Le droit français organise une surveillance généralisée des internautes, en imposant aux intermédiaires techniques (FAI, hébergeurs, etc.) de conserver leurs données de connexion (notamment les adresses IP). Il est ainsi possible de savoir, dans une certaine mesure, quels internautes ont consuté tel ou tel contenu, et d’identifier les différents site Web visités par un internaute déterminé.

Cette obligation résulte notamment de l’article L. 34-1 du Code des postes et des télécommunications (CPCE) “les opérateurs de communications électroniques, et notamment les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne, effacent ou rendent anonyme toute donnée relative au trafic” sauf dans certains cas :

• Pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ;
• Pour les besoins de la facturation et du paiement des prestations de communications électroniques.

L’article R. 10-13 CPCE précise les données qui doivent être conservées pendant un an à compter de leur enregistrement :

• Les informations permettant d’identifier l’utilisateur ;
• Les données relatives aux équipements terminaux de communication utilisés ;
• Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
• Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
• Les données permettant d’identifier le ou les destinataires de la communication ;
• Pour les activités de téléphonie, les données permettant d’identifier l’origine et la localisation de la communication.

Outre cette obligation générale de surveillance, le droit français connaît aussi des obligations spéciales dans le domaine du renseignement. Ces obligations sont prévues par le décret n°2015-1185 du 28 septembre 2015, le décret n°2015-1211 du 1er octobre 2015, le décret n°2015-1639 du 11 décembre 2015.

Le droit européen, de son côté, interdit par principe la cybersurveillance. Celle-ci n’est autorisée qu’à titre exceptionnel, lorsqu’elle est nécessaire et proportionnée pour préserver certains intérêts supérieurs.

• L’article 5 de la directive 97/66 du 15 décembre 1997 énonce que “les États membres garantissent, au moyen de réglementations nationales, la confidentialité des communications effectuées au moyen d’un réseau public de télécommunications ou de services de télécommunications accessible au public. En particulier, ils interdisent à toute autre personne que les utilisateurs, sans le consentement des utilisateurs concernés, d’écouter, d’intercepter, de stocker les communications ou de les soumettre à quelque autre moyen d’interception ou de surveillance, sauf lorsque ces activités sont légalement autorisées, conformément à l’article 14, paragraphe 1.” ;
• L’article 15 de la directive 2000/31 du 8 juin 2000 dit que “les États membres ne doivent pas imposer aux prestataires, pour la fourniture des services visée aux articles 12, 13 et 14, une obligation générale de surveiller les informations qu’ils transmettent ou stockent, ou une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites.” et que “les États membres peuvent instaurer, pour les prestataires de services de la société de l’information, l’obligation d’informer promptement les autorités publiques compétentes d’activités illicites alléguées qu’exerceraient les destinataires de leurs services ou d’informations illicites alléguées que ces derniers fourniraient ou de communiquer aux autorités compétentes, à leur demande, les informations permettant d’identifier les destinataires de leurs services avec lesquels ils ont conclu un accord d’hébergement.” ;
• L’article 5 de la directive 2002/58 du 12 juillet 2002 énonce que “les États membres garantissent, par la législation nationale, la confidentialité des communications effectuées au moyen d’un réseau public de communications et de services de communications électroniques accessibles au public, ainsi que la confidentialité des données relatives au trafic y afférentes (…)” ;
• Enfin, les traitements des données de connexion, sur lesquels repose la surveillance, sont soumis au RGPD (Réglement 2016/679 du 27 aveil 2016).

