Par Edouard Dubout, Professeur à l’Université Panthéon-Assas


En Europe, à la délicate question de savoir comment trouver un juste équilibre entre liberté et sécurité, on avait pris pour habitude de répondre à l’aide de deux principes directeurs. Le premier principe, hérité des Lumières, hiérarchise les valeurs en posant que la liberté est la règle et que la sécurité demeure l’exception. Le second principe, issu de l’expérience totalitaire européenne, organise les acteurs en instituant un contrôle externe des limites à la liberté apportées par les législateurs nationaux. Dans son arrêt d’Assemblée du 21 avril 2021, French Data Network et a., le Conseil d’État rompt allègrement avec ces deux principes1. D’une part, il élève la sécurité au rang de principe concurrent à celui de la liberté. D’autre part, il affranchit le législateur national d’un contrôle juridictionnel externe. On objectera immédiatement que pareil bouleversement du logiciel libéral européen est opéré pour la bonne cause : celle de punir les criminels et de garantir l’intégrité des citoyens, de répondre à leurs craintes et à leur demande de protection dans un monde devenu de plus en plus menaçant. Nulle surprise. C’est toujours avec un tel discours que le gardien de la liberté se mue en gardien de la sécurité.

Résistance

Le débat européen sur l’équilibre à trouver entre la liberté et la sécurité s’est cristallisé par une opposition entre la Cour de justice de l’Union et le gouvernement français quant à la possibilité de conserver de façon généralisée l’ensemble des données de connexion des citoyens au nom de la lutte contre la criminalité. Après avoir invalidé une directive européenne, prévoyant une telle possibilité de conservation des données, au nom de la protection de la vie privée et des données personnelles sur le fondement de la Charte des droits fondamentaux de l’Union européenne2, la Cour de justice a étendu cette protection, de façon logique (mais il est vrai quelque peu acrobatique, il y sera revenu) à l’ensemble des droits nationaux de ses États membres3. Autrement dit, non seulement le droit de l’Union européenne ne saurait habiliter les gouvernements à conserver de façon généralisée l’ensemble des données de connexion de leurs citoyens, mais en outre il leur interdit même de le faire. En effet, comme le rappelle justement la Cour de justice, si la possibilité de conservation des données au nom de la sécurité pouvait être généralisée et indifférenciée, alors elle deviendrait la règle et non plus l’exception4. Un grand nombre de données serait conservé alors même qu’elles ne présenteraient aucun intérêt pour la sécurité. L’atteinte à la liberté en est jugée disproportionnée.

Il est toutefois évident que la question de savoir si certaines données présentent ou non un intérêt pour la sécurité ne saurait être pleinement tranchée par avance : seule la survenance ou la découverte de l’infraction peut rétrospectivement déterminer quelles données présentent ou non un intérêt pour la sécurité. C’est pourquoi, dans une question préjudicielle, le Conseil d’État français avait sollicité l’interprétation de la Cour de justice afin qu’elle précise, voire qu’elle réexamine, sa jurisprudence, au motif que la conservation généralisée et indifférenciée des données des citoyens offrirait une garantie « sans équivalent » pour la sécurité5. Se priver d’une telle possibilité en vue de lutter efficacement contre le crime aurait nécessairement pour effet de diminuer le niveau de sécurité dans l’État. Dans son arrêt préjudiciel rendu en réponse à cette sollicitation, la Cour de justice a – sans grande surprise – maintenu sa position libérale, tout en aménageant une possibilité de conservation généralisée des données afin de préserver la sécurité « nationale »6, notamment face à la menace terroriste et le temps que dure une telle menace. En revanche, la sécurité « publique », entendue comme la lutte contre la criminalité de droit commun, même grave (comme l’assassinat ou le viol) mais ne menaçant pas l’existence même de la Nation, est jugée insuffisante pour justifier la conservation totale des données. La distinction est assez claire. Contrairement à l’amalgame fait en exergue de ses conclusions par le rapporteur public sous l’arrêt French Data Network et a., autant des attentats comme ceux du Bataclan peuvent justifier une conservation généralisée des données, autant un fait divers comme celui d’un meurtrier en série ne saurait être suffisant pour compenser une telle atteinte à nos libertés.

