Saisi le 10 décembre 2021 par la chambre criminelle de la Cour de cassation, le Conseil constitutionnel s’est prononcé sur la conformité aux droits et libertés de deux dispositions du code des postes et des communications électroniques, à savoir les paragraphes II et III de l’ancien article L. 34-1 de ce code dans leur rédaction résultant de la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale (Décision du Conseil constitutionnel, n°2021-976/977 du 25 février 2022 – M. Habib et autre).
Cette loi relative à la sécurité et à la défense, intégrait pour partie le code des Postes et des communications électroniques puisqu’elle disposait notamment de certains moyens devant être appliqués par les opérateurs de communications électroniques[1] et permettant de rechercher les auteurs d’infractions.
Le Conseil constitutionnel a déclaré contraire à la Constitution l’article L.34-1 du code des postes et des communications électroniques car il portait une atteinte disproportionnée à la vie privée (Décision du Conseil constitutionnel, n°2021-976/977 du 25 février 2022 – M. Habib et autre)
En l’espèce, les requérantes reprochaient aux dispositions, à savoir les paragraphes II et III de l’ancien article L. 34-1 de ce code, d’imposer aux opérateurs de communications électronique la conservation générale et indifférenciée des données de connexion, sans la réserver à la recherche des infractions les plus graves ni la subordonner à l’autorisation ou au contrôle d’une juridiction ou d’une autorité indépendante.
L’une des parties intervenantes relevait qu’une telle conservation ne serait pas nécessaire en raison de l’existence d’autres moyens d’investigation et qu’il en résultait une atteinte au droit au respect à la vie privée ainsi qu’une méconnaissance du droit de l’Union européenne.
Bien que le Conseil constitutionnel ait relevé que le législateur poursuivait des objectifs de prévention des atteintes à l’ordre public et de recherche des auteurs d’infractions, il a constaté néanmoins que les données de connexion conservées en application des dispositions visées s’appliquaient :
C’est compte-tenu de ces éléments que le Conseil constitutionnel a admis que les dispositions étaient attentatoires à la vie privée.
Le Conseil a souligné également qu’une telle conservation était appliquée de façon générale à tous les utilisateurs des services de communications électroniques. Il a relevé la conservation indifférente de toutes les données de connexion relatives à ces personnes, quelle que soit la nature sensible de ces données et sans considérer la nature et la gravité des infractions susceptibles d’être recherchées.
Cette décision est l’occasion d’avertir les fournisseurs de communications électroniques de ne pas conserver de manière généralisée les données personnelles de leurs utilisateurs.
A relever que le Conseil constitutionnel s’est prononcé sur la conformité de dispositions n’étant plus en vigueur aujourd’hui et qu’il ne s’est pas plus prononcé sur l’intervention du tiers à l’instance pourtant notifiée dans la décision.
Depuis, cet article L. 34-1 du code des postes et télécommunications a été modifié par la loi du 30 juillet 2021 la loi du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement.
En conséquence, cette déclaration d’inconstitutionnalité ne peut pas être utilisée pour annuler les enquêtes judiciaires en cours pendant lesquelles des données de connexion ont été collectées dès lors que ce recueil de données est justifié par une menace existante pour la sécurité nationale.
En revanche, en dehors de ce cas, cette collecte n’est plus justifiée.
Reste désormais à savoir si cet article L.34-1 dans sa nouvelle rédaction est bien conforme au droit européen. En effet, pour mémoire, au niveau européen, la Cour de justice de l’Union européenne a jugé dans un arrêt du 6 octobre 2020 que le droit européen s’opposait à une réglementation nationale imposant à un fournisseur de services de communications électroniques « la transmission ou la conservation généralisée et indifférenciée » des données de trafic et de localisation.
Toutefois, une nuance était apportée par la Cour dans le cas d’une « menace grave pour la sécurité nationale » ou « d’activités de terrorisme« , les États pouvaient enjoindre les opérateurs de conserver les données de connexion de manière généralisée et indifférenciée. Il posait néanmoins deux conditions, de temps et procédurale, à cette conservation exceptionnelle.
Nouveau rebondissement sur le sujet des données de connexion à suivre donc…
Par Cynthia Picart et Anne Schmitt
[1] À savoir « toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques » (art. L.32 du code des postes et des communications électroniques)
25/04/22