité administrative indépendante ;
-L’injonction doit être limitée dans le temps, mais peut être renouvelable en cas de persistance de la menace.
 Les données de connexion « sont susceptibles de contribuer à l’élucidation d’une infraction grave ou à la prévention de menaces graves contre la sécurité publique ».

S’agissant des adresses IP :
leur conservation généralisée et indifférenciée peut être autorisée « dès lors qu’elle peut constituer le seul moyen d’investigation permettant l’identification d’une personne ayant commis une infraction en ligne ».

S’agissant des données relatives à l’identité civile des utilisateurs :
leur conservation généralisée et indifférenciée est également possible afin de prévenir les menaces à la sécurité publique et de rechercher, de détecter et de poursuivre des infractions pénales.

La CJUE précise néanmoins que lorsqu’une conservation des données de connexion est autorisée, les personnes concernées doivent disposer de garanties effectives contre les risques d’abus.

La décision du Conseil d’Etat :

Dans son arrêt en date du 21 avril 2021, le Conseil d’Etat aligne sa position avec celle de la CJUE.

En effet, cette décision précise que :

« le Gouvernement ne pouvait pas imposer aux opérateurs de communications électroniques, aux fournisseurs d’accès à internet et aux hébergeurs, la conservation généralisée et indifférenciée des données de connexion, autres que les données relatives à l’identité civile, aux adresses IP et aux informations relatives aux comptes et aux paiements, aux fins de lutte contre la criminalité et de prévention des menaces à l’ordre public sans méconnaître le droit de l’Union européenne ».

Cependant, cette conservation est possible en cas de menace pour la sécurité nationale. Le Conseil d’Etat précise qu’à cet égard, la législation française doit prévoir « un réexamen périodique de la nécessité de maintenir l’obligation faite aux personnes concernées de conserver les données de connexion ». Ainsi, une réévaluation « à échéance régulière de la persistance d’une menace grave, réelle et actuelle ou prévisible, pour la sécurité nationale » doit être réalisée.

De plus, le Conseil d’Etat estime, qu’en dehors des cas d’urgence, l’accès par les services de renseignement aux données de connexion doit être soumis à un contrôle préalable. Ce contrôle devra être assuré soit par une juridiction soit par une autorité administrative indépendante dotée d’un pouvoir contraignant.

Ainsi, le Conseil d’Etat décide qu’une conservation généralisée et indifférenciée des données de connexion ne peut pas être imposée aux opérateurs de communications électroniques, aux fournisseurs d’accès à Internet ni aux hébergeurs de contenus, sauf exceptions.

Claudia Weber, avocat fondateur et Zannirah Randera, juriste ITLAW Avocats www.itlaw.fr