On se souvient peut-être que la conformité au droit européen des règles françaises régissant la conservation d’un certain nombre de données (en particulier données de connexion, de trafic et de localisation) par les opérateurs de communication électronique et fournisseurs d’hébergement et d’accès internet a été remise en cause par la Cour de Justice de l’Union européenne.
Ainsi, par un arrêt en date du 21 décembre 2016 (Aff. jointes C-203/15 et C-698/15, Tele2 Sverige/Watson), la Cour avait jugé que la Charte des droits fondamentaux de l’UE s’oppose à une loi nationale prévoyant la conservation générale et indifférenciée des données relatives au trafic et à la localisation de l’ensemble des abonnés et utilisateurs d’un opérateur.
Cet arrêt avait conduit le Conseil d’Etat, à l’initiative d’associations de défense des droits fondamentaux, à poser à la Cour, en date du 28 juillet 2018, une série de questions préjudicielles sur la compatibilité au droit européen du régime français de conservation des données par les prestataires « techniques ».
En réponse à ces questions, dans un arrêt en date du 6 octobre 2020 (Gde Ch., Aff. Jointes C-511/18, C-512/18 et C520/18, La Quadrature du Net et a. / Premier ministre et a.), la Cour de Justice a confirmé, en substance, que le droit européen s’oppose à la conservation générale et indifférenciée des données de trafic et de localisation par les opérateurs de communication électronique, et des données personnelles des utilisateurs des services d’accès internet et d’hébergement par les fournisseurs de ces services, tout en admettant des exceptions strictement encadrées pour la sauvegarde de la sécurité nationale et la lutte contre la criminalité grave.
Interprétant cet arrêt dans sa décision n°393099 du 21 avril 2021, le Conseil d’Etat a néanmoins sauvé l’essentiel du dispositif légal français, en n’en déclarant non conformes au droit européen que certains aspects. Etaient notamment visés les décrets imposant aux prestataires techniques une obligation de conservation générale et indifférenciée des données de localisation et de trafic autres que les adresses IP, ainsi que des autres données de connexion, sans garde-fous suffisants et notamment sans prévoir un réexamen périodique. Il avait en conséquence enjoint au Gouvernement de modifier les textes concernés dans un délai de six mois à compter de sa décision.
C’est désormais chose faite, avec l’adoption, le 20 octobre dernier, soit le dernier jour du délai imparti, de trois décrets n°2021-1361, 1362 et 1363, qui modifient les textes antérieurs.
On se contentera de préciser que le décret n°2021-1362 abroge le décret n°2011-219 du 25 février 2011, qui régissait les modalités de conservation, par les fournisseurs d’accès internet et les prestataires d’hébergement, des données permettant d’identifier les personnes ayant contribué à la création d’un contenu mis en ligne, c’est-à-dire leurs abonnés, et le remplace par de nouvelles règles de conservation des données en cause. Sans entrer dans des détails fastidieux, indiquons que les différentes catégories de données sont plus précisément définies et surtout que leur durée de conservation est déterminée, et variable, pour chaque catégorie et, parfois, en fonction de l’opérateur (fournisseur d’accès ou d’hébergement) en cause. La conformité de ces nouvelles modalités au droit européen reste incertaine : dans une autre affaire pendante devant la CJUE, l’avocat général a notamment rappelé, à propos de la loi allemande, que la limitation temporelle de la conservation des données ne suffisait pas à assurer cette conformité, laquelle est subordonnée aux finalités strictement énoncées par la Cour de Justice (conclusions de l’avocat général dans les affaires jointes C-793/19 et C-794/19).
Sous cette réserve, il reste possible, heureusement, d’obtenir des prestataires techniques, sur injonction de l’autorité judiciaire, communication des données permettant d’identifier les personnes ayant contribué à la création d’un contenu portant atteinte aux droits des tiers, ce qui est évidemment bienvenu.