Communications électroniques et conservations des données pour la recherche d’infractions : la CJUE réaffirme sa position, invalidant celle, ombrageuse, du Conseil d’Etat

La CJUE confirme sa position sur la conservation et l’accès aux données à caractère personnel dans le domaine des communications électroniques… censurant la position du Conseil d’Etat dont le nationalisme ombrageux, sur ce point comme sur d’autres, exprimée notamment par le fameux arrêt French data network, ne tenait pas trop la route en droit.

  • I. Le Conseil d’Etat français, en pointe dans un combat d’un nationalisme juridique (combat qui dépasse nos frontières) contraire aux traités européens, qui se retrouve sur le fond du droit, sur le mécanisme de primauté du droit européen (celui des questions préjudicielles) et sur celui de la responsabilité pour ne pas avoir respecté ladite primauté du droit européen. Ceci dit, il importe de rappeler aussi que la CJUE elle-même laisse une nette de marge de manoeuvre aux juridictions nationales dans l’application du droit européen. Il en résulte qu’il ne faut pas non plus voir une méconnaissance du droit de l’Union dès qu’un juge national s’accorde quelques ajustements nationaux. 
  • II. Le débat, dans le cas du droit applicable à la conservation des communications électroniques et à leur usage pour les enquêtes pénales, semblait cadré par la CJUE par ses deux arrêts de 2020, posant des limites strictes au rôle d’auxiliaire de police pour les fournisseurs de services de communications électroniques, et ce pour des raisons tenant à la préservation des libertés publiques  
  • III. En réponse, d’autres Etats, comme la Belgique, ont globalement appliqué ce mode d’emploi fixé par les arrêts Quadrature du net et Privacy international, de la CJUE, rendus le 6 octobre 2020. Le Conseil d’Etat, quant à lui, par le long et flamboyant arrêt French Data Network et autres, a préféré affirmer un nationalisme ombrageux, utilisant au maximum les libertés laissées par la CJUE et allant même au delà. Mais il ne s’agissait pas d’un « Frexit juridique », pour reprendre l’amusante formulation du professeur Cassia, car la Haute Assemblée avait eu l’habilité de présenter sa position, ouvertement nationaliste, comme n’étant pas à proprement parler une non-application de la position de la CJUE… tout en parvenant au même résultat par un moyen détourné 
  • IV. Hier , la CJUE a rappelé sa position, ce qui ne pourra qu’entraîner le Conseil d’Etat, soit vers une sécession juridique plus franche, soit vers une acceptation de la primauté du droit de l’Union qui, visiblement, ne lui sied guère 

 

I. Le Conseil d’Etat français, en pointe dans un combat d’un nationalisme juridique (combat qui dépasse nos frontières) contraire aux traités européens, qui se retrouve sur le fond du droit, sur le mécanisme de primauté du droit européen (celui des questions préjudicielles) et sur celui de la responsabilité pour ne pas avoir respecté ladite primauté du droit européen. Ceci dit, il importe de rappeler aussi que la CJUE elle-même laisse une nette de marge de manoeuvre aux juridictions nationales dans l’application du droit européen. Il en résulte qu’il ne faut pas non plus voir une méconnaissance du droit de l’Union dès qu’un juge national s’accorde quelques ajustements nationaux. 

 

Rappelons déjà deux ou trois données de base :

Cela dit, force est de constater que cette rébellion anti-primauté du droit européen n’est pas une spécialité française.

Les débats entre la force juridique des décisions de l’Union européenne et des positions plus ou moins souverainistes ne cessent d’être alimentés par des juridictions nationales soucieuses de poser quelques bornes à la primauté, voire à l’expansion, du droit de l’Union :

Voir aussi CC italien, 13-21 avril 1989, SpA Fragd c/Amministratione delle Finanze, sent. n° 232/89, FI, 1990, I, p. 1855.

