Le Conseil constitutionnel se plie aux exigences de l’Union européenne en matière de protection des données de connexion

L’Institut international des droits de l’Homme et de la paix et l’Université de Caen Normandie s’associent pour une série de « Points de vue » exclusifs.

Le Conseil constitutionnel se plie aux exigences de l’Union européenne en matière de protection des données de connexion

par Marie BORDJI
Etudiante en Master Droit des libertés de l’UFR Droit
de l’Université de Caen Normandie

Affaire : Const., décision 2021-952 QPC du 3 décembre 2021, Omar Y.

I. – Textes

• Constitution française révisée, 4 novembre 1958
• Code de procédure pénale (art. 77-1-1, 77-1-2)
• Loi n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice
• Loi n° 2020-1672 du 24 décembre 2020 relative au Parquet européen, à la justice environnementale et à la justice pénale spécialisée
• Déclaration des Droits de l’Homme et du Citoyen de 1789 (art. 2)

II. – Contexte

L’avènement du numérique a bouleversé la notion de vie privée, notamment par l’utilisation croissante des données personnelles. Elles ont ainsi été définies comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement » (loi n°78-17, 6 janv. 1978). Ces données occupent une place de plus en plus importante dans les enquêtes policières et les opérations de renseignement. Source d’éléments de preuve, elles fournissent des informations concrètes sur les personnes en cause : localisation, contacts téléphoniques et numériques, services de communications en lignes. C’est pourquoi, elles sont qualifiées d’élément de la vie privée par le Conseil constitutionnel, notamment dans la décision en cause.

La Cour de Justice de l’Union européenne (ci-après CJUE) a été saisie de cette problématique. En 2014, elle a invalidé la Directive 2006/24/CE, 15 mars 2006 (CJUE, 8 avril 2014, Ireland et Seitlinger e.a, C-293/12 et C-594/12). La CJUE a estimé que ce texte, en permettant la conservation des données de connexion par les opérateurs, et leur possible communication aux autorités, permet des ingérences graves dans le droit à la vie privée. Pour autant, les garanties prévues ne sont pas suffisantes à assurer leur proportionnalité avec l’objectif recherché de lutte contre les infractions graves. Elle relève notamment que l’accès aux données conservées par les autorités nationales n’est pas subordonné à un contrôle préalable effectué par une juridiction ou une entité administrative indépendante.

En France, est posée une obligation de conservation des données d’un an à la charge des opérateurs depuis 2011 (Décr. n°2011-219, 25 févr. 2011, art. 3). Celle-ci concerne toutes les données de connexion, c’est-à-dire celles qui permettent de répondre aux questions : Qui ? Quoi ? Où ? Comment ? Mais les informations ne portent pas sur le contenu du message. Aujourd’hui, cette exigence est prévue par le décret n° 2021-1362 du 20 octobre 2021. Il va encore plus loin en imposant la conservation des données de connexions relatives à l’identité civile de l’individu pendant cinq ans. Jusqu’en 2015, ces informations étaient accessibles à des agents désignés individuellement et ce, dans le cadre de la lutte contre le terrorisme (art. L34-1 abrogé du code des postes et des communications électroniques). Mais, à la suite des attentats de Paris, la France se dote de la loi 2015-912, 24 juillet 2015 qui élargit les autorités ayant accès à ces données. Elle instaure les articles L821-3 et -4 du Code de sécurité intérieure qui permettent aux membres des services de renseignement d’opérer une demande d’accès aux données. Celle-ci est adressée à la Commission nationale de contrôle des techniques de renseignement qui rend un avis simple. La décision est ensuite adoptée par le premier ministre.

Le législateur français ne fait pas le choix de s’accorder à la jurisprudence européenne. A l’inverse, en élargissant l’accès aux données il accentue la non-conformité. En 2019, il persiste dans cette voie par l’adoption de la loi de réforme de la justice (loi n°2019-222, 23 mars 2019), puis par la loi n°2020-1672 du 24 décembre 2020. Ces lois instaurent respectivement les articles 77-1-1 et 77-1-2 dans le code de procédure pénale (ci-après CPP), qui permettent au procureur, ou à un officier ou agent de police judiciaire sur autorisation du procureur de requérir, auprès d’organisme privé ou public des données de connexion.

