La conservation généralisée et indifférenciée des métadonnées épinglée à la CJUE, avec nuance

L’avocat général de la Cour de justice de l’Union européenne répète que la conservation généralisée des « métadonnées » est incompatible avec le droit européen. Dans plusieurs affaires auscultées ce jour, il ouvre toutefois des brèches mesurées pour les services du renseignement, notamment.

En plein mois de juillet 2019, le Conseil d’État transmettrait plusieurs questions préjudicielles à la Cour de justice de l’Union européenne. En cause ? L’obligation de conservation généralisée et indiscriminée pesant sur les hébergeurs.

Ce stock est un vivier utile pour les services du renseignement ou les autorités judiciaires. Il est au contraire une atteinte aux droits et libertés aux yeux de la Quadrature du Net, FDN et d’autres acteurs sensibles à ces questions.

Deux arrêts avaient pourtant sonné la fin de la récréation. L’affaire Digital Rights de 2014 et celle dite Télé2 de 2016. En substance, la CJUE jugeait illicite « une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ».

Ces décisions conditionnaient au passage l’accès aux données de connexion par les autorités à la seule lutte contre la criminalité grave. En 2018, la même juridiction confirmait sa ligne, tout en la relativisant : une autorité peut accéder à une partie des données aux fins de lutter contre des infractions non graves, à condition que cet accès ne permette pas de tirer des conclusions précises sur la vie privée d’une personne. 

Mais avant de plonger plus loin dans les conclusions rendues ce jour, revenons sur l'obligation de conservation, et avant tout sur le périmètre des données concernées.

Qu’est-ce qu’une donnée de connexion, quelles obligations de conservation ?

En examinant la situation en France, on comprend rapidement l'ampleur du problème. La loi sur la confiance dans l’économie numérique, le Code des postes et des télécommunications électroniques et des décrets d’application obligent tous les « intermédiaires techniques », dont les FAI et hébergeurs comme YouTube ou Twitter, à conserver UN AN durant l’ENSEMBLE des données de connexion.

Derrière l’expression chimique, se cachent toutes les « métadonnées », à savoir les « qui, quand, quoi, où, comment » d’une activité en ligne, peu importe sa manifestation concrète (message, SMS, post, vidéo, son, photo, etc.). En cumulant les textes, on nage rapidement dans un océan d’informations. Qu’on en juge, suivant la typologie des acteurs :

Les opérateurs de communications électroniques :

• Les informations permettant d'identifier l'utilisateur, notamment pour les besoins de facturation et de paiement
• Les données relatives aux équipements terminaux de communication utilisés
• Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication
• Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs
• Les données permettant d'identifier le ou les destinataires de la communication

Les opérateurs de téléphonie :

• Les données permettant d'identifier l'origine et la localisation de la communication
• Les données permettant d’établir la facturation

Les « opérateurs » :

• Les données permettant d'identifier l'origine de la communication
• Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication
• Les données à caractère technique permettant d'identifier le ou les destinataires de la communication
• Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs

Les FAI :

• L'identifiant de la connexion
• L'identifiant attribué par ces personnes à l'abonné
• L'identifiant du terminal utilisé pour la connexion lorsqu'elles y ont accès
• Les dates et heure de début et de fin de la connexion
• Les caractéristiques de la ligne de l'abonné

Les FAI et les hébergeurs :

Au moment de la création du compte :

• l'identifiant de cette connexion
• Les nom et prénom ou la raison sociale
• Les adresses postales associées
• Les pseudonymes utilisés
• Les adresses de courrier électronique ou de compte associées
• Les numéros de téléphone
• Les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour

Lorsque la souscription du contrat ou du compte est payante, les informations suivantes relatives au paiement, pour chaque opération de paiement :

• Le type de paiement utilisé
• La référence du paiement
• Le montant
• La date et l'heure de la transaction.

Bref, tout, absolument tout... sauf le contenu des messages. Et c’est sur ce stock imposant que la loi Renseignement de 2015 a aiguisé les pouvoirs des services aux fins de les aider notamment à détecter d’éventuels indices de menaces terroristes (les fameuses « boites noires »). C’est sur ce même stock que les autorités judiciaires peuvent glaner des informations très précises pour lutter ou prévenir une infraction pénale.  

Des conclusions très fines sur la vie d’une personne, le cas du club échangiste

« Ces données (de connexion, NDLR), prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci » avait donc conclu la Cour de justice de l’Union européenne en 2014.

