Données de connexion : le Conseil d’Etat dit d’ajuster légèrement la loi française au droit européen

Données de connexion (comme l’adresse IP) ou données téléphoniques (comme le numéro), leur conservation est interdite. Mais il y a une exception obligeant les opérateurs et les hébergeurs à conserver ces données durant un an. Le Conseil d’Etat appelle le gouvernement à circonscrire cette rétention.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Décevante pour certains, équilibrée pour d’autres : la décision du 21 avril 2021 du Conseil d’Etat (1) – saisi en avril 2021 par les associations La Quadrature du Net, French Data Network et Igwan.net – a le mérite de procéder à une analyse précise du cadre règlementaire national relatif aux données de connexion, en opérant une distinction entre l’obligation de conservation et le droit d’accès à ces données. Pour se conformer à la jurisprudence européenne, des adaptations sont à prévoir – mais à la marge.

Rétention des données de connexion
Interdiction de principe. Les données de communication sont celles qui sont engendrées automatiquement par les communications effectuées via Internet (données de connexion) ou la téléphonie (données téléphoniques). Elles donnent des informations sur chaque message échangé (nom, prénom, numéro de téléphone pour les données téléphoniques, numéro IP pour les données de connexion). Egalement qualifiées de « métadonnées », elles représentent tout ce qui n’est pas le contenu lui-même de la communication, mais qui informe sur cette dernière (horodatage par exemple).
La conservation de ces données est interdite, en application de l’article L. 34-1 du code des postes et des communications électroniques qui impose leur effacement – voire l’anonymisation de « toute donnée relative au trafic » (2).
Cependant, il existe une exception à ce principe. L’article R10-13 du même code (3) impose aux opérateurs de communications électroniques, aux fournisseurs d’accès à Internet (FAI) et aux hébergeurs de conserver – pour une durée d’un an – toutes les données de trafic, de localisation et celles relatives à l’identité de leurs utilisateurs. Cette conservation se justifie pour les besoins d’une part, de la recherche, de la constatation et de la poursuite des infractions, notamment pénales, et, d’autre part, des missions de défense et de promotion des « intérêts fondamentaux de la nation » (indépendance, intégrité de son territoire, sécurité, forme républicaine de ses institutions, moyens de sa défense et de sa diplomatie, etc. (4)) confiées aux services de renseignement. Ainsi – et c’est bien ce que relève le Conseil d’Etat dans son arrêt du 21 avril 2021 –, il existe une obligation de conservation générale et indifférenciée des données de connexion. On retrouve dans la directive ePrivacy (5) (désormais abrogée) le principe et l’exception précités. En effet, le texte européen interdisait le stockage des communications et des données relatives au trafic (6), mais ouvrait la faculté pour les Etats membres d’adopter des mesures législatives visant à limiter la portée de cette interdiction (7).
Dans la continuité de plusieurs décisions antérieures, un arrêt du 8 avril 2014 de la Cour de Justice de l’Union européenne (CJUE) rappelle que la conservation des données de connexion constitue une ingérence profonde dans la vie privée des citoyens de l’UE (8). La Haute juridiction européenne exige en conséquence : de solides garanties, des textes clairs et une obligation circonscrite à la seule lutte contre les infractions graves. Elle a consolidé cette analyse le 2 mars 2021, en conditionnant les législations permettant l’accès des autorités publiques aux données de connexion « à des procédures visant à la lutte contre la criminalité grave ou à la prévention de menaces graves contre la sécurité publique » (9). Dans la suite de l’arrêt de la CJUE du 2 mars 2021, le Conseil d’Etat a pris position à son tour : il admet que la conservation généralisée et indifférenciée peut être justifiée dans un objectif de sécurité nationale. A ce titre, les risques d’attentats qui pèsent sur le pays, mais également les risques d’espionnage et d’ingérence étrangère, les risques d’attaques informatiques ou encore l’augmentation de l’activité de groupes radicaux et extrémistes constitueraient autant de menaces portant atteinte à la sécurité nationale. Il prévoit cependant que le gouvernement doit adapter la règlementation, dans les six mois, afin de prévoir un réexamen périodique de la menace, de manière à rectifier le dispositif.

