— 56 —
La Cour différencie les atteintes en fonction de la finalité du traitement
poursuivi, la légitimité des finalités correspondant à la possibilité de recourir à la
conservation et au traitement des données :
– les atteintes à la sécurité nationale ;
– la criminalité grave et les atteintes graves à la sécurité publique ;
– enfin la détection et la poursuite d’infractions pénales.
La possibilité laissée aux État de définir un régime de conservation des
données a donc semblé particulièrement faible, et cette décision est parue de nature
à remettre en cause l’ensemble du cadre légal français en matière de conservation
des données et de techniques de renseignement.
C. UN CADRE NATIONAL CONFORTÉ PAR LA JURISPRUDENCE DU
CONSEIL D’ÉTAT ET LES ÉVOLUTIONS APPORTÉES PAR LE PROJET
DE LOI RELATIF À LA PRÉVENTION D’ACTES DE TERRORISME ET AU
RENSEIGNEMENT, MAIS LA PERMANENCE D’ENJEUX COMPLEXES.
Initialement destiné à tirer les conséquences des échéances prévues par la
loi du 24 juillet 2015, la loi du 30 juillet 2021 relative à la prévention d’actes de
terrorisme et au renseignement tire les conséquences de la jurisprudence de la CJUE
et de la décision du Conseil d’État, 21 avril 2021, French Data Network et autres.
1. Les garanties apportées par le projet de loi relatif à la prévention d’actes
de terrorisme et au renseignement
La décision du Conseil d’État du 21 avril 2021 a été largement perçue
comme posant un équilibre entre les exigences posées par la CJUE et le cadre
institutionnel français. Cet équilibre repose essentiellement sur deux points : la
possibilité de conservation de données fondées sur l’état d’une menace grave
constatée annuellement par un décret du Premier ministre et le renforcement du
contrôle a priori des techniques de renseignement exercé par la CNCTR.
En conséquence la loi du 30 juillet 2021 instaure un nouveau régime
juridique en matière de conservation des données et, pour les techniques de
renseignement soumises au contrôle de la Commission nationale de contrôle des
techniques de renseignement (CNCTR), tire les conséquences de l’arrêt de la Cour
de justice de l’Union européenne (CJUE) du 6 octobre 2020 et de la décision French
data Network et autres du Conseil d’État du 21 avril 2021.
La loi modifie les articles L. 34-1 du code des postes et des communications
électroniques (CPCE) et 6 de la loi du 21 juin 2004 pour la confiance dans
l’économie numérique (LCEN). Elle prévoit qu’en cas de menace grave, actuelle ou
prévisible pour la sécurité nationale, le Premier ministre peut enjoindre aux
opérateurs de communications électroniques, par un décret dont la durée
d’application ne peut excéder un an, de conserver, pour une durée d’un an, certaines