Le 14 avril de la même année, la députée Isabelle Attard avait pris un exemple plus frappant encore, afin de combattre les arguments de ceux soutenant que l’exploitation de ces données « de contenant » est tellement moins intrusive que celles des données « de contenus » :

« Vous vous êtes par exemple connectés à un site de rencontres échangiste ou fétichiste deux fois par jour pendant un mois, mais – nous dit-on – on ne sait pas du tout ce que vous avez écrit ou lu… Autre exemple, vous avez appelé Sida Info Service pendant douze minutes, puis un laboratoire d’analyses médicales pendant deux minutes. Une semaine plus tard, le laboratoire vous a rappelé. On ne sait pas ce que vous vous êtes dit, mais il vous a rappelé, et vous avez ensuite appelé votre médecin pendant quinze minutes, mais, encore une fois, on ne sait pas vraiment de quoi vous avez parlé. »

La FDN, FFDN et la Quadrature du Net avaient attaqué cette obligation de conservation devant le Conseil d’État, index tendu sur la contrariété de la législation française avec la jurisprudence de plus en plus bruyante de la Cour de justice de l’Union européenne.

Après trois années d'attente, la juridiction administrative avait daigné répondre en juillet 2019… en préférant en appeler une nouvelle fois à la cour luxembourgeoise par une salve de questions préjudicielles. Évidemment, le Conseil d’État avait pleine conscience des enjeux fondamentaux engagés dans un tel dossier, préférant envoyer la patate chaude à Luxembourg.

Les conclusions de l’avocat général

Aujourd’hui, l’avocat général Manuel Campos Sanchez-Bordona a rendu ses conclusions. C’est la dernière étape avant l’arrêt de la CJUE, attendu dans quelques mois.

Pour mémoire, ses conclusions ne sont pas impératives, la cour n’étant pas obligée d’en suivre le sens. Mais les juristes savent combien elles sont précieuses, les magistrats n’hésitant pas à les respecter religieusement.

Les questions posées sont simples, en substance : l’obligation généralisée de conservation des données de connexion est-elle conforme au droit européen ? Mieux, les utilisateurs doivent-ils être informés de ces opérations de collecte faite en sourdine encore aujourd’hui ? Est-il au surplus possible pour les services du renseignement d’effectuer des collectes en temps réel de ces informations, comme les données de géolocalisation d’une personne ?

Dans les premiers moments du développement de son « opinion », l’avocat général va estimer que ces obligations, quand bien même elles seraient utiles à la sécurité nationale, chasse gardée des États membres, relèvent bien du droit de l’Union. Il dit et redit ce que la CJUE a déjà affirmé : une telle conservation généralisée, indifférenciée des métadonnées, constitue une ingérence dans les droits fondamentaux (vie privée, etc.).

Reste à savoir si elle peut être acceptable, sachant qu’elle concerne aussi et surtout des personnes dont rien ne permet de croire qu’elles sont en lien, même indirect et lointain, avec des infractions gravissimes. Et pour cause, comme expliqué ci-dessus, le droit français ne fait pas dans la dentelle : tout est conservé, point.

Les États membres au chevet de cette obligation

Évidemment, rappelle l’avocat général, « presque tous les gouvernements qui sont intervenus dans la procédure ainsi que la Commission ont indiqué que, outre ses difficultés techniques, une conservation partielle et différenciée des données à caractère personnel priverait les services de renseignement nationaux de la possibilité d’accéder à des informations indispensables à l’identification des menaces pour la sécurité publique et la défense de l’État et pour poursuivre les auteurs d’attentats terroristes ».

À ce front uni, il oppose l'évidence : « si les pouvoirs publics étaient dotés d’instruments démesurés aux fins de la poursuite de l’infraction, leur permettant d’ignorer ou de dénaturer les droits fondamentaux, rien ne pourrait faire obstacle à ce que leur action incontrôlée et entièrement libre s’exerce en fin de compte au détriment de la liberté de tous ».

En clair, la lutte contre le terrorisme, qui n’est qu’une brique de justification de la conservation généralisée des données, ne peut tout autoriser. Et pour cause, le débat ne porte pas tant sur l’ « efficacité pratique » de cette conservation, mais sur son « efficacité juridique ».

Une conservation généralisée prohibée, en principe

Il en conclut que la conservation généralisée et indiscriminée est prohibée. Cependant, « il n’est pas impossible de déterminer avec précision et conformément à des critères objectifs tant les catégories de données dont la conservation est jugée indispensable que le cercle des personnes concernées ».

Il imagine donc que pour certains cas, l’obligation pourrait être justifiée auprès d’un groupe de personnes, concernant une certaine typologie de données, en lien avec une menace grave.

Reste à savoir comment concrétiser cette ventilation, problématique qui n’est pas vraiment du ressort de la cour.

Un contrôle préalable avant tout accès, sauf exception

L’accès différé aux données de connexion pose aussi problème s’il n’est pas correctement encadré. En principe, « sauf cas d’urgence dûment justifiés, l’accès aux données concernées [doit être] soumis au contrôle préalable d’une juridiction ou d’une autorité administrative indépendante dont la décision réponde à une demande motivée des autorités compétentes ».

Sur ce point, la loi Renseignement répond sans doute à cette logique, puisque les services doivent en principe saisir la Commission de contrôle des techniques du renseignement (CNCTR), sauf urgence. Seul hic, cette intervention ne génère qu'un avis et si la CNCTR estime que le Premier ministre ignore ses remarques ou critiques, elle peut saisir le Conseil d'Etat. Peut on parler d'un vrai contrôle préalable lorsque la CNCTR n'émet qu'un avis, plutôt qu'une vraie autorisation comme elle exige dans ce dossier (point 43) ? 

