Le dialogue des juges peut parfois se révéler un peu "rugueux". Cette formule de Bruno Lasserre, vice-président du Conseil d'État illustre parfaitement la décision French Data Networks et autres rendue par le Conseil d'État le 21 avril 2021.
Le juge administratif, saisi par différentes associations se donnant pour objet la protection des données personnelles, admet la légalité de plusieurs décrets de 2015 qui imposent aux opérateurs de télécommunication de
conserver pendant un an toutes les données de connexion des utilisateurs
pour les besoins du renseignement et des enquêtes pénales. En schématisant quelque peu, on peut définir ces données comme celles permettant de connaître l'identité de l'utilisateur du téléphone ou de l'ordinateur, celles donnant accès à ses interlocuteurs (les fadettes en particulier) et enfin les données de localisation permettant le "traçage" de la personne.
A cet égard, deux points de vue s'opposent de manière radicale. D'un côté, le gouvernement invoque les nécessités de la lutte contre le terrorisme et des enquêtes pénales pour justifier la conservation de ces données, pour une durée limitée à une seule année. De l'autre côté, les associations requérantes voient dans cet accès aux données personnelles un instrument de surveillance de masse qui devait, en tant que tel, disparaître de l'ordre juridique.
Les arrêts de la CJUE du 6 octobre 2020
Le recours a trouvé un appui particulièrement important, et c'est d'ailleurs ce qui fait tout l'intérêt de cet arrêt, dans trois décisions rendues sur questions préjudicielles par la Cour de justice de l'Union européenne (CJUE) le 6 octobre 2020. Elle était alors invitée, par le Conseil d'État lui-même, à préciser la portée des règles figurant la directive "vie privée et communications électroniques" ainsi que dans le règlement général sur la protection des données (RGPD.
L'analyse de la CJUE repose sur le principe selon lequel la conservation généralisée et indifférenciée des données de connexion, autres que les données d’identité, ne peut être imposée aux opérateurs que pour les besoins de la sécurité nationale en cas de menace grave. Lorsqu'il s'agit de répondre aux besoins des services de renseignement, la Cour exige d'ailleurs que l'accès soit autorisé par une autorité indépendante ou un juge. En matière de criminalité, elle opère une distinction entre les crimes graves, et ceux qui ne le sont pas. Seule est autorisée l'accès aux données de connexion dans le premier cas, lorsque des personnes présentent un risque particulier. Pour satisfaire aux exigences de la Convention de Budapest sur la cybercriminalité, la CJUE autorise toutefois un "gel" des données de trafic et de localisation sur une courte période, pour les besoins d'une enquête pénale.
Cette jurisprudence s'inscrit dans la ligne de la célèbre décision Digital Rights v. Ireland de 2014 qui avait invalidé une directive obligeant les fournisseurs d'accès à conserver les données relatives aux communications de leurs abonnées pour une "durée minimale de six mois et maximale de deux ans, (...) afin de garantir "la disponibilité de ces données à des fins de recherche, de détection et de poursuite d'infractions graves". Aux yeux de la CJUE, cette obligation de conservation constituait une ingérence excessive dans les droits des personnes, dès lors que la directive ne prévoyait pas un encadrement juridique susceptible de garantir qu'elle serait limitée "au strict nécessaire". Deux ans plus, la décision Tele 2 Sverige AB du 21 décembre 2016 avait repris une formulation à peu près identique pour sanctionner une "réglementation nationale prévoyant une conservation généralisée et indifférenciée (...)" de ces données.
Devant cette jurisprudence constante, les associations requérantes espéraient donc obtenir du Conseil d'État une soumission totale à la position de la CJUE et donc l'annulation des décrets dressant la liste des services autorisés à accéder aux données de connexion.
La position du gouvernement
Redoutant une telle solution, le gouvernement n'avait pas manqué de faire connaître sa position. Il avait d'abord donné des exemples d'utilisation de ces données, rappelé qu'elles avaient permis l'aboutissement de l'enquête pénale visant Nordal Lelandais pour l'assassinat du caporal Noyer, comme d'ailleurs celle sur les attentats terroristes de 2015 dans laquelle le "bornage" de la téléphonie a joué un rôle essentiel.
