Que reste-t-il du droit français après l’invalidation de la directive sur la conservation des données de connexion ?

Publié le 21/04/2014 - CIO Online - E. Papin

La surveillance massive des citoyens par l’usage des réseaux de communication électronique est au cœur d’un vaste débat international que l’affaire Snowden a contribué à faire naître. C’est dans ce contexte que la Cour de Justice de l’Union Européenne (CJUE) vient d’invalider, par un arrêt du 8 avril 2014, la directive 2006/24/CE du 15 mars 2006 sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques. Dans le droit européen des télécommunications, dont toutes les législations nationales sont dérivées, cette directive constituait le fondement des obligations pour les opérateurs de télécommunications et FAI d’avoir à conserver les données de connexions de leurs abonnés pour les mettre à disposition des autorités publiques dans le cadre d’enquêtes pénales ou administratives.

Son « invalidation » par la CJUE fait peser sur tous les Etats membres une menace d’inapplicabilité de nombreuses lois nationales prises en application de cette directive désormais caduque.

Plusieurs dispositions françaises sont susceptibles de devoir être repensées : l’article L.34-1 du Code des postes et des communications électroniques (CPCE) et son décret d’application ; l’article 6 de la loi pour la confiance dans l’économie numérique et son décret d’application et enfin l’article 20 de la nouvelle loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire qui modifie le Code de la sécurité intérieure et qui n’entrera en vigueur que le 1er janvier 2015.

Rappelons le contexte de cette invalidation avant d’envisager les conséquences sur ces lois nationales.

Ce que prévoyait la directive du 15 mars 2006

Adoptée après les attentats de Madrid et Londres, commis respectivement en 2004 et 2005, cette directive avait pour vocation d’harmoniser au niveau européen, les dispositions relatives à la conservation de certaines données générées ou traitées par les fournisseurs de services de communications électroniques. L’objectif était d’obliger les FAI et les opérateurs de télécommunications, à conserver pendant une durée comprise entre 6 et 24 mois, les données relatives aux utilisateurs de leurs services, pour garantir la disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions graves liées notamment à la criminalité organisée ou au terrorisme.

Ce texte n’autorisait pas, en revanche, la conservation du contenu de la communication en elle-même et des informations consultées.

Une ingérence disproportionnée dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel

Le contexte international a cependant largement évolué depuis l’adoption de cette directive. Dans un souci de préserver les citoyens européens contre les activités de surveillance dont ils peuvent faire l’objet, à la suite notamment des révélations d’Edward Snowden, le Parlement européen a voté en première lecture, le 12 mars dernier, le projet règlement européen sur la protection des données à caractère personnel, texte destiné à remplacer notre actuelle loi du 6 janvier 1978 « Informatique et Libertés ». A cette occasion, le Parlement européen a modifié le projet de règlement dans le sens d’un renforcement des droits des citoyens.

Dans le même sens, le G29 (Groupe des « CNIL » européennes) a adopté un avis le 10 avril dernier, sur la surveillance des citoyens européens qui fait suite aux révélations sur le programme PRISM. Il appelle à plus de contrôle et de transparence dans les activités des services de renseignement.

C’est dans ce contexte que par deux recours, l’un introduit par la Haute Cour d’Irlande, l’autre par la Cour constitutionnelle autrichienne, il était demandé à la CJUE d’examiner la validité de la directive 15 mars 2006, notamment à la lumière de deux droits fondamentaux garantis par la Charte des droits fondamentaux de l’Union européenne, à savoir le droit au respect de la vie privée (article 7) et le droit à la protection des données à caractère personnel (article 8).

La Cour constate, dans un premier temps, que les données à conserver fournissent des indications très précises sur la vie privée des personnes, en permettant notamment de savoir avec qui et par quel moyen un utilisateur a communiqué, de déterminer la date, l’heure et la durée d’une communication, ainsi que l’endroit à partir duquel celle-ci a eu lieu. La Cour estime que la directive s’immisce de manière particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel.

