Libertés et communications, droits français et européen… survol de l’important arrêt French Data Network [VIDEO et article]

Nouvelle diffusion 

 

Historique, voire hors-normes (car hors normes européennes…), l’arrêt « French Data Network et autres » rendu le Conseil d’Etat (21 avril 2021, French Data Network et autres n° 393099, 394922, 397844, 397851, 424717 et 424718) l’est en tous points.

Survolons les dimensions de cet arrêt majeur avec Me Eric Landot, en :

  • I. Une courte vidéo pédagogique que 11 mn 03.
  • II. Un article (dont le contenu est très proche de celui de la vidéo)
  • Avant que d’accéder à cet arrêt, son résumé sur Ariane (annonciateur du résumé au rec.) et d’un lien vers les passionnantes conclusions de M. Alexandre Lallet, rapporteur public

 

I. Vidéo

 

Survolons les dimensions de cet arrêt majeur avec Me Eric Landot, en une courte vidéo pédagogique que 11 mn 03 :

 

https://youtu.be/ylZwaxkE0fs

 

II. Article

 

Historique, voire hors-normes (car hors normes européennes…), l’arrêt « French Data Network et autres » rendu ce jour par le Conseil d’Etat l’est en tous points. Car celui-ci s’avère :

  • d’une rare ampleur dans sa forme (39 pages) comme dans sa solennité (il a été rendu par l’Assemblée du Conseil d’Etat) voire, sans doute, dans sa postérité (il a sans doute vocation à entrer dans les Grands Arrêts de la Jurisprudence Administrative — GAJA).
  • déterminant pour nos libertés… et notre sécurité. Il vient de tracer la frontière dans un domaine essentiel de notre sécurité, d’une part, et de nos libertés publiques, d’autre part, dans le dossier très sensible de la conservation des données de connexion. Sur ce point, le Conseil d’Etat :
    • valide le principe de l’équilibre du droit français à ce jour, ce qui évidemment suscite enthousiasme des uns, et colère des autres. Notamment, le Conseil d’Etat :
      • juge que la conservation généralisée des données est aujourd’hui justifiée par la menace existante pour la sécurité nationale.
      • relève que la possibilité d’accéder à ces données pour la lutte contre la criminalité grave permet, à ce jour, de garantir les exigences constitutionnelles de prévention des atteintes à l’ordre public et de recherche des auteurs d’infractions pénales (mais seulement les plus graves peuvent être ainsi ciblées).
    • ordonne, cependant, au Gouvernement de réévaluer régulièrement la menace qui pèse sur le territoire pour justifier la conservation généralisée des données et de subordonner l’exploitation de ces données par les services de renseignement à l’autorisation d’une autorité indépendante.
  • innovant (qu’on s’en réjouisse ou non) dans les relations entre droit national et droit européen, entre juge national et juge de l’Union. La Haute Assemblée :
    • a refusé d’accepter de se faire le juge… du juge européen. En effet, contrairement à ce que lui demandait le Gouvernement, la Haute Assemblée a refusé de contrôler que les organes de l’Union européenne, et notamment la CJUE, n’ont pas excédé leurs compétences (contrôle dit de l’« ultra vires »).
    • a accepté en réalité un niveau de contrôle (de désobéissance ?) proche de ce qui était demandé par le Gouvernement.
      En effet, le Conseil d’Etat s’est autorisé à « vérifier que le respect du droit européen tel qu’interprété par la CJUE ne compromettait pas les exigences de la Constitution française » (évidemment, l’angle de riposte est habile car il porte sur les faiblesses de l’Union…)… y compris en s’autorisant à étudier si les exigences constitutionnelle en question bénéficient ou non, en droit de l’Union, d’une protection équivalente à celle que garantit la Constitution. Le Conseil d’Etat poursuit même sur cette lancée au point de s’autoriser à regarder si ce que propose la CJUE est, ou n’est pas, opérationnel et/ou possible… ce qui module (dépasse ?) les primautés/privautés que le Conseil d’Etat s’était déjà auto-octroyées en 2007 par l’arrêt Arcelor.Ce faisant, le Conseil d’Etat ne s’accorde pas, d’un point de vue théorique, la même souveraineté du droit national que le Tribunal constitutionnel allemand… tout en s’accordant en réalité presque la même marge de manoeuvre.

 

Comment dire, sans tomber dans les clichés éculés, d’un arrêt qu’il fera date ? En tous cas, cet arrêt est important et sera, dans la durée, sans doute considéré comme tel.

Voici quelques détails.