L’accès en temps réel aux données passe le cap

S’agissant de l’accès est en temps réel aux métadonnées, l’une des possibilités ouvertes toujours par la loi Renseignement, « cette technique n’implique pas de conservation généralisée et indifférenciée de données et vise à recueillir, pendant une durée limitée, les données de connexion qui pourraient présenter un lien avec une infraction à caractère terroriste ».

En somme, nous serions ici sur un débat qui ne concerne pas vraiment la problématique soulevée par les requérants. 

L’information préalable des personnes, oui mais...

Au point 147 des conclusions (longues de 74 pages), est abordée la question plus épineuse de l’information des personnes.

Comment autoriser le droit pour un citoyen de saisir la justice, et d'attaquer le recueil des données de connexion, si l'internaute, le client d'un opérateur ou d'un hébergeur ne sait pas que ce recueil a eu lieu ? 

En l'état, le Code de la sécurité intérieure autorise quiconque à saisir le Conseil d’État pour savoir, non s’il a fait l’objet d’une surveillance, mais seulement s’il y a eu des contrariétés avec la législation. Dans son opinion, l’avocat général pose que « pour autant que le cours des enquêtes au titre desquelles l’accès aux données conservées a été accordé ne soit pas compromis, la personne concernée doit être informée de cet accès ».

Quelles conclusions tirer ? 

Bref, au final, il estime que le droit européen « s’oppose à une réglementation nationale qui, dans un contexte marqué par des menaces graves et persistantes pour la sécurité nationale, et en particulier par le risque terroriste, impose aux opérateurs et aux prestataires de services de communications électroniques de conserver, de manière générale et indifférenciée, les données relatives au trafic et les données de localisation de tous les abonnés ainsi que les données permettant d’identifier les créateurs de contenus offerts par les fournisseurs de ces services ».

Le même droit s’oppose à une législation nationale qui ne prévoit pas un principe d’information des internautes lorsque des autorités recueillent leurs données, « compétentes pour autant que cette communication ne compromette pas l’action de ces autorités ».

Par contre, le recueil en temps réel de ces données n’est pas contraire au droit européen, « pour autant que ces actions soient menées conformément aux procédures prévues pour l’accès aux données à caractère personnel légalement conservées et avec les mêmes garanties ».

Victoire ou défaite de LQDN ?

Une grille de lecture rapide laisse entendre que les requérants ont eu plein et entier gain de cause. De fait, il faut nuancer : la France pourra toujours arguer de la persistance de la menace terroriste pour maintenir une vaste et gourmande obligation de conservation. Mais le ministère de l’Intérieur, maître de cette jauge comme on l'a vu durant l'état d'urgence, pourra-t-il indéfiniment secouer l’étendard anxiogène ?

S’agissant de l’obligation d’information des personnes dont les données ont été recueillies, on peut regretter aussi que l’opinion n’ait pas poussé plus loin ses suggestions.

Il aurait été utilement inspiré de signaler qu’une fois une procédure abandonnée, donc mettant fin aux mesures de surveillance par les services du renseignement ou sans plainte devant les autorités judiciaires, les internautes soient alertés que leurs données ont été ainsi traitées. Sans une telle solution, les autorités pourraient arguer que la collecte est potentiellement utile à une procédure en cours, dont l’issue est par définition incertaine.

Des considérations impérieuses peuvent justifier la conservation généralisée

Notons que ce jour, deux autres conclusions ont été rendues. L’une a été initiée suite à une procédure lancée en Belgique par l’ordre des barreaux francophone et germanophone notamment.

L’avocat général y reprend ses propos, expliquant au surplus qu’il revient aux juridictions nationales d’ausculter si l’accès des autorités a bien été justifié par des cas spécifiques et graves. Confirmation là encore des arrêts Télé2 et DigitalRights.

Il prévient qu’une législation nationale peut maintenir cette obligation de conservation « si ce maintien est justifié par des considérations impérieuses liées à des menaces pour la sécurité publique ou nationale auxquelles d’autres moyens ou solutions de substitution ne permettraient pas de parer ».

Il faudra donc des considérations impérieuses, bien au-delà du tout-venant infractionnel, pour qu’un État membre persiste dans la conservation généralisée. Nouvelle nuance : « ce maintien ne peut durer que le temps strictement nécessaire pour remédier à l’incompatibilité susvisée avec le droit de l’Union », insiste l’avocat général.

Et la surveillance de masse ?

Enfin, dans l’affaire Privacy International, il conclut à l’incompatibilité d’une législation qui impose aux fournisseurs la fourniture aux services du renseignement des « données de communication en masse », suite à une collecte généralisée et indifférenciée.

• Télécharger les conclusions Quadrature du Net, FDN et autres
• Télécharger les conclusions Ordre des avocats francophones et germanophones 
• Télécharger les conclusions Privacy International