Voir aussi CC italien, 13-21 avril 1989, SpA Fragd c/Amministratione delle Finanze, sent. n° 232/89, FI, 1990, I, p. 1855.

Mais de telles positions sont à apprécier aussi à l’aune de l’évolution des positions du juge européen, plus souple qu’auparavant (CJUE 15 avril 2016, Pál Aranyosi et Robert Căldăraru, aff. C-404/15 et C-695/15 PPU) sur le fond du droit. 

Donc le juge français s’accorde une autonomie d’interprétation mais celle-ci est admise par le juge européen, par réalisme et/ou par retour aux principes initiaux, ceux d’un retour — pour citer M. D. Girard — d’une « interprétation finaliste du droit européen, qui a toujours été sur le fond celle des institutions européennes » (voir article sourcé ci-après).

Sources complémentaires :

 

 

II. Le débat, dans le cas du droit applicable à la conservation des communications électroniques et à leur usage pour les enquêtes pénales, semblait cadré par la CJUE par ses deux arrêts de 2020, posant des limites strictes au rôle d’auxiliaire de police pour les fournisseurs de services de communications électroniques, et ce pour des raisons tenant à la préservation des libertés publiques  

 

La Cour de justice de l’Union Européenne (CJUE)  s’était en effet prononcée, dans plusieurs arrêts, sur la conservation et l’accès aux données à caractère personnel dans le domaine des communications électroniques.

Se pose en effet la question notamment des modalités et des durées de conservation des données en matière notamment de trafic, pour ces fournisseurs d’accès (notamment les fournisseurs d’accès à Internet — FAI). 

Source : CJUE, 8 avril 2014, Digital Rights Ireland e.a (C-293/12 et C-594/12, EU:C:2014:238 ; CJUE, 21 décembre 2016, Tele2 Sverige et Watson e.a. (C-203/15 et C-698/15, EU:C:2016:970 ; CJUE, 2 octobre 2018, Ministerio Fiscal (C-207/16, EU:C:2018:788)…

Notamment, la CJUE avait confirmé que le droit de l’Union s’oppose à une réglementation nationale imposant à un fournisseur de services de communications électroniques, à des fins de lutte contre les infractions en général ou de sauvegarde de la sécurité nationale, la transmission ou la conservation généralisée et indifférenciée de données relatives au trafic et à la localisation. 

Mais la Cour avait nuancé cette position en posant que, dans des situations dans lesquelles un État membre fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, celui-ci peut déroger à l’obligation d’assurer la confidentialité des données afférentes aux communications électroniques en imposant, par des mesures législatives, une conservation généralisée et indifférenciée de ces données pour une durée temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace.
Source : CJUE, 6 octobre 2020, (C-623/17, C-511/18, C-512/18 et C-520/18).

 

III. En réponse, d’autres Etats, comme la Belgique, ont globalement appliqué ce mode d’emploi fixé par les arrêts Quadrature du net et Privacy international, de la CJUE, rendus le 6 octobre 2020. Le Conseil d’Etat, quant à lui, par le long et flamboyant arrêt French Data Network et autres, a préféré affirmer un nationalisme ombrageux, utilisant au maximum les libertés laissées par la CJUE et allant même au delà. Mais il ne s’agissait pas d’un « Frexit juridique », pour reprendre l’amusante formulation du professeur Cassia, car la Haute Assemblée avait eu l’habilité de présenter sa position, ouvertement nationaliste, comme n’étant pas à proprement parler une non-application de la position de la CJUE… tout en parvenant au même résultat par un moyen détourné 

 

Ce mode d’emploi posé par les deux décision de la CJUE rendues le 6 octobre 2020, le Conseil d’Etat, par le déjà célèbre French Data Network, du 21 avril 2021, a fait semblant de l’appliquer tout en usant des souplesses ménagées par le juge européen pour… ne pas l’appliquer. Le tout à la française, c’est à dire avec panachage, (très) longs développements intellectuels (d’ailleurs passionnants) et tous les ors de la République permis par la haute formation qui est celle des arrêts d’Assemblée.