 

A. Position de la CJUE en 2020

 

Ces dernières années, la Cour de justice de l’Union Européenne (CJUE)  s’est prononcée, dans plusieurs arrêts, sur la conservation et l’accès aux données à caractère personnel dans le domaine des communications électroniques.

Se pose en effet la question notamment des modalités et des durées de conservation des données en matière notamment de trafic, pour ces fournisseurs d’accès (notamment les fournisseurs d’accès à Internet — FAI). 

Source : CJUE, 8 avril 2014, Digital Rights Ireland e.a (C-293/12 et C-594/12, EU:C:2014:238 ; CJUE, 21 décembre 2016, Tele2 Sverige et Watson e.a. (C-203/15 et C-698/15, EU:C:2016:970 ; CJUE, 2 octobre 2018, Ministerio Fiscal (C-207/16, EU:C:2018:788)…

Notamment, la CJUE a confirmé que le droit de l’Union s’oppose à une réglementation nationale imposant à un fournisseur de services de communications électroniques, à des fins de lutte contre les infractions en général ou de sauvegarde de la sécurité nationale, la transmission ou la conservation généralisée et indifférenciée de données relatives au trafic et à la localisation. Mais la Cour a nuancé cette position en posant que, dans des situations dans lesquelles un État membre fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, celui-ci peut déroger à l’obligation d’assurer la confidentialité des données afférentes aux communications électroniques en imposant, par des mesures législatives, une conservation généralisée et indifférenciée de ces données pour une durée temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace.
Source : CJUE, 6 octobre 2020, (C-623/17, C-511/18, C-512/18 et C-520/18).

 

C’est ce mode d’emploi, et surtout la nuance précitée, que le Conseil d’Etat, ce jour, en sa très solennelle formation d’Assemblée, vient d’utiliser… en poussant à plein l’extension de cette nuance, de cette dérogation permise par le droit européen, avec même quelques libertés face à la position ci-avant exposée de la CJUE… au nom de rapports re-pensés entre droit français et droit européen et, surtout, entre juge national et juge de l’Union. 

 

B. Un droit que se donne le juge français de ne pas suivre le juge européen dans certains cas, avec une modulation selon les garanties données au cas par cas par le droit de l’Union (ce qui n’est pas nouveau) avec également prise en compte du caractère opérationnel ou non dudit droit de l’Union (ce qui revient formellement à refuser le contrôle dit « de l’ultra vires »… tout en s’en accordant, en réalité, les libertés).

 

Le droit en ces domaines avait été fixé par le juge constitutionnel français et par le Conseil d’Etat.

Sources: voir notamment C. Const. 10 juin 2004, Loi pour la confiance dans l’économie numérique,n° 2004-496 DC et 27 juillet 2006, Loi relative au droit d’auteur et aux droits voisins dans la société d’information, n° 2006-540 DC. Voir aussi CE Ass., 8 février 2007, Société Arcelor Atlantique et Lorraine, n° 287110 puis CE, 27 octobre 2015, M. Allenbach et autres, n° 393026 ; CE, 20 mai 2016, Commune d’Aix-en-Provence et Commune de Pertuis, n° 394016 et 39421 ; CE, 9 mars 2016, Société Uber France et autres, n° 388213, 388343 et 388357. 

Cet état — antérieur — du droit avait été retracé en 2017, le Vice-Président du Conseil d’Etat lui-même. Voir :

Citons M. J.-M. Sauvé, en 2017 donc :

«En France, l’article 54 de la Constitution instaure la primauté des normes constitutionnelles, y compris sur les normes de droit international. […] pour examiner si un acte de transposition des dispositions précises et inconditionnelles d’une directive méconnaît un principe de valeur constitutionnelle, [le juge français] doit d’abord rechercher si un principe similaire existe et se trouve effectivement protégé en droit de l’Union, auquel cas il lui revient de contrôler la conformité de la directive à ce principe, le cas échéant en posant une question préjudicielle à la Cour de justice de l’Union […]. Si, en revanche, le principe constitutionnel invoqué ne fait pas l’objet d’une protection effective en droit de l’Union, le juge administratif accepte de contrôler directement la conformité à la Constitution de l’acte contesté. »

Nous invitons à la lecture intégrale de cet article, rédigé bien sûr d’une plume subtile sur la forme, qui ne cède rien sur le fond quant à la position française et plaide en la faveur de celle-ci (texte rédigé en collaboration avec  Mme Sarah Houllier).

