Conservation des données : le Conseil d’État osera-t-il défier la CJUE ?

Posted on


Paris, le 10 février 2016 — Alors que le Conseil d’État doit rendre ce vendredi une première décision dans ce dossier brûlant1Le 12 février prochain à 14 heures, le Conseil d’État doit rendre une première décision sur le recours contre le décret LPM, Privacy International (PI) et le Centre for Democracy and Technology (CDT) ont soumis un mémoire, dans le cadre d’une tierce intervention visant à soutenir les recours initiés par FDN, FFDN et La Quadrature du Net. L’enjeu : obtenir l’abrogation des dispositions imposant la conservation généralisée des métadonnées en France, et permettre à la Cour de justice de l’Union européenne de jouer pleinement son rôle de garante des droits fondamentaux.

Un mot sur le contexte

Dans les semaines qui suivirent les attentats du World Trade Center en septembre 2001, et ceux de Londres et Madrid en 2004 et 2005, plusieurs pays dont la France adoptèrent des lois visant à la conservation généralisée des données de connexion. L’Union européenne de son côté adopta la directive n° 2006/24/CE du 15 mars 2006, imposant le principe de conservation généralisée des données de connexion à l’ensemble des États membres de l’Union, avec une durée de conservation pouvant aller de six mois à deux ans.

Or, dans l’arrêt Digital Rights du 8 avril 2014, la Cour de justice de l’Union européenne (CJUE) a invalidé cette directive, alors que ses atteintes au droit à la vie privée avaient déjà été dénoncées par les juridictions constitutionnelles ou administratives de plusieurs États membres, les juges nationaux estimant que ces dispositions emportaient une ingérence disproportionnée dans la vie privée et la liberté de communication de leurs citoyens. Tel fut le cas de la Roumanie (2009), de l’Allemagne (2010), de la Bulgarie (2010), de Chypre (2011) et de la République Tchèque (2011).

Le 24 décembre 2014, Le Gouvernement français adoptait le décret dit « LPM2Décret n° 2014-1576 du 24 décembre 2014 relatif à l’accès administratif aux données de connexion. ». C’est contre ce décret que les « exégètes amateurs3Sobriquet donné par J.J. Urvoas au groupe d’activistes issus des trois associations précitées. Les exégètes se mobilisent contre les abus gouvernementaux attentatoires aux libertés sur internet. » ont introduit leur premier recours. Par la suite, ils ont initié un autre recours visant cette fois-ci le refus du Gouvernement d’abroger :

  • l’article R. 10-13 du code des postes et communications électroniques (CPCE) ;
  • le décret n°2011-219 du 25 février 2011, qui modifie les dispositions relatives aux réquisitions judiciaires prévues à l’article 6 de la Loi pour la Confiance dans l’Economie Numérique (LCEN), du 21 juin 2004 (loi n°2004-575).

Ces deux recours visent au même but, à savoir faire constater la contrariété au droit européen des mesures de surveillance généralisée instituées par le droit français et revenir à un dispositif plus ciblé et donc plus proportionné. Dans leur tierce intervention, Privacy International et CDT analysent la jurisprudence tant de la Cour de justice de l’Union européenne (CJUE) que de la Cour européenne des droits de l’homme (CEDH) et rappellent que, suite à l’arrêt Digital Rights, de nombreux tribunaux à travers l’Europe ont invalidé les dispositions de droit national4Quelques exemples :

  • En juin 2014, la Cour constitutionnelle autrichienne a déclaré invalide la majeure partie de la loi nationale. Les opérateurs ont immédiatement cessé de conserver les données concernées ;
  • Le 3 juillet 2014, la Cour constitutionnelle slovène a annulé la décision de conservation des données. Les trois griefs principaux soulevés par la Cour sont la conservation massive et sans discrimination d’une partie significative de la population sans justification, l’absence de motivation de la durée de conservation (8 mois pour les données de connexion à Internet), l’utilisation pour d’autres motifs que les « crimes sérieux » ;
  • En Roumanie, la première loi de transposition nationale avait été invalidée par la Cour constitutionnelle dès 2009. Le gouvernement avait adopté une nouvelle loi en 2012. Le 8 juillet 2014, la Cour constitutionnelle a déclaré que la loi de 2012 était également inconstitutionnelle ;
  • En Bulgarie, la Cour constitutionnelle a déclaré la loi nationale inconstitutionnelle le 12 mars 2015 ;
  • Aux Pays-Bas, la loi néerlandaise imposait une conservation des données pour une durée de 6 à 12 mois, avec des durées différentes selon les types de données. Suite au recours d’une coalition d’ONG, le 11 mars 2015, le tribunal de première instance de La Haye a donné raison à la société civile et a invalidé la loi de 2009 en matière de conservation des données.
  • Enfin, en Belgique, la Cour constitutionnelle a jugé le 12 juin 2015 que la loi de transposition nationale, adoptée en juillet 2013, « par identité de motifs avec ceux qui ont amené la Cour de justice de l’Union européenne à juger la directive “conservation des données” invalide », et en particulier en raison du caractère généralisé et indifférencié de la conservation, le législateur avait violé la Charte des droits fondamentaux et, partant, la Constitution belge.