III. – Analyse

La Cour de cassation a transmis au Conseil constitutionnel une question prioritaire de constitutionnalité (ci-après QPC) (Cass. crim. 21 sept. 2021, 21-90.032) par laquelle le requérant met en cause l’absence de contrôle juridictionnel préalable aux réquisitions du procureur visant à recueillir des données de connexion conservées par des opérateurs. Il allègue que cela porte atteinte au droit de l’Union européenne, au droit à la vie privée, aux droits de la défense et au droit à un recours juridictionnel effectif.

Le Conseil constitutionnel va dans le même sens que le requérant. Son raisonnement est fondé sur la conciliation de deux éléments du bloc de constitutionnalité, à savoir l’objectif à valeur constitutionnelle (ci-après OVC) de recherche des auteurs d’infractions et le droit au respect de la vie privée.

Un élément déterminant de l’équilibre à établir entre les deux normes constitutionnelles tient au contrôle des actes et surtout aux personnes qui l’effectuent. Il s’agit ici du procureur de la République. Or, celui-ci est parti à la procédure, son impartialité est relative. Il semble donc étonnant qu’aucune autre garantie ne soit prévue.

En outre, ce manque de garantie n’est pas justifié par l’urgence, la gravité des infractions ou une limite de temps. En effet, le procureur a accès à ces informations dans le cadre d’une enquête préliminaire, qui est l’enquête de droit commun. Ainsi, le procureur peut bénéficier de ces informations pour n’importe quelle infraction.

Au regard de ces éléments, le Conseil constitutionnel déclare les dispositions en cause non conformes à la Constitution. Toutefois, en application de l’article 61-1 de la Constitution il considère que l’abrogation immédiate des dispositions en cause entrainerait des conséquences manifestement excessives et la reporte au 31 décembre 2021.

IV. – Portée

Dès la décision de la CJUE de 2014, la législation française n’était pas conforme aux exigences européennes. Or, conformément au principe de primauté (notamment établi par l’arrêt Costa c. Enel, aff 6/64), les Etats-membres de l’Union européenne doivent transposer dans leur droit interne les décisions de l’UE et de la CJUE. En dépit de cela, la France refusait de s’y soumettre et d’opérer les modifications nécessaires.

La présente décision s’inscrit dans une démarche déjà entamée par le Conseil constitutionnel. En 2019, il a été saisi de la loi de réforme de la justice (Cons. Const., décision 2019-778 du 21 mars 2019) et a censuré certaines techniques spéciales d’enquête visant à accéder à des données de connexion sans le consentement de la personne en cause. Le Conseil constitutionnel exerce ici le même contrôle de proportionnalité entre l’OVC de recherche d’auteurs d’infractions et le droit au respect de la vie privée. Il juge cette conciliation non équilibrée alors même que le législateur a prévu des garanties supplémentaires à la loi de 2020. En effet, il est prévu dans certains cas un contrôle du juge de la liberté et de la détention, mais le Conseil constitutionnel le juge insuffisant.

Cette décision est un premier pas, néanmoins elle est insuffisante au regard de la jurisprudence européenne. Ainsi, dans la décision du 6 octobre 2020, aff. C 511/18, C512-18 et C520/18, la CJUE réaffirme avec vigueur l’interdiction de la conservation « générale et indifférenciée » des données de connexion. La conservation des données doit être justifiée par des circonstances particulières de menace grave à la sécurité de l’Etat. Elle peut alors viser tous les utilisateurs des réseaux de communications mais doit être circonscrite à la stricte durée de temps nécessaire. Enfin, cette décision doit être contrôlée par une juridiction ou une entité administrative indépendante.

C’est donc seulement avec la décision de 2021 que le Conseil constitutionnel se plie aux exigences de la CJUE quant à la protection des données de connexion. Et ce, notamment en mettant en lumière le manque d’indépendance du procureur malgré sa qualité de magistrat de l’ordre judiciaire. Cette décision apparait logique. En effet, en plus d’être parti à la procédure, le procureur fait partie d’une hiérarchie, au sommet de laquelle se trouve le garde des sceaux. Cela permet d’accentuer son manque d’impartialité et ainsi la faible légitimité de son contrôle.