Par Fabienne Jault-Seseke, Professeur des Universités en Droit Privé, Université Paris Saclay (Versailles Saint-Quentin)

Le 6 octobre 2020, la Cour de justice de l’Union européenne a rendu deux arrêts remarquables en matière de protection des données personnelles (aff. jointes C-511/18, C-512/18, C-520/18 et aff. C-623/17). Elle y confirme sa jurisprudence Tele2 (CJUE, 21 déc. 2016, aff. jtes C-203/15 et C-698/15) de 2016, selon laquelle imposer aux fournisseurs d’accès une « obligation généralisée et indifférenciée » de collecte et de conservation des données est contraire au droit de l’Union. Elle reste ferme face aux États membres qui tentent d’imposer une surveillance générale des données personnelles en invoquant la nécessité de lutter contre la menace terroriste.

Ces arrêts qui concernent les métadonnées (identité de l’émetteur et du destinataire de la communication, localisation de l’émission, durée, date et heure) et non le contenu de la communication prennent un relief particulier au regard de l’actualité. En quelques semaines, la France a été victime de trois attentats terroristes et le chef de l’État annonce vouloir améliorer la coopération dans le domaine du renseignement (Le Monde du 7 novembre). Les techniques de renseignement et l’accès aux données personnelles sont étroitement liés. Le droit français impose aux fournisseurs de services de communications électroniques de conserver les métadonnées, afin que les services de renseignement mais aussi d’autres autorités dans le cadre d’une information judiciaire puissent y avoir accès. Le droit belge est assez proche. Le droit anglais, quant à lui, impose à ces mêmes fournisseurs non la conservation mais la transmission aux services de sécurité et de renseignement des métadonnées.

La compatibilité de ces différentes règles avec la directive 2002/58/CE dite « vie privée et communication électronique » ou ePrivacy, lue à la lumière de la Charte de l’Union européenne, étant contestée, les juridictions de trois États membres (le Conseil d’État français, la Cour constitutionnelle belge et l’Investigatory Powers Tribunal anglais) ont décidé d’interroger la CJUE.

Les mesures de sûreté nationale relèvent-elles du droit de l’Union européenne ?

Cette question était posée par les juges anglais et français qui faisaient valoir que la sécurité nationale relève de la responsabilité exclusive de chaque État membre (art. 4 du Traité de l’Union européenne). Toutefois, le droit européen, à travers la directive ePrivacy, s’applique à l’activité des fournisseurs des services de communications électroniques. Les mesures de sûreté nationale qui conduisent à leur imposer des obligations doivent dès lors être appréhendées à l’aune des règles européennes. Si elles s’y révèlent contraires, le juge national doit les laisser inappliquées. La CJUE le précise alors même que la cour constitutionnelle belge sollicitait, pour des considérations de sécurité juridique, un report dans le temps des effets de sa décision.

La CJUE avait déjà admis, dans l’affaire Tele2 et plus récemment encore (CJUE 2 oct. 2018, Ministerio Fiscal, aff. C-207/16) l’application des règles européennes à des situations voisines. Néanmoins, en 2006, dans l’affaire dite du Passenger Name Records (PNR) (CJUE, grde ch., 30 mai 2006, aff. C-317/04), le traitement de données réalisé par les compagnies aériennes avait été considéré comme ne relevant pas du champ d’application de la directive 1995/46 (l’ancêtre du RGPD). Pour le justifier, il était argué que le traitement de données à l’occasion du PNR s’inscrit dans le contexte de la coopération entre l’Union européenne et les États-Unis, c’est-à-dire dans un cadre international où la dimension étatique de l’activité prévaut, alors que dans les affaires en cause comme dans les affaires Tele2 et Ministerio Fiscal, le cadre réglementaire dans lequel le traitement était mis en œuvre était purement national. L’argument ne convainc pas réellement. Plus pertinent est celui qui consiste à mettre l’accent sur l’auteur du traitement. En effet, c’est parce que l’ensemble des traitements de données à caractère personnel effectués par les fournisseurs de services de communications électroniques relève du droit européen (précisément de la directive ePrivacy), que les traitements qu’ils opèrent en vertu des mesures de sécurité nationale sont soumis aux règles européennes. La Cour ne dit pas autre chose dans les arrêts du 6 octobre lorsqu’elle apprécie la réglementation nationale imposant aux fournisseurs d’accès à des services de communication au public en ligne et aux fournisseurs de services d’hébergement une obligation de conservation des données à l’aune respectivement de la directive ePrivacy et du RGPD. Cette appréciation lui permet, après les arrêts Digital Rights Ireland (8 avril 2014, C-293/12 et C-594/12) et Tele 2, de condamner une nouvelle fois les politiques de surveillance de masse, y compris dans le contexte actuel de la lutte accrue contre le terrorisme : une obligation générale et non ciblée de conservation des métadonnées est excessive.

