L’arrêt French Data Network du Conseil d’Etat : l’art d’une réponse contournée à des questions fondamentales

1 juin 2021

Rares sont les jurisprudences qui donnent lieu à des appréciations aussi contrastées que celles provoquées par l’arrêt rendu en Assemblée le 21 avril 2021, French Data Network[1] (FNA pour la commodité de l’écriture). « Frexit sécuritaire » ou « Frexit juridictionnel » pour certains[2] ou, à tout le moins, devenu « gardien de la sécurité » pour d’autres[3], le même arrêt traduirait en réalité un « dialogue des juges en trompe l’œil »[4] ou même un refus « de s’aligner sur le joueur de flûte de Karlsruhe » comme l’avance un autre commentateur…[5]

Sans doute y-a-t-il là un peu de tout cela et c’est, en premier lieu, au Conseil d’Etat qu’il faut en faire le reproche. La clarté d’une décision de justice étant la première des qualités que le justiciable est en droit d’attendre du juge, la diversité des lectures tirées de la décision FDA témoigne de carences entretenues par un arrêt d’une quarantaine de pages et une relation médiatique du juge où il affirme vertueusement « concilier le respect du droit de l’Union européenne et l’efficacité de la lutte contre le terrorisme et la criminalité »…

A trop vouloir cumuler le rôle d’un juge constitutionnel ou européen avec celui de juge ordinaire qui lui est dévolu en l’espèce, la Haute juridiction brouille ainsi un paysage qui aurait, avant tout, eu besoin de lumière. A sa décharge, on remarquera que la décision de la Cour constitutionnelle belge, rendue le lendemain et en sens inverse[6], compte également la bagatelle de soixante pages…

C’est dire la complexité extrême d’un débat où le juge administratif nous semble ne pas apprécier à leur juste valeur les risques pesant sur les libertés publiques du fait de la conservation des données, prêtant de ce fait l’oreille, involontairement on l’espère, à un discours sécuritaire sur lequel on reviendra.

Ce débat vient de loin et il n’est pas prêt à s’interrompre de sitôt, qu’il s’agisse au plan européen de l’entrée en vigueur du règlement 2021/694 du 29 avril 2021 établissant le programme pour une Europe numérique ou, au plan national, des débats relatifs au projet de loi relatif à la prévention d’actes de terrorisme et de renseignement

En l’espèce, il poursuit le jeu croisé du juge national et du juge européen à propos de la conservation des données. Inauguré par la jurisprudence Digital Rights, ce dialogue avait conduit le Conseil d’Etat à interroger en 2018 la Cour de justice sur la compatibilité du régime français de conservation des données avec la directive 2002/58 dite « directive vie privée et communications électroniques »[7] et les articles 7 et 8 de la Charte des droits fondamentaux.

La réponse de la Cour[8], adressée également à la Cour constitutionnelle belge qui l’avait sollicitée sur le même terrain, avait été nuancée, s’efforçant de concilier le respect des droits fondamentaux et l’efficacité de la prévention et de la lutte contre le crime. A cet égard, elle s’était opposée à une conservation générale et indifférenciée des données tout en balisant le terrain de ce qu’il était nécessaire d’accepter pour satisfaire à l’article 4§2 du TUE qui énonce que la sécurité nationale reste de la seule responsabilité de chaque État membre. Consciente des motivations des nombreux Etats qui s’étaient exprimés à cette occasion, la Cour de justice avait néanmoins estimé que, dans des situations où l’État membre fait face à une menace grave pour la sécurité nationale, réelle et actuelle ou prévisible, la directive « vie privée et communications électroniques », lue à la lumière de la Charte, ne s’oppose pas entièrement au fait d’enjoindre aux fournisseurs de services de communications électroniques de conserver de manière généralisée et indifférenciée des données relatives au trafic et à la localisation.

Il appartenait donc au juge administratif d’en tirer les conséquences, évidemment contrariantes pour les penchants sécuritaires de l’Etat. Lequel va alors tenter de s’opposer à l’interprétation de la Cour de justice, conduisant le Conseil à un positionnement complexe sur le terrain de la hiérarchie des normes et discutable sur celui de l’équilibre nécessaire entre liberté et sécurité.

De la hiérarchie des normes

De façon incongrue et peu compréhensible pour un acteur se voulant être le chantre de l’intégration européenne, l’Etat avait proposé durant la procédure rien moins qu’une remise en question de la soumission au droit de l’Union : la Cour de justice ayant excédé la compétence qui est la sienne en empiétant sur les compétences conservées par les Etats membres, son interprétation devait être écartée pour garantir l’effectivité de la protection de l’ordre public en France. Excusez du peu …

Le Conseil d’Etat s’est donc attaché, dans un long considérant dont la clarté n’est pas la qualité première, à « cadrer le litige » pour refuser de suivre les raisonnements tenus outre-Rhin par la Cour constitutionnelle de Karlsruhe. Leur lecture avait manifestement inspiré cette attaque frontale de l’autorité de la chose jugée.