Lire aussi un article tout à fait passionnant : F-X, Millet, « Réflexions sur la notion de protection équivalente des droits fondamentaux », in RFDA, 2012, n° 2, p. 307

Il en résulte parfois un refus net par le juge français d’appliquer l’interprétation de la CJUE dans tel ou tel domaine mais au tournant des années 2014-2015 il est devenu clair que la CJUE elle-même accepte de telles modulations par le juge national (CE Ass., 27 mars 2015, M. Quintanel, n° 372426 ; versus CJUE, 17 juillet 2014, M. et Mme Leone, aff. C-173/13).

NB : lire à ce sujet l’article — et surtout sa conclusion — suivant : , « Si, en théorie, l’égalité homme-femme est absolue, il existe, en pratique, des possibilités d’aménagements nationaux dans un but social », Note sous CE Ass., 27 mars 2015, Quintanel, n° 372.426 ‘ : Revue générale du droit on line, 2015, numéro 22550. 

Donc le juge français s’accorde une autonomie d’interprétation mais celle-ci est admise par le juge européen, par réalisme et/ou par retour aux principes initiaux, ceux d’un retour — pour citer M. D. Girard — d’une « interprétation finaliste du droit européen, qui a toujours été sur le fond celle des institutions européennes ».

Plus encore, certaines juridictions nationales sont allées au delà, à commencer par Cour constitutionnelle fédérale d’Allemagne (Tribunal constitutionnel fédéral, 15 décembre 2015, 2BvR 2735/14) qui a été jusqu’à poser qu’il est loisible au juge national non pas d’interpréter ou de moduler, mais de refuser le droit de l’union en cas de méconnaissance d’un principe inhérent à l’identité constitutionnelle allemande (voir aussi dans un sens proche : Cour suprême du Danemark, 6 décembre 2016, Ajos, 15/2014).

Cette position rigide a conduit à de nouvelles souplesses du juge européen (CJUE 15 avril 2016, Pál Aranyosi et Robert Căldăraru, aff. C-404/15 et C-695/15 PPU).

Or, voici que le Gouvernement dans cette affaire de la conservation des données, indispensables aujourd’hui dans nombre d’enquêtes en matière de terrorisme ou de crimes graves, alors même qu’on ne sait pas toujours en amont qui sera dangereux… qui devra donner lieu à conservation de ses données… mais alors que nous pouvons avoir un contrôle massif et totalitaire de la population si nous n’y prenons garde en sens contraire… dans cette affaire donc. voici que notre Gouvernement proposait d’aller plus loin. De s’approcher d’une position à l’allemande. Alors qu’en général, nos Gouvernements et notre juge sont sur une ligne plus souple, plus conciliante avec la CJUE pour schématiser.

Or, in fine, dans cette nouvelle affaire « « French Data Network et autres », la Haute Assemblée, schématiquement :

  • a, contrairement à ce que lui demandait le Gouvernement, refusé de contrôler que les organes de l’Union européenne, et notamment la CJUE, n’ont pas excédé leurs compétences (contrôle dit de l’« ultra vires »).
    Le Conseil d’Etat n’est pas juge du juge européen.M. Alexandre Lallet, rapporteur public au Conseil d’Etat, avait d’ailleurs souligné combien cette demande était inédite : « Pour la première fois depuis le Traité de Rome, le gouvernement vous demande de ne pas appliquer une décision de la Cour de Luxembourg » (citation reproduite par Le Monde).Le Conseil d’Etat a refusé cette voie radicale. MAIS de manière cursive il a adopté une position qui n’en est pas éloignée quant à ses effets pratiques.
  • a posé, en effet, que la Constitution française demeure la norme suprême du droit national. L’office du juge national est donc de vérifier, pose le Conseil d’Etat; que l’application du droit européen, tel que précisé par la CJUE, ne compromet pas en pratique des exigences constitutionnelles qui ne sont pas garanties de façon équivalente par le droit européen (ce qui cadre le rôle du juge français mais non sans lui donner une marge de manœuvre indirecte…)

 

NB 1 : pour une intéressante analyse à chaud  des conclusions du rapporteur public, voir l’article de M. M. Rees de Next INpact : https://www.nextinpact.com/article/45631/au-conseil-detat-avis-tempete-sur-locean-donnees-connexion

NB 2 : rappelons par ailleurs que les relations entre le Conseil d’Etat et la Cour de l’Union sont loin d’être toujours au beau fixe. C’est ainsi que la France a été, en 2018, condamnée par la CJUE en raison de la politique jurisprudentielle « solo » du Conseil d’Etat, refusant de poser des questions préjudicielles à la CJUE (CJUE, 4 octobre 2018, aff. C‑416/17 ; voir notre commentaire ici).