.

Il revient donc au Conseil d’État de faire de même. À défaut, ce dernier devrait au moins saisir la CJUE pour s’assurer que le droit français en la matière respecte le droit de l’Union européenne. Cela paraît d’autant plus indispensable que deux renvois préjudiciels visant à préciser l’arrêt Digital Rights sont actuellement pendants devant la CJUE. S’il validait le dispositif de surveillance français, le Conseil d’État s’inscrirait non seulement à contre-courant d’une jurisprudence européenne déclinée par les cours suprêmes de nombreux États en Europe, mais tournerait aussi le dos à deux éléments constitutifs de l’Union européenne, à savoir la Charte des droits fondamentaux d’une part et le dialogue des juges d’autre part.

Vers un pied-de-nez à la CJUE ?

Or, une audience a déjà eu lieu le 27 janvier 2016 au Conseil d’État sur le recours contre le décret LPM. À cette occasion, le rapporteur public s’est opposé à ce que le Conseil d’État demande à la CJUE d’évaluer la conformité du droit français à la Charte. Selon lui, cela ne serait pas opportun puisque « en tout état de cause » le dispositif français devrait être validé parce que plus précis que la directive de 2006 invalidée par la CJUE.

Cette argumentation extrêmement politique est d’autant plus choquante qu’elle va à l’encontre de plusieurs décisions de justice dans d’autres pays européens5Demande de décision préjudicielle présentée par la Kammarrätten i Stockholm (Suède) le 4 mai 2015 – Tele2 Sverige AB / Post- och telestyrelsen (Affaire C-203/15) : «  Une obligation générale de conservation de données, relative à toute personne et à tous les moyens de communication électronique et portant sur l’ensemble des données relatives au trafic, sans qu’aucune différenciation, limitation ni exception ne soient opérées en fonction de l’objectif de lutte contre la criminalité [telle que décrite dans la décision de renvoi], est-elle compatible avec l’article 15, paragraphe 1, de la directive 2002/58 1 compte tenu des articles 7, 8 et 52, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne ?
S’il est répondu par la négative à la première question, une telle obligation de conservation peut-elle néanmoins être admise :

  • si l’accès par les autorités nationales aux données conservées est encadré de la manière précisée [dans la décision de renvoi], et
  • si les exigences de protection et de sécurité des données sont régies de la manière précisée [dans la décision de renvoi], et que
  • toutes les données en question doivent être conservées pendant six mois à compter du jour de l’achèvement de la communication avant d’être effacées, comme il l’est exposé [dans la décision de renvoi] ? »

    • , d’un rapport des services juridiques du parlement européen, mais aussi des propos tenus dans le rapport annuel 2014 du Conseil d’État lui-même, lequel reconnaissait que l’applicabilité de la Charte ne pouvait être écartée d’un revers de la main !6RICHARD, Jacky et CYTERMANN, Laurent, 2014. Le numérique et les droits fondamentaux Les rapports du Conseil d’État. S.l. Conseil d’État. [Consulté le 29 mai 2013]. Études du Conseil d’État, p. 200. Disponible ici.

    Le 12 février prochain à 14 heures, le Conseil d’État doit rendre une première décision sur le recours contre le décret LPM. Si les juges français devaient valider le dispositif français ou s’opposer à la saisine de la CJUE, cela serait non seulement l’expression d’une profonde défiance à l’égard de la CJUE, mais aussi un véritable déni de justice pour les citoyens français.

    Alors qu’un débat mondial se tient contre les mesures de surveillance d’Internet et que, partout en Europe, des tribunaux poussent à une refonte des législations nationales pour tenir compte de la jurisprudence de la CJUE, le rejet de l’action introduite par FDN, la FFDN et La Quadrature du Net marquerait un recul historique de plus pour l’État de droit en France. Il s’agirait enfin d’une énième expression de la crise historique que traverse la construction européenne.