Où placer le curseur entre les politiques de lutte contre le terrorisme et la protection des données personnelles ?

En France, mais les pays voisins ne sont pas en reste, les lois sur le renseignement se sont succédé à un rythme soutenu. L’objectif est de permettre aux policiers, magistrats ou aux services de renseignement d’avoir un accès facile aux données. Il convient cependant, comme l’a exactement formulé l’Avocat général dans ses conclusions dans les affaires en cause, de respecter l’État de droit. Cela nécessite un examen minutieux de différentes hypothèses. Les solutions retenues ne sont pas dépourvues d’ambiguïté. Certes le principe d’interdiction de la conservation généralisée des données de connexion par les États membres de l’Union est réaffirmé mais les exceptions qui lui sont apportées sont nombreuses. Elles tiennent à la façon dont la Cour de justice met en œuvre le contrôle de proportionnalité dont elle est familière. La balance entre la protection des données personnelles et de la vie privée d’une part et l’intérêt public d’autre part peut pencher en faveur du second lorsqu’il est gravement menacé.
La Cour reconnaît que la conservation des métadonnées (trafic et localisation) « de manière indifférenciée » peut servir l’objectif de prévention de la menace grave pour la sécurité nationale. Elle doit cependant respecter trois conditions : être limitée dans le temps, être justifiée par une menace grave, réelle, actuelle ou prévisible pour la sécurité nationale, être opérée sous le contrôle effectif d’une juridiction ou d’une autorité administrative indépendante. La conservation des données « à la française » paraît en conséquence licite même s’il reste au juge national à s’assurer qu’elle est proportionnée à l’objectif de la sauvegarde de la sécurité nationale et qu’elle prévoit des garanties suffisantes. En revanche, la transmission généralisée et indifférenciée « à l’anglaise » est jugée contraire au droit de l’Union.
Dans cette même hypothèse de menace grave, réelle, actuelle ou prévisible pour la sécurité nationale, le traitement automatisé des données relatives au trafic et des données de localisation aux fins de prévention du terrorisme prévu par le code de la sécurité intérieure (CSI) et qui permet de filtrer la totalité des données afin de mettre en valeur les données ayant le paramètre recherché et d’identifier le cas échéant la personne est autorisé. Il constitue cependant une ingérence grave. En conséquence, il doit être encadré par la loi et respecter les garanties énoncées pour la conservation. En outre, les personnes concernées doivent en être informées à moins que cette information ne compromette la réalisation de l’objectif poursuivi. La Cour exige que l’algorithme utilisé pour le traitement soit fiable, qu’il ne se fonde pas exclusivement sur des données sensibles et qu’il soit régulièrement réexaminé. Au-delà, elle précise que le traitement automatisé ne peut conduire à l’adoption d’une décision individuelle préjudiciable à l’intéressé, sans qu’intervienne une personne humaine. Il s’agit d’un élément récurrent dans le débat sur l’éthique de l’intelligence artificielle.

En l’absence de menace grave pour la sécurité nationale, quelle marge de manœuvre reste-t-il aux États ?

En l’absence de menace grave pour la sécurité nationale, la conservation préventive des données de trafic et de localisation « excède les limites du strict nécessaire ». Elle ne peut concerner la totalité des individus, même lorsqu’est en cause la lutte contre la criminalité grave et la sécurité publique. La Cour de justice reprend ici sa jurisprudence Tele2. La conservation préventive suppose pour être licite qu’elle soit ciblée. Il convient donc de préciser « les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue ». La Cour illustre son propos en évoquant le cas des personnes qui ont été « préalablement identifiées… comme présentant une menace pour la sécurité publique ou la sécurité nationale de l’État membre concerné », ou les zones géographiques où le risque criminel est élevé. La prolongation de la conservation est exceptionnellement permise, lorsque les infractions pénales ou les atteintes à la sécurité nationale ont déjà été commises ou peuvent être raisonnablement soupçonnées. Encore faut-il qu’elle soit limitée dans le temps et ciblée sur les personnes soupçonnées, voire sur celles de leur entourage.
On relèvera encore que la conservation des données relatives à l’identité des utilisateurs peut plus facilement être justifiée que celle des adresses IP qui donnent accès à de nombreuses informations à travers le suivi de navigation de l’internaute.

Confronter les mesures de renseignement au droit de la protection des données personnelles s’apparente à un savant exercice d’équilibrisme. La CJUE s’y adonne scrupuleusement.