 

C. Une application audacieuse — en ce domaine de la conservation des données — au regard de la position de la CJUE, conduisant à une validation pour l’essentiel du droit français (en tous cas du principe de la conservation des métadonnées), à quelques importantes limites près

 

Sur cette lancée, le Conseil d’Etat :

  • pose, et ce point est central, que l’encadrement de la conservation des données par le droit européen ne remet pas en cause les exigences constitutionnelles relatives à la sécurité nationale et à la lutte contre la criminalité
  • estime que les exigences constitutionnelles que sont la sauvegarde des intérêts fondamentaux de la Nation, la prévention des atteintes à l’ordre public, la lutte contre le terrorisme et la recherche des auteurs d’infractions pénales ne bénéfici(rai)ent pas toujours, selon le Conseil d’Etat, en droit de l’Union, d’une protection équivalente à celle que garantit la Constitution. Au Conseil d’Etat, donc, de s’assurer que les limites définies par la CJUE ne mettent pas en péril ces exigences constitutionnelles (raisonnement donc du point II ci-avant).
  • relève que la conservation généralisée aujourd’hui imposée aux opérateurs par le droit français est bien justifiée par une menace pour la sécurité nationale, comme cela est requis par la CJUE. Conformément aux exigences de la Cour, il impose au Gouvernement de procéder, sous le contrôle du juge administratif, à un réexamen périodique de l’existence d’une telle menace.
  • juge illégale l’obligation de conservation généralisée des données (hormis les données peu sensibles : état civil, adresse IP, comptes et paiements) pour les besoins autres que ceux de la sécurité nationale, notamment la poursuite des infractions pénales.
  • prend de la distance face aux solutions posées par la CJUE ci-avant, et ce de manière osée, mais à la faveur du raisonnement conduit précédemment. Plus précisément, pour ces infractions, le Conseil d’Etat pose que la solution suggérée par la CJUE de conservation ciblée en amont des données ne serait (toujours selon le Conseil d’Etat) ni matériellement possible, ni – en tout état de cause – opérationnellement efficace. En effet, il n’est pas possible, affirme le Conseil d’Etat, de pré-déterminer les personnes qui seront impliquées dans une infraction pénale qui n’a pas encore été commise ou le lieu où elle sera commise. Toutefois, la méthode de « conservation rapide » autorisée par le droit européen peut à ce jour s’appuyer sur le stock de données conservées de façon généralisée pour les besoins de la sécurité nationale, et peut être utilisée pour la poursuite des infractions pénales.
  • S’agissant de la distinction établie par la Cour entre la criminalité grave et la criminalité ordinaire, pour laquelle elle n’admet aucune conservation ou utilisation de données de connexion, le Conseil d’État rappelle que le principe de proportionnalité entre gravité de l’infraction et importance des mesures d’enquête mises en œuvre, qui gouverne la procédure pénale, justifie également que le recours aux données de connexion soit limité aux poursuites d’infractions d’un degré de gravité suffisant.
  • S’agissant de l’exploitation des données conservées pour les besoins du renseignement, enfin, le Conseil d’État constate que le contrôle préalable par une autorité indépendante prévu par le cadre juridique français n’est pas suffisant, puisque l’avis que rend la commission nationale de contrôle des techniques de renseignement (CNCTR) avant toute autorisation n’est pas contraignant. Le droit national doit donc être modifié, même si, en pratique, le Premier ministre n’a jamais outrepassé un avis défavorable de la CNCTR pour l’accès des services de renseignement à des données de connexion.
    Le Conseil d’État ordonne donc au Premier ministre de modifier le cadre réglementaire pour respecter ces exigences dans un délai de 6 mois.

 

À noter : le lendemain même, 22 avril 2021, la Cour constitutionnelle belge adoptait une position beaucoup plus proche de celle de la CJUE (arrêt 57/2021).

 

D. Réactions

 

Bien sûr, la Quadrature du net explose de colère en termes très vifs :

 

Nul doute que du côté de l’Etat, ce sera plutôt le soulagement…

A chaud, de nombreux commentaires sur Twitter ont été diffusés. Je me permets de suggérer la lecture du thread de M.Th. CHRISTAKIS (@TC_IntLaw) :

 

 

Annexes : arrêt ; résumé sur Ariane ;  lien vers les passionnantes conclusions de M. Alexandre Lallet, rapporteur public.  

 

CE, 21 avril 2021, French Data Network et autres n° 393099, 394922, 397844, 397851, 424717, 424718  

 

 

CONCLUSIONS :

 

Voici le résumé de cet arrêt sur Ariane (annonciateur du résumé dans la partie tables du recueil Lebon, pour cet arrêt qui sera bien sûr en sus aussi publié en intégral audit recueil) :

  • (document à venir ; non encore disponible)