Le compromis paraissait sage. Il n’a pas suffi à apaiser les craintes de diminution du niveau de sécurité qui préoccupaient le Conseil d’État, lequel est entré en résistance en contestant l’interprétation faite par la Cour de justice. A la différence de cette dernière, l’Assemblée du contentieux du Conseil d’État estime que les outils alternatifs de conservation uniquement ciblée et limitée des données préconisés par le juge européen en cas de criminalité de droit commun « ne permettent, par eux-mêmes, de garantir le respect des objectifs de valeur constitutionnelle de prévention des atteintes à l’ordre public, notamment celle des atteintes à la sécurité des personnes et des biens, ainsi que de recherche des auteurs d’infractions, notamment pénales »7. Prudemment cependant, par respect ou par crainte (on rappellera que le Conseil d’État a étrenné la première condamnation en manquement judiciaire de la part de la Cour de justice8), le dispositif national litigieux est finalement écarté par le juge administratif comme étant contraire au droit de l’Union9. De façon préoccupante, la résistance ouverte affichée par le Conseil d’État s’exprime davantage sur le plan des principes en revêtant d’une onction constitutionnelle la protection de la sécurité publique par les pouvoirs publics nationaux.

Équivalence

La principale innovation de la décision French Data Network et a. tient à l’affirmation selon laquelle la sécurité publique est considérée relever exclusivement du contrôle constitutionnel du juge national, faute de protection équivalente au niveau de l’Union européenne. En effet, selon le Conseil d’État, « les exigences constitutionnelles […] qui s’appliquent à des domaines relevant exclusivement ou essentiellement de la compétence des États membres en vertu des traités constitutifs de l’Union, ne sauraient être regardées comme bénéficiant, en droit de l’Union, d’une protection équivalente à celle que garantit la Constitution »10. Tel est le cas en matière de sécurité, au regard notamment de l’article 4 §2 TUE qui impose à l’Union de respecter « les fonctions essentielles de l’État » parmi lesquelles figurent le maintien de l’ordre public et la sécurité nationale.Afin de parvenir à une telle présomption d’absence d’équivalence, une double extension est opérée : d’une part une extension du concept même de norme constitutionnelle susceptible de faire obstacle au droit de l’Union, et d’autre part une extension des hypothèses dans lesquelles une telle exigence constitutionnelle peut être opposée au droit de l’Union européenne.