La question qui se pose alors est de savoir si une telle ingérence était justifiée. En effet, des limitations aux droits fondamentaux peuvent être apportées si elles sont prévues par la loi, nécessaires et répondent à des objectifs d’intérêt général reconnus par l’Union (article 52 de la Charte). La Cour a donc procédé à un test de proportionnalité.

Elle a ainsi reconnu que le principe de conservation des données pour prévenir la commission d’infractions graves répondait à un objectif d’intérêt général à savoir la lutte contre la « criminalité grave » et donc à la sécurité publique. Elle estime également que le contenu essentiel des droits fondamentaux visés est préservé. En effet, la directive ne permet pas de prendre connaissance du contenu des communications électroniques en tant que tel.

Toutefois, et c’est autour de ce point que la Cour a principalement fondé son argumentation, le législateur européen, en adoptant cette directive, a excédé selon elle les limites qu’impose le respect du principe de proportionnalité, et ce pour plusieurs raisons.

Tout d’abord, la directive couvre, sans distinction, limitation ou exception, toute personne et tous les moyens de communication électronique ainsi que l’ensemble des données relatives au trafic. Les données échangées avec des personnes soumises au secret professionnel, par exemple, ne sont pas préservées.

D’autre part, elle ne prévoit aucun critère objectif définissant la notion « d’infraction grave » qui permettrait de garantir que les autorités nationales compétentes n’aient accès aux données et ne puissent les utiliser qu’aux seules fins de prévenir, détecter ou poursuivre pénalement la commission de ce type d’infractions. De plus, la directive ne fixe aucune condition matérielle et procédurale encadrant l’accès et l’utilisation des données par les autorités nationales compétentes.

Par la suite la Cour souligne que la directive impose une durée de conservation des données comprise entre 6 mois minimum et 24 mois maximum sans fixer de critères objectifs sur la base desquels la durée de conservation doit être déterminée.

Enfin, la Cour constate que la directive ne prévoit pas de garantie suffisante contre les risques d’abus et contre l’accès et l’utilisation illicite des données ni de garantie prévoyant la destruction irrémédiable des données au terme de leur durée de conservation.

La CJUE en conclut que la directive, qui comporte une ingérence d’une particulière gravité dans les droits fondamentaux, n’est pas « précisément encadrée par des dispositions permettant de garantir qu’elle est effectivement limitée au strict nécessaire ». Elle déclare donc cette dernière « invalide ».

Contrariété des dispositions françaises avec le droit de l’Union

Par cette décision, la CJUE n’interdit pas la collecte et la conservation massives des données des utilisateurs des services de communication électronique. Elle impose seulement la mise en place de précautions et garanties particulières en matière de protection des données personnelles afin de corriger les lacunes du texte communautaire.

En France, certaines obligations des opérateurs de communications électroniques sont fondées sur l’article L. 34-1 du CPCE précisé par son décret d’application codifié aux article R.10-12 et suivants. Plusieurs dispositions du décret, reprenant les principes posés par la directive invalidée, sont aujourd’hui susceptibles de faire l’objet des mêmes critiques.

Tout d’abord, les données pouvant être conservées (permettant d’identifier l’utilisateur du service et son destinataire, les moyens de communication qu’il utilise, la date, l’horaire et la durée de chaque communication) donnent des informations très précises sur la vie privée des individus, leurs activités ou leurs relations sociales, comme l’a fait remarquer la Cour de justice pour soulever l’ingérence grave de la directive dans les droits fondamentaux.

D’autre part, la notion « d’infraction pénale », prévue par ce même article, et qui justifie la conservation desdites données, n’est pas précisée. Aucun critère objectif ne permet de déterminer le type d’infraction et le seuil de gravité requis pour permettre cette conservation.

L’insuffisance de gardes fous, indispensables pour limiter et contrôler l’ingérence dans les droits fondamentaux, qui a conduit la Cour de justice a invalidé la directive, se retrouve ici en droit interne.

Une deuxième disposition du droit français, l’article 6-II de la loi pour la confiance dans l’économie numérique du 21 juin 2004, précisée par un décret n°2011-219 du 25 février 2011, est susceptible d’encourir les mêmes griefs que la directive du 15 mars 2006. Les FAI et fournisseurs d’hébergement, en application de cet article, sont tenus de conserver les données de nature à permettre « l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services » dont ils sont prestataires.