Pour ce faire, le juge administratif délimite ce que, selon lui, « les exigences de la hiérarchie des normes » réclament, le conduisant à refuser le conflit suggéré, « contrairement à ce que soutient le premier ministre ». Qu’il en soit loué.

En effet, il ne lui appartient pas de s’assurer du respect de la répartition des compétences entre l’Union et les Etats membres, qu’il s’agisse du droit dérivé ou de la jurisprudence de la Cour de justice. Le contraire le conduirait à exercer un contrôle sur la conformité au droit de l’Union des décisions de la Cour de justice et de passer outre leur force obligatoire.

Parce que, depuis longtemps, il estime que la Constitution est placée au sommet de l’ordre juridique, il est tenu de retenir de l’interprétation que la Cour de justice de l’Union européenne a donnée des obligations résultant du droit de l’Union la lecture la plus conforme aux exigences constitutionnelles. Cette conciliation l’entraîne au bord du Rubicon.

Certes, il ne saurait être question de priver de telles décisions de la force obligatoire dont elles sont revêtues, au motif que la Cour aurait excédé sa compétence en conférant à un principe ou à un acte du droit de l’Union une portée excédant le champ d’application prévu par les traités. Exit donc l’idée d’un contrôle « ultra vires » auquel il était invité à se livrer.

Néanmoins, si l’application d’une directive ou d’un règlement européen, tel qu’interprété par la Cour de justice de l’Union européenne, avait pour effet de priver de garanties effectives l’une de ces exigences constitutionnelles, » qui ne bénéficierait pas, en droit de l’Union, d’une protection équivalente, « le juge administratif, saisi d’un moyen en ce sens, doit l’écarter dans la stricte mesure où le respect de la Constitution l’exige »… Ce dont il donne ensuite le mode d’emploi.

Le juge administratif doit en effet rechercher s’il existe une règle ou un principe général du droit de l’Union européenne qui, eu égard à sa nature et à sa portée, tel qu’il est interprété en l’état actuel de la jurisprudence du juge de l’Union, garantit par son application l’effectivité de l’exigence constitutionnelle en cause. En cas d’échec, il lui revient d’examiner si, en écartant la règle de droit national au motif de sa contrariété avec le droit de l’Union européenne, il priverait de garanties effectives l’exigence constitutionnelle dont le défendeur se prévaut et, le cas échéant, d’écarter le moyen dont le requérant l’a saisi.

Le paradoxe du rappel solennel au principe de primauté effectué par le Conseil d’Etat et sa soumission expresse à l’autorité de la Cour de justice doivent donc être mesurés à la lumière de cette seconde affirmation.

Pour ce qui est de l’opinion de la Cour de justice, c’est déjà fait. Et de manière sans doute volontaire. Dans un arrêt aussi récent qu’important, en réponse au juge national qui l’interrogeait à propos d’une jurisprudence de la Cour constitutionnelle roumaine selon laquelle le droit de l’Union ne pouvait prévaloir sur le droit constitutionnel national, le juge de Luxembourg répond sans détours : « le fait pour un État membre d’invoquer des dispositions de droit national, fussent-elles d’ordre constitutionnel, ne saurait porter atteinte à l’unité et à l’efficacité du droit de l’Union ». Que la Cour de justice s’appuie explicitement en l’espèce sur l’arrêt Quadrature du Net pour souligner « la prééminence du droit de l’Union sur le droit des États membres »[9], n’est sans doute pas innocent, moins d’un mois après l’arrêt du Conseil d’Etat.

Sans doute, ne faut-il pas s’alarmer outre-mesure de l’opération de contournement réalisée ici par le Conseil d’Etat. On le sait, le principe d’équivalence domine les relations entre juridictions suprêmes, depuis la fameuse jurisprudence Arcelor, et il leur permet d’éviter l’affrontement tant la souplesse de son maniement permet d’écarter le conflit. Pour peu qu’on en ait la volonté et que l’objectif commun soit partagé.

Il n’est pas certain qu’en l’espèce ce soit totalement le cas et que l’équilibre entre les impératifs de la liberté et les nécessités de l’ordre public soit dessiné de la même façon ici et là.

De l’équilibre liberté/sécurité

Tous les systèmes juridiques nationaux s’attachent à délimiter des lignes rouges prétendument infranchissables par la communautarisation du droit de l’Union. Les auteurs des traités en avaient conscience et ils ont bâti à plusieurs reprises de telles réserves. Bien évidemment, la Cour de justice a eu à en connaître et elle s’est efforcée, à tort ou à raison, d’en encadrer l’invocation. Son raisonnement est toujours identique, acceptant par la force du droit de telles restrictions à la condition qu’elles n’entravent pas l’application du droit de l’Union.

