Dans cet arrêt french data network en date du 21 avril 2021[i], le Conseil d’Etat (CE) nous éclaire sur la conservation des données à l’aune des objectifs sécuritaires que la France s’est donnée. Outre le débat entre liberté de communication et sécurité nationale, cet arrêt s’inscrit également dans une réflexion portant sur la place du droit de l’union européenne au sein de notre ordre juridique.
En effet, comme l’a abordé le rapporteur public dans les premières lignes de ses conclusions[ii], l’arrêt french data network se situe dans un contexte marqué par le terrorisme. Ainsi, notamment en raison de ce contexte particulier, la question de la conservation des données et la réponse apportée par le CE trouvent toute leur pertinence.
Les différentes requêtes sur lesquelles le CE a statué par le présent arrêt, demandaient notamment l’annulation de la décision de refus du gouvernement, tendant à l’abrogation de l’article R. 10-13 du code des postes et des communications électroniques. Cet article oblige les operateurs de communications électroniques à conserver les données des utilisateurs « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ».
Les requérants soutenaient que cet article du code des postes et des communications électroniques était contraire au droit de l’union européenne puisque d’une part, il portait une « atteinte disproportionné au droit à la vie privée et familiale, au droit à la protection des données à caractère personnel et à la liberté d’expression garantie par la charte des droits fondamentaux de l’UE », et que d’autre part, il méconnaissait « l’article 15 du paragraphe 1 de la directive européenne 2002/58/CE tel qu’interprété par la CJUE ».
La question qui se posait était de savoir quels étaient les contours du régime de la conservation des données afin d’en comprendre les principes et les limites le régissant. C’est en se basant à la fois sur droit de l’UE et le droit interne, ainsi qu’en faisant preuve d’un raisonnement inédit, que le CE a défini ce régime. Nous verrons donc d’une part les préconisations du droit européen en matière de conservation des données (I) pour ensuite analyser plus précisément la décision du CE (II).
- La conservation des données et le droit de l’union européenne
Au fil des nombreuses questions préjudicielles posées par le CE, la Cour de Justice de l’Union Européenne (CJUE) s’est notamment prononcée sur la question de la conservation des données dans plusieurs arrêts en date du 6 octobre 2020[iii], dont l’arrêt « la quadrature du net » qui s’inscrit dans la lignée jurisprudentielle de l’arrêt « tele2 » du 21 décembre 2016, sur les métadonnées[iv].
- Le principe de l’interdiction de conservation générale et indifférenciée des données
Dans l’arrêt « la quadrature du net » par lequel la CJUE répond aux questions préjudicielles posées par le CE, les juges européens affirment que le droit de l’UE s’oppose à « une réglementation nationale permettant à une autorité étatique d’imposer, aux fins de la sauvegarde de la sécurité nationale, aux fournisseurs de services de communications électroniques la transmission généralisée et indifférenciée des données relatives au trafic et des données de localisation aux services de sécurité et de renseignement.».
Plus précisément, il s’agit donc de la transmission généralisée et indifférenciée des données, sans que celles-ci soient forcement relatives à une menace, que la Cour interdit. En ce sens, selon cet arrêt, la « communication par transmission généralisée et indifférenciée des données relatives au trafic et des données de localisation aux services de sécurité et de renseignement, excède les limites du strict nécessaire et ne saurait être considérée comme étant justifiée, dans une société démocratique » au regard du droit de l’UE. A contrario, seule la transmission ciblée et limitée dans le temps de données serait possible.
- Les exigences constitutionnelles comme exception
Toutefois, l’arrêt de la CJUE ne manque pas de redessiner les contours de cette interdiction. Toujours en interprétant notamment la directive 2002/58 sur la conservation des données et plus précisément son article 15, la CJUE affirme que les Etats membres peuvent adopter des mesures de conservation des données lorsque la situation le requiert. Par ailleurs, il est à souligner que cette limitation au principe doit être « appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale, la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par l’un de ces motifs. »
Il convient donc de s’intéresser à la mise en œuvre de la jurisprudence européenne par le droit interne.
- L’habile mise en œuvre du droit européen par le Conseil d’Etat
Les rapports qu’entretiennent les juges internes avec les juges européens ont évolué au fil de la jurisprudence. Ainsi, depuis son célèbre arrêt Arcelor de 2007[v], le CE avait expliqué avec pédagogie l’articulation du droit de l’UE et du droit interne à la lumière de l’office du juge administratif. Il convient de revenir très succinctement sur les règles générales d’application du droit de l’UE en droit interne (A), avant de s’intéresser plus précisément à l’application du droit de l’UE par le CE dans l’arrêt french data network (B).
- Les règles générales d’application du droit de l’UE par le CE
Dans le présent arrêt, le CE rappelle que le respect du droit de l’UE est une exigence en droit interne issue notamment de la constitution. Ainsi, en vertu du principe de primauté du droit de l’UE le juge a pour obligation d’assurer le plein effet du droit européen.
Le CE profite également de cet arrêt pour rappeler quelques lignes plus tard que la constitution est au sommet de l’ordre juridique interne auquel le droit de l’union européenne a été intégré. Par conséquent, selon le CE, il revient au juge administratif de retenir l’interprétation du droit de l’union européenne « la plus conforme aux exigences constitutionnelles ». Il est donc admis que le juge administratif s’autorise à interpréter le droit européen sans pour autant que celui-ci soit dénaturé.
