Depuis plusieurs mois, les plus hautes juridictions du pays sont chacune à leur tour confrontées à la difficile question de la surveillance numérique de masse. On proposera à la fin de l’article un récapitulatif des décisions importantes rendues sur cette question après avoir fait état de la plus récente actualité en la matière. Ainsi, dans une décision n° 2021-976/977 QPC du 25 février 2022, rendue consécutivement à une question prioritaire de constitutionnalité présentée devant la chambre criminelle de la Cour de cassation, le Conseil Constitutionnel a censuré plusieurs dispositions législatives. En l’espèce il était question de l’article L. 34-1 du Code des postes et des communications électroniques (CPCE) prévoyant un principe d’anonymisation des données de trafic (L. 34-1 II) nuancé par plusieurs réserves (L. 34-1 II et III) figurant dans le même article. La mise en œuvre de ces réserves permettait au pouvoir réglementaire[1] de fixer par décret en Conseil d’État la liste des données échappant à ce principe d’anonymisation. La rédaction était peu précise tant du point de vue des infractions pénales justifiant la mise en œuvre du dispositif que du type de données susceptibles d’être visées. De ce fait, le dispositif a été interprété comme ouvrant la voie à une conservation générale et indifférenciée de données de connexion très attentatoire au droit à la vie privée, découlant de l’article 2 de la Déclaration des droits de l’homme et du citoyen de 1789.

Afin d’éviter toute fausse joie, relevons que les dispositions déclarées contraires à la Constitution n’étaient plus en vigueur depuis la promulgation de la loi n° 2021-998 du 30 juillet 2021[2]. Par ailleurs, suivant une démarche désormais usuelle, le Conseil constitutionnel immunise les « mesures ayant été prises sur le fondement des dispositions déclarées contraires à la Constitution », en raison du fait qu’une remise en cause desdites mesures « méconnaîtrait les objectifs de valeur constitutionnelle de sauvegarde de l’ordre public et de recherche des auteurs d’infractions et aurait ainsi des conséquences manifestement excessives »[3].

Pour autant la décision a son importance au regard de la différence de position que le Conseil constitutionnel prend vis-à-vis de celle adoptée par le Conseil d’État dans sa décision French Data Network[4]. La brève argumentation développée par le Conseil constitutionnel repose sur deux arguments. Tout d’abord il estime que « Compte tenu de leur nature, de leur diversité et des traitements dont elles peuvent faire l’objet, ces données fournissent sur ces utilisateurs ainsi que, le cas échéant, sur des tiers, des informations nombreuses et précises, particulièrement attentatoires à leur vie privée »[5]. Par ailleurs, il conteste l’étendue des données susceptibles d’être conservées indépendamment de leur « sensibilité et sans considération de la nature et de la gravité des infractions susceptibles d’être recherchées »[6]. Partant, il estime qu’une atteinte disproportionnée au droit au respect de la vie privée est portée par l’ancienne rédaction de l’article L. 34-1 du CPCE.

            Par cette décision, le Conseil constitutionnel se rapproche davantage de la position adoptée par la CJUE dans son arrêt du 6 octobre 2020 La Quadrature du Net[7] dans laquelle elle avait marqué son opposition à la surveillance numérique de masse. Par suite, le cadre législatif ayant évolué, le Conseil constitutionnel sera très certainement amené à examiner une question prioritaire de constitutionnalité soulevée à l’occasion d’un contentieux impliquant sa mise en œuvre. Cette très (trop au regard des enjeux ?) courte décision permet cependant de relever plusieurs facteurs qui risquent d’être mobilisés à nouveau par le Conseil constitutionnel. Il donne en effet de l’importance à la pluralité des catégories de données susceptibles d’être conservées, en semblant poser une exigence de correspondance entre le potentiel intrusif d’une donnée et le type d’infraction ou de menace justifiant sa récupération. La référence aux tiers permet également de voir que le Conseil constitutionnel se montre vigilant à l’égard du potentiel intrusif du dispositif pour des tiers à sa mise en œuvre. Enfin, la généralité des utilisateurs susceptibles d’être visés par le dispositif pose un problème de sorte qu’il semble développer une exigence à l’égard des personnes qu’il est susceptible de viser. Le contentieux de la surveillance numérique de masse risque très certainement d’être nourri de nouvelles actualités … à surveiller.

Ci-après une liste non exhaustive des décisions importantes d’un point de vue français en matière de surveillance numérique de masse [MAJ 01/05/2022] :

• CEDH, 25 mai 2021, n° 58170/13, 62322/14 et 24960/15, Big Brother Watch et autres c. Royaume-Uni ;
• CEDH, 25 mai 2021, Centrum för rättvisa, , n° 35252/08 ;  
• CEDH, 4 décembre 2008, M…. c. Royaume-Unin n° 30562/04, 30566/04.
• CJUE, 5 avril 2022, G.D. c/ Commissioner of An Garda Síochána, aff. 140/20 ;
• CJUE, 2 mars 2021, Procédure pénale contre H. K., aff. C-746/18 ;
• CJUE, 6 octobre 2020, La Quadrature du Net et autres c. Premier minsitre, aff. C-511-18, C-512/18 ;
• CJUE, 6 octobre 2020, Privacy International contre Secretary of State for Foreign and Commonwealth Affairs, aff. C-623/17 ;
• CJUE, 2 octobre 2018, Ministerio Fiscal, aff. C-207/16 ;
• CJUE, 19 juillet 2016, Tele2 Sverige AB c. Post‑och telestyrelsen, aff. C‑203/15, C‑698/15 ;
• CJUE, 8 avril 2014, Digital rights Ireland c. Minister of communications, aff. C-293/12 ;
• CJUE, 30 mai 2006, Parlement européen c. Conseil de l’Union européenne, aff. C-317/04 ;
• Cons. Const., 3 décembre 2021, n° 2021-952, M. Omar Y. ;
• Cons. Const., 21 octobre 2016, n° 2016-590 QPC, La Quadrature du net ;
  • Décision à l’occasion de laquelle le Conseil constitutionnel a déclaré conforme à la Constitution plusieurs dispositions du Code de la sécurité intérieure dont le contentieux s’est terminé avec la décision CE n° 393099 ci-dessous ;
• CE, ass., 21 avril 2021, French Data Network, n° 393099 ;
• CE, 26 juillet 2018, La Quadrature du Net, n° 394922 ;
  • Décision à l’occasion de laquelle le CE identifie les questions auxquelles la CJUE a répondu dans l’affaire C-511/18 ci-dessus ;
• CE, 15 février 2016, French Data Network, n° 389140 ;
• CNIL, délibération n° 2021-40, 8 avril 2021, Projet de loi relatif à la prévention d’actes de terrorismes et au renseignement ;
• CNIL, délibération n° 2021-45, 15 avril 2021, articles 13 bis et 13 ter du projet de loi relatif à la prévention d’actes de terrorismes et au renseignement ;

---

[1] Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, JORF, 01/03/2011, n° 50.

[2] Il a résulté de l’article 17 de la loi relative à la prévention d’actes de terrorisme et au renseignement une réécriture de l’article L. 34-1 tirant notamment les conséquences de la décision French Data Network rendue le 21 avril 2022 (n° 393099).

[3] Conseil Constitutionnel, 25 février 2022, n° 2021-976/977 QPC, M. Habib A. et autre), JORF, n° 0048, 26 février 2022, § 17.

[4] CE., ass., 21 avril 2021, French Data Network, n° 393099.

[5] Idem, § 11.

[6] Idem, § 12.

[7] CJUE, 6 octobre 2020, La Quadrature du Net et autres, aff. C-511/18.