L’article 4 §2 du TUE constitue la principale de ces réserves lorsque, au nom de l’identité nationale des Etats et du respect de leurs fonctions essentielles, il intime à l’Union européenne de respecter les fonctions essentielles de ses Etats membres. Dont celle de maintenir l’ordre public et de sauvegarder la sécurité nationale, cette dernière restant « de la seule responsabilité de chaque État membre ». Ce que confirme l’article 72 TFUE relatif à l’espace de liberté, sécurité, justice au sein de son titre V, lequel «ne porte pas atteinte à l’exercice des responsabilités qui incombent aux États membres pour le maintien de l’ordre public et la sauvegarde de la sécurité intérieure ».

Les Etats membres en connaissent l’usage et la Cour s’attache à canaliser son invocation. Elle estime que « la portée des exigences tenant au maintien de l’ordre public ou de la sécurité nationale ne saurait être déterminée unilatéralement par chaque Etat membre, sans contrôle des institutions »[10].  De manière récente, il n’est pas inintéressant de rappeler qu’en refusant l’accueil de la vague migratoire de 2015, polonais et hongrois avaient ainsi avancé en vain à l’époque l’argument de la défense de leur sécurité nationale. Constatant leur manquement à leurs obligations, la Cour leur avait alors rappelé que les Etats ne sauraient déroger à leurs responsabilités « par la seule invocation » de ces dispositions, d’interprétation stricte au demeurant.

Or c’était bien de cela qu’il était question dans les prétentions gouvernementales françaises : ces dernières revendiquaient unilatéralement d’apprécier les nécessités de l’ordre public sans prise en compte de l’encadrement effectué par la Cour dans l’arrêt Quadrature du Net.

En toute connaissance de cause puisqu’à l’audience, cet argument sécuritaire avait été partagé par les gouvernements français, tchèque et estonien, irlandais, chypriote, hongrois, polonais, suédois et britannique. Pour eux, les activités des services de renseignement, en ce qu’elles tiennent au maintien de l’ordre public ainsi qu’à la sauvegarde de la sécurité intérieure et de l’intégrité territoriale, relevaient des fonctions essentielles des États membres et, par suite, seraient de leur seule compétence. En cela d’ailleurs, on mesure à quel point le terrain de l’identité nationale n’était pas le mieux choisi, l’ensemble des Etats partageant une préoccupation identique.

Sans être suivis, la Cour répondant que « bien qu’il appartienne aux États membres de définir leurs intérêts essentiels de sécurité et d’arrêter les mesures propres à assurer leur sécurité intérieure et extérieure, le seul fait qu’une mesure nationale a été prise aux fins de la protection de la sécurité nationale ne saurait entraîner l’inapplicabilité du droit de l’Union et dispenser les États membres du respect nécessaire de ce droit ».[11]

Le Conseil d’Etat n’entre pas dans cette dimension du débat, comme on l’a vu plus haut. Il ne s’aligne pas pour autant comme le fera le lendemain la Cour constitutionnelle belge et il emprunte un biais pour conserver sa part d’appréciation. Pour ce faire, il a recours au principe d’équivalence qui irrigue désormais en Europe le jeu des rapports de systèmes, évitant ainsi le conflit direct.

Selon le juge du Palais Royal, « la sauvegarde des intérêts fondamentaux de la Nation, la prévention des atteintes à l’ordre public, notamment celle des atteintes à la sécurité des personnes et des biens, la lutte contre le terrorisme, ainsi que la recherche des auteurs d’infractions pénales constituent des objectifs de valeur constitutionnelle, nécessaires à la sauvegarde de droits et de principes de même valeur, qui doivent être conciliés avec l’exercice des libertés constitutionnellement garanties ». Parce qu’elles relèvent « exclusivement ou essentiellement de la compétence des Etats », ces « exigences constitutionnelles … ne sauraient être regardées comme bénéficiant, en droit de l’Union, d’une protection équivalente à celle que garantit la Constitution ». Aussi, de telles exigences n’ayant pas d’équivalence en droit de l’Union sont susceptibles de tenir celui-ci en échec.

Dès lors, comme il est de coutume souvent dans ses grandes décisions, le juge administratif peut s’offrir le luxe d’une série d’annulations rappelant au gouvernement que ses errances sécuritaires trouvent des limites, tout en vérifiant que l’application du droit européen ne compromet pas les exigences de la Constitution.

Ainsi, une série de règles relatives à une conservation généralisée des données relatives à l’identité civile, aux paiements, aux contrats et aux comptes de l’abonné et aux adresses IP sont-elles justifiées par la lutte contre la criminalité grave et la prévention des menaces graves pour la sécurité publique.

