de la légalité des régimes de conservation des données de connexion pour des fins de renseignement - Compte-rendu d’audience à la CJUE
Les 9 et 10 septembre 2019 se tenait l’audience devant la Cour de justice de l’Union européenne (CJUE) dans les affaires Privacy International, La Quadrature du Net e.a., French Data Network e.a. et Ordre des barreaux francophones et germanophone e.a. Il s’agit de quatre affaires jointes car reposant sur le même sujet : la légalité des régimes de conservation des données de connexion pour des fins de renseignement. La Cour a posé plusieurs questions aux parties en amont de l’audience. Des observations écrites ont été produites pendant l’été et cette audience revenait dessus à travers plaidoiries, questions orales de la Cour puis répliques.
Dans les quatre affaires, des questions préjudicielles ont été transmises à la Cour, lui demandant d’évaluer la conformité au droit de l’UE de mesures nationales de conservation généralisée des données de connexion.
Une donnée de connexion est ce qui englobe un message. On peut faire l’analogie avec une lettre dans une enveloppe : les données de connexion sont ce qu’il y a sur l’enveloppe et le contenu de la communication est ce qu’il y a à l’intérieur de l’enveloppe. Concrètement, sont des données de connexion le destinataire et l’expéditeur d’un message, l’adresse IP d’un terminal, la liste des antennes téléphoniques sur lesquelles un téléphone s’est connecté, etc. Il ne s’agit pas, en théorie, du contenu d’une conversation. Les associations à l’origine du litige ont cependant montré que cette distinction est souvent difficile à faire en pratique.
Pour des questions de lutte contre la criminalité ou de protection de la sécurité nationale, les États membres conservent ces données de connexion. En France, cette durée de conservation est d’un an (art. R. 10-13 CPCE). Dans les arrêts Digital Rights Ireland (CJUE, 8 avril 2014, aff. C 293/12 et C 594/12) et Tele2 Sverige AB (CJUE, 21 décembre 2016, aff. C 203/15 et C 698/15), la Cour avait considéré que le principe même d’une conservation généralisée des données de connexion était contraire à la Charte de l’UE.
En France, suite à l’arrêt Digital Rights Ireland, La Quadrature du Net et d’autres associations ont fait une demande d’abrogation de l’article R. 10-13 CPCE. Ce n’est que le 26 juillet 2018, par deux arrêts (aff. 394922 et 393099), que le Conseil d’État a posé cinq questions relatives à la conformité au droit de l’UE du droit français en matière de conservation des données de connexion.
Il faut distinguer la conservation et l’accès. Toutes les législations européennes imposent une conservation généralisée des données de connexion : les opérateurs sont tenus à une obligation de conservation, pendant une durée variable, des données de connexion de tous leurs utilisateurs. L’étendue de cette conservation généralisée varie en fonction de l’État : elle peut concerner toutes les données de connexion (par exemple en France), ou bien seulement certains types de données de connexion (par exemple en Suède dans sa réforme à venir). Les données conservées font, dans un deuxième temps, l’objet d’un accès. Cet accès est, en théorie, toujours limité, par exemple par l’obligation de motivation de la demande d’accès ou de vérification par une autorité de contrôle.
[...]
Les conclusions de l’avocat général sont attendues pour fin décembre 2019 ou début janvier 2020. L’arrêt de la CJUE arrivera quelques mois après. La Cour, à travers ses questions, semble se diriger vers la constatation que le droit de l’Union est applicable à la sécurité nationale et un maintien d’une interdiction de conservation généralisée et indifférenciée des données de connexion.
En revanche, il est possible qu’elle accepte une conservation généralisée de certains types de données de connexion uniquement (la conservation ne serait alors plus indifférenciée), comme ce que demandent la Commission, le CEPD ou certains États membres comme la Suède. Il est aussi possible que la position de La Quadrature du Net, qui consiste à interdire toute conservation généralisée, même différenciée, soit maintenue avec comme seule solution possible une législation reposant sur la conservation spontanée des données de connexion.
Source : Compte-rendu d’audience CJUE, 9 et 10 septembre 2019, Privacy International, La Quadrature du Net e.a., French Data Network e.a. et Ordre des barreaux francophones et germanophone e.a., aff. C-623/17, C-511/18, C-512/18 et C-520/18
par Bastien Le Querrec