On savait, au terme de la jurisprudence du Conseil constitutionnel, que des « règles ou principes inhérents à l’identité constitutionnelle de la France » pouvaient faire office de rempart ultime à l’autorité du droit de l’Union11. Le Conseil d’État, qui n’avait certes jamais utilisé la formule dans sa formation contentieuse, y ajoute désormais une nouveau concept : celui d’« exigence constitutionnelle ». Il juge qu’une norme nationale contraire au droit de l’Union « ne saurait être écartée sans priver de garanties effectives une exigence constitutionnelle »12. Ainsi, une « exigence constitutionnelle » n’ayant pas de protection équivalente au niveau de l’Union devient en mesure de faire obstacle à la pleine application de celui-ci. Or, la sécurité, et plus généralement la protection de l’ordre public, sont considérées comme de telles « exigences constitutionnelles », parmi lesquelles figurent plus particulièrement celles « de sauvegarde des intérêts fondamentaux de la Nation, de prévention des atteintes à l’ordre public et de recherche des auteurs d’infractions pénales et de lutte contre le terrorisme13. La Constitution n’est plus celle de la liberté, elle devient – aussi – celle de la sécurité. Avec cette formule, un gouvernement ne se doit plus de rechercher la sécurité par dérogation à la liberté, il peut devenir prioritairement sécuritaire. Le coup porté au constitutionnalisme libéral est sévère. Le raisonnement aboutissant à constitutionnaliser la recherche de la sécurité est particulièrement acrobatique. L’élévation de la sécurité au rang d’« exigence constitutionnelle » est déduite d’une part de sa qualité d’« objectif de valeur constitutionnelle », et d’autre part de l’obligation positive de protéger les droits et libertés d’autrui14. Les inventeurs de ces concepts, celui d’objectif de valeur constitutionnelle en droit français et d’obligation positive en droit européen, apprécieront : leur créature est retournée contre eux. D’outils destinés à améliorer la protection des droits et libertés, ils deviennent des armes pour mieux les limiter. La vague référence faite à l’article 12 de la DDHC, qui n’avait jusqu’alors jamais reçu une telle portée, pour justifier la constitutionnalisation de la sécurité, n’est guère convaincante15. Qu’une « force publique » soit nécessaire à la garantie des libertés est une évidence, qu’elle fasse de la sécurité une finalité de la Constitution l’est beaucoup moins. Le paroxysme est probablement atteint dans les conclusions du rapporteur public qui explique sans ciller que la conservation des données trouve même appui dans la norme qu’elle limite, à savoir la protection de la vie privée des citoyens. Finalement, l’arbitrage entre liberté et sécurité, se ramènerait à « un conflit interne au droit au respect de la vie privée » 16. On apprend ainsi que la conservation de nos données sert notre vie privée… Big Brother n’aurait pas mieux dit.

La distorsion conceptuelle de ce qu’est la finalité d’une Constitution, à savoir l’égale liberté et non l’égale sécurité, se double d’une déconstruction de la patiente systématisation jurisprudentielle élaborée jusqu’à présent sur les rapports de systèmes entre le droit national et le droit européen. En apparence, le nouveau contrôle de l’équivalence de protection d’une « exigence constitutionnelle » a un parfum d’Arcelor. Il s’agit de vérifier s’il existe dans le droit de l’Union européenne une norme homologue à celle d’une norme constitutionnelle nationale. En outre, c’est tout l’inverse qui est opéré. Tandis que dans l’hypothèse Arcelor il s’agissait de ne pas remettre en cause constitutionnellement le droit de l’Union à l’occasion d’un acte le respectant, dans l’hypothèse French Data Network et a. il est au contraire procédé à une remise en cause constitutionnelle du droit de l’Union lors du contrôle d’un acte qui y porte atteinte. Il s’agit de couvrir d’une caution constitutionnelle la violation par les organes étatiques des choix politiques arrêtés au niveau européen, tels qu’interprétés par la Cour de justice. Alors que dans l’hypothèse précédente, il s’agissait de répondre à une situation bien spécifique, propre au droit de l’intégration, dans laquelle les organes nationaux deviennent agent d’exécution des choix politiques européens, dans la nouvelle hypothèse on revient à un conflit classique entre le droit de l’Union et la loi nationale. Le choix politique du législateur national est rendu capable de s’extraire de la contrainte européenne par appel aux exigences constitutionnelles de l’ordre public national. Tout est à refaire. Il suffit désormais d’invoquer le devoir constitutionnel des pouvoirs publics de protéger l’ordre public national pour faire obstacle à la bonne application du droit de l’Union. On ajoutera que dans son appréciation de l’absence d’équivalence entre le droit constitutionnel français et le droit de l’Union, le Conseil d’État se fait exagérément pointilleux. La sécurité est loin d’être absente du droit de l’Union qui est produit, rappelons-le, en grande partie par les États membres. La preuve en est, sur le fond, que l’ouverture permise par la Cour de justice à la conservation généralisée des données en vue de protéger la sécurité « nationale » est finalement jugée suffisante par le Conseil d’État pour couvrir les besoins sécuritaires et rejeter les arguments du gouvernement17. Le tout n’est guère cohérent. On peine à saisir comment d’un côté le droit de l’Union est présumé ne pas protéger suffisamment la sécurité, et comment d’un autre côté le dispositif national litigieux qui est censé mieux l’assurer se retrouve bel et bien écarté.

