CONTACT

Conservation généralisée des données de connexion : la France doit revoir sa copie !

26 octobre 2020 | Derriennic Associés |


CJUE 6 octobre 2020 (affaires C-623/17, C-511/18, C-512/18, C-520/18)

Dans plusieurs arrêts rendus le 6 octobre dernier, la CJUE s’est prononcée sur la validité de règlementations nationales, dont celles de la France, imposant une obligation de conservation généralisée et indifférenciée des données de connexion (relatives au trafic et à la localisation) à des fins de sauvegarde de la sécurité nationale.

La Cour a tout d’abord jugé, par principe, que le droit de l’Union (en particulier la directive « vie privée et communication électroniques », la charte des droits fondamentaux et, dans une moindre mesure, le RGPD) s’oppose à une réglementation nationale imposant à un fournisseur de services de communications électroniques, à des fins de lutte contre les infractions en général ou de sauvegarde de la sécurité nationale, la transmission ou la conservation généralisée et indifférenciée de données de connexion.

Le droit de l’Union n’est donc pas compatible avec une règlementation telle que celle existant en France, imposant à un tel fournisseur, à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et à la localisation.

Ensuite, la Cour a admis certaines exceptions qu’elle définit et encadre de manière stricte :

  • dans les situations de menace grave pour la sécurité nationale réelle et actuelle ou prévisible, un Etat membre peut prendre des mesures visant à enjoindre aux fournisseurs de services de communications électroniques une telle conservation généralisée et indifférenciée des données de connexion sous certaines réserves telles que : la soumission de la décision d’injonction à un contrôle effectif (par une juridiction ou une entité administrative indépendante) et à une période temporellement limitée au strict nécessaire ;
  • dans ces mêmes conditions, une analyse automatisée des données des utilisateurs de moyens de communications électroniques est possible ;
  • en outre, des mesures nationales peuvent permettre le recours à :
  • une conservation ciblée, temporellement limitée au strict nécessaire, des données de connexion sous réserve qu’elle soit délimitée, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique ;
  • une conservation rapide des données dont disposent les fournisseurs de services dans des situations où survient la nécessité d’une conservation de ces données au-delà des délais légaux de conservation aux fins de l’élucidation d’infractions pénales graves ou d’atteintes à la sécurité nationale, lorsque ces infractions ou atteintes ont déjà été constatées ou lorsque leur existence peut être raisonnablement soupçonnée ;
  • au recueil en temps réel, notamment des données de connexion, si cela est limité aux personnes pour lesquelles il existe une raison valable de soupçonner qu’elles sont impliquées dans des activités terroristes et sous réserve d’un contrôle préalable (par une juridiction ou par une entité administrative indépendante) pour s’assurer que cela n’est autorisé que dans la limite de ce qui est strictement nécessaire.

Ces décisions sont lourdes de conséquences : au-delà de la contrainte de revoir sa règlementation au regard de ces précisions, la France va devoir gérer le sort des actes et procédures réalisés et/ou en cours basés sur des règles contraires au droit de l’Union….