COMMISSION DES AFFAIRES EUROPÉENNES
Mercredi 26 mai 2021
Présidence de Mme Sabine Thillaye, Présidente de la Commission
La séance est ouverte à 16 heures.
. Nous poursuivons aujourd'hui nos échanges relatifs à la jurisprudence de la Cour de justice de l'Union européenne afférente à la conservation des données de connexion. Lors de notre table ronde, le 17 mars 2021, nous avions reçu des intervenants de grande qualité pour nous présenter les enjeux juridiques et opérationnels de l'arrêt La Quadrature du Net, rendu le 6 octobre 2020.
Comme ce fut le cas lors de notre précédente réunion, les recoupements existants entre les affaires européennes et les sujets de défense nationale justifient que nos deux commissions abordent ce sujet conjointement.
Depuis cette table ronde, la longue saga juridictionnelle a pris fin. La Cour de Justice de l'Union européenne a répondu aux questions préjudicielles posées par le Conseil d'État français. Le juge administratif national a ainsi pu donner sa position définitive sur la législation française, en étant éclairé par cette interprétation qui fait corps avec le droit primaire et dérivé.
Comme l'a rappelé le président de la Cour de Justice, M. Koen Lenaerts, lors de son audition, la semaine dernière, les juridictions nationales et européennes sont des alliées naturelles. Il n'est pas question de créer des clivages en opposant artificiellement les positions françaises et européennes.
Au-delà des précisions techniques apportées par la Cour de justice, c'est le principe même d'un régime de conservation des données, générale et indifférenciée, qui est pourtant en cause. Le gouvernement français n'a pas fait mystère de sa position. Parti au litige, le Premier ministre a fait valoir des arguments juridiques très audacieux visant en substance à demander au Conseil d'État de ne pas appliquer l'arrêt de la Cour de Justice au motif qu'elle aurait excédé sa compétence.
L'utilité opérationnelle des données de connexion dans la protection de la sécurité nationale, comme dans la prévention et la répression des infractions pénales, est au demeurant indiscutable.
Le fait de nous saisir, en tant que parlementaire, de cette question trouve, en cette période, une résonance particulière : cet arrêt est en lien direct avec le projet de loi relatif à la prévention des actes de terrorisme et au renseignement. Il revêt un intérêt significatif en raison des réponses apportées au fond et sur le plan contentieux.
Les enjeux européens, même lorsqu'ils sont particulièrement techniques, sont au cœur des grands dossiers politiques qui fondent notre mission à l'Assemblée nationale.
Plutôt que de dénoncer un hypothétique gouvernement des juges, il faut s'interroger sur les marges de manœuvre démocratiques dont disposent les représentants élus. Ces réflexions doivent s'intégrer dans le cadre des traités en vertu desquels nous avons librement consenti d'exercer certaines compétences en commun, dans une communauté soumise à la règle de droit.
À ce titre, je me réjouis qu'en étroite liaison avec la commission de la défense, la commission européenne remplisse son rôle d'information et d'alerte sur des sujets européens susceptibles d'exercer une influence sur les politiques nationales.
Cette réunion fait suite à une audition commune, en mars dernier, de quatre éminents spécialistes : des professeurs des universités, le procureur de la république anti-terroriste, et le coordonnateur national du renseignement et de la lutte contre le terrorisme.
Une nouvelle fois, elle va nous permettre de croiser nos regards sur un enjeu majeur pour notre commission : l'efficacité opérationnelle de nos services de renseignement, et celle de l'autorité judiciaire.
La célèbre jurisprudence Tele2 de la Cour de justice de l'Union européenne est désormais au cœur des préoccupations de la commission de la défense, comme de la commission des lois et de la délégation parlementaire au renseignement.
Cet arrêt a des effets conséquents sur la réglementation nationale applicable à la conservation des données. L'arrêt Tele2 de décembre 2016, et sa confirmation par l'arrêt La Quadrature du Net du 6 octobre 2020, remet en cause la faculté pour les États d'obliger les opérateurs à conserver les données des utilisateurs de façon généralisée et indifférenciée.
