La France peut-elle forcer les fournisseurs d'accès internet à opérer une surveillance de masse de leurs clients tout en respectant les règles européennes ? Un arrêt rendu le 6 octobre 2020 par la CJUE affirme justement le contraire – le Conseil d'Etat est en train de débattre, mais le clash avec l'Europe sur cette question semble inévitable. 

Vous le savez, l'Europe a de nombreuses implications dans la vie des citoyens et des Etats – surtout lorsqu'il s'agit de protéger les libertés individuelles. Il y a en Europe un ordre juridique avec une CJUE qui fait office de sorte de cour suprême. En cas de contentieux, et après avoir épuisé tous les autres recours, un citoyen de l'UE peut faire valoir son cas devant la CJUE – dont les décisions s'imposent in fine aux Etats.

Dans son arrêt du 6 octobre 2020 sur le suivi de la trace des communications numériques de l’ensemble de la population, la CJUE répond ainsi à une épineuse question : un Etat de l'Union peut-il exiger des fournisseurs d'accès internet qu'ils opèrent une surveillance de masse de leurs utilisateurs et qu'ils conservent ainsi de manière généralisée et indifférenciée pendant un an les données de leurs utilisateurs – dont les numéros de téléphone, géolocalisation, et métadonnées de communication ?

La France n'a pas le droit d'opérer de surveillance de masse généralisée, indifférenciée et sans limite de temps

La collecte est justifiée en France par des questions de sécurité nationale, dans un pays encore récemment meurtri par le terrorisme. Mais ces données pourraient à terme aider la police et la justice dans d'autres affaires. Or le cadre européen est très clair sur cette question, et proscrit toute surveillance de masse permanente. L'arrêt met ainsi les autorités françaises au pied du mur en considérant que le stockage généralisé des données de connexion et de localisation est contraire à la Charte des droits fondamentaux de l'Union Européenne et à la directive ePrivacy de 2002.

« Les utilisateurs des moyens de communications électroniques sont en droit de s’attendre, en principe, à ce que leurs communications et les données y afférentes restent, en l’absence de leur consentement, anonymes et ne puissent pas faire l’objet d’un enregistrement » explique notamment la CJCE. Cette décision n'est d'ailleurs pas la première du genre – puisque dans son arrêt Tele2 de 2016 la CJCE avait déjà interdit aux Etats d'imposer aux opérateurs ce type de conservation indifférenciée et généralisée des données.

Des exceptions sont tout de même prévues, notamment lorsque cette surveillance constitue “une mesure nécessaire, appropriée et proportionnée  […] pour sauvegarder la sécurité nationale, la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales”. Mais en aucun cas ce type de surveillance ne peut devenir la règle, a fortiori sans finalité précise.

Ainsi pour forcer les opérateurs à conserver des données sous couvert de sécurité nationale il faut obligatoirement des circonstances concrètes qui permettent de considérer “que l’Etat membre concerné fait face à une menace grave […] réelle et actuelle ou prévisible” – il faut par ailleurs, on le souligne, que la mesure n'intervienne que dans un laps de temps limité. Or, l'intention de l'Etat français est plutôt d'avoir recours à ce type de surveillance de masse sur une base permanente. Quand bien même cela conduira nécessairement la France au clash avec les institutions européennes.

Plusieurs membres du gouvernement dont le premier ministre Jean Castex considèrent selon Le Monde que la position européenne fait « peser des risques majeurs sur l’ensemble des capacités opérationnelles des services de renseignement et des services d’enquête judiciaire ». Le Conseil d'Etat, qui avait déjà décidé en 2018 de ne pas appliquer l'arrêt Tele2 doit ainsi se réunir le 16 avril pour statuer sur la question de la surveillance de masse en France et l'arrêt CJUE du 6 octobre 2020.

Les prochains mois s'annoncent houleux : dans un mémo au nom de Jean Castex cité par Le Monde, sa secrétaire Claire Landais estime que le dernier arrêt CJUE outrepasse les compétences des Etats en matière de sécurité et porte atteinte à l'ordre constitutionnel français. Le gouvernement semble avoir l'intention de faire pression pour modifier les textes de manière à permettre la collecte généralisée de données. Mais il est encore possible que les autorités françaises finissent par se ranger sur la position des institutions européenne.

Lire également : Fisc, douanes – la surveillance de masse des réseaux sociaux validée par le Conseil Constitutionnel

Après tout, l'essentiel du contentieux ne réside-t-il pas dans le caractère généralisé et permanent de cette collecte ? Il sera intéressant de voir dans les prochains mois si des données comparatives sur l'efficacité d'une collecte généralisée des données vs des collectes de données ciblées et délimitées plus protectrices sont mises sur la table – histoire d'éviter une trop grande politisation du sujet. Un voeux qui restera néanmoins sans doute pieux.

Source : Le Monde