En résumé, le nouveau contrôle de l’arrêt French Data Network et a. emporte une double rupture : tandis qu’auparavant la recherche d’équivalence se faisait au nom de la liberté et en vue d’éviter le risque de conflit avec le droit de l’Union européenne, désormais, d’une part, elle est opérée au nom de la sécurité au détriment de la liberté, et, d’autre part, elle contribue à généraliser le risque de conflit au profit du droit national. Une autre voie était-elle possible ?

Abstinence

Soufflant le chaud et le froid, le Conseil d’État s’abstient par ailleurs de tout contrôle ultra vires des actes du droit de l’Union européenne. Rappelons que le contrôle de l’ultra vires, tel que pratiqué outre-Rhin notamment, consiste à vérifier que les actes dérivés, adoptés par les institutions de l’Union européenne et tels qu’interprétés par la Cour de justice, respectent la répartition des compétences entre les deux niveaux de prise de décision, européen et national. Après en avoir longtemps agité la menace, la Cour constitutionnelle allemande s’y est aventurée récemment au nom du principe démocratique et de l’identité constitutionnelle allemande, à propos des décisions de la Banque centrale européenne autorisant le rachat de la dette grecque18. Avec un succès mitigé néanmoins, la décision allemande mélangeant de façon regrettable la question de l’existence même d’une compétence européenne avec celle des conditions de son exercice19. Par contraste, le juge administratif français estime qu’il ne lui appartient pas « de s’assurer du respect, par le droit dérivé de l’Union européenne ou par la Cour de justice elle-même, de la répartition des compétences entre l’Union européenne et les États membres »20. Or , en l’espèce, la question était précisément celle de la compétence. Le Conseil d’État le juge d’ailleurs en mobilisant l’article 4 §2 TUE afin de poser une présomption de protection insuffisante de la sécurité au niveau de l’Union européenne en raison de son absence supposée de compétence dans le domaine. La divergence de vues sur l’équilibre à trouver entre liberté et sécurité provenait de ce qu’un acte de droit de l’Union, en l’occurrence la directive 2002/58/CE sur la vie privée et les communications électroniques, ait été interprétée comme débordant le strict cadre de l’harmonisation économique pour laquelle elle avait été initialement adoptée, afin de s’étendre à la question de la sécurité et de la lutte contre la criminalité21. Évidemment en ce que l’accès aux données de connexion par les pouvoirs de police passe par une obligation de conservation imposée aux opérateurs économiques de communication, la frontière entre les aspects marchand et sécuritaire s’avérait poreuse. C’est ce qui permit à la Cour de justice de se penser fondée à étendre, sur la base de la directive, son contrôle des droits nationaux en matière sécuritaire. Le pari s’avérait néanmoins osé, et c’est sur ce point qu’un contrôle national du respect de la répartition constitutionnelle des compétences aurait pu être élaboré.