Ces arrêts ont conduit le Conseil d'État à rendre, le 21 avril dernier, une décision historique : l'arrêt French Data Network. Il s'agit là d'une illustration évidente des effets de la jurisprudence européenne sur notre droit interne. La décision French Data Network a conduit le gouvernement à compléter, dans une lettre rectificative, son projet de loi relatif à la prévention des actes de terrorisme et au renseignement, par l'intermédiaire des articles 15 et 16, en renforçant en particulier la portée des avis de la commission nationale de contrôle des techniques de renseignement, afin de tenir compte des exigences posées par la CJUE.
Ce projet de loi, que nous avons examiné pour avis la semaine dernière en commission, sera débattu la semaine prochaine dans l'hémicycle. La communication de nos collègues, Aude Bono-Vandorme et Marietta Karamanli, arrive donc à point nommé afin d'éclairer nos débats sur les effets majeurs en droit interne de la jurisprudence de la Cour de Justice de l'Union européenne.
Avant de céder la parole à nos deux collègues, je voudrais rappeler que la loi du 24 juillet 2015 relative au renseignement, dont nous discutons en ce moment les propositions de modification, est un texte qui vise à assurer un équilibre entre le respect du droit à la vie privée et la protection des intérêts fondamentaux de la nation. Il importe à mon sens de préserver cet équilibre dans l'intérêt de nos concitoyens.
Nous sommes ravies de retrouver nos collègues de la commission de la défense pour aborder ce sujet européen qui intéresse bien au-delà des habituels commentateurs de la vie institutionnelle bruxelloise et qui a fait l'objet d'une couverture médiatique assez importante pour un sujet d'articulation de normes françaises et européennes.
Le 6 octobre 2020, la Cour de justice de l'Union européenne a rendu deux décisions complétant sa jurisprudence sur la protection des données à caractère personnel.
Celle qui nous intéresse au premier chef répond à une série de questions préjudicielles du Conseil d'État français, saisi par des associations de défense des libertés sur internet, notamment La Quadrature du Net. La saisine porte sur le régime de conservation, par les opérateurs de télécoms, fournisseurs d'accès à internet et intermédiaires techniques du web, des données de connexion des utilisateurs.
Notre ambition, avec Marietta Karamanli, a été de comprendre les conséquences de la jurisprudence récente de la Cour de justice, qui porte sur une matière complexe et particulièrement technique. Les enjeux sont multiples. Nous avons constaté une ligne de partage très nette entre les partisans des libertés numériques et les enquêteurs, qui, en France notamment, souhaitent disposer des outils nécessaires pour mener à bien leurs recherches et élucider leurs enquêtes.
Le Conseil d'État, dans un arrêt d'assemblée de 39 pages rendu le 21 avril 2021 (soit une longueur inhabituelle, même pour un arrêt d'assemblée), a choisi une position nuancée en écartant certaines analyses des juges de Luxembourg. C'est pourquoi il importe de connaître les raisons, et in fine de comprendre les conséquences de ces différents arrêts. Ici, la matière juridique est au carrefour d'enjeux politiques et opérationnels extrêmement sensibles.
Au vu du temps qui nous est imparti et de la relative complexité de certaines questions, nous ne prétendrons pas ici à l'exhaustivité, mais plutôt à attirer l'attention sur les points qui nous semblent importants pour la bonne compréhension de ce qui s'est joué au Palais Royal le mois dernier.
Bien que l'arrêt de la Cour de justice du 6 octobre 2020 s'inscrive dans une suite jurisprudentielle logique, il a surpris certains, choqués d'autres, et a été maintes fois commenté par les juristes.
Si la conservation générale et indifférenciée des données de connexion était auparavant bien rendue possible par un instrument de droit européen, à savoir une directive de 2006, la Cour de justice avait, dès 2014, annulé cet instrument dans un arrêt retentissant Digital Rights Ireland[1]. Elle considère, dans cet arrêt, que le dispositif européen n'est pas assorti de garanties suffisantes pour le respect de la vie privée des personnes. Deux ans plus tard, et dans le prolongement de l'arrêt Digital Rights Ireland, l'arrêt Tele2 Sverige de 2016 [2] donne l'occasion à la Cour de juger qu'une législation nationale prévoyant une conservation générale et indifférenciée à des fins d'enquête et de répression des infractions pénales est également contraire au droit de l'Union européenne.