La question de la conformité du droit français au droit européen était posée à la Cour de Justice de l’Union Européenne, qui parvient aux conclusions suivantes dans son arrêt du 6 octobre 2020 :

• l’obligation de “conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation” imposée par le droit français aux intermédiaires techniques est contraire au droit européen ;
• mais sont conformes au droit européen les mesures de surveillance généralisée en cas de menace grave pour la sécurité nationale, les mesures de surveillance ciblée pour “la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique”, dès lors que la durée de conservation des données est limitée à ce qui est strictement nécessaire et que les personnes concernées “disposent de garanties effectives contre les risques d’abus” ;
• et l’analyse automatisée et le recueil des données en temps réel est conforme au droit européen dès lors que “l’État membre se trouve confronté à une menace grave pour la sécurité nationale, qu’il est limité aux personnes à l’égard desquelles il existe une raison valable de soupçonner qu’elles sont impliquées d’une manière ou d’une autre dans des activités de terrorisme”, et qu’il existe un recours juridictionnel ou administratif effectif.

Il faut donc comprendre que la surveillance généralisée, par la collecte et la conservation de données de connexion, est contraire au droit européen, sauf lorsqu’elle est spécifiquement autorisée. Les autorisations sont des dérogations à la règle générale (point 115 de l’arrêt), si bien qu’elles doivent être limitées dans leur portée : la criminalité grave visée par la Cour n’est pas toute criminalité, de même que les menaces graves contre la sécurité publique ne concernent pas toutes les menaces et toutes les activités illicites.

La surveillance généralisée pourrait avoir, selon la Cour, des effets dissuasifs sur les personnes dont les communications sont soumises au secret professionnel et sur les lanceurs d’alerte (point 118). Elle constitue une restriction à la liberté d’expression. En outre, compte tenu du volume de données à conserver, il existe des risques d’abus et d’accès illicite (point 119), qui mettent en péril le droit à la vie privée.

Mais si la conservation des données de connexion porte préjudice aux droits des internautes, elle est parfois nécessaire pour la sauvegarde d’autres droits. Il faut alors mener une analyse de proportionnalité, désormais bien connue du droit européen, pour vérifier si l’atteinte portée à certains droits est justifiée eu égard à l’impératif de protection d’autres droits (point 127 et suivants).

C’est ainsi que la conservation généralisée et indifférenciée des données aux fins de la sauvegarde de la sécurité nationale doit être “effectivement limitée aux situations dans lesquelles il existe une menace grave” et la décision autorisant une telle conservation doit pouvoir être contestée en justice (point 139).

De la même manière, les données utiles à la lutte contre la criminalité ne peuvent être conservées que pour une “durée [qui] ne saurait dépasser celle qui est strictement nécessaire au regard de l’objectif poursuivi ainsi que des circonstances les justifiant” (point 151).

En revanche, les adresses IP et les données relatives à l’identité civile des utilisateurs de services en ligne peuvent être conservées sans délai particulier pour prévenir, rechercher, détecter et poursuivre des infractions pénale, sans condition de particulière gravité. Il y a là un paradoxe, la Cour considérant d’une part que les adresses IP sont des données moins sensibles que d’autres (point 152) et, d’autre part, que leur conservation permet des ingérances graves dans les droits fondamentaux des internautes (point 153)…

Conclusion. – L’arrêt de la Cour de justice du 6 octobre 2020 apporte peu à la compréhension des règles du droit européen gouvernant la collecte et la conservation des données de connexion. Le raisonnement de la Cour, mené sur plus de 80 pages (!), tente de concilier l’impératif de sécurité (lutte contre le terrorisme, délinquance en ligne…) avec la vie privée et la liberté d’expression des internautes, de manière abstraite et générale. Ce faisant, il échoue à fournir des règles de droit claires et faciles à mettre en œuvre, et introduit une forte dose d’insécurité juridique.

En effet, si le principe d’interdiction de la conservation des données de connexion est affirmé, il est également assorti d’exceptions au champ d’application tellement large que l’on peut se demander s’il a encore un véritable sens.

La situation est d’autant plus paradoxale que la Cour de justice a récemment annulé le Privacy Shield, au motif que le droit américain connaît des exceptions importantes aux principes de confidentialité et de sécurité des données qui permettent, pour la sauvegarde de la sécurité nationale, de collecter, conserver et analyser des données personnelles d’internautes européens…