"Le gouvernement organise un moyen de contrôle général et de surveillance des échanges [téléphoniques] et internet entre les citoyens pour un an", "A PARTIR DU 21 OCTOBRE, l’Etat va surveiller toutes vos communications Internet, ordinateur et mobile", s'alarment des internautes dans des publications Facebook (1) ou Twitter (2, 3) cumulant des milliers de partages depuis le 21 octobre 2022. 

Elles citent, en guise de source, un décret de la Première ministre Elisabeth Borne pris le 17 octobre 2022 et consultable sur le site de Légifrance ou bien un article du site "Planetes360" reprenant le contenu de ce texte. 

"Vous vouliez parler sans être surveillés ? Vous l'étiez déjà mais là, à partir du 21 octobre 2022, ce sera légal", avance quant à lui sur sa page Facebook l'ex-"gilet jaune" Maxime Nicolle, en partageant le lien du même décret, tandis qu'un utilisateur de Twitter dénonce ce texte qui "donne la possibilité à la police d'écouter toutes nos conversations téléphoniques". 

Si ce décret "portant injonction, au regard de la menace grave et actuelle contre la sécurité nationale, de conservation pour une durée d'un an de certaines catégories de données de connexion" est bien entré en vigueur le 21 octobre dernier, et dispose que les fournisseurs d'accès téléphonique et à Internet ainsi que les hébergeurs et éditeurs de sites web doivent "conserver, pour une durée d'un an, les données de trafic et de localisation", il n'instaure aucune obligation nouvelle de sauvegarde de ces informations, comme l'expliquent plusieurs spécialistes du droit numérique à l'AFP. 

"Il n'y a rien de neuf dans ce décret, les opérateurs de communication électroniques et les hébergeurs et les éditeurs de site ont depuis des années une obligation de conservation des données de connexion", explique Frédéric Forster, avocat au cabinet Lexing Alain Bensoussan et spécialiste en droit des télécoms. 

"Ce décret n'introduit rien de nouveau dans la pratique",  indique également Noémie Levain, juriste à la Quadrature du net, une association de défense et de promotion des droits et libertés sur Internet, tout en soulignant qu'"il ne permet pas d'enregistrer les conversations téléphoniques", contrairement à ce qu'affirment certaines publications, "mais les métadonnées".

"Il s'agit de toutes les données qui gravitent autour des communications. Pour un appel téléphonique, il s'agit des numéros des deux correspondants, de l'heure de l'appel. Sur Internet, il s'agit de l'adresse IP,  de l'heure de connexion... Sur le fond, cela reste problématique car ces métadonnées permettent potentiellement de recouper énormément d'éléments sur la vie privée", poursuit-elle.

"Tous ces identifiants techniques non relatifs au contenu d'une communication sont comme l'enveloppe dans laquelle est glissée une lettre. Ces informations sont déjà très précises et permettent de faire des déductions de beaucoup de choses", abonde Bastien Le Querrec, juriste et également membre de la Quadrature du net. 

Une pratique en vigueur de longue date en France

Comme le rappelle Noémie Levain, cette obligation de conservation des métadonnées par les opérateurs télécoms et les hébergeurs ou éditeurs de sites web "au cas où la police serait tenue de les consulter" date du début des années 2000, le décret du 17 octobre 2022 n'étant que "l'aboutissement d'une saga judiciaire qui a duré un long moment". 

"Les premiers textes remontent à mars 2003, avec la loi de sécurité intérieure, en réaction aux attentats du 11-Septembre 2001", souligne Frédéric Forster.  

En juillet 2004, une loi modifie l'article L34-1 du Code des postes et des communications électroniques (CPCE), qui dispose désormais que "les opérateurs de communications électroniques, et notamment les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne, effacent ou rendent anonyme toute donnée relative au trafic" mais que ces "opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques" peuvent être différées "pour une durée maximale d'un an" pour "les besoins de la recherche, de la constatation et de la poursuite des infractions pénales", dans le "seul but de permettre", si nécessaire, "la mise à disposition de l'autorité judiciaire d'informations". 

En 2014, un "revirement" de la Cour de justice de l'Union européenne

Deux ans plus tard, le  15 mars 2006, une directive européenne consacre ce principe pour tous les Etats membres, chargés de veiller à ce que les données relatives aux communications par téléphonie ou Internet "soient conservées pour une durée minimale de six mois et maximale de deux ans à compter de la date de la communication", et puissent "être transmises sans délai aux autorités compétentes".

Mais, le 8 avril 2014, un arrêt de la Cour de justice de l'Union européenne (CJUE) remet en cause cette directive, estimant qu'elle représente une "ingérence dans les droits fondamentaux de la quasi-totalité de la population", qui n'est pas "précisément encadrée par des dispositions permettant de garantir qu'elle est effectivement limitée au strict nécessaire". 

