Conseil d’Etat : la conservation généralisée des données justifiée par la menace existante pour la sécurité nationale

20/05/2021

Plusieurs associations ainsi qu’un opérateur de télécoms ont saisi le Conseil d’État pour qu’il examine la conformité des règles françaises de conservation des données de connexion au droit européen.

En droit français, les opérateurs de télécommunication sont tenus de conserver, pendant un an, les données de connexion de leurs utilisateurs à des fins de lutte contre la criminalité et le terrorisme.

Ces données incluent :

  • Les données d’identité, qui permettent d’identifier l’utilisateur d’un moyen de communication électronique, telles que les nom et prénom liés à un numéro de téléphone ;
  • Les données relatives au trafic, retraçant les dates, heures et destinataires des communications électroniques ou la liste des sites internet consultés ;
  • Les données de localisation.

Dans une série d’arrêts rendus le 6 octobre 2020, la CJUE a dégagé trois limites à la possibilité d’imposer aux opérateurs la conservation de données de connexion[1].

A la suite des précisions apportées par la CJUE, le Conseil d’Etat devait examiner la conformité du droit français au droit européen.

Il se prononce d’abord sur le cadre juridique du litige et sur la hiérarchie des normes et rappelle que la Constitution française demeure la norme suprême du droit national.

Il relève ensuite que la conservation généralisée imposée aux opérateurs de télécommunication par le droit français est justifiée par une menace pour la sécurité nationale. Il impose toutefois au gouvernement de procéder, sous le contrôle du juge administratif, à un réexamen périodique de l’existence d’une telle menace.

En revanche, il juge illégale l’obligation de conservation généralisée des données (hormis les données peu sensibles, comme l’état civil, l’adresse IP et les comptes et paiement) pour les besoins autres que ceux de la sécurité nationale, notamment la poursuite des infractions pénales.

Concernant enfin l’exploitation des données conservées pour les besoins du renseignement, le Conseil d’État constate que le contrôle préalable par une autorité indépendante prévu par le cadre juridique français n’est pas suffisant. En effet, l’avis rendu par la Commission nationale de contrôle des techniques de renseignement (ci-après « CNCTR ») avant toute autorisation n’est pas contraignant.

Le Conseil d’État ordonne au Premier ministre de modifier le cadre réglementaire pour respecter ces exigences, dans un délai de six mois.

Le Cabinet UGGC Avocats et son équipe spécialisée en droit des données personnelles se tiennent à votre disposition pour toute question que vous pourriez avoir à ce sujet.

Par l’équipe IP/IT du Cabinet UGGC Avocats

Source : Conseil d’Etat

UGGC - Veille conseil d'état

[1] CJUE, 6 octobre 2020, aff. C-623/17, C-511/18, C-512/18 

Droit de propriété intellectuelle des éditeurs de presse en ligne et sanction contre Google : le bras de fer continue

IP-IT-Médias
Décision AC, 21-D-17, 12 juillet 2021 Estimant que Google avait manqué à certaines des injonctions dirigées contre elles, l’autorité de la concurrence lui a infligé le 12 juillet 2021 une…

Enregistrement d’une marque sonore : la décision qui va faire du bruit

IP-IT-Médias
TUE, 7 juillet 2021, aff. T 668/19, Ardagh Metal Beverage Holdings GmbH & Co. KG c./ Office de l’Union européenne pour la propriété intellectuelle (EUIPO) Le Tribunal de l’Union européenne…

Droits voisins du producteur de vidéogrammes : clap de fin pour une université

IP-IT-Médias
Civ. 1re, 16 juin 2021, FS-B, n° 19-21.663 Une Université a proposé à un producteur de produire un film à l’occasion du centenaire de la formulation de la théorie de…