Accès aux données de connexion
Mais cela ne modifie en rien l’obligation de conservation des données de connexion pour les opérateurs télécoms et fournisseurs d’accès et d’hébergement Internet, lesquels peuvent recevoir une demande d’accès de la part des services de renseignement. La lutte contre la criminalité légitime l’ingérence de l’Etat. Les services d’enquête doivent pouvoir accéder aux données de connexion afin de pouvoir remonter jusqu’à l’auteur de l’infraction. Cette modalité est parfaitement admise par la CJUE. Toutefois, si la finalité est légitime, la mise en œuvre interroge. Comment, en effet, circonscrire l’obligation de conservation des données de connexion à des infractions qui n’ont pas été commises, ou dont les auteurs n’ont pas encore été identifiés ? Une solution en fait impraticable. La finalité de la sécurité, même encadrée, conduit nécessairement à une conservation généralisée et indifférenciée des données par les opérateurs. En effet, elle soulève une difficulté opérationnelle. Obstacles techniques et ciblages Le Conseil d’Etat détaille lui-même l’ensemble des obstacles de nature technique et matérielle auxquelles font face les opérateurs, fournisseurs et hébergeurs. Ces derniers ne peuvent que difficilement effectuer un tri selon les personnes ou les zones géographiques. Il leur est également impossible d’identifier par avance une personne susceptible de commettre telle infraction, ou deviner un lieu où est susceptible de se dérouler telle autre.
Le Conseil d’État n’abroge pas pour autant la solution européenne (10). L’opportunité de la solution mise en avant par la CJUE – la conservation doit être ciblée sur certaines personnes soupçonnées ou des lieux spécifiques – n’est pas à proprement parler remise en question par le Conseil d’Etat. En revanche, il enjoint au Premier ministre de réviser les textes concernés (11) afin de circonscrire les finalités de l’obligation de conservation des données de trafic et de localisation à la seule sauvegarde de la sécurité nationale. Ce qui, selon le Conseil d’Etat, ne comprend pas les données d’identité civile, les coordonnées de contact et de paiement, les données relatives aux contrats et aux comptes, ainsi que les adresses IP qui, à elles seules, ne permettent pas d’obtenir d’information pertinente sur la communication. Le Conseil d’Etat valide également la légalité des techniques mises en œuvre par les services de renseignement.
L’accès en temps différé (12), l’accès en temps réel aux données de connexion en matière terroriste (13), la géolocalisation en temps réel (14), ou encore les fameuses boîtes noires ou traitements algorithmiques – à savoir les « traitements automatisés destinés, en fonction de paramètres précisés dans l’autorisation, à détecter des connexions susceptibles de révéler une menace terroriste » (15) – sont autant de techniques mises à la disposition des services de renseignement. Introduites dans le code de la sécurité intérieure (16) à la suite des attentats de 2015, leur légalité, fortement contestée à plusieurs reprises, a été questionnée de nouveau, sans infléchir la position du Conseil d’Etat qui admet leur conformité au droit de l’Union européenne (UE). Cependant, le recours à ces techniques doit être contrôlé par une institution dotée d’un pouvoir contraignant. La Commission nationale de contrôle des techniques de renseignement (CNCTR), instituée en juillet 2015 (17), a bien été mise en place pour veiller au respect du principe de proportionnalité de l’atteinte à la vie privée qu’entraînent ces techniques (18). Cependant, comme elle formule seulement des avis simples ou des recommandations qui n’ont pas de force contraignante, le Conseil d’Etat – pour se conformer au droit de l’UE – a annulé les décrets (19) en ce qu’ils prévoient la mise en œuvre de ces techniques de renseignement (20) sans contrôle préalable par une autorité administrative indépendante dotée d’un pouvoir d’avis conforme ou d’une juridiction.
Au final, des changements marginaux sont à prévoir. Si le Conseil d’Etat admet que la règlementation française doit être adaptée pour se conformer à la jurisprudence européenne, on observe qu’il s’agit de changements à la marge : prévoir un réexamen périodique de la menace qui justifie la conservation des données de connexion, redéfinir les finalités des traitements et garantir un pouvoir contraignant aux avis formulés par la CNCTR. Le cadre législatif et règlementaire français apparaît ainsi dans les grandes lignes conforme aux exigences de la CJUE.