    Pour plus d’information, vous pouvez retrouver :

    • L’annonce officielle de son intervention au recours par CDT ;
    • La demande d’abrogation de l’article R. 10-13 du code des postes et communications électroniques (CPCE) et du décret n°2011-219 du 25 février 2011, qui modifie les dispositions relatives aux réquisitions judiciaires prévues à l’article 6 le la Loi pour la Confiance dans l’Economie Numérique (LCEN), du 21 juin 2004 (loi n°2004-575) ;
    • Le recours LPM ;
    • Pour voir les autres recours des Exégètes Amateurs, c’est ici.

      • References

      References
      1 Le 12 février prochain à 14 heures, le Conseil d’État doit rendre une première décision sur le recours contre le décret LPM
      2 Décret n° 2014-1576 du 24 décembre 2014 relatif à l’accès administratif aux données de connexion.
      3 Sobriquet donné par J.J. Urvoas au groupe d’activistes issus des trois associations précitées. Les exégètes se mobilisent contre les abus gouvernementaux attentatoires aux libertés sur internet.
      4 Quelques exemples :

      • En juin 2014, la Cour constitutionnelle autrichienne a déclaré invalide la majeure partie de la loi nationale. Les opérateurs ont immédiatement cessé de conserver les données concernées ;
      • Le 3 juillet 2014, la Cour constitutionnelle slovène a annulé la décision de conservation des données. Les trois griefs principaux soulevés par la Cour sont la conservation massive et sans discrimination d’une partie significative de la population sans justification, l’absence de motivation de la durée de conservation (8 mois pour les données de connexion à Internet), l’utilisation pour d’autres motifs que les « crimes sérieux » ;
      • En Roumanie, la première loi de transposition nationale avait été invalidée par la Cour constitutionnelle dès 2009. Le gouvernement avait adopté une nouvelle loi en 2012. Le 8 juillet 2014, la Cour constitutionnelle a déclaré que la loi de 2012 était également inconstitutionnelle ;
      • En Bulgarie, la Cour constitutionnelle a déclaré la loi nationale inconstitutionnelle le 12 mars 2015 ;
      • Aux Pays-Bas, la loi néerlandaise imposait une conservation des données pour une durée de 6 à 12 mois, avec des durées différentes selon les types de données. Suite au recours d’une coalition d’ONG, le 11 mars 2015, le tribunal de première instance de La Haye a donné raison à la société civile et a invalidé la loi de 2009 en matière de conservation des données.
      • Enfin, en Belgique, la Cour constitutionnelle a jugé le 12 juin 2015 que la loi de transposition nationale, adoptée en juillet 2013, « par identité de motifs avec ceux qui ont amené la Cour de justice de l’Union européenne à juger la directive “conservation des données” invalide », et en particulier en raison du caractère généralisé et indifférencié de la conservation, le législateur avait violé la Charte des droits fondamentaux et, partant, la Constitution belge.

      5 Demande de décision préjudicielle présentée par la Kammarrätten i Stockholm (Suède) le 4 mai 2015 – Tele2 Sverige AB / Post- och telestyrelsen (Affaire C-203/15) : «  Une obligation générale de conservation de données, relative à toute personne et à tous les moyens de communication électronique et portant sur l’ensemble des données relatives au trafic, sans qu’aucune différenciation, limitation ni exception ne soient opérées en fonction de l’objectif de lutte contre la criminalité [telle que décrite dans la décision de renvoi], est-elle compatible avec l’article 15, paragraphe 1, de la directive 2002/58 1 compte tenu des articles 7, 8 et 52, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne ?
      S’il est répondu par la négative à la première question, une telle obligation de conservation peut-elle néanmoins être admise :

      • si l’accès par les autorités nationales aux données conservées est encadré de la manière précisée [dans la décision de renvoi], et
      • si les exigences de protection et de sécurité des données sont régies de la manière précisée [dans la décision de renvoi], et que
      • toutes les données en question doivent être conservées pendant six mois à compter du jour de l’achèvement de la communication avant d’être effacées, comme il l’est exposé [dans la décision de renvoi] ? »

      6 RICHARD, Jacky et CYTERMANN, Laurent, 2014. Le numérique et les droits fondamentaux Les rapports du Conseil d’État. S.l. Conseil d’État. [Consulté le 29 mai 2013]. Études du Conseil d’État, p. 200. Disponible ici.

Posted in