Conseil d’Etat : la conservation généralisée des données justifiée par la menace existante pour la sécurité nationale

20/05/2021

Plusieurs associations ainsi qu’un opérateur de télécoms ont saisi le Conseil d’État pour qu’il examine la conformité des règles françaises de conservation des données de connexion au droit européen.

En droit français, les opérateurs de télécommunication sont tenus de conserver, pendant un an, les données de connexion de leurs utilisateurs à des fins de lutte contre la criminalité et le terrorisme.

Ces données incluent :

  • Les données d’identité, qui permettent d’identifier l’utilisateur d’un moyen de communication électronique, telles que les nom et prénom liés à un numéro de téléphone ;
  • Les données relatives au trafic, retraçant les dates, heures et destinataires des communications électroniques ou la liste des sites internet consultés ;
  • Les données de localisation.

Dans une série d’arrêts rendus le 6 octobre 2020, la CJUE a dégagé trois limites à la possibilité d’imposer aux opérateurs la conservation de données de connexion[1].

A la suite des précisions apportées par la CJUE, le Conseil d’Etat devait examiner la conformité du droit français au droit européen.

Il se prononce d’abord sur le cadre juridique du litige et sur la hiérarchie des normes et rappelle que la Constitution française demeure la norme suprême du droit national.

Il relève ensuite que la conservation généralisée imposée aux opérateurs de télécommunication par le droit français est justifiée par une menace pour la sécurité nationale. Il impose toutefois au gouvernement de procéder, sous le contrôle du juge administratif, à un réexamen périodique de l’existence d’une telle menace.

En revanche, il juge illégale l’obligation de conservation généralisée des données (hormis les données peu sensibles, comme l’état civil, l’adresse IP et les comptes et paiement) pour les besoins autres que ceux de la sécurité nationale, notamment la poursuite des infractions pénales.

Concernant enfin l’exploitation des données conservées pour les besoins du renseignement, le Conseil d’État constate que le contrôle préalable par une autorité indépendante prévu par le cadre juridique français n’est pas suffisant. En effet, l’avis rendu par la Commission nationale de contrôle des techniques de renseignement (ci-après « CNCTR ») avant toute autorisation n’est pas contraignant.

Le Conseil d’État ordonne au Premier ministre de modifier le cadre réglementaire pour respecter ces exigences, dans un délai de six mois.

Le Cabinet UGGC Avocats et son équipe spécialisée en droit des données personnelles se tiennent à votre disposition pour toute question que vous pourriez avoir à ce sujet.

Par l’équipe IP/IT du Cabinet UGGC Avocats

Source : Conseil d’Etat

UGGC - Veille conseil d'état

[1] CJUE, 6 octobre 2020, aff. C-623/17, C-511/18, C-512/18 

La transposition de la Directive DAMUN en France :  un pas en avant pour les droits d’auteur 

IP-IT-Médias
La transposition de la Directive DAMUN en France :  un pas en avant pour les droits d’auteur  Tenant compte du lien étroit entre les évolutions du numérique et les droits d’auteur,…

Epilogue à propos de la question graduée

IP-IT-Médias
La réponse graduée était au cœur de l’audience tenue le 5 juillet 2022 à la CJUE dans le cadre de l’affaire opposant, notamment la Quadrature du net (« LQDN »), aux actions…

Le droit à l'image des défunts

IP-IT-Médias
Lors de la conférence “Re:Mars” à Las Vegas, Amazon a annoncé une fonctionnalité d’Alexa et de son intelligence artificielle, désormais capable de reproduire n’importe quelle voix humaine, dont celle des…