Il est important de noter qu'à ce moment-là, la Cour ne se prononce pas encore sur la question de l'utilisation de ces données à des fins de renseignement. L'arrêt du 6 octobre 2020 intervient donc dans un contexte où il devient clair que la Cour de justice entend construire une jurisprudence volontariste quant à la protection des données et de la vie privée des citoyens, en témoignent les décisions rendues sur d'autres affaires : Google Spain, Shrems ou encore le PNR.
Dans cet arrêt Quadrature du Net, la Cour de justice confirme que le droit de l'Union s'oppose à des mesures législatives autorisant, à titre préventif, la conservation généralisée et indifférenciée des données de trafic et de localisation. Sur ce point elle réitère sa jurisprudence antérieure.
Elle précise également le contour des exceptions pour lesquelles la conservation massive des données est autorisée :
D'abord, une conservation généralisée et indifférenciée des données est possible pour une durée limitée au strict nécessaire en cas de menace grave pour la sécurité nationale.
Ensuite, une conservation ciblée des données peut être autorisée en fonction des catégories de personnes ciblées et au moyen d'un critère géographique. Le recueil en temps réel des données de connexion, particulièrement attentatoire à la vie privée doit, selon la Cour de Justice, être limité aux personnes dont on soupçonne qu'elles sont impliquées dans des activités de terrorisme, et être soumis à un contrôle préalable.
Ces exceptions annoncées par la Cour de justice sont considérées comme très insuffisantes par les autorités étatiques pour permettre aux services de renseignement et aux enquêteurs de maintenir leur capacité actuelle de lutte contre le terrorisme et la criminalité. Elles conduiraient de facto à limiter grandement les outils à leur disposition.
Quinze États membres de l'Union, dont la France, sont intervenus lors de l'audience devant la Cour de justice sur cette affaire pour défendre leur législation. Concrètement, le droit français actuel prévoit que l'obligation de conservation des métadonnées pesant sur les fournisseurs de service porte sur une durée d'un an. Il prévoit également que la protection des données personnelles des citoyens contre une utilisation abusive exercée par les pouvoirs publics repose essentiellement sur les conditions et garanties légales d'accès aux données prévues par la loi. La Cour de justice a quant à elle estimé que la conservation des données était par elle-même attentatoire à la vie privée des personnes, nonobstant les garanties légales proposées.
. Les arrêts du 6 octobre 2020 portant sur les questions préjudicielles française et belge obligent à s'arrêter sur la solution retenue par la Cour constitutionnelle belge le 22 avril 2021, une semaine après l'arrêt du Conseil d'État. Les juges belges tirent en effet des conséquences différentes du même arrêt en imposant un changement de perspective par rapport à la législation belge, mais aussi française : l'obligation de conserver les données des communications électroniques doit être une exception, et non la règle. C'est ainsi qu'elle a annulé l'obligation d'une conservation généralisée et indifférenciée de ces données. Cette divergence entre les juridictions belges et françaises, pourtant de tradition juridique proche, interroge dans un espace juridique intégré comme celui de l'Union européenne.
En outre, l'arrêt du Conseil d'État, qui répond à une demande explicite du gouvernement, prête le flanc à des critiques de nature politique. La France se singularise en effet par rapport aux autres États membres qui se mettent en stricte conformité avec la jurisprudence européenne. Ainsi, les autorités allemandes sont en attente d'une décision de la Cour européenne de Justice sur l'affaire Spacenet ; tant que celle-ci n'est pas rendue, l'Allemagne a suspendu sa législation sur la conservation des données.
Si le spectre d'une condamnation en manquement semble écarté, il n'en reste pas moins que le message qui demeure est celui d'une divergence, à l'heure où l'exemplarité est un atout pour faire appliquer les principes de l'État de droit. À titre personnel, j'ajouterai que la question du partage des données entre États membres au titre de la coopération policière et militaire devra être elle aussi examinée avec attention.
. Ce sujet est technique mais aussi très politique. Il s'agit en effet de trouver un équilibre entre la sécurité et la liberté. C'est un sujet au cœur des débats de nos sociétés démocratiques confrontées à la criminalité ordinaire mais aussi à des violences nouvelles et des modes opératoires innovants. Les outils numériques sont ainsi à la fois le poison et le remède : ils permettent aux criminels d'échapper à toute surveillance mais également aux enquêteurs de résoudre plus d'enquêtes que jamais. L'enjeu est un juste compromis entre l'utilisation des nouvelles technologies et la recherche d'une résolution rapide des enquêtes et le respect des libertés individuelles.
