« 2o Cent vingt jours à compter de leur recueil pour les renseignements collectés par la
mise en œuvre des techniques mentionnées au chapitre III du titre V du présent livre,
à l’exception des informations ou documents mentionnés à l’article L. 851-1 ;
« 3o Quatre ans à compter de leur recueil pour les informations ou documents mentionnés
à l’article L. 851-1.
« Pour ceux des renseignements qui sont chiffrés, le délai court à compter de leur
déchiffrement. Ils ne peuvent être conservés plus de six ans à compter de leur recueil.
« Dans une mesure strictement nécessaire aux besoins de l’analyse technique et à l’exclusion de toute utilisation pour la surveillance des personnes concernées, les renseignements collectés qui contiennent des éléments de cyberattaque ou qui sont
chiffrés, ainsi que les renseignements déchiffrés associés à ces derniers, peuvent être
conservés au-delà des durées mentionnées au présent I. »
Observons d’emblée que les renseignements chiffrés mentionnés au cinquième alinéa
du I de cet article ne peuvent, par définition, pas être des métadonnées. Quand des
métadonnées sont chiffrées, elles se présentent alors comme des données, dont on ne peut
pas dire ce qu’elles contiennent. Les informations clairement disponibles ne portent que
sur le transport (vers où va ce message chiffré, peut-être des informations sur qui pourra
le lire). Par définition, les métadonnées sont toujours en clair, puisqu’elles permettent
l’acheminement du message chiffré. Les renseignements mentionnés ne peuvent donc, par
définition, qu’être des données de contenu, obtenues par des interceptions.
En outre, le fait de porter de trente jours à six ans le délai de conservation pour les
renseignements collectés, avec comme seul élément justificatif à ce changement de délai
le fait que l’expéditeur du message a suivi les recommandations de l’ANSSI en matière
de sécurité est manifestement hors de toute proportion.
Le dernier alinéa de l’article L. 822-2-I du code de la sécurité intérieure indique par
ailleurs que ces données qui, par définition, relèvent du contenu et non de la métadonnée,
peuvent être conservées sans aucune limite pour des usages autres que la surveillance
des personnes concernées. Si cette conservation peut être envisagée pour les données
qui « contiennent des éléments de cyberattaque » et donc sont constitutifs des éléments
matériels d’une infraction 8 , les mots « ou qui sont chiffrés » étendent ce dispositif sans
justification pour des données qui ne sont pas, a priori, en lien avec quelque infraction
que ce soit. Cette extension est là encore manifestement disproportionnée.
En conclusion,
En échouant à apporter des garanties nécessaires à la sauvegarde des droits et libertés
garantis à l’article 2 et à l’article 11 de la Déclaration de 1789 s’agissant des communications chiffrées, le législateur a méconnu l’obligation qui lui incombe en vertu de l’article
34 de la Constitution.
En conséquence, le cinquième alinéa de l’article L. 822-2-I du code de la sécurité
intérieure ainsi que les mots « ou qui sont chiffrés » à l’alinéa suivant doivent être censurés.
8. Et ce bien qu’on puisse s’inquiéter de voir les services de renseignement bénéficier de compétence
en matière de cybersécurité alors que la France dispose d’une agence civile dédiée (l’ANSSI).
51