Derrière cette pompe drapée de tricolore, le Palais Royal tentait de se frayer un chemin, via les trous de souris ménagés au détour des formulations de la CJUE. En d’autres termes, le Conseil d’Etat a poussé à plein l’extension des petites dérogation permises par le droit européen, avec même quelques libertés face à la position ci-avant exposée de la CJUE… au nom de rapports re-pensés entre droit français et droit européen et, surtout, entre juge national et juge de l’Union.

Le droit en ces domaines avait été fixé par le juge constitutionnel français et par le Conseil d’Etat.

Sources: voir notamment C. Const. 10 juin 2004, Loi pour la confiance dans l’économie numérique,n° 2004-496 DC et 27 juillet 2006, Loi relative au droit d’auteur et aux droits voisins dans la société d’information, n° 2006-540 DC. Voir aussi CE Ass., 8 février 2007, Société Arcelor Atlantique et Lorraine, n° 287110 puis CE, 27 octobre 2015, M. Allenbach et autres, n° 393026 ; CE, 20 mai 2016, Commune d’Aix-en-Provence et Commune de Pertuis, n° 394016 et 39421 ; CE, 9 mars 2016, Société Uber France et autres, n° 388213, 388343 et 388357. 

Or, le Gouvernement dans cette affaire de la conservation des données voulait aller plus loin. Avec, pour lui, le fait qu’il importe en effet de lutter contre le terrorisme et les crimes graves, et ce alors même qu’on ne sait pas toujours en amont qui sera dangereux… D’où une demande de longue conservation des données.

Mais on comprend aussi les craintes, légitimes, qui peuvent naître de longues conservations des données avec des risques pour les libertés.

Or, in fine, dans cette affaire « French Data Network et autres », la Haute Assemblée, schématiquement, a fini :

  • contrairement à ce que lui demandait le Gouvernement, par refuser de contrôler que les organes de l’Union européenne, et notamment la CJUE, n’ont pas excédé leurs compétences (contrôle dit de l’« ultra vires »).
    Le Conseil d’Etat n’est pas juge du juge européen.M. Alexandre Lallet, rapporteur public au Conseil d’Etat, avait d’ailleurs souligné combien cette demande était inédite : « Pour la première fois depuis le Traité de Rome, le gouvernement vous demande de ne pas appliquer une décision de la Cour de Luxembourg » (citation reproduite par Le Monde). Le Conseil d’Etat a en 2021 refusé cette voie radicale. MAIS de manière cursive il a adopté une position qui n’en était pas éloignée quant à ses effets pratiques.
  • par affirmer que la Constitution française demeure la norme suprême du droit national (certes..) conduisant l’office du juge national à  vérifier que l’application du droit européen, tel que précisé par la CJUE, ne compromet pas en pratique des exigences constitutionnelles qui ne sont pas garanties de façon équivalente par le droit européen (ce qui cadre le rôle du juge français mais non sans lui donner une marge de manœuvre indirecte…)

    … et là on retrouve les pétitions de principe de l’arrêt Arcelor, (CE Ass., 8 février 2007, n° 287110) précité, ainsi que la montée du PIIC pour ce qui est de l’autre aile du Palais Royal (décision n°2006-540 DC du 27 juillet 2006 ; voir ensuite la décision n° 2021-940 QPC du 15 octobre 2021 ; voir ici notre vidéo).

