Données de connexion : le Conseil d’Etat s’est prononcé

Si le Conseil d’Etat valide la conservation généralisée des données au regard de la menace existante pour la sécurité nationale, il ordonne au gouvernement de réévaluer régulièrement cette menace et de subordonner l’exploitation de ces données par les services de renseignement à l’autorisation d’une autorité indépendante.Plusieurs associations et un opérateur de télécommunication ont saisi le Conseil d’Etat, contestant les dispositions réglementaires imposant aux opérateurs de télécommunication de conserver les données de connexion de leurs utilisateurs à des fins de lutte contre la criminalité et le terrorisme.
Dans sa décision rendue le 21 avril 2021 (requêtes n° 393099, 394922, 397844, 397851, 424717 et 424718), le Conseil d’Etat relève que cette conservation généralisée des données est bien justifiée par une menace pour la sécurité nationale, comme cela est requis par la Cour de justice de l’Union européenne (CJUE). Conformément aux exigences de la Cour, il impose au gouvernement de procéder, sous le contrôle du juge administratif, à un réexamen périodique de l’existence d’une telle menace.
En revanche, il juge illégale l’obligation de conservation généralisée des données (hormis les données peu sensibles : état civil, adresse IP, comptes et paiements) pour les besoins autres que ceux de la sécurité nationale, notamment la poursuite des infractions pénales.Pour ces infractions, la Haute juridiction administrative estime que la méthode de « conservation rapide » autorisée par le droit européen peut à ce jour s’appuyer sur le stock de données conservées de façon généralisée pour les besoins de la sécurité nationale, et peut être utilisée pour la poursuite des infractions pénales.
Enfin, s’agissant de l’exploitation des données conservées pour les besoins du renseignement, le Conseil d’Etat constate que le contrôle préalable par une autorité indépendante prévu par le cadre juridique français n’est pas suffisant, puisque l’avis que rend la commission nationale de contrôle des techniques de renseignement (CNCTR) avant toute autorisation n’est pas contraignant. Le Premier ministre doit modifier le cadre réglementaire pour respecter ces exigences dans un délai de 6 mois. 
SUR LE MEME SUJET :
CJUE : pas de collecte massive des données de connexion et de localisation – Legalnews, 7 octobre 2020