Le décret d’application comporte plusieurs carences dénoncées par la CJUE lors de son analyse de la directive. Les deux principales concernent les données des abonnés susceptibles d’être conservées, qui d’une part ne font l’objet d’aucune restriction, limitation ou distinction en fonction des individus ou du type de données. D’autre part, la liste des données énumérée à l’article 1er du décret, permet également d’avoir accès à des informations très précises sur la vie privée des individus (identifiant de la connexion, identifiant du terminal utilisé pour la connexion, date et heure de début et de fin de connexion, caractéristiques de la ligne de l’abonné, etc.).

Enfin, la toute nouvelle loi du 18 décembre 2013 relative à la programmation militaire a modifié le Code de la sécurité intérieure (CSI) en y ajoutant notamment un article L. 246-1. Celui-ci prévoit de façon très générale que pourront être recueillies, auprès des opérateurs de communication électronique, « des informations et documents traités ou conservés par leurs réseaux ou services de communications électroniques ». Aucune précision ou limitation complémentaire n’a été fournie sur la nature des données, ni même sur les personnes concernées par la collecte. En revanche, la nouvelle loi encadre les conditions d’accès, matérielle et procédurale, des autorités à ces données puisque le nouvel article L. 246-3 du CSI précise que les informations conservées peuvent être recueillies par les agents individuellement désignés et dûment habilités, sur demande écrite et motivée de plusieurs ministres limitativement énumérés, pour une durée maximale de trente-deux jours renouvelable dans les mêmes conditions de forme et de durée.

Si les dispositions précitées ne s’opposent pas, dans leur intégralité, aux principes posés par la CJUE, elles présentent néanmoins toutes de nombreux points de divergences avec le droit de l’Union tel qu’il vient d’être interprété par la Cour. Ces contradictions pourront être relevées par les utilisateurs de services dont les données ont été collectées, conservées, voire utilisées dans le cadre d’une procédure pénale.

Vers une remise en cause des dispositions nationales ?

La directive a été déclarée « invalide » par la Cour avec effet rétroactif à la date de son entrée en vigueur. Cependant, les dispositions nationales prises en application de la directive restent applicables jusqu’à l’entrée en vigueur d’une nouvelle réforme européenne sur la conservation des données, prenant en compte les conditions posées par la CJUE.

Néanmoins, il convient de souligner que, dans l’attente d’une réforme européenne, il appartient à chaque Etat membre de prendre les mesures nécessaires pour limiter l’atteinte aux droits fondamentaux et d’exclure les dispositions du droit national incompatible avec le droit de l’Union, notamment ici avec la Charte des droits fondamentaux.

S’il n’existe pas de voie de droit, en France, permettant à un particulier en l’absence d’intervention du législateur de priver d’effet une loi promulguée, celui-ci dispose malgré tout de plusieurs options.

Il peut tout d’abord obtenir d’une juridiction nationale, au cours d’une instance, qu’elle opère un contrôle de la « compatibilité » d’un texte législatif ou réglementaire national au regard des dispositions européennes. Ainsi, tout juge peut, à l’occasion d’un litige dont il est saisi, écarter l’application d’une disposition nationale s’il la considère comme contraire à une norme européenne comme la Charte des droits fondamentaux de l’Union européenne.

D’autre part, en présence d’un acte administratif incompatible avec le droit européen, tels que les deux décrets précités, les justiciables disposent également de la possibilité de priver de tout effet cet acte et d’obtenir son annulation pure et simple devant le juge administratif lors d’un recours pour excès de pouvoir.

L’incompatibilité de l’article L. 34-1 du CPCE, de l’article 6-II de la LCEN et de l’article L. 246-1 du CSI avec les dispositions du droit communautaire ayant fondée l’invalidation de la directive du 15 mars 2006 est, au moins en partie, acquise. Il est cependant à craindre que le calendrier législatif ne donne pas l’occasion au législateur français, avant longtemps, de modifier ces textes. C’est donc sur le juge que reposera la charge de prononcer des décisions conformes au droit communautaire écartant, le cas échéant, ces dispositions.

Autres publications