NB : pour une intéressante analyse à chaud  des conclusions du rapporteur public, voir l’article de M. M. Rees de Next INpact : https://www.nextinpact.com/article/45631/au-conseil-detat-avis-tempete-sur-locean-donnees-connexion

Sur cette lancée, le Conseil d’Etat avait estimé :

  • que l’encadrement de la conservation des données par le droit européen ne remet pas en cause les exigences constitutionnelles relatives à la sécurité nationale et à la lutte contre la criminalité
  • que les exigences constitutionnelles que sont la sauvegarde des intérêts fondamentaux de la Nation, la prévention des atteintes à l’ordre public, la lutte contre le terrorisme et la recherche des auteurs d’infractions pénales ne bénéfici(rai)ent pas toujours, selon le Conseil d’Etat, en droit de l’Union, d’une protection équivalente à celle que garantit la Constitution. Au Conseil d’Etat, donc, de s’assurer que les limites définies par la CJUE ne mettent pas en péril ces exigences constitutionnelles.
    C’est sur ce  point que le Conseil d’Etat cache ce qui est en réalité un nationalisme ombrageux sous couvert d’utiliser les souplesses ménagées aux juges nationaux par la CJUE… puisque justement le droit de l’Union, d’une part ne porte pas sur ces questions de procédure pénale en l’espèce et qui sont aux limites du « hors sujet » et d’autre part si des protections sont accordées de manière plus forte quant aux libertés (en matière de données)… c’est bien par le droit de l’Union plus que par le droit national en l’espèce !
  • relève que la conservation généralisée aujourd’hui imposée aux opérateurs par le droit français est bien justifiée par une menace pour la sécurité nationale, comme cela est requis par la CJUE. Conformément aux exigences de la Cour, il impose au Gouvernement de procéder, sous le contrôle du juge administratif, à un réexamen périodique de l’existence d’une telle menace.
    Là le juge français appliquait le mode d’emploi européen mais sans doute au delà des limites posées par la CJUE par ses décisions du 6 octobre 2020…. 
  • juge illégale l’obligation de conservation généralisée des données (hormis les données peu sensibles : état civil, adresse IP, comptes et paiements) pour les besoins autres que ceux de la sécurité nationale, notamment la poursuite des infractions pénales.
    Certes…
  • prend de la distance face aux solutions posées par la CJUE ci-avant, et ce de manière osée, mais à la faveur du raisonnement conduit précédemment. Plus précisément, pour ces infractions, le Conseil d’Etat pose que la solution suggérée par la CJUE de conservation ciblée en amont des données ne serait (toujours selon le Conseil d’Etat) ni matériellement possible, ni – en tout état de cause – opérationnellement efficace. En effet, il n’est pas possible, affirme le Conseil d’Etat, de pré-déterminer les personnes qui seront impliquées dans une infraction pénale qui n’a pas encore été commise ou le lieu où elle sera commise. Toutefois, la méthode de « conservation rapide » autorisée par le droit européen peut à ce jour s’appuyer sur le stock de données conservées de façon généralisée pour les besoins de la sécurité nationale, et peut être utilisée pour la poursuite des infractions pénales.
  • S’agissant de la distinction établie par la Cour entre la criminalité grave et la criminalité ordinaire, pour laquelle elle n’admet aucune conservation ou utilisation de données de connexion, le Conseil d’État rappelle que le principe de proportionnalité entre gravité de l’infraction et importance des mesures d’enquête mises en œuvre, qui gouverne la procédure pénale, justifie également que le recours aux données de connexion soit limité aux poursuites d’infractions d’un degré de gravité suffisant.
  • S’agissant de l’exploitation des données conservées pour les besoins du renseignement, enfin, le Conseil d’État constate que le contrôle préalable par une autorité indépendante prévu par le cadre juridique français n’est pas suffisant, puisque l’avis que rend la commission nationale de contrôle des techniques de renseignement (CNCTR) avant toute autorisation n’est pas contraignant. Le droit national doit donc être modifié, même si, en pratique, le Premier ministre n’a jamais outrepassé un avis défavorable de la CNCTR pour l’accès des services de renseignement à des données de connexion.
    Le Conseil d’État ordonne donc au Premier ministre de modifier le cadre réglementaire pour respecter ces exigences dans un délai de 6 mois.