Conservation généralisée : arrêt belge contre
La Cour constitutionnelle belge, elle, n’a pas fait la même analyse. Saisie en janvier 2017 par l’Ordre des barreaux francophones et germanophone, ainsi que par trois associations sans but lucratif (21), elle a rendu le lendemain de la décision du Conseil d’Etat en France, soit le 22 avril 2021, un arrêt (22) où elle retient que le droit de l’UE, à la lumière de la jurisprudence de la CJUE, impose aux Etats de renoncer, pour l’essentiel, à « la conservation généralisée et indifférenciée des données » de connexion (données de trafic et des données de localisation, adresses IP, identité civile des utilisateurs de moyens de communications électroniques, …), annulant ainsi la loi belge du 29 mai 2016 « relative à la collecte et à la conservation des données dans le secteur des communications électroniques », sans attendre une nouvelle législation en la matière. @

* Christiane Féral-Schuhl, ancienne présidente
du Conseil national des barreaux (CNB) après
avoir été bâtonnier du Barreau de Paris,
est l’auteure de « Cyberdroit » paru aux éditions Dalloz.

Vie privée et télétravail : la consécration des VPN

En fait. Le 5 mai, la fondation Mozilla – créée dans la foulée du développement il y a vingt ans du navigateur Firefox – a rendu disponible en France sa solution de réseau privé virtuel, Mozilla VPN, pour permettre aux internautes de sécuriser et de masquer leurs connexions à Internet et de ne pas être géolocalisés.

En clair. Les VPN – Virtual Private Network – sont plus connus par les internautes des pays autoritaires ou dictatoriaux qui pratiquent la censure de contenus en ligne et les blocages d’accès à des plateformes étrangères. Mais échaudés par les atteintes en ligne à leur vie privée, le pistage de leurs navigations et géolocalisations à des fins publicitaires (sans parler des cookies), voire la fuite de leurs données personnelles, les internautes des pays démocratiques sont de plus en plus demandeurs de VPN. Le sigle fait même son entrée dans le Larousse 2022 !
« Pour vivre heureux vivons cachés » est le nouveau credo du Web, dont les connexions sécurisées « https » ne suffisent pas. Le VPN est une sorte de camouflage numérique et de bouclier en ligne, qui offre une sécurisation par chiffrement des données et masque l’adresse IP de l’internaute (une de ses données personnelles) pour ne pas être détecté, pisté ou identifié. Pratiqué de longue date par les technophiles, les réseaux privés virtuels se démocratisent au fur et à mesure que les offres de VPN grand public faciles d’utilisation sont proposées (NordVPN, IPVanish, Cyberghost VPN, Surfshark, etc). Et ce, moyennant paiement sur un mois (de 5 à 12 euros) ou sur six à trois ans (de 2 euros à 10 euros par mois selon la durée de souscription). Pour Mozilla VPN lancé le 5 mai en France et en Allemagne (1), les tarifs sont de 9,99 euros pour un mois, 6,99 par mois sur six mois ou de 4,99 euros pour douze mois (2). L’utilisation du navigateur Firefox n’est pas nécessaire, mais un compte Mozilla si. La fondation californienne à but non lucratif s’appuie pour cela sur la société suédoise Amagicom qui opère un réseau mondial de 750 serveurs (dans 30 pays) fonctionnant sur leur solution open-source de VPN, Mullvad, et sécurisé de bout-enbout (3) par le protocole de cryptage WireGuard. « Surfez, jouez, travaillez et streamez tout en préservant votre confidentialité sur Internet », promet la fondation Mozilla.
Depuis mars 2020, confinements successifs oblige, la Cnil (https://lc.cx/Cnil-VPN) et l’Arcep (https://lc.cx/Arcep-VPN) recommandent d’utiliser des VPN pour télétravailler ou se former en distanciel, et « éviter l’exposition directe sur Internet » (dixit la Cnil). Mais attention, « la combinaison de celui-ci [le VPN de l’employeur] avec votre Wifi peut engendrer un débit ralenti » (dixit l’Arcep). @