Bien entendu, qu’un contrôle national de l’ultra vires se développe n’est pas sans risque pour la poursuite de l’intégration européenne. Il fragilise la position de la Cour de justice comme interprète ultime et authentique du droit de l’Union, et le Conseil d’État y a été sensible. Mais à tout prendre, le contrôle des compétences semble préférable à l’extension/inversion du contrôle de l’équivalence auquel il a été procédé. Jusqu’à présent, le contrôle de la répartition des compétences n’a trouvé aucune solution satisfaisante : la Cour de justice se refusant à brider l’expression du pouvoir politique européen dès lors qu’un consensus suffisant est trouvé au sein des institutions communes, et les parlements nationaux se contentant le plus souvent de suivre les préoccupations de leurs gouvernements siégeant dans ces mêmes institutions. Une attention plus aiguë à la délimitation des compétences de l’Union et aux conditions d’exercice de celles-ci, au regard des principes de subsidiarité et de proportionnalité, pourrait ainsi provenir des juges constitutionnels nationaux. Tout comme les droits fondamentaux ont fini par faire l’objet d’un partage interprétatif, animé par une certaine prudence et une forme d’attention mutuelle, il n’est pas inenvisageable que la subsidiarité et surtout la proportionnalité, qui s’y prête peut-être davantage, fassent également l’objet d’interprétations croisées et de techniques d’évaluation communes. Après tout, subsidiarité et proportionnalité sont au cœur de la démocratie et de la liberté. Certes, de tels concepts ne font guère partie de la culture juridique française et de l’appareil intellectuel de son juge administratif. On suggéra néanmoins qu’il nous paraît préférable que le Conseil d’État français continue d’explorer la voie de la protection de la liberté que de s’aventurer plus avant sur celle de la protection de la sécurité.

1 CE, Ass., 21 avril 2021, French Data Network et a., req. n° 393099, 394922, 397844, 397851, 424717, 424718.

2 CJUE, 8 avril 2014, Digital Rights Ireland et a., aff. jtes C-293/12 et C-594/12.

3 CJUE, 21 décembre 2016, Tele2 Sverige et a., aff. jtes C-203/15 et C-698/15.

4 CJUE, 6 octobre 2020, La Quadrature du Net et a., aff. jtes C-511/18, C-512/18, et C-520/18, spéc. pt 142.

5 CE, 26 juillet 2018, La Quadrature du Net et a., req. n° 394922, spéc. pt 23.

6 CJUE, 6 octobre 2020, La Quadrature du Net et a., préc., spéc. pt 135 : la menace à la sécurité « nationale » provient « d’activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d’un pays, et en particulier à menacer directement la société, la population ou l’État en tant que tel ».

7 CE, Ass., 21 avril 2021, French Data Network et a., préc., spéc. pt 57.

8 CJUE, 4 octobre 2018, Commission c/ France, aff. C-416/17.

9 Au terme d’un raisonnement quelque peu alambiqué selon lequel, « aussi longtemps » que l’exception tirée de la sécurité « nationale » serait admise pour conserver les données, alors il ne se justifierait pas d’invoquer la sécurité « publique » pour y avoir accès. CE, Ass., 21 avril 2021, French Data Network et a., préc., spéc. pt 58.

10 CE, Ass., 21 avril 2021, French Data Network et a., préc., spéc. pt 10.

11 CC, 30 novembre 2006, Loi relative au secteur de l’énergie, déc. n° 2006-543 DC, spéc. pt 6, et la jurisprudence constante depuis.

12 CE, Ass., 21 avril 2021, French Data Network et a., préc., spéc. pt 7.

13 Ibid., spéc. pt 9. Les intérêts évoqués y sont qualifiées d’« objectifs constitutionnels », avant d’être considérées comme des « exigences constitutionnelles » au point suivant.

14 Ibid., spéc. points 9 et 10.

15 Ibid., spéc. point 9.

16 Spéc. p. 43 des conclusions du rapporteur public.

17 CE, Ass., 21 avril 2021, French Data Network et a., préc., spéc. pt 58.

18 Bundesverfassungsgericht, 5 mai 2020, PSPP, 2 BvR 859/15.

19 L’arrêt a été très majoritairement décrié, voy. parmi de nombreux commentaires, https://verfassungsblog.de/is-the-bverfg-pspp-decision-simply-not-comprehensible/

20 CE, Ass., 21 avril 2021, French Data Network et a., préc., spéc. pt 8.

21 CJUE, 21 décembre 2016, Tele2 Sverige et a., préc., spéc. pt 73.