Conseil d’Etat : la conservation généralisée des données justifiée par la menace existante pour la sécurité nationale

20/05/2021

Plusieurs associations ainsi qu’un opérateur de télécoms ont saisi le Conseil d’État pour qu’il examine la conformité des règles françaises de conservation des données de connexion au droit européen.

En droit français, les opérateurs de télécommunication sont tenus de conserver, pendant un an, les données de connexion de leurs utilisateurs à des fins de lutte contre la criminalité et le terrorisme.

Ces données incluent :

  • Les données d’identité, qui permettent d’identifier l’utilisateur d’un moyen de communication électronique, telles que les nom et prénom liés à un numéro de téléphone ;
  • Les données relatives au trafic, retraçant les dates, heures et destinataires des communications électroniques ou la liste des sites internet consultés ;
  • Les données de localisation.

Dans une série d’arrêts rendus le 6 octobre 2020, la CJUE a dégagé trois limites à la possibilité d’imposer aux opérateurs la conservation de données de connexion[1].

A la suite des précisions apportées par la CJUE, le Conseil d’Etat devait examiner la conformité du droit français au droit européen.

Il se prononce d’abord sur le cadre juridique du litige et sur la hiérarchie des normes et rappelle que la Constitution française demeure la norme suprême du droit national.

Il relève ensuite que la conservation généralisée imposée aux opérateurs de télécommunication par le droit français est justifiée par une menace pour la sécurité nationale. Il impose toutefois au gouvernement de procéder, sous le contrôle du juge administratif, à un réexamen périodique de l’existence d’une telle menace.

En revanche, il juge illégale l’obligation de conservation généralisée des données (hormis les données peu sensibles, comme l’état civil, l’adresse IP et les comptes et paiement) pour les besoins autres que ceux de la sécurité nationale, notamment la poursuite des infractions pénales.

Concernant enfin l’exploitation des données conservées pour les besoins du renseignement, le Conseil d’État constate que le contrôle préalable par une autorité indépendante prévu par le cadre juridique français n’est pas suffisant. En effet, l’avis rendu par la Commission nationale de contrôle des techniques de renseignement (ci-après « CNCTR ») avant toute autorisation n’est pas contraignant.

Le Conseil d’État ordonne au Premier ministre de modifier le cadre réglementaire pour respecter ces exigences, dans un délai de six mois.

Le Cabinet UGGC Avocats et son équipe spécialisée en droit des données personnelles se tiennent à votre disposition pour toute question que vous pourriez avoir à ce sujet.

Par l’équipe IP/IT du Cabinet UGGC Avocats

Source : Conseil d’Etat

UGGC - Veille conseil d'état

[1] CJUE, 6 octobre 2020, aff. C-623/17, C-511/18, C-512/18 

Projet de loi Bioéthique et PMA : vers un dénouement à l’Assemblée Nationale

IP-IT-Médias
L’Assemblée nationale a adopté le projet de loi Bioéthique pour la troisième fois dans la nuit du mercredi 9 au jeudi 10 juin, par un vote à 84 voix pour,…

Marketplaces : de nouveaux dispositifs anti-contrefaçon européens

IP-IT-Médias
Le 15 décembre dernier, la Commission européenne a dévoilé le nouveau projet de règlement « Digital Services Act » (ci-après DSA) visant à réguler le marché du numérique. Le texte ambitionne de…

Nouvelle mission du CSPLA et du CNM sur les revenus des artistes de la musique

IP-IT-Médias
Après que Soundcloud ait annoncé mettre en place un nouveau système de rémunération des artistes[1], le Conseil supérieur de la propriété littéraire et artistique (CSPLA) et le Centre national de…