"Cette décision de la CJUE était un véritable revirement, puisqu'elle estimait que la directive était trop large, et que la conservation des données devait être plus ciblée et se limiter au strict nécessaire - ce qu'elle a réaffirmé depuis dans un arrêt de 2016", souligne Noémie Levain, tout en précisant que "la Quadrature du net a initié un recours devant le Conseil d'Etat pour faire abroger la conservation pendant un an de ces données". 

En avril 2021, le Conseil d'Etat estime, en se fondant notamment sur trois décisions rendues par la CJUE le 6 octobre 2020 prévoyant que ces données pouvaient être conservées en cas de menace grave à la sécurité nationale, estime que la "conservation généralisée aujourd’hui imposée aux opérateurs par le droit français est bien justifiée par une menace pour la sécurité nationale, comme cela est requis par la CJUE."

Il instaure en revanche l'obligation au "gouvernement de procéder, sous le contrôle du juge administratif, à un réexamen périodique de l’existence d’une telle menace", celle-ci étant comprise de manière assez large puisqu'elle comprend, selon le Conseil d'Etat, outre un "risque terroriste élevé", le "risque d'espionnage et d'ingérence étrangère" et "des menaces graves pour la paix publique, liées à une augmentation de l'activité de groupes radicaux et extrémistes". 

"Derrière l'illusion de la victoire se cache une de nos plus lourdes défaites. Le principe de la suspicion généralisée et de la surveillance politique est validé durablement", avait à l'époque réagi la Quadrature du Net sur Twitter.

"Au lieu de prévoir la conservation des données uniquement dans le cas d'une menace grave à la sécurité nationale prévue par la CJUE, le Conseil d'Etat a estimé que la France était toujours sous cette menace depuis les attentats de 2015 et qu'il y aurait simplement chaque année un réexamen pour voir si cette menace était toujours présente", analyse Noémie Levain. 

Enquêteurs, magistrats et services de renseignement s'alarmaient à l'époque du risque d'être privés des "fadettes" (relevés des communications) utilisés dans "quatre enquêtes judiciaires sur cinq", allant des violences conjugales ou des vols jusqu'au grand banditisme et au terrorisme. En 2020, quelque 2,5 millions de réquisitions judiciaires avaient été adressées aux plateformes. 

"On peut bien sûr discuter du principe même de la conservation des données de connexion. Mais ces différentes décisions, de la CJUE et du Conseil d'Etat n'ont rien trouvé à redire sur le fond du principe, si ce n'est qu'il était nécessaire de préciser de quelles données on parle, car les précédentes formulations étaient trop générales et imprécises, ce qui pouvait laisser aux opérateurs télécom le soin de déterminer eux-mêmes ce qu'ils conservaient", analyse Frédéric Forster. 

Une obligation précisée par trois décrets en 2021

Le 20 octobre 2021, trois décrets ont été adoptés par le Premier ministre de l'époque, Jean Castex, pour préciser l'encadrement légal de la conservation de ces données de connexion.

"Pendant des années, les textes sont restés imprécis sur la nature exacte des 'données de connexion'. C'est uniquement depuis l'adoption de ces décrets, l'an dernier, que l'on dispose d'une description beaucoup plus fine et différenciée, dans la mesure où les obligations des opérateurs de communication télécom ne sont pas les mêmes que celles d'un éditeur de site internet ou d'un hébergeur. Ils ont permis de gagner en précision", souligne Frédéric Forster. 

Si les deux premiers décrets sont respectivement relatifs aux "catégories de données conservées par les opérateurs" et à "la conservation des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne", le troisième porte "injonction, au regard de la menace grave et actuelle contre la sécurité nationale, de conservation pour une durée d'un an de certaines catégories de données de connexion". 

"Le décret du 17 octobre 2022 est exactement le même que celui du 20 octobre 2021 : il constate que le menace grave est toujours là et il maintient cette obligation de conservation généralisée et indifférenciée des données", pointe Bastien Le Querrec, en soulignant qu'un même décret pourra de nouveau être pris dans un an pour renouveler cette injonction.

"Pour faire 'valider' ce processus par le juge, le gouvernement français prend un texte 'temporaire' qu’il va reconduire tant que la  'menace grave et actuelle contre la sécurité nationale' durera", précise à l'AFP Hélène Lebon, avocate spécialiste du droit des données personnelles, tout en soulignant que si "rien ne change" en pratique avec ce type de décret, "au niveau juridique, le texte envisage l’hypothèse que les surveillances s’arrêteront peut-être un jour".

"Le décret de 2022 ne remet pas en question quoi que ce soit qui n'ait déjà été précisé dans les décrets de 2021", ajoute Frédéric Forster, Noémie Levain soulignant quant à elle que ce texte n'est qu''une application des changements de l'année dernière qui ne modifiaient eux-mêmes rien à la pratique de conservation des données mais en revoyaient seulement le cadre".