Le projet de loi relatif à la prévention des actes de terrorisme et au renseignement, qui sera examiné à l'Assemblée nationale dans les prochaines semaines, apportera je n'en doute pas de nouveaux éléments à ce débat.
Ce travail sur les données de connexion nous aura permis de mesurer que, face à un sujet complexe, le temps de la réflexion et de l'assimilation est nécessaire. Prenons-le.
. Je vous remercie pour votre travail très intéressant, qui montre une fois de plus combien l'Union européenne intervient dans divers domaines liés les uns aux autres. Il rappelle également l'interdépendance entre les juridictions européennes et les juridictions nationales qui, on l'oublie souvent, appliquent aussi le droit européen. Enfin, il montre à quel point la Cour de justice de l'Union veille à l'harmonisation de l'application de ce droit, en tentant compte des identités constitutionnelles des États membres.
. Le 21 avril 2021, le Conseil d'État a rendu un arrêt relatif à la conservation des données électroniques dans le cadre de la lutte contre les menaces affectant la sécurité nationale. Il a été saisi par plusieurs associations, dont Quadrature du Net, sur la conformité de la législation française au droit européen, ce qui lui a également permis de vérifier que l'application du droit européen ne compromettait pas les exigences constitutionnelles françaises. L'arrêt de la Cour de justice, s'il a rappelé que la conservation généralisée et indifférenciée des données était une atteinte au droit à la vie privée, a néanmoins admis une nouvelle exception, en cas de menace grave, actuelle ou prévisible pour la sécurité nationale. Ainsi, le Conseil d'État a jugé qu'une telle conservation était possible compte tenu de la menace terroriste pesant sur la France depuis 2015, pour autant que l'existence de cette menace soit prouvée chaque année. Par ailleurs, il a jugé illégale une telle conservation pour des besoins autres que ceux de la sécurité nationale. Enfin, l'avis de la commission nationale de contrôle des techniques de renseignement, dont l'avis était consultatif, devient obligatoire.
Nous savons tous que, pour les services de renseignement, ces données sont essentielles afin de lutter contre le terrorisme. Pouvez-vous nous dire comment ils ont accueilli cet arrêt ?
. Avec l'arrêt rendu par le Conseil d'État le 21 avril 2021, on mesure l'importance politique et juridique de concilier le respect de la vie privée avec la lutte contre la criminalité et le terrorisme. Le Conseil d'État s'est appuyé sur la clause de sauvegarde qui stipule que dans le cas d'une directive ou d'un règlement européen ayant pour effet de priver de garantie effective une exigence de nature constitutionnelle sans protection équivalente en droit européen, le juge administratif doit l'écarter dans la stricte mesure qu'exige le respect de la Constitution. Le Conseil d'État semble avoir ainsi répondu aux attentes du gouvernement qui s'était appuyé sur plusieurs dispositions constitutionnelles, dont la sauvegarde des intérêts fondamentaux de la nation. Néanmoins, il ordonne au gouvernement de réévaluer chaque année la menace qui pèse sur le territoire pour justifier la conservation généralisée des données et subordonne leur utilisation au contrôle d'une autorité indépendante. Dès lors, cet arrêt méconnaît-il la primauté du droit européen ou, au contraire, évite-t-il de s'interroger sur le respect de la répartition des compétences entre l'Union et ses membres ?
La communication de la Commission européenne de décembre dernier sur le programme de lutte anti-terroriste pour l'Union européenne souligne la nécessité d'une coopération policière et en matière d'échange d'informations. Nous ne pourrons pas lutter efficacement contre le terrorisme sans coopération au sein de l'Union européenne. C'est cette conviction qui m'avait conduite à recommander la création d'un parquet européen anti-terroriste dans mon rapport de novembre dernier portant observations sur le projet de loi relatif au Parquet européen et à la justice pénale spécialisée. Les informations de connexion permettant l'identification de l'utilisateur occupent une place centrale dans une grande partie des enquêtes menées en matière de terrorisme. En France, en 2020, la justice a effectué près de 2,5 millions de requêtes auprès des opérateurs afin d'obtenir les données de connexion de personnes faisant l'objet de procédures judiciaires.
