« En autorisant la conservation générale et indifférenciée des données de connexion, les dispositions contestées portent une atteinte disproportionnée au droit au respect de la vie privée ». Voilà le cœur de la décision rendue ce jour par le Conseil constitutionnel, qui intervient après plusieurs arrêts de la CJUE rendue dans le même sens. La fin d’une sempiternelle série ? Pas vraiment.
Cette décision est intervenue après une question prioritaire de constitutionnalité frappant un des piliers du Code des postes et des communications électroniques (CPCE) : l’article L34-1, du moins dans sa rédaction au 30 juillet 2021, avant l’entrée en vigueur d’une réforme intervenue depuis lors.
Dans cette version antérieure, l'article obligeait les intermédiaires techniques à conserver un an durant l’intégralité des données dites de connexion, à savoir en substance les « qui », « quand », « où », « comment », « à qui » de tous les appels et échanges électroniques.
Une vaste obligation de conservation justifiée notamment par « les besoins de la recherche, de la constatation et de la poursuite des infractions pénales », puisque ces précieuses informations étaient mises à disposition de l'autorité judiciaire pendant 12 mois.
C'est peu de le dire : la France a eu du mal à accepter la moindre remise en cause de ce régime, allant jusqu’à le défendre à la Cour de justice de l’UE comme en 2018 dans une note que nous nous étions procurée.
Dans le document, Paris indiquait ainsi que « la conservation des données techniques de communications électroniques, telles que les données de connexion ou de localisation, est strictement nécessaire pour garantir la disponibilité de ces données à des fins de préservation des intérêts vitaux de la sécurité nationale ».
L’an passé, en amont d’un arrêt du Conseil d’État rendu sur le sujet, le gouvernement allait jusqu’à inviter la juridiction administrative à opposer la souveraineté nationale et même l’identité constitutionnelle de la France pour ne pas appliquer la jurisprudence de la CJUE, qui par plusieurs arrêts a condamné cette conservation indifférenciée.
Vains efforts finalement puisque le Conseil constitutionnel vient ce matin de torpiller à son tour ce régime, en s’appuyant sur l’article 2 de la Déclaration des droits de l'homme et du citoyen de 1789 qui consacre le droit au respect de la vie privée et par une analyse de proportionnalité.
Une atteinte disproportionnée à la vie privée
Deux contraintes étaient sur les plateaux de la balance de proportionnalité du Conseil : d’un côté, le droit fondamental à la vie privée, de l’autre, « les objectifs de valeur constitutionnelle de sauvegarde de l'ordre public et de recherche des auteurs d'infractions ».
Cette version de l’article 34-1 du CPCE sous sa loupe, le Conseil constitutionnel n’a pas eu de mal à vérifier qu’ « en adoptant les dispositions contestées, le législateur a poursuivi les objectifs de valeur constitutionnelle de prévention des atteintes à l'ordre public et de recherche des auteurs d'infractions »… tout comme il n’a pas eu de mal à constater que l’autre plateau était tout simplement vide.
Les données de connexion en cause ici « portent non seulement sur l'identification des utilisateurs des services de communications électroniques, mais aussi sur la localisation de leurs équipements terminaux de communication, les caractéristiques techniques, la date, l'horaire et la durée des communications ainsi que les données d'identification de leurs destinataires ».
Un stock de données qui « compte tenu de leur nature, de leur diversité et des traitements dont elles peuvent faire l'objet » fournit « des informations nombreuses et précises, particulièrement attentatoires à leur vie privée » sur chacun des utilisateurs de ces moyens de communication.
Or, la conservation n’est pas seulement généralisée, elle est aussi indifférenciée en ce qu’elle « porte indifféremment sur toutes les données de connexion relatives à ces personnes, quelle qu'en soit la sensibilité et sans considération de la nature et de la gravité des infractions susceptibles d'être recherchées ».
Conclusion logique, mécanique, évidente : « en autorisant la conservation générale et indifférenciée des données de connexion, les dispositions contestées portent une atteinte disproportionnée au droit au respect de la vie privée ». Et ces dispositions se devaient donc d'être déclarées contraires à la Constitution.
Une déclaration d’inconstitutionnalité sans effet (ou presque)
En principe, une telle déclaration entraîne l’abrogation immédiate de la disposition litigieuse. De même, elle « doit bénéficier à l'auteur de la question prioritaire de constitutionnalité et la disposition déclarée contraire à la Constitution ne peut être appliquée dans les instances en cours à la date de la publication de la décision du Conseil constitutionnel ».
Si cette conservation a pu charpenter un dossier par exemple au pénal, une telle déclaration devrait logiquement entraîner la chute de l’édifice.
Prenant état que les morceaux de l’article L34-2 du CPCE ont été modifiés l’an passé, le Conseil relève qu’une remise en cause de son ancienne version « méconnaîtrait les objectifs de valeur constitutionnelle de sauvegarde de l'ordre public et de recherche des auteurs d'infractions et aurait ainsi des conséquences manifestement excessives ».
