Le Conseil d’Etat juge la réglementation française relative à l’obligation de conservation des données de connexion des opérateurs de télécommunication d’un an conforme au droit de l’Union européenne en raison de la menace existante pour la sécurité nationale

Le droit français impose aux opérateurs de télécommunication de conserver pendant un an toutes les données de connexion des utilisateurs pour les besoins du renseignement et des enquêtes pénales(1).

Plusieurs associations actives dans le domaine de la protection des données personnelles ainsi qu’un opérateur de télécommunication ont saisi le Conseil d’État de recours contre les décrets qui prévoient la conservation de ces données et qui organisent leur traitement pour les besoins du renseignement et des enquêtes pénales(2).

À cette occasion, le Conseil d’État a en 2018 saisi la Cour de justice de l’Union européenne (CJUE) de questions préjudicielles l’invitant à préciser la portée des règles issues du droit européen (directive 2002/58, dite "vie privée et communications électroniques"(3) et règlement général sur la protection des données –RGPD(4)). Par trois décisions rendues le 6 octobre 2020(5 à 7) la CJUE a jugé que :

- la conservation généralisée et indifférenciée des données de connexion (autres que les données d’identité) ne peut être imposée aux opérateurs que pour les besoins de la sécurité nationale en cas de menace grave. En outre, l’accès à ces données par les services de renseignement doit être soumis au contrôle préalable d’une autorité indépendante et au contrôle d’un juge en aval lors de l’exploitation des données conservées ;

- pour la lutte contre la criminalité grave, les États peuvent seulement imposer la conservation ciblée de données, dans certaines zones ou pour certaines catégories de personnes pré-identifiées comme présentant des risques particuliers. Mais, comme le prévoit la convention de Budapest de 2001, les autorités peuvent demander aux opérateurs de geler les données de trafic et de localisation relatives à une personne, pour les besoins d’une enquête pénale, sur une courte période (méthode dite de «conservation rapide» des données) ;

- la conservation des données de connexion n’est pas permise pour d’autres motifs, notamment pour la recherche des infractions ne relevant pas de la criminalité grave.

À la suite des précisions apportées par la CJUE, le Conseil d’État, statuant en Assemblée du contentieux, a, par une décision du 21 avril 2021(8), examiné la conformité du cadre juridique français au droit européen.

Le Conseil d’État constate que les exigences constitutionnelles que sont la sauvegarde des intérêts fondamentaux de la Nation, la prévention des atteintes à l’ordre public, la lutte contre le terrorisme et la recherche des auteurs d’infractions pénales ne bénéficient pas, en droit de l’Union, d’une protection équivalente à celle que garantit la Constitution. Il doit donc s’assurer que les limites définies par la CJUE ne mettent pas en péril ces exigences constitutionnelles.

Le Conseil d’État relève que la conservation généralisée aujourd’hui imposée aux opérateurs par le droit français est bien justifiée par une menace pour la sécurité nationale, comme cela est requis par la CJUE. Conformément aux exigences de la Cour, il impose au Gouvernement de procéder, sous le contrôle du juge administratif, à un réexamen périodique de l’existence d’une telle menace.

En revanche, il juge illégale l’obligation de conservation généralisée des données (hormis les données peu sensibles : état civil, adresse IP, comptes et paiements) pour les besoins autres que ceux de la sécurité nationale, notamment la poursuite des infractions pénales.

Pour ces infractions, il précise que la solution suggérée par la CJUE de conservation ciblée en amont des données n’est ni matériellement possible, ni opérationnellement efficace. En effet, il n’est pas possible de pré-déterminer les personnes qui seront impliquées dans une infraction pénale qui n’a pas encore été commise ou le lieu où elle sera commise. Toutefois, la méthode de "conservation rapide" autorisée par le droit européen peut à ce jour s’appuyer sur le stock de données conservées de façon généralisée pour les besoins de la sécurité nationale, et peut être utilisée pour la poursuite des infractions pénales.

S’agissant de la distinction établie par la Cour entre la criminalité grave et la criminalité ordinaire, pour laquelle elle n’admet aucune conservation ou utilisation de données de connexion, le Conseil d’État rappelle que le principe de proportionnalité entre gravité de l’infraction et importance des mesures d’enquête mises en œuvre, qui gouverne la procédure pénale, justifie également que le recours aux données de connexion soit limité aux poursuites d’infractions d’un degré de gravité suffisant.

S’agissant de l’exploitation des données conservées pour les besoins du renseignement, enfin, le Conseil d’État constate que le contrôle préalable par une autorité indépendante prévu par le cadre juridique français n’est pas suffisant, puisque l’avis que rend la commission nationale de contrôle des techniques de renseignement (CNCTR) avant toute autorisation n’est pas contraignant. Le droit national doit donc être modifié, même si, en pratique, le Premier ministre n’a jamais outrepassé un avis défavorable de la CNCTR pour l’accès des services de renseignement à des données de connexion.