 

À noter : le lendemain même, 22 avril 2021, la Cour constitutionnelle belge adoptait une position beaucoup plus proche de celle de la CJUE (arrêt 57/2021).

Bien sûr, la Quadrature du net explosa de colère en termes très vifs :

 

A chaud, de nombreux commentaires sur Twitter ont été diffusés. Je me permets de suggérer la lecture du thread de M.Th. CHRISTAKIS (@TC_IntLaw) :

 

Citons le billet de M. Professeur Cassia intitulé « Le Frexit sécuritaire du Conseil d’Etat » :

Voici cet arrêt

CE, 21 avril 2021, French Data Network et autres n° 393099, 394922, 397844, 397851, 424717, 424718  

Et les conclusions de M. le rapporteur public :

 

Voir la vidéo que j’avais faite à l’époque en 11 mn 03 :

https://youtu.be/ylZwaxkE0fs

 

 

 

IV. Hier , la CJUE a rappelé sa position, ce qui ne pourra qu’entraîner le Conseil d’Etat, soit vers une sécession juridique plus franche, soit vers une acceptation de la primauté du droit de l’Union qui, visiblement, ne lui sied guère 

 

La CJUE a en effet confirmé hier de manière très solennelle que le droit de l’Union s’oppose à une conservation généralisée et indifférenciée des données relatives au trafic et à la localisation afférentes aux communications électroniques aux fins de la lutte contre les infractions graves.

Une juridiction nationale ne peut donc limiter dans le temps les effets d’une déclaration d’invalidité d’une législation nationale prévoyant une telle conservation.

Voici un rappel des faits et procédures tels que narrés par la Cour elle-même dans son communiqué :

En mars 2015, G.D. a été condamné à une peine de réclusion à perpétuité pour le meurtre d’une femme en Irlande. Dans l’appel formé contre sa condamnation devant la cour d’appel d’Irlande, l’intéressé a notamment reproché à la juridiction de première instance d’avoir, à tort, admis comme éléments de preuve des données relatives au trafic et des données de localisation afférentes à des appels téléphoniques. Afin de pouvoir contester, dans le cadre de la procédure pénale, la recevabilité desdites preuves, G.D. a engagé parallèlement, auprès de la Haute Cour d’Irlande, une procédure civile visant à constater l’invalidité de certaines dispositions de la loi irlandaise de 2011 régissant la conservation de ces données et l’accès à celles-ci, au motif que cette loi violait les droits que lui confère le droit de l’Union. Par décision du 6 décembre 2018, la Haute Cour a fait droit à l’argumentation de G.D. L’Irlande a interjeté appel de cette décision devant la Cour suprême d’Irlande, qui est la juridiction de renvoi dans la présente affaire.
Par son renvoi, la Cour suprême a demandé des éclaircissements sur les exigences du droit de l’Union en matière de conservation desdites données aux fins de la lutte contre les infractions graves ainsi que sur les garanties nécessaires en matière d’accès à ces mêmes données. Elle s’interroge, par ailleurs, sur la portée et l’effet temporel d’une éventuelle déclaration d’incompatibilité qu’elle devrait prononcer, dès lors que la loi irlandaise de 2011 a été adoptée aux fins de transposer la directive 2006/24/CE, déclarée invalide par la Cour dans l’arrêt du 8 avril 2014, Digital Rights Ireland e.a. 

Dans son arrêt, la Cour, réunie en grande chambre, confirme, en premier lieu, sa jurisprudence constante selon laquelle le droit de l’Union s’oppose à des mesures législatives nationales prévoyant, à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et à la localisation afférentes aux communications électroniques, aux fins de la lutte contre les infractions graves.

