L'opérateur Free veut profiter de la dernière jurisprudence européenne pour faire cesser la conservation systématique des métadonnées.
La conservation des données est un terrain de jeu miné, comme toute notion juridique, de principes et d'exceptions, qui la rendent sujette à diverses interprétations. En la matière, il existe bien une réglementation, mais celle-ci semble depuis quelques mois se heurter à la jurisprudence de la Cour de justice de l'Union européenne qui, dans une série d'arrêts rendus le 6 octobre 2020, s'oppose à la conservation généralisée et indifférenciée des données de connexion par les différents opérateurs de télécommunications. Et voilà que Free saisit l'opportunité. Avec pédagogie, voyons cela de plus près.
Les dispositions législatives françaises entretiennent le flou autour de la rétention des métadonnées
Selon nos confrères de Next INpact, l'entreprise Free et l'opérateur Free Mobile ont demandé au Conseil d'État d'annuler purement et simplement l'article R10-13 du code des postes et des télécommunications. Que contient cet article, qui figure dans la section consacrée à la protection de la vie privée des utilisateurs de réseaux et services de communications électroniques, et que demande concrètement Free ?
L'article R10-13 offre la possibilité aux opérateurs télécoms, « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales », de conserver durant un an (à compter du jour de l'enregistrement) toutes les données qui permettent d'identifier un utilisateur, mais aussi celles qui aident à connaître les équipements utilisés, ainsi que la date, l'heure et la durée des communications visées. Le destinataire doit aussi pouvoir être identifié. Les activités de téléphonie justifient l'étendue, toujours selon cet article, de la conservation aux données de localisation et de l'origine de la communication.
Pourtant, on aurait pu croire que la France ne pratiquait pas une telle rétention de données. Car un peu plus haut dans le code des postes et des communications électroniques, en son article L34-1, on voit que « les opérateurs de communications électroniques, et notamment les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne, effacent ou rendent anonyme toute donnée relative au trafic ». Mais cela se fait « sous réserve des dispositions III, IV, V et VI ». Et le troisième alinéa de l'article L34-1 renvoie justement à l'article R10-13 dont nous parlions en début d'article.
Le principe d'une non-conservation vient ainsi très rapidement se heurter aux exceptions. Trop rapidement même, selon la Cour de justice de l'Union européenne.
La France ne voudrait pas suivre la jurisprudence européenne
Nous n'irons pas jusqu'à dire que la demande de Free d'annuler l'article R10-13 place l'opérateur de Xavier Niel en position de force, mais il dispose d'éléments qui permettent justement de justifier juridiquement et de donner du crédit à cette requête auprès du Conseil d'État.
Pour comprendre tout cela, il faut un peu revenir en arrière, le 6 octobre 2020. Ce jour-là, la CJUE a rendu une série d'arrêts lui permettant de renforcer sa jurisprudence et de mettre un coup de frein à cette collecte de données. Ici, la juridiction basée au Luxembourg a confirmé que la transmission ou la conservation indifférenciée des données de connexion ne doit pas être systématique, mais doit relever d'exceptions. Ce qui vient confirmer le raisonnement d'un arrêt majeur, « Tele2 Sverige et Watson », rendu en 2016 et qui avait déjà consacré ce principe, mais un peu plus maladroitement, en raison de la directive européenne e-Privacy de 2002, qui offrait une grande marge de manœuvre aux États membres.
La France a librement interprété le droit européen et permet, depuis, la conservation des données par les opérateurs puis la communication aux autorités nationales (administrations, Hadopi, ANSSI, etc.), à des fins de constatation et de poursuite des infractions pénales, outre la sauvegarde de la sécurité nationale. Dans les arrêts d'octobre 2020, la CJUE s'oppose aux réglementations nationales trop larges, comme celle de la France. Elle se prononce ainsi contre une « réglementation nationale prévoyant à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ».
Le souci, selon Next INpact, c'est que la France ne souhaiterait pas vraiment suivre la dernière jurisprudence européenne. Nos confrères affirment que le gouvernement français essaierait de contourner la CJUE, en demandant à la plus haute juridiction administrative française, le Conseil d'État, de ne pas suivre l'esprit des arrêts.
La CJUE a bien précisé les conditions pour une conservation des données de connexion
Dans ses arrêts rendus à l'automne dernier, la Cour de justice de l'Union européenne a davantage précisé (que dans le passé) les conditions dans lesquelles les États membres de l'UE peuvent obligatoirement demander la conservation des données de connexion.
Celle-ci doit d'abord être limitée dans le temps au strict nécessaire. Elle ne doit aussi être justifiée que par une menace grave pour la sécurité nationale, à la fois « réelle, actuelle ou prévisible », et ne doit donc pas être fondée sur de simples soupçons. La CJUE estime aussi que cette obligation doit s'opérer sous le contrôle d'une juridiction ou d'une autorité administrative indépendante, dont les décisions peuvent être contraignantes. Pour la Cour, il doit toujours exister « une raison valable de soupçonner » les personnes dont les données sont recueillies en temps réel et qui sont liées à des activités de terrorisme. Les données conservées sur une certaine durée ne peuvent l'être qu'à des fins d'élucidation de graves infractions pénales ou d'atteintes à la sécurité nationale, après avoir été constatées ou au moins « raisonnablement soupçonnées ».
Source : Next INpact
