La remise en cause de l’obligation de conservation des données d’identification à l’aune des libertés fondamentales

Conseil d’Etat, 10ème sous-section, arrêt du 20 novembre 2013
Conclusions de l’avocat général de la CJUE du 12 décembre 2013, affaires C-293/12 et C-594/12

Dans un arrêt du 20 novembre 2013, le Conseil d’Etat a confirmé la légalité du décret n°2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne.

Cette décision fait suite à un recours pour excès de pouvoir introduit par la société d’hébergement OVH et l’association « Internet sans frontière », contestant la régularité formelle du décret et invoquant la violation des principes fondamentaux relatifs, d’une part, à la légalité des délits et des peines et, d’autre part, au secret des correspondances et à la protection de la vie privée.

Rappelons que le décret du 25 février 2011 vient préciser l’étendue des obligations pesant sur les fournisseurs d’accès et les hébergeurs, telles que prévues par l’article 6 II de Loi pour la Confiance dans l’Economie Numérique, aux termes duquel ces derniers doivent détenir et conserver des « données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont [ils] sont prestataires ».

Cette obligation de conservation a pour objet de permettre d’identifier les internautes qui, du fait des contenus et contributions qu’ils ont mis en ligne sur un site internet, ont enfreint des dispositions législatives ou réglementaires ou les droits d’un tiers, le cas échéant, aux fins d’introduire à leur encontre des actions judiciaires pour rechercher leur responsabilité.

Sur la légalité interne du décret, les requérants considéraient que les dispositions de l’article 1er du décret énumérant les catégories de données devant être conservées relevaient du domaine législatif et étaient par conséquent entachées d’incompétence. Sur ce grief, le Conseil d’Etat retient « qu’en définissant ainsi la nature des données collectées par les fournisseurs d’accès internet et les hébergeurs, ainsi que le moment de leur collecte, le décret attaqué se borne à établir la liste limitative des données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont ceux-ci sont prestataires et qui doivent être conservées, conformément au souhait du législateur tel qu’exprimé au dernier alinéa du II de l’article 6 de la loi du 21 juin 2004 ».

Les requérants invoquaient également le non-respect des règles relatives à l’interdiction de l’interception des données ainsi que le non-respect des principes d’information et de recueil du consentement des personnes tels que prévus par la loi Informatique et Libertés. Le Conseil d’Etat rappelle toutefois que l’interdiction des interceptions ne s’applique pas lorsque ces activités sont légalement autorisées. De plus, le traitement de données à caractère personnel ne requiert pas non plus le consentement et l’information des personnes concernées lorsque sa mise en œuvre répond à une obligation légale et que les données traitées intéressent la sûreté de l’Etat, la défense ou la sécurité publique.

Sur ces fondements, la Haute Cour Administrative retient que « c’est à bon droit que le décret attaqué pris pour l’application de ces dispositions, qui fixe la liste limitative des données qui doivent être conservées par les fournisseurs d’accès internet et les hébergeurs, ainsi que la durée de leur conservation et les modalités de leur communication, ne prévoit ni d’informer, ni de recueillir le consentement des personnes concernées par les données collectées pour les finalités du traitement, sous le contrôle de la Commission nationale de contrôle des interceptions de sécurité (CNCIS) et de la Commission nationale de l’informatique et des libertés (Cnil) ».

La position du Conseil d’Etat est à rapprocher des conclusions présentées par l’avocat général de la CJUE le 12 décembre 2013 dans le cadre de deux demandes de décisions préjudicielles introduites par les juridictions allemandes et autrichiennes.

Dans ses conclusions, l’avocat général estime en effet que la directive 2006/24/CE sur la conservation des données est incompatible avec la Charte des droits fondamentaux aux termes de laquelle « toute limitation de l’exercice d’un droit fondamental doit être prévue par la loi ».

L’avocat général soutient que « la collecte et surtout la conservation, dans de gigantesques bases de données, des multiples données générées ou traitées dans le cadre de la plus grande partie des communications électroniques courantes des citoyens de l’Union constituent une ingérence caractérisée dans leur vie privée, quand bien même elles ne feraient que créer les conditions de possibilité d’un contrôle rétrospectif de leurs activités tant personnelles que professionnelles. » A cet égard, il souligne que l’exploitation de ces données peut permettre l’établissement d’une « cartographie aussi fidèle qu’exhaustive des comportements des personnes » voire d’un portrait complet et précis de leur identité pouvant donnant lieu à des utilisations potentiellement attentatoires à la vie privée.

L’avocat général ajoute en second lieu que la directive est incompatible avec le principe de proportionnalité puisqu’elle impose aux États membres de garantir qu’elles soient conservées pendant une durée dont la limite supérieure est fixée à deux ans alors qu’aucune justification suffisante ne démontre la nécessité d’une conservation au-delà d’une année.

Pour pallier cette ingérence, l’avocat général met en avant la nécessité de définir des principes fondamentaux permettant de régir la mise en place de garanties minimales telles que la description des activités criminelles susceptibles de justifier l’accès aux données, la limitation de l’accès aux seules autorités judiciaires, l’information a posteriori des personnes concernées par l’accès, l’effacement des données une fois leur utilité épuisée.

Il admet toutefois que les effets du constat d’invalidité de la directive puissent être suspendus le temps que le législateur communautaire adopte les mesures correctrices requises dans un délai raisonnable.

Bien que les conclusions de l’avocat général ne lient pas les juges communautaires mais visent uniquement à proposer une solution juridique dans l’affaire dont il est chargé, cette position a vocation à largement influencer l’interprétation des juges et pourrait profondément remettre en cause le fonctionnement des dispositifs utilisés par les fournisseurs de services de communication électronique pour la conservation des données de trafic et d’identification. L’arrêt de la CJUE devrait être rendu avant l’été 2014 sauf incident de procédure.

Sabine DELOGES

Téléchargez cet article au format .pdf

Confirmation en appel du statut d’éditeur d’un site de vente aux enchères et de parking de noms de domaine