La Commission propose de collaborer avec les États membres afin de déterminer les solutions juridiques, opérationnelles et techniques pour assurer un accès licite à ces informations, tout en préservant l'efficacité du cryptage des données relatives à la vie privée. Comment l'Union européenne pourrait-elle concilier son programme de lutte contre le terrorisme et favoriser l'échange d'informations tout en respectant sa jurisprudence protégeant la vie privée en ligne des Européens ?
L'arrêt du Conseil d'État a été accueilli avec un grand soulagement par la communauté du renseignement, après la forte inquiétude que nous avions perçue lors de nos auditions sur les conséquences de la décision de la CJUE. Celle-ci pouvait faire craindre un bouleversement total des pratiques du renseignement français, susceptible de porter atteinte à ses capacités opérationnelles dans un contexte de menace terroriste élevée.
Le Conseil d'État a maintenu en grande partie la possibilité de recourir aux données de connexion, aussi longtemps qu'il existe une menace pour la sécurité nationale. En contrepartie, le gouvernement est tenu de réévaluer cette menace tous les ans. Cela témoigne de la soumission croissante des services de renseignement au droit depuis 2015.
Je confirme qu'une partie des membres des services auditionnés était très inquiète des conséquences de la décision de la CJUE, qui remettait en cause leurs pratiques et leurs habitudes.
La semaine dernière, le président de la Cour de justice a rappelé que la Cour n'était pas là pour embêter les services, mais pour rappeler le droit de l'Union, qui est supérieur au droit national.
Les différents États saisissent la Cour pour confronter les pratiques des différents États membres et vérifier qu'ils respectent bien le droit de l'Union. La France a plaidé sa cause auprès de la Cour de justice, qui a introduit une exception en matière de terrorisme. Il ne s'agit pas de conserver les données constamment, mais sur une période qui soit liée à une exception, le terrorisme.
Le Conseil d'État a pris en compte les différentes inquiétudes et demandé que la menace qui pèse sur le territoire soit réévaluée régulièrement pour vérifier si la conservation généralisée et indifférenciée des données reste justifiée.
Il est important de rappeler la primauté du droit de l'Union européenne. Ce n'est pas la Cour qui est venue imposer le droit de l'Union, ce sont les États qui ont choisi de se soumettre à un droit de l'Union supérieur au droit national.
Le combat pour construire le parquet européen a commencé il y a vingt ans. C'est seulement par le texte voté en début d'année que nous avons harmonisé notre droit avec le règlement européen. Nous avons toujours dit que les compétences dont il est doté aujourd'hui n'étaient pas suffisantes ; il ne faut pas se limiter aux intérêts financiers de l'Union européenne, mais prendre en compte aussi d'autres intérêts qui concernent tous les pays, comme la criminalité, le terrorisme et la traite des êtres humains.
L'échange d'informations est essentiel pour lutter contre la criminalité ; la coopération entre États est indispensable. On ne peut pas se contenter de partager les informations entre services d'un même État sans regarder comment nous pouvons coopérer avec d'autres États membres qui appliquent le même droit de l'Union européenne et sont confrontés aux mêmes problématiques.
Le recours à des applications de messagerie cryptées se développe de plus en plus et les communications sont de plus en plus difficiles à intercepter. C'est tout l'intérêt des métadonnées, qui renseignent sur qui parle à qui, quand et comment, et non sur le contenu du message.
Pour favoriser la coopération entre les services de renseignement, je rappelle le rôle central d'Europol, en particulier du centre européen de la lutte contre le terrorisme. Il fait office de plateforme d'échange des informations entre des services qui sont souvent réticents à ce partage.
Je rappelle que nous avions obtenu un contrôle des parlements nationaux sur Europol, ce qui est important pour construire la confiance des citoyens.
J'insiste sur un élément important de l'arrêt du Conseil d'État, qui est l'obligation de recourir à une autorité indépendante pour autoriser l'exploitation des données par les services de renseignement.
