Le Conseil constitutionnel a été saisi d’une question prioritaire de constitutionnalité portant sur la conformité avec la constitution de l’article L.851-2 du Code de la sécurité intérieure, dans sa rédaction issue de la loi n°2016-987 du 21 juillet 2016 prorogeant l’état d’urgence.

Aux termes des dispositions précitées, l’Administration peut, pour la prévention du terrorisme, être autorisée à obtenir le recueil en temps réel des données de connexion relatives :

• à des personnes préalablement identifiées susceptibles d’être en lien avec une menace ;
• et aux personnes appartenant à l’entourage d’une personne concernée par une autorisation lorsqu’il y a des raisons sérieuses de penser qu’elles sont susceptibles de fournir des informations au titre de la finalité qui motive l’autorisation.

En l’espèce, les associations requérantes soutenaient que l’article en cause porterait atteinte au droit au respect de la vie privée et au secret des correspondances en raison, d’une part, du trop grand nombre de personnes dont les données de connexion sont susceptibles d’être recueillies en temps réel et, d’autre part, de la durée de l’autorisation qui serait trop longue.

Les données de connexion visent l’ensemble des informations techniques recueillies auprès des fournisseurs d’accès, permettant l’identification d’une personne et la localisation des équipements utilisés. Ces données sont des données personnelles au sens de la loi du 6 janvier 1978.

Dans sa décision n°2017-648 rendue le 4 août 2017, le Conseil constitutionnel invalide partiellement l’article précité et précise le régime juridique de l’accès aux données de connexion (Cons., 4 août 2017, n° 2017-648 QPC).

Dans un premier temps, la Haute juridiction valide l’allongement de la durée de l’autorisation de deux mois renouvelables à quatre mois renouvelables.

Dans un second temps, le Conseil constitutionnel se livre à un contrôle de proportionnalité entre, d’une part, les nécessités de prévenir les atteintes à l’ordre public et, d’autre part, le droit au respect de la vie privée. Il juge conforme à la Constitution les dispositions contestées prévoyant la possibilité pour l’Administration d’être autorisée à recueillir les données de connexion de la première catégorie d’individus, cette mesure étant suffisamment encadrée par le législateur.

En effet, la technique de renseignement en cause ne peut être mise en œuvre que pour la prévention du terrorisme, l’autorisation est d’une durée de quatre mois renouvelables et elle est délivrée par le Premier ministre après avis de la Commission nationale de contrôle des techniques de renseignement (CNCTR).

Toutefois, les sages estiment qu’en élargissant cette mesure à l’entourage, soit à « un nombre élevé de personnes, sans que leur lien avec la menace soit nécessairement étroit », le législateur n’a pas concilié de façon équilibrée la prévention du terrorisme et le droit au respect de la vie privée. En conséquence, la seconde phrase du I de l’article L.851-2 du Code de la sécurité intérieure est déclarée inconstitutionnelle et son abrogation reportée au 1er novembre 2017.

En exerçant son contrôle de proportionnalité, le Conseil constitutionnel s’était déjà prononcé à deux reprises sur les données de connexion :

• la décision n°2015-713 DC du 23 juillet 2015 concernait l’accès aux données de connexion sur le fondement de la loi relative au renseignement. Aux termes de l’article L.851-1 du Code de la sécurité intérieure il est prévu un accès aux données de connexion par l’autorité administrative, assez semblable à celui contesté dans la présente décision, mais en temps différé cette fois et donc moins intrusif qu’en temps réel. Aucune prolongation de la durée d’accès n’étant prévue et l’autorisation d’accès ne portant que sur les données d’une personne désignée à l’exclusion de son entourage, le Conseil constitutionnel a considéré que l’accès ne portait pas une atteinte excessive à la vie privée des personnes.
• la décision n°2015-478 QPC du 24 juillet 2015 portait sur l’ancienne rédaction de l’article L.851-1 du Code de la sécurité intérieure, issue de la loi du 21 juillet 2015 prorogeant (déjà) l’état d’urgence. Là encore, le Conseil retient que l’atteinte à la vie privée des personnes « n’est pas manifestement disproportionnée ». C’est donc la différence de rédaction entre la loi de 2015 et celle de 2016, sur l’extension de la mesure à l’entourage de la personne identifiée, qui motive la décision du 4 août 2017.

Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.

Victoire Delloye, avocat, droit de la propriété intellectuelle