Les neuf Sages ont donc décidé que « ces mesures ne peuvent être contestées sur le fondement de cette inconstitutionnalité ».
En clair, la déclaration d’inconstitutionnalité sera sans effet sur les affaires en cours.
Le Conseil a d’une certaine manière sauvé le Titanic, en anesthésiant les effets de cette inconstitutionnalité. Si la gymnastique est d'opportunité, elle n’est pas pour autant une bouée suffisante. Quid par exemple d’une action devant la Cour de justice de l’UE pour dénoncer la législation française, peu en phase avec la jurisprudence de la maison ?
Un dialogue des juges
Lors de l’audience, l’invitation exprimée par Me Patrice Spinosi, représentant la Ligue des Droits de l'Homme et l'association des avocats pénalistes, semble en tout cas avoir trouvé un écho favorable.
L’avocat au Conseil avait en effet invité les Sages à engager un « dialogue des juges », plutôt qu’une « dispute » avec la CJUE, pour que les jurisprudences des uns et des autres s’accordent enfin, sans acte de résistance.
Pas plus tard qu’en octobre 2020, dans son arrêt La Quadrature du Net, la Cour de justice avait une nouvelle fois condamné la conservation généralisée et indifférenciée des données de connexion, non sans s’expliquer :
« La conservation des données relatives au trafic et des données de localisation à des fins policières est susceptible, à elle seule, de porter atteinte au droit au respect des communications (…) et d’entraîner des effets dissuasifs sur l’exercice par les utilisateurs des moyens de communication électroniques de leur liberté d’expression ».
Pour les juges européens, « de tels effets dissuasifs peuvent affecter en particulier les personnes dont les communications sont soumises, selon les règles nationales, au secret professionnel ainsi que les lanceurs d’alerte dont les activités sont protégées par la directive, (…) sur la protection des personnes qui signalent des violations du droit de l’Union. »
D'autres contentieux à venir ?
Seulement, le Conseil constitutionnel, ce matin n’a pas fait siennes les nuances apportées par la Cour de justice de l’Union européenne, lorsqu’elle avait notamment justifié une vaste conservation lorsque sont en jeu des motifs relevant de la menace grave pour la sécurité nationale.
Une exception tout autant « prise en compte par le Conseil d'État dans sa décision French Data Network » d’avril 2021, se souvient Matthieu Audibert, officier de gendarmerie et doctorant en droit privé et sciences criminelles. Qui relève également que cette exception se retrouve d'ailleurs dans la nouvelle version de l'article L34-1 du CPCE « en vigueur depuis le 1er août 2021 et qui n'est pas impacté directement par la décision du Conseil constitutionnel ».
De cette absence de nuance Me Alexandre Archambault en vient à deviner « en creux le sort susceptible d'être réservé à [cette] nouvelle version patchée » parce qu'elle « reste très générique sur le critère de gravité » (Cette législation a été mise en œuvre dans ce décret d’octobre 2021, publié après consultation publique).
« Même si la décision n’aura pas d'impact car la disposition [a été] abrogée depuis, le raisonnement du Conseil Constitutionnel est à analyser et lire à l'aune de la réglementation actuellement en vigueur. Sans doute de très prochaines futures QPC... » témoigne dans le même sens le député Philippe Latombe (MoDem).
Commentaires (23)
#1
“la conservation générale et indifférenciée des données de connexion et les dispositions
contestées portent une atteinte disproportionnée au droit au respect de la vie privée »
Voilà le cœur de la décision rendue ce jour par le Conseil constitutionnel…
très belle phrase !
reste plus qu’à l……..
#2
Pas d’effet sur les affaires en cours, mais les données ne concernant pas celles-ci doivent-elles être supprimées ?
Ou alors la conservation généralisée est toujours légale, mais ce sont les motifs de consultation des données qui sont réduits ?
#3
OSEF : comme à chaque fois que cette conservation a été déclarée illégale, on peut compter sur les sinistres du pays rance pour répondre par un beau doigt d’honneur et continuer quand même à tout conserver, parce qu’ils le veulent et le peuvent. Et ça continuera toujours comme ça (si on ne finit pas sous les décombres parce que Vladimir a décidé d’en finir avec l’UE comme il a décidé d’en finir avec l’Ukraine en tant qu’État, lequel disparaîtra ce week-end).
#4
Je ne suis pas sûr d’avoir bien compris : la décision bloque quand même la future conservation indifférenciée des données par les FAI, ou non ?
#5
Espérons que les prochaines QPC permettront de censurer la loi patchée sans attendre plusieurs années.
#6
En fait, non car l’article L34-1 CPCE a été ré-écrit depuis… https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000028345210/
et la France a pris 3 décrets en application de ce texte “nouveau” :
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000044228877 (decret dit “OCE”)
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000044228912 (décret dit “LCEN”)
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000044228976 (décret dit “sécurité Nationale”
Слава Україні 🇺🇦 Gloire à l’Ukraine
#7
Une question, les informations contenues dans les adresses URL que l’utilisateur visite font-ils parties des donnée techniques conservés ? Cela fait-il partie des “données de connexion” ? Bien que 95% des sites que nous visitons réellement prennent en chargent HTTPS, l’adresse reste assez bavarde et peut suffire à connaître les habitudes d’une personne en ligne, elle se fait juste de manière sécurisée.