- L’application du droit de l’UE en matière de conservation des données par le CE
De manière assez inédite, le gouvernement demandait au CE – au nom de la protection des exigences constitutionnelles – de ne pas tenir compte du droit européen, et par conséquent d’écarter la jurisprudence en la matière.
Tout d’abord, le CE se refuse de procéder à un contrôle « ultra vires » tendant à contrôler que le juge européen n’outrepasse pas sa compétence. Le refus du CE d’exercer ce type de contrôle sur l’action de la CJUE permet d’écarter l’hypothèse radicale selon laquelle nous serions passé d’un « dialogue des juges » à une « guerre des juges ». Par conséquent, si éventuellement rapport de force il y a ; celui-ci n’est pas ouvertement conflictuel. Le CE a donc préféré une interprétation habile de la jurisprudence de la CJUE à une remise en cause totale.
En usant du même raisonnement que celui utilisé dans le considérant de principe d’Arcelor et en l’étayant un peu, le CE affirme qu’il n’existe aucune norme de protection équivalente en droit de l’union européenne de la sécurité nationale à la lumière de la conservation des données. Dès lors, il lui revient de garantir les exigences constitutionnelles relatives à la sécurité nationale. En effet, en pratique, dès lors qu’il est reproché à un texte d’être contraire aux normes européennes, mais que sa mise en conformité reviendrait à mettre en péril des exigences constitutionnelles non protégées de manière équivalente par le droit de l’UE, le juge peut actionner le mécanisme de la clause de sauvegarde constitutionnelle. Ainsi, cela lui permettrait de contrôler la conformité des normes contestées au regard de la constitution et non du droit de l’UE. Pour autant, le CE n’étant pas dans la nécessité d’activer ce mécanisme, ne l’a donc pas fait.
En effet, conformément au droit de l’UE, le CE juge que la conservation des données de manière généralisée était rendue possible par la présence d’une menace grave. Ainsi, le droit national sur ce point était conforme au droit européen.
En outre, toujours en utilisant un raisonnement très pragmatique, sans pour autant réellement écarter en droit les normes européennes, le CE n’a pas manqué de souligner que la conservation ciblée et limitée était impossible en termes de données, dès lors qu’elle ne pouvait en pratique se limiter aux seuls criminels et anticiper ce type d’actes. En effet, « il n’est pas possible de prédéterminer les personnes qui seront impliquées dans une infraction pénale qui n’a pas encore été commise ou le lieu où elle sera commise. »[vi]. Ainsi, la question de la conservation indifférenciée ou non ne pouvait se poser.
Le CE conclu donc -notamment- tout de même à l’annulation partielle des disposions législatives contestées par le requérant et enjoint au gouvernement une mise en conformité avec le droit de l’UE, seulement au regard de certaine exigences formelles imposées par celui-ci (notamment la réévaluation régulière de la menace). Toutefois, son interprétation subtile lui permet de ne pas invalider le régime français de la conservation des données tout en respectant le droit européen.
CONCLUSION
Pour conclure cet article synthétique, qui ne peut prétendre être exhaustif sur l’arrêt french data network, nous pouvons souligner que cette jurisprudence aura aussi bien un retentissement politique que juridique. Le débat entre liberté est sécurité n’a fait que s’accroitre depuis les attentats de Charlie hebdo et la mise en place de l’état d’urgence, en passant par la crise sanitaire et ses mesures restrictives de liberté, ou encore la loi « sécurité globale ». En outre, au-delà de ce débat politique, la place qu’occupent les juges nationaux et européens dans la préservation de cet équilibre et l’articulation des normes européennes et nationales ne font qu’évoluer. La question du « dialogue des juges » ne manque pas de faire couler de l’encre.
Yasmine Dhaouadi
Hasna Daanoun
Jurisprudences :
[i] CE, 21 avril 2021, french data network[ii] CE, 21 avril 2021, french data network, conclusion du rapporteur public, M. Alexandre Lallet
[iii] – CJUE, 6 octobre 2020, la quadrature du net
CURIA – Documents (europa.eu) ;
[iv] CJUE, 21 décembre 2016, Télé2
CURIA – Documents (europa.eu) ;
[v] CE, 8 février 2016, Arcelor
Conseil d’État, 8 février 2007, Société Arcelor Atlantique et Lorraine et autres (conseil-etat.fr) .
Articles :
BERTRANT (Brunessen), dans Le club des juristes, « l’arret french data network du conseil d’Etat : un dialogue des juges en trompe l’œil », 8 mai 2021 ;
[vi] Conseil d’Etat, données de connexion : le Conseil d’État concilie le respect du droit de l’Union européenne et l’efficacité de la lutte contre le terrorisme et la criminalité,21 avril 2021 ;
CJUE, communiqué de presse n° 123/20, Arrêts dans l’affaire C-623/17 Privacy International, C-511/18 La Quadrature du Net e.a. et C-512/18, French Data Network e.a., ainsi que C-520/18 Ordre des barreaux francophones et germanophone e.a, le 6 octobre 2020.