Métadonnées et durée de conservation : le Conseil constitutionnel a tranché

Par une importante décision rendue le 25 février 2022, le Conseil constitutionnel a censuré une disposition législative imposant aux fournisseurs d’accès à internet de conserver les données de connexion (ou métadonnées) de leurs clients durant un an et ce, afin de permettre leur réquisition dans le cadre d’une enquête judiciaire (Art. L34-1 du code des postes et des télécommunications). 

Les Sages relèvent ainsi que le caractère général et indifférencié de la conservation des données permet de fournir des informations nombreuses et précises qui sont « particulièrement attentatoires » à la vie privée des utilisateurs de service de communication électronique ; les dispositions qui fondent une telle conservation sont donc déclarées contraire à la constitution. 

Néanmoins, le Conseil constitutionnel précise que sa décision reste sans effet sur les procédures judiciaires en cours qui sont fondées sur les dispositions censurées en l’espèce. 

Cette décision s’inscrit dans la lignée d’un arrêt rendu par la Cour de Justice de l’Union Européenne le 6 octobre 2020 dans lequel cette dernière a jugé que les États membres ne peuvent pas imposer une obligation de conservation généralisée et indifférenciée aux fournisseurs d’accès à internet. 

A l’inverse, la prise de position du Conseil constitutionnel sur l’obligation de conservation des métadonnées va directement à l’encontre d’un arrêt du Conseil d’État rendu le 21 avril 2021 dans lequel ce dernier valide l’obligation de conservation des métadonnées, tout en précisant que cette obligation ne peut être justifiée que par une menace sur la sécurité nationale et sous réserve d’une réévaluation régulière de celle-ci par les autorités judiciaires afin de s’assurer que la conservation est toujours justifiée. 

Ainsi, bien que la disposition censurée par le Conseil constitutionnel ne soit plus en vigueur depuis l’adoption de la loi relative à la prévention d’actes de terrorisme du 30 Juillet 2021, cette décision pourrait ouvrir un « conflit de jurisprudence » entre le juge administratif suprême et le conseil des Sages, comme l’a souligné Patrice Spinosi, Avocat au Conseil d’État et à la Cour de Cassation. 

La saga jurisprudentielle relative à l’obligation de conservation générale et indifférenciée des données de connexion n’est donc pas terminée et appelle une prise de position de la part de la Cour de cassation sur le sujet. 

---

Par Thomas Cunin | 03 Mars 2022 | News, Protection des données, Sécurité | Commentaires fermés