Sources : Arrêts du 8 avril 2014, Digital Rights Ireland, C-293/12, du 21 décembre 2016, Tele2 Sverige et Watson e.a., C-203/15 et C-698/15 (voir le CP no 145/16), du 6 octobre 2020, Privacy International, C-623/17, La Quadrature du Net e.a., C-511/18, C-512/18, Ordre des barreaux francophones et germanophone e.a., C-520/18 (voir le CP no 123/20), et du 2 mars 2021, Prokuratuur (Conditions d’accès aux données relatives aux communications électroniques), C-746/18 (voir le CP n° 29/21). Directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 (JO 2009, L 337, p. 11) (ci-après la « directive « vie privée et communications électroniques » »), lue à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »).

 

En droit, voici la position de la Cour, telle que narrée par son communiqué mais qui reprend sur ce point les éléments de l’arrêt. La mise en gras et souligné est de nous, pour permettre d’identifier quelques points essentiels  :

« En effet, la directive vie privée et communications électroniques ne se limite pas à encadrer l’accès à de telles données par des garanties visant à prévenir les abus, mais consacre, en particulier, le principe de l’interdiction du stockage des données relatives au trafic et à la localisation. La conservation de ces données constitue ainsi, d’une part, une dérogation à cette interdiction de stockage et, d’autre part, une ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, consacrés aux articles 7 et 8 de la Charte.
« Si la directive vie privée et communications électroniques permet aux États membres de limiter ces droits et ces obligations aux fins notamment de la lutte contre les infractions pénales, de telles limitations doivent toutefois notamment respecter le principe de proportionnalité. Ce principe requiert le respect non seulement des exigences d’aptitude et de nécessité, mais également de celle ayant trait au caractère proportionné de ces mesures par rapport à l’objectif poursuivi. Ainsi, la Cour a déjà jugé que l’objectif de lutte contre la criminalité grave, pour fondamental qu’il soit, ne saurait à lui seul justifier qu’une mesure de conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, telle que celle instaurée par la directive 2006/24, soit considérée comme nécessaire. Dans le même ordre d’idées, même les obligations positives des États membres sur la mise en place de règles permettant une lutte effective contre les infractions pénales ne sauraient avoir pour effet de justifier des ingérences aussi graves que celles que comporte une législation nationale prévoyant une telle conservation dans les droits fondamentaux de la quasi-totalité de la population, sans que les données des personnes concernées soient susceptibles de révéler un lien, au moins indirect, avec l’objectif poursuivi. »

Déjà sur ces premiers points, la position française n’est plus tenable.

Poursuivons :

« La Cour rappelle encore que différentes obligations positives sont à la charge des pouvoirs publics en vertu de la Charte, consistant, par exemple, dans l’adoption de mesures juridiques visant à protéger la vie privée et familiale, la protection du domicile et des communications, mais aussi la protection de l’intégrité physique et psychique des personnes ainsi que l’interdiction de la torture et des traitements inhumains et dégradants. Il leur appartient dès lors de procéder à une conciliation des différents intérêts légitimes et droits en cause. En effet, un objectif d’intérêt général ne saurait être poursuivi sans tenir compte du fait qu’il doit être concilié avec les droits fondamentaux concernés par la mesure, et ce en effectuant une pondération équilibrée entre, d’une part, cet objectif d’intérêt général et, d’autre part, les droits en cause, tout en vérifiant que l’importance dudit objectif est en relation avec la gravité de l’ingérence que comporte cette mesure.»

Sur ce point, la France pourra dire qu’elle respecte de telles conciliations, puisque celles-ci sont encore, à ce stade, formulées en des termes qui peuvent conduire à de nombreuses marges d’interprétation. Mais poser, comme dans les arrêts Arcelor et French Data networtk, qu’en ces domaines la protection des droits au niveau européen est inférieure à ce qu’elle est au niveau national ne tient tout simplement pas et cette formulation de la CJUE le rappelle incidemment, même si ce n’était sans doute pas le but, la CJUE ayant bien d’autres juridictions à fouetter que celle(s) du Palais Royal.