#7.1
Non, car l’URL ne fait pas partie des données techniques à conserver. Grosso modo :
#8
https://www.sfr.fr/politique-de-protection-des-donnees-personnelles.html
Et j’imagine que les autres FAI font pareille, à moins que SFR collecte encore plus de données.
#8.1
Et pourtant…
Avec en prime :
Donc sur ce point, SFR fait largement du zèle, sauf s’ils se servent de ces données pour la facturation (pour les appels, je veux bien, pour les pages web consultées, je vois déjà beaucoup moins)
#9
En résumé SFR n’est pas dans la légalité et j’espère que les autres FAI ne suivent pas le même exemple, je suis chez Free et je n’ai lu nulle part dans leurs politiques que le contenu des échanges et des correspondances est conservé.
Ca ne sert même à rien pour les facturations, c’est de la collecte abusive, que le FAI stoque l’adresse IP, l’adresse MAC et les caractéristiques techniques de ton routeur Ok, ce ne sont pas des éléments qui nuisent réellement à la vie pivée, en revanche, même derrière HTTPS, les adresses URL visités sont des données hautement personnelles.
#10
Avec HTTPS, il n’est pas possible d’avoir les URLs. Uniquement l’adresse IP du serveur cible. On a donc, au mieux (ou au pire, cela dépend du point de vue !) que le site visité (et non les pages). Mais c’est déjà en soit une potentielle atteinte à la vie privée (si tu visites un site pour/contre l’avortement, un candidat à la présidentiel, etc… c’est déjà une information d’importance, qu’importe la page visitée)
#11
#12
Non. On ne peut voir que 51.159.27.198. Le nom de domaine n’est pas déterminable directement. Il faut faire une recherche inversée, et à condition de ne pas être derrière un service comme CloudFlare.
#13
Comme le DNS chiffré ? Parce que pour le lambda, je ne vois que ça, d’ailleurs ça ne sert à rien pour la sécurité et la vie privée.
#14
#14.1
Je suis sur de moi, c’est au niveau du fonctionnement même du protocole. HTTPS, c’est du HTTP encapsulé dans une connexion SSL/TLS.
L’URL (dont le nom de domaine) font partie de la couche protocolaire HTTP. C’est un protocole texte, les premières lignes seront du genre :
La première permet de préciser la page demandée. La seconde permet de préciser le domaine visé.
Du coup, la logique, c’est :
Tout ça, c’est dans le protocole HTTP. Le nom de domaine n’apparait pas au niveau de l’établissement de la connexion SSL/TLS. La seule chose dont on ait besoin pour établir une telle connexion, c’est l’adresse IP du serveur cible.
#14.2
Le nom de domaine apparait dans le champ SNI, qui permet d’héberger plusieurs sites sur la même IP, avec des certificats différents.
Il n’y a qu’avec ESNI (déprécié, et supprimé de Firefox), et ECH (implémenté dans Firefox Nightly, mais pas encore sur les serveurs hors test), que l’information est cachée.
#14.3
Tout à fait. Mais il faut que le SNI soit activé et surtout configuré aussi côté serveur (côté client, avec les navigateurs modernes, il l’est par défaut). Il y a de nombreux serveurs qui ne font pas cet effort, car tout simplement inutile. Il existe des alternatives (plusieurs adresse IP, plusieurs hosts dans le certificats, etc…).
[edit] j’ai quand même pris le temps de vérifier avant de dire des bêtises, et je dis des bêtises. Si effectivement, pour être utilisé, le SNI doit être activé et configuré par le serveur, le client l’envoi toujours, dès la première requête du handshake.
Donc, sur le principe, le nom de domaine fuite tout le temps, que le serveur utilise ou non SNI. J’étais persuadé que ce n’était que dans le cas où le serveur utilisait SNI
#15
#16
Ah, donc c’est bien ce que j’avais plus ou moins compris au départ ? En gros, même si selon le code des postes et des communications électroniques, le contenu des correspondances échangés et des informations consultés ne sont jamais conservés, techniquement le nom de domaine fuite et les personnes qui surveillent le traffic peuvent les consulter mais pas les conserver si la loi est respecté, ça ne signifie pas qu’ils regardent (ils ont d’autres choses à faire), juste qu’ils peuvent.
#16.1
C’est ça
#17
Il n’a pas était demandé au conseil constitutionnel d’exiger plus de précision sur les concepts flous comme la “préservation des intérêts vitaux de la sécurité nationale” ? Et d’avoir une liste de cas réels où la collecte à été nécessaire à “la préservation des intérêts vitaux de la sécurité nationale”. Et je dit bien un cas réel. Pour moi, s’il n’y a pas eu de cas, ce genre d’arme nucléaire législative n’a pas ça place…