Mais ces éléments de fait n'étaient évidemment pas suffisant pour demander au Conseil d'écarter purement et simplement la décision de la CJUE. Le gouvernement s'élevait donc contre une ingérence de la Cour dans l'ordre constitutionnel français et dans des textes ne relevant pas de sa compétence, en particulier ceux régissant le fonctionnement des services de renseignement. L'argument avait certes été déjà écarté par la CJUE au motif que tout texte autorisant la conservation de données personnelles relevait de sa compétence, mais rien n'interdit au gouvernement de le formuler une nouvelle fois, de la même manière que rien n'interdit au Conseil d'État d'écarter une décision de la CJUE en se fondant directement sur l'ordre constitutionnel français.
Certes, mais la brutalité de ce rappel de la hiérarchie des normes n'était pas souhaitée par le juge administratif, d'autant qu'il avait lui-même posé la question préjudicielle ayant suscité les arrêts d'octobre 2020. Il a donc adopté une position en apparence plus souple, celle de la clause de sauvegarde constitutionnelle. Elle lui permet de parvenir au même résultat sans remettre en question la répartition des compétences entre l'Union et les États membres.
La supériorité de la Constitution
Le Conseil d'État affirme que "tout en consacrant l'existence d'un ordre juridique de l'Union européenne intégré à l'ordre juridique interne, l'article 88-1 de la Constitution confirme la place de la Constitution au sommet de ce dernier". Tout est dit, et le Conseil d'État entend ainsi réaffirmer la supériorité de la Constitution sur le droit européen.
Le juge administratif peut alors ajouter, et il convient de citer ce passage in extenso : " Dans le cas où l'application d'une directive ou d'un règlement européen, aurait pour effet de priver de garanties effectives l'une de ces exigences constitutionnelles qui ne bénéficierait pas, en droit de l'Union, d'une protection équivalente, le juge administratif, saisi d'un moyen en ce sens, doit l'écarter dans la stricte mesure où le respect de la Constitution l'impose". L'analyse est d'autant plus utile pour le Conseil d'État, qu'il s'attribue ainsi la compétence pour exercer le contrôle de l'équivalence des protections offertes par le système juridique.
Usage de la clause de sauvegarde
En l'espèce, le Conseil rappelle que la sauvegarde des intérêts fondamentaux de la nation, la prévention des atteintes à l'ordre public, la lutte contre le terrorisme et la recherche des auteurs d'infractions pénales sont des exigences constitutionnelles. Il ne fait guère de doute qu'elles ne bénéficient pas d'une protection équivalente en droit de l'Union, l'essentiel de ces domaines relevant de la compétence des États.
Le Conseil, là encore, n'affirme pas clairement que le droit de l'Union n'est pas équivalent à celui issu de l'ordre constitutionnel français. Il se borne à s'engouffrer dans une brèche ouverte par la CJUE elle-même, dans ses décisions d'octobre 2020. Elle affirmait alors, songeant à la menace terroriste, que la conservation pendant un an des données de connexion peut se justifier, en quelque sorte exceptionnellement, "si l'État fait face à une menace grave, réelle, actuelle ou prévisible". Le Conseil va donc tout simplement constater que cette menace existe en France de manière ininterrompue depuis les attentats de 2015. Il se limite alors à demander au gouvernement de justifier chaque année, par décret, de la permanence de cette menace. Ce décret s'analyse comme une pure formalité, d'autant qu'il sera contrôlé par le Conseil d'État lui-même.
Les associations requérantes voient dans cet arrêt la consécration d'un "état d'urgence permanent", formule destinée à frapper l'opinion. Mais au-delà de la controverse, l'arrêt illustre sans doute l'incompréhension qui, peu à peu, s'est développée entre l'Union européenne et les autorités des États membres. Ces dernières ne comprennent pas ce qu'elles considèrent comme une ingérence européenne dans des questions régaliennes touchant au renseignement ou à la justice. On peut d'ailleurs se demander comment la CJUE a pu sérieusement penser que les États renonceraient, en pleine période de menace terroriste, à utiliser des données de connexion qui leurs sont tout à fait indispensables. De toute évidence, le droit de l'Union n'est pas détaché des réalités qui sont celles des États membres.
Sur la protection des données : Manuel de Libertés publiques version E-Book et version papier, chapitre 8, section 5.