En revanche, s’agissant de la conservation des autres données de trafic et de localisation, le Conseil d’État n’en conteste pas le principe mais en condamne l’absence de réexamen à échéance régulière de l’existence d’une menace grave, actuelle ou prévisible pour la sécurité nationale. En ligne avec l’interprétation de la Cour de justice, il impose systématiquement au Gouvernement de procéder, sous le contrôle du juge administratif, à un réexamen périodique de l’existence d’une telle menace. De même, il juge illégale l’obligation de conservation généralisée des données (hormis les données peu sensibles : état civil, adresse IP, comptes et paiements) pour les besoins autres que ceux de la sécurité nationale, notamment la poursuite des infractions pénales.

A leur propos, la CJUE envisageait une conservation ciblée en amont des données, solution que le Conseil d’Etat estime « ni matériellement possible, ni – en tout état de cause – opérationnellement efficace », faute de pouvoir à l’avance pré-déterminer les personnes impliquées potentiellement dans une infraction pénale qui n’a pas encore été commise ou le lieu où elle sera commise. Toutefois, la méthode de « conservation rapide » autorisée par le droit européen peut à ce jour s’appuyer sur le stock de données conservées de façon généralisée pour les besoins de la sécurité nationale, et peut être utilisée pour la poursuite des infractions pénales.

Au total, le Conseil d’Etat poursuit ici la logique d’un « monologue croisé », selon l’excellente formule de Denys Simon[12]. Tour à tour promoteur « d’exigences constitutionnelles » susceptibles de tenir en échec le droit de l’Union mais aussi bon élève de la collaboration juridictionnelle qui en permet l’application, il témoigne en réalité de sa volonté de demeurer un point de passage obligé. Quitte à perdre de vue l’horizon libertaire qu’il fut par le passé l’un des premiers à désigner.

 

[1] CE, Assemblée,21 avril 2021, French Data network et autres, n° 393099

[2] P. Cassia, https://blogs.mediapart.fr/paul-cassia/blog/230421/le-frexit-securitaire-du-conseil-d-etat

[3] E. Dubout, « Le Conseil d’Etat, gardien de la sécurité », RDLF 2021 chr. 18

[4] B. Bertrand, L’arrêt French Data Network du Conseil d’Etat : un dialogue des juges en trompe l’œil, https://blog.leclubdesjuristes.com/

[5] J. Ziller, “Le Conseil d’Etat se refuse d’emboiter le pas au joueur de flûte de Karlsruhe”, https://blogdroiteuropeen.com/2021/04/23/.

[6] Pour cette dernière, la CJUE « impose au législateur un changement de perspective par rapport au choix que le législateur a effectué : la conservation des données doit être l’exception, et non la règle ». Cour constitutionnelle de Belgique, arrêt du 22 avril 2021, n° 57/2021, pt B.18

[7] JOUE 2002, L 201, p. 37

[8] CJUE, 6 octobre 2020, La Quadrature du net et autres, C-511/18, C-512/18, C520/18

[9] CJUE, 18 mai 2021, Asociaţia « Forumul Judecătorilor din România » et autres, C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 et C‑397/19, pt 244

[10] CJUE, 2 avril 2020, Commission c. Pologne, Hongrie et République tchèque, C-715/17, C-718/17 et C-719/17, pt 146

[11] CJUE précit., C511/18, pt 99

[12] D. Simon, « Retour des monologues juridictionnels croisés ? A propos de l’arrêt du Conseil d’État dans l’affaire « French Data », Europe 2021 (à paraître)

Henri Labayle

Henri Labayle est professeur agrégé des Facultés de droit, spécialiste de droit de l’Union.

Son champ d’expertise scientifique porte notamment sur le respect des droits fondamentaux et les développements de l’Espace de liberté sécurité et justice de l’Union dont il est un observateur reconnu depuis ses origines.

L’Institut

À la fois enjeu de nos sociétés démocratiques et ingrédient stratégique pour les acteurs économiques, les données numériques sont au coeur des grands questionnements autour du monde digital. La gouvernance des données ne peut plus s’en remettre au hasard des initiatives isolées ou aux simples lois du marché : elle doit être, à différents niveaux, régulée, organisée, codifiée. Si le règlement européen RGPD constitue une avancée majeure reconnue bien au-delà des frontières de l’UE, il ne suffira pas.

Initiative de juristes, chercheurs, universitaires, ONG, acteurs de l’écosystème numérique et personnalités publiques, l’Institut des Droits Fondamentaux Numériques est né de cette importance et de l’urgence d’une réelle gouvernance des données, protectrice à la fois des droits des individus (citoyens, consommateurs), et de ceux des entreprises et organisations.

Plus d’articles

Contactez-nous

Adresse

179, boulevard Haussmann 75008 Paris

Restez informés

Recevez régulièrement les actualités de

Suivez-nous sur les réseaux