Le Conseil d’État ordonne au Premier ministre de modifier le cadre réglementaire pour respecter ces exigences dans un délai de 6 mois.
Notes
puce note (1) Article R. 10-13 du code des postes et des communications électroniques et le décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne pris respectivement pour l’application de l’article L. 34-1 du même code et de l’article 6 de la loi n° 2004-575 du 21 juin 2004 modifiée pour la confiance dans l'économie numérique
puce note (2) Décret n° 2015-1185 du 28 septembre 2015 portant désignation des services spécialisés de renseignement; Décret n° 2015-1639 du 11 décembre 2015 relatif à la désignation des services autres que les services spécialisés de renseignement, autorisés à recourir aux techniques mentionnées au titre V du livre VIII du code de la sécurité intérieure, pris en application de l'article L. 811-4 du code de la sécurité intérieure; Décret n° 2016-67 du 29 janvier 2016 relatif aux techniques de recueil de renseignement
puce note (3) Directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009
puce note (4) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
puce note (5) CJUE, 6 octobre 2020, C-623/17 Privacy International
puce note (6) CJUE, 6 octobre 2020, affaires jointes C-5 11/18 La Quadrature du Net e.a. et C-512/18, French Data Network e.a., ainsi que C-520/18 Ordre des barreaux francophones et germanophone e.a.
puce note (7) Voir Lettre de la DAJ n°304 du 22 octobre 2020
puce note (8) CE, 21 avril 2021, Nos393099, 394922, 397844, 397851, 424717, 424718, FRENCH DATA NETWORK et autres
puce note (9) Communiqué du Conseil d’Etat : Données de connexion, le Conseil d’État concilie le respect du droit de l’Union européenne et l’efficacité de la lutte contre le terrorisme et la criminalité
 

Publication du rapport d’activité 2020 du dispositif Cybermalveillance.gouv.fr

Cybermalveillance.gouv.fr est un dispositif national d’assistance aux victimes d’actes de cybermalveillance, de sensibilisation des publics aux risques numériques et d’observation de la menace numérique pour mieux l’anticiper et y réagir.

Piloté par le Groupement d’intérêt public (GIP) pour le dispositif national d'assistance aux victimes d'actes de cybermalveillance dénommé "ACYMA", créé en 2017(1), il regroupe tant des acteurs étatiques que sont l’Agence nationale de la sécurité des systèmes d’information (ANSSI) qui relève des services du Premier ministre, le ministère de l’Intérieur, le ministère de la Justice, le ministère de l’Économie, des Finances et de la Relance, le secrétariat d’État en charge du Numérique et le ministère des Armées, que des acteurs de la société civile parmi lesquels des associations de consommateurs ou d’aides aux victimes, des représentations professionnelles de type fédération ou syndicat, ainsi que des assureurs, opérateurs et éditeurs. En 2021, le GIP compte une cinquantaine de membres. Il a publié, le 15 avril 2021, son rapport d’activité 2020(2).

L’année 2020 a été marquée par la crise sanitaire de la COVID-19 qui a vu une augmentation inédite des usages numériques liés aux confinements, tant pour des usages personnels d’information, de communication ou de commerce en ligne, que pour des usages professionnels avec un recours massif au télétravail. Les cybercriminels ont cherché à profiter de l’isolement et des inquiétudes des personnes pour démultiplier massivement leurs attaques.

Que ce soit pour y trouver de l’information ou de l’assistance, la plateforme Cybermalveillance.gouv.fr a vu sa fréquentation augmenter de 155 % en 2020, avec 1 235 545 visiteurs. Près de 105 000 personnes sont venues chercher de l’assistance sur la plateforme dont 88 % de particuliers, 10 % d’entreprises et d’associations, et 2 % de collectivités et d’administrations.

Chez les particuliers, ces recherches d’assistance ont principalement porté sur l’hameçonnage (17%)(c’est-à-dire l’envoi d’un message usurpant une identité pour duper un internaute dans le but de l’inciter à réaliser une action), suivi du piratage de compte (12%) et du faux support technique (11%).

S’agissant des professionnels, que ce soit pour la catégorie "entreprises et associations" ou "collectivités et administrations", les rançongiciels (logiciels malveillants qui bloquent l’accès à l’ordinateur ou à des fichiers en les chiffrant et qui réclament à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès) ont été cette année la première cause de recherche d’assistance, avec respectivement 17 % et 19%, suivi du piratage informatique (16 % et 13%) et du piratage de compte. En 2019, les rançongiciels concernaient 8 % des cas de malveillance et tenaient la 6ème place sur ces publics ; en 2020, le nombre de recherches d’assistance sur cette menace a progressé de 30%.

Le rapport analyse les grandes tendances de la cybermalveillance observées sur cette période :

- La crise sanitaire a vu une intensification des activités cybercriminelles, qui se sont développées de manières contextualisées ou opportunistes ;
- L’hameçonnage sous toutes ses formes reste l’un des principaux vecteurs à l’origine de multitudes d’attaques informatiques, avec une tendance en expansion de l’utilisation du SMS ;
- Le piratage de compte en ligne représente la deuxième menace constatée par la plateforme tous publics confondus, qu’il s’agisse des particuliers ou des professionnels, avec des effets parfois dévastateurs pour les victimes ;
- Les arnaques au faux support technique n’ont pas perdu en intensité en 2020 et continuent de faire des ravages en voyant leurs modes opératoires continuer d’évoluer ;
- Les rançongiciels, première cause des recherches d’assistance des publics professionnels des secteurs privés et publics, ont connu une intensification sans précédent en 2020, avec des conséquences souvent désastreuses.
 
Informations légales | Données personnelles