Un décret n°2022-1327 du 17 octobre 2022 vient encadrer la conservation des métadonnées, en portant injonction, au regard de la menace grave et actuelle contre la sécurité nationale, de conservation pour une durée d’un an de certaines catégories de données de connexion.

Mais qu’est-ce qu’une métadonnée ?

Une métadonnée est une donnée permettant de définir une autre donnée. Cela signifie que cette donnée apporte nécessairement des informations supplémentaires concernant une donnée particulière. On peut dire qu’il s’agit de la carte d’identité d’une donnée. 

Pour illustrer cette notion, on peut prendre l’exemple d’une photographie prise à partir d’un smartphone. Des données de cette photographie vont pouvoir être extraite et donner des indications sur l’heure, la localisation, le type de smartphone utilisé. Les métadonnées représentent des informations importantes qu’il s’agit de protéger au regard de la vie privée des usagers. L’utilisation et la conservation de celles-ci doivent être justifiées au regard d’un but légitime poursuivi et proportionné au regard de l’atteinte causée. 

Une nouvelle réponse européenne à la question de la durée de conservation des métadonnées

Dans un souhait de mieux garantir la protection des droits fondamentaux des personnes, les juges de la Cour de Justice de l’Union Européenne, dans un arrêt du 20 septembre 2022, viennent s’opposer à la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation.

A l’origine de cet arrêt, deux fournisseurs d’accès à internet avaient contesté devant les juridictions allemandes leur obligation de conversation des données relatives au trafic et des données de localisation afférentes aux télécommunications de leurs clients à compter du 1^er juillet 2017.

Initialement, la question de la conservation des métadonnées s’était posée auprès de la CJUE en 2014, où les juges européens étaient fermement opposés au principe de conservation généralisée et indifférenciée des données. 

L’article 15 de la directive n°2002/58/CE du 12 juillet 2002 dite e-privacy, qui concerne le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, doit être interprété comme s’opposant à des mesures nationales prévoyant, à titre préventif, aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation.

Une exception est prévue au principe. Dès lors, le droit de l’Union ne s’oppose pas à ce que des mesures nationales permettent :

• ” une conservation généralisée et indifférenciée des données relatives au trafic et de localisation, en cas de menace grave pour la sécurité nationale, qui doit être réelle et actuelle ou prévisible ;

• aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation ciblée des données relatives au trafic et des données de localisation qui soit délimitée, sur la base d’éléments objectifs et non discriminatoires, en fonction des catégories de personnes concernées ou d’un critère géographique ;

• pour les mêmes finalités, une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion ;

• aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité et de la sauvegarde de la sécurité publique, une conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs de moyens de communications électroniques ;

• aux fins de la lutte contre la criminalité grave et, de la sauvegarde de la sécurité nationale, le recours à une injonction faite aux fournisseurs de services de communications électroniques, au moyen d’une décision de l’autorité compétente soumise à un contrôle juridictionnel effectif, de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont disposent ces fournisseurs de services. “

Cette décision est subordonnée à un contrôle effectif de la part d’une juridiction ou d’une entité administrative indépendante. Et pour ces exceptions, la durée est limitée au strict nécessaire et elle est renouvelable.

Ces mesures doivent assurer la conservation des donnés par des règles claires et précises en respectant des conditions matérielles et procédurales et que les personnes concernées disposent de garanties effectives contre les risques d’abus.

L’encadrement strict de la durée de conservation des métadonnées limitée à un an en France

Le Conseil d’État, dans un arrêt du 21 avril 2021 French Data Network, a examiné la conformité des règles françaises en matière de conservation des données au regard du droit de l’Union Européenne. Par ailleurs, cet arrêt a affirmé que la conservation généralisée imposée aux opérateurs, si celle-ci est justifiée au regard d’une menace pour la sécurité nationale, le gouvernement, sous le contrôle du juge administratif, doit néanmoins faire l’objet d’un réexamen périodique au regard de l’existence de cette dernière. Courant de l’été 2022, la Cour de cassation, par quatre arrêts vient confirmer la jurisprudence de l’Union Européenne.

Il s’agissait pour la France de se mettre en conformité avec l’interprétation des juges européens et donc de garantir l’effectivité de la protection des métadonnées dans les communications électroniques en protégeant les données des personnes. Pour cela, est adopté le décret n°2022-1327 qui va encadrer la durée de conservation des métadonnées en le limitant à seulement un an. 

Ce décret n°2022-1327 s’adresse principalement aux opérateurs de communication électronique. Et c’est l’article 1 qui vient leur enjoindre de conserver pour une durée d’un an les données de trafic et de localisation.

Si on applique strictement la jurisprudence des juges européens du 20 septembre 2022, l’exception de conservation généralisée s’applique que lorsqu’il y a une menace grave contre la sécurité publique et pour une durée limitée et nécessaire. Mais pour cela, la menace doit être réelle et actuelle, ou prévisible justifié au regard du caractère de gravité.

La mention de la durée d’un an de conservation n’est pas nouvelle, puisqu’elle est prévue par l’article 6 du décret n° 2021-1362 du 20 octobre 2021 relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne. En effet, l’article L.34-1 du code des postes et des communications électroniques qui consacre l’effacement ou l’anonymisation des données relatives au trafic, prévoit que la durée de conservation d’un an peut être renouvelée, confirmant ainsi le raisonnement des juges européens. 

Finalement, le décret du 17 octobre 2022 vient finalement affirmer des règles déjà établies, mais les consacre de manière plus expresse et précise, et consacre la recherche d’un équilibre nécessaire entre la protection des données personnelles et les risques pouvant justifier une atteinte à celle-ci. 

---

Sources :

• Enssib, Métadonnées, 21 novembre 2013
• CJUE, 20 septembre 2022, Bundesrepublik Deutschland c/ SpaceNet AG (C‑793/19) Telekom Deutschland GmbH (C‑794/19)
• AFP France, 26 octobre 2022, La surveillance de “toutes nos communications Internet et mobile” légalisée ? Une interprétation trompeuse d’un décret
• Clara Saillant, Dalloz, 7 novembre 2022, Conservation des métadonnées > en France : durée similaire et objectif précisé par le < décret > du 17 octobre 2022