Continuons :

« Ces considérations amènent la Cour à rejeter notamment l’argumentation selon laquelle la criminalité particulièrement grave pourrait être assimilée à une menace pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible et peut, pendant une durée limitée, justifier une mesure de conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation. En effet, une telle menace se distingue, par sa nature, sa gravité et le caractère spécifique des circonstances qui la constituent, du risque général et permanent qu’est celui de survenance de tensions ou de troubles, même graves, à la sécurité publique ou celui d’infractions pénales graves.»

Là, la révision de la position française s’imposera. Soit le Conseil d’Etat, à terme, abandonnera sa position dans l’arrêt French data network, soit il fera encore plus ouvertement sécession.

Ceci dit, une telle abdication de la position du Conseil d’Etat ne reviendrait pas à abandonner les citoyens à une criminalité incontrôlée et à désarmer nos forces de sécurité intérieure, puisque la CJUE prend soin juste après de rappeler qu’elle autorise tout de même des mesures législatives larges en ce domaine :

« En revanche, la Cour juge, en second lieu et en confirmant sa jurisprudence antérieure, que le droit de l’Union ne s’oppose pas à des mesures législatives prévoyant, dans les conditions énoncées dans son arrêt, aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique :
– une conservation ciblée des données relatives au trafic et des données de localisation en fonction de catégories de personnes concernées ou au moyen d’un critère géographique ;
– une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion ;
– une conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs de moyens de communications électroniques, et
– une conservation rapide (quick freeze) des données relatives au trafic et des données de localisation dont disposent ces fournisseurs de services».

 

Avec le mode d’emploi plus détaillé que voici :

« La Cour apporte diverses précisions concernant ces différentes catégories de mesures.
Tout d’abord, les autorités nationales compétentes peuvent prendre une mesure de conservation ciblée fondée sur un critère géographique, tel que notamment le taux moyen de criminalité dans une zone géographique donnée, sans qu’elles disposent nécessairement d’indices concrets portant sur la préparation ou la commission, dans les zones concernées, d’actes de criminalité grave. Elle ajoute qu’une telle mesure de conservation visant des lieux ou des infrastructures fréquentés régulièrement par un nombre très élevé de personnes ou des lieux stratégiques, tels que des aéroports, des gares, des ports maritimes ou des zones de péages, est susceptible de permettre aux autorités compétentes d’obtenir des informations sur la présence, dans ces lieux ou zones géographiques, des personnes y utilisant un moyen de communication électronique et d’en tirer des conclusions sur leur présence et leur activité dans lesdits lieux ou zones géographiques aux fins de la lutte contre la criminalité grave.
Ensuite, la Cour indique que ni la directive vie privée et communications électroniques ni aucun autre acte du droit de l’Union ne s’opposent à une législation nationale, ayant pour objet la lutte contre la criminalité grave, en vertu de laquelle l’acquisition d’un moyen de communication électronique, tel qu’une carte SIM prépayée, est subordonnée à la vérification de documents officiels établissant l’identité civile de l’acheteur et à l’enregistrement, par le vendeur, des informations en résultant, le vendeur étant le cas échéant tenu de donner accès à ces informations aux autorités nationales compétentes.
Enfin, la Cour relève que la directive vie privée et communications électroniques ne s’oppose pas à ce que les autorités nationales compétentes ordonnent une mesure de conservation rapide dès le premier stade de l’enquête portant sur une menace grave pour la sécurité publique ou sur un éventuel acte de criminalité grave, à savoir à partir du moment auquel ces autorités peuvent, selon les dispositions pertinentes du droit national, ouvrir une telle enquête. Une telle mesure peut être étendue aux données relatives au trafic et aux données de localisation afférentes à des personnes autres que celles qui sont soupçonnées d’avoir projeté ou commis une infraction pénale grave ou une atteinte à la sécurité nationale, pour autant que ces données puissent, sur la base d’éléments objectifs et non discriminatoires, contribuer à l’élucidation d’une telle infraction ou d’une telle atteinte à la sécurité nationale, telles que les données de la victime de celle-ci ainsi que celles de son entourage social ou professionnel.
Ces différentes mesures peuvent, selon le choix du législateur national et tout en respectant les limites du strict nécessaire, trouver à s’appliquer conjointement.
La Cour rejette encore l’argumentation selon laquelle les autorités nationales compétentes devraient pouvoir accéder, aux fins de la lutte contre la criminalité grave, aux données relatives au trafic et aux données de localisation qui ont été conservées de manière généralisée et indifférenciée, conformément à sa jurisprudence, pour faire face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible. En effet, cette argumentation fait dépendre cet accès de circonstances étrangères à l’objectif de lutte contre la criminalité grave. En outre, selon ladite argumentation, l’accès pourrait être justifié par un objectif d’une importance moindre que celui ayant justifié la conservation, à savoir la sauvegarde de la sécurité nationale, ce qui irait à l’encontre de la hiérarchie des objectifs d’intérêt général dans le cadre de laquelle doit s’apprécier la proportionnalité d’une mesure de conservation. Par ailleurs, autoriser un tel accès risquerait de priver de tout effet utile l’interdiction de procéder à une conservation généralisée et indifférenciée aux fins de la lutte contre la criminalité grave.»