Le principe de la primauté du droit de l'Union reste fragile, parce qu'il ne figure pas dans les traités. Il figurait dans le traité établissant une constitution pour l'Europe, mais n'a pas été repris dans le traité de Lisbonne. Il repose par conséquent toujours sur l'arrêt Costa contre ENEL de la Cour de justice de 1964. Pour la cohésion de l'Union européenne, nous devons veiller à ce qu'il soit respecté.
Je félicite les rapporteures pour la qualité de leur travail. Nos deux commissions se retrouveront probablement prochainement pour travailler sur d'autres sujets communs.
La Commission a nommé sur proposition de la Présidente Sabine Thillaye :
– M. Hubert Wulfranc, rapporteur sur la proposition de résolution européenne de M. Sébastien Jumel et plusieurs de ses collègues relatives à la reconnaissance d'une « exception énergétique » au sein de l'Union européenne (N° 4107) ;
– M. Patrick Loiseau, rapporteur d'information sur la politique européenne de défense commerciale ;
– Mme Sabine Thillaye, rapporteure d'information sur l'évolution du cadre juridique européen applicable à la production d'électricité.
Sur le rapport de la Présidente Sabine Thillaye, la Commission a examiné des textes soumis à l'Assemblée nationale en application de l'article 88-4 de la Constitution.
Textes actés
Aucune observation n'ayant été formulée, la Commission a pris acte des textes suivants :
Budget de l'union européenne
- Proposition de décision du Parlement européen et du Conseil relative à la mobilisation du Fonds européen d'ajustement à la mondialisation à la suite d'une demande des Pays-Bas – EGF/2020/004 NL/KLM ( COM(2021) 226 final - E 15751).
- Proposition de virement de crédits N° DEC 08/2021 à l'intérieur de la section III - du budget général pour l'exercice 2021 ( DEC 08/2021- E 15755).
- Proposition de virement de crédits N° DEC 10/2021 à l'intérieur de la section III - du budget général pour l'exercice 2021 ( DEC 10/2021- E 15756).
Textes actés de manière tacite
La Commission a également pris acte de la levée tacite de la réserve parlementaire, du fait du calendrier des travaux du Conseil, pour les textes suivants :
Commerce extérieur
- Recommandation de Décision du conseil autorisant l'ouverture de négociations en vue d'un accord entre l'Union européenne et la République d'Angola sur la facilitation des investissements ( COM(2021) 138 final- E 15617).
Politique étrangère et de sécurité commune(PESC)
- Décision du Conseil modifiant la décision 2014/486/PESC relative à la mission de conseil de l'Union européenne sur la réforme du secteur de la sécurité civile en Ukraine (EUAM Ukraine) ( 7568/21 LIMITE- E 15757).
- décision du Conseil modifiant la décision (PESC) 2017/915 du Conseil concernant les activités de communication de l'Union à l'appui de la mise en œuvre du traité sur le commerce des armes ( 8194/21 LIMITE- E 15758).
- Décision du Conseil autorisant l'ouverture de négociations avec la République des Seychelles aux fins d'un accord visant à faciliter le transfert par un État membre de personnes appréhendées et retenues en vertu de son droit national pour avoir participé à des violations de l'embargo sur les armes imposé par les Nations unies à la Somalie ou au trafic de stupéfiants au large des côtes de la Somalie ( 8202/21 LIMITE- E 15759).
- Décision du Conseil autorisant l'ouverture des négociations avec la République des Seychelles aux fins d'un accord visant à faciliter le transfert par les États membres de l'Union européenne des trafiquants présumés d'armes ou de stupéfiants - Addendum ( 8202/21 ADD 1 LIMITE- E 15760).
- Décision du Conseil autorisant l'ouverture des négociations avec la République islamique de Mauritanie afin de conclure un accord sur le statut en Mauritanie de la cellule de conseil et de coordination régionale, d'autres éléments de la mission PSDC de l'Union européenne au Mali et d'éléments de la mission PSDC de l'Union européenne au Niger ( 8336/21 LIMITE- E 15761).
Santé
- Règlement (UE) de la commission modifiant l'annexe II du règlement (CE) nº 1333/2008 du Parlement européen et du Conseil en ce qui concerne l'utilisation des polyols dans certaines confiseries à valeur énergétique réduite ( D072048/03- E 15722).
La séance est levée à 17 heures 05.
Membres présents ou excusés
Le relevé des présents est suspendu en raison de la crise sanitaire.