III. LES LIMITES DES TENTATIVES FRANÇAISES DE MISE EN CONFORMITÉ
Si le législateur est déjà intervenu par deux fois pour mettre le droit national en conformité avec les règles issues de la jurisprudence européenne, force est de constater qu'il n'y est que très partiellement parvenu.
A. UNE CONSERVATION QUI DEMEURE GÉNÉRALE ET INDIFFÉRENCIÉE
Dans leur version en vigueur jusqu'en 2021, les articles L. 34-1 et R. 10-13 du code des postes et des communications électroniques mettaient en place un régime de conservation générale et indifférenciée des métadonnées, sans condition particulière. Contraire à la jurisprudence de la CJUE et à la Constitution1(*), ce dispositif a été d'abord aménagé par le Conseil d'État qui, par sa décision d'Assemblée French data network du 21 avril 2021, a adopté une position de constructivisme jurisprudentiel en considérant que, si la conservation générale et indifférenciée des données de trafic et de localisation était justifiée par des menaces pour la sécurité nationale, elle était contraire au droit de l'Union européenne dans la mesure où :
- elle n'était pas explicitement justifiée par l'existence de ces menaces et que son maintien en vigueur n'était pas conditionné à l'existence d'une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale. Le Conseil d'État a constaté l'existence d'une telle menace, mais exigé un réexamen périodique de celle-ci pour justifier ou non le maintien d'une conservation généralisée ;
- ses finalités n'étaient pas limitées à la sauvegarde de la sécurité nationale, à rebours des exigences posées par la CJUE pour les données de trafic et de localisation. Pour autant, s'agissant de la conservation des métadonnées à des fins de lutte contre la criminalité grave, le Conseil d'État a considéré que la conservation ciblée proposée par la Cour de Luxembourg « se [heurtait] à des obstacles techniques qui en compromettent manifestement la mise en oeuvre ». Il a ainsi estimé que les données de trafic et de localisation conservées par les opérateurs pouvaient être rendues accessibles, dans un cadre pénal, par le biais d'une injonction de procéder, pour une durée déterminée, à une « conservation rapide » de ces données dès lors que l'infraction concernée était « suffisamment grave pour justifier [une] ingérence dans la vie privée » : en d'autres termes, le Conseil d'État a reconnu la possibilité d'un accès aux données conservées aux fins de la sauvegarde de la sécurité nationale pour d'autres fins.
C'est en s'inspirant du modèle esquissé par le Conseil d'État que le législateur a modifié, dans le cadre de la loi n° 2021-998 du 30 juillet 2021 relative à la prévention d'actes de terrorisme et au renseignement, l'article L. 34-1 du code des postes et des télécommunications électroniques pour rénover l'obligation faite aux opérateurs de conserver les données de connexion en distinguant selon les catégories de données et les finalités de la conservation. La durée de conservation est ainsi fixée à un an pour la quasi-intégralité des métadonnées (à l'exception des données relatives à l'identité civile de l'utilisateur, conservées pendant cinq ans après l'expiration de son contrat) et la loi reconnaît la possibilité d'une telle conservation non seulement à des fins de sauvegarde de la sécurité nationale, mais aussi de la lutte contre la délinquance grave, traduction française de la « criminalité grave » mise en avant par la CJUE. L'article L. 34-1 ainsi réécrit précise par ailleurs que les données conservées par les opérateurs peuvent faire l'objet d'une injonction de conservation rapide par les autorités disposant, en application de la loi, d'un accès aux données relatives aux communications électroniques à des fins de prévention et de répression de la criminalité, de la délinquance grave et des autres manquements graves aux règles dont elles ont la charge d'assurer le respect.
S'il a permis de préserver l'essentiel du système de conservation français, et donc de protéger les capacités opérationnelles des services d'enquête, la conformité de ce dispositif au droit européen reste douteuse. Alors que le Président de la CJUE avait estimé, lors d'une audition de la commission des affaires européenne de l'Assemblée nationale le 18 mai 2021, que ce système était compatible avec les arrêts de la CJUE, la Cour elle-même semble avoir adopté une position différente dans des arrêts rendus en 2022 par lesquels elle a interdit aux autorités nationales d'accéder à une donnée pour une finalité présentant un intérêt « inférieur » à celui de la finalité pour laquelle la donnée a été conservée initialement.
* 1 Par une décision n° 2021-976/977 QPC du 25 février 2022, le Conseil constitutionnel a en effet jugé que l'article L. 34-1 précité, dans sa version antérieurement en vigueur faisant l'objet de la saisine, prévoyait une conservation qui s'appliquait « de façon générale à tous les utilisateurs des services de communications électroniques » et portait « indifféremment sur toutes les données de connexion relatives à ces personnes, quelle qu'en soit la sensibilité et sans considération de la nature et de la gravité des infractions susceptibles d'être recherchées », constituant une atteinte disproportionnée au droit au respect de la vie privée.