Avec bien sûr un contrôle juridictionnel ou effectué par une autorité administrative indépendante :

« En troisième lieu, la Cour confirme que droit de l’Union s’oppose à une législation nationale en vertu de laquelle le traitement centralisé des demandes d’accès à des données conservées par les fournisseurs de services de communications électroniques, émanant de la police dans le cadre de la recherche et de la poursuite d’infractions pénales graves, incombe à un fonctionnaire de police, même lorsque celui-ci est assisté par une unité instituée au sein de la police jouissant d’un certain degré d’autonomie dans l’exercice de sa mission et dont les décisions peuvent faire ultérieurement l’objet d’un contrôle juridictionnel. La Cour confirme en effet, à cet égard, sa jurisprudence selon laquelle, afin de garantir, en pratique, le plein respect des conditions strictes d’accès à des données à caractère personnel telles que les données relatives au trafic et à la localisation, l’accès des autorités nationales compétentes aux données conservées doit être subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante, la décision de cette juridiction ou de cette entité devant intervenir à la suite d’une demande motivée de ces autorités présentée, notamment, dans le cadre de procédures de prévention, de détection ou de poursuites pénales. Or, un fonctionnaire de police ne constitue pas une juridiction et ne présente pas toutes les garanties d’indépendance et d’impartialité requises pour pouvoir être qualifié d’entité administrative indépendante.»

Et avec une application dans le temps qui là encore pourra parfois interroger au regard du droit national :

« En quatrième lieu, la Cour confirme sa jurisprudence selon laquelle le droit de l’Union s’oppose à ce qu’une juridiction nationale limite dans le temps les effets d’une déclaration d’invalidité qui lui incombe, en vertu du droit national, à l’égard d’une législation nationale imposant aux fournisseurs de services de communications électroniques une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, en raison de l’incompatibilité de cette législation avec la directive vie privée et communications électroniques.
Cela étant, la Cour rappelle que l’admissibilité des éléments de preuve obtenus au moyen d’une telle conservation relève, conformément au principe d’autonomie procédurale des États membres, du droit national, sous réserve du respect notamment des principes d’équivalence et d’effectivité.»

Voici cette décision :

http://CJUE, 5 avril 2022, G.D. contre Commissioner of An Garda Síochána,C‑140/20

 

 

Cette position ne pourra qu’entraîner le Gouvernement français et Conseil d’Etat, soit vers une sécession juridique plus franche, soit vers une acceptation de la primauté du droit de l’Union qui, visiblement, ne sied guère au Palais Royal.