Incautado por varias asociaciones, así como un operador de telecomunicaciones, el Consejo de Estado examinó la conformidad de las normas francesas de conservación de los datos de conexión con la legislación europea. También se llevó a cabo para verificar que el respeto de la ley europea tal como la interpreta el TJUE no compromete los requisitos de la Constitución francesa. Considera que la retención generalizada de datos está hoy justificada por la amenaza existente a la seguridad nacional. Asimismo, toma nota de que la posibilidad de acceder a estos datos para la lucha contra los delitos graves permite, a la fecha, garantizar los requisitos constitucionales de prevención de las vulneraciones del orden público y localización de los autores de delitos. Por otro lado, ordena al Gobierno reevaluar periódicamente la amenaza al territorio para justificar la retención general de datos y supeditar el uso de estos datos por parte de los servicios de inteligencia a la autorización de una autoridad independiente.
La ley francesa exige que los operadores de telecomunicaciones conserven los datos de conexión de sus usuarios con el fin de luchar contra la delincuencia y el terrorismo.
Hoy en día, el uso de datos de conexión juega un papel importante en la búsqueda de delitos y en la actividad de los servicios de inteligencia, en particular en la lucha contra el terrorismo.
Estos datos, a veces llamados "metadatos" para distinguirlos de los relacionados con el contenido de los intercambios, incluyen tres categorías:
– datos de identidad, que identifican al usuario de un medio de comunicación electrónico (por ejemplo, el apellido y el nombre vinculados a un número de teléfono o la dirección IP a través de la cual un usuario se conecta a Internet);
– datos relacionados con el tráfico, a veces denominados "fadettes", que trazan las fechas, horas y destinatarios de las comunicaciones electrónicas, o la lista de sitios web consultados;
– datos de ubicación, que resultan de la "demarcación" de un dispositivo por la antena de retransmisión a la que está conectado.
La ley francesa exige que los operadores de telecomunicaciones conserven todos los datos de conexión de los usuarios durante un año con fines de inteligencia e investigaciones penales.
El TJUE ha limitado severamente la posibilidad de exigir a los operadores que retengan los datos de conexión
Varias asociaciones activas en el campo de la protección de datos personales, así como un operador de telecomunicaciones, han apelado ante el Consejo de Estado contra los decretos que prevén la conservación de estos datos y que organizan su procesamiento para las necesidades de inteligencia e información, investigaciones criminales.
En esta ocasión, el Consejo de Estado remitió el asunto al Tribunal de Justicia de la Unión Europea (TJUE) en 2018 (1) para invitarlo a aclarar el alcance de las normas derivadas del Derecho europeo (Directiva 2002/58, conocida como “Privacidad y comunicaciones electrónicas” y reglamento general de protección de datos – GDPR). Varios tribunales de otros Estados miembros de la Unión también se han apoderado del TJUE con el mismo propósito. Mediante tres decisiones emitidas el 6 de octubre de 2020 (2), el TJUE detalló los límites impuestos a sus ojos por la legislación europea.
1) El almacenamiento generalizado e indiferenciado de datos de conexión (distintos de los datos de identidad) solo se puede imponer a los operadores con fines de seguridad nacional en caso de una amenaza grave. Además, el acceso a estos datos por parte de los servicios de inteligencia debe estar sujeto a un control previo de una autoridad independiente y al control de un juez intermedio cuando se utilicen los datos almacenados.
2) Para la lucha contra los delitos graves, los Estados solo pueden imponer la retención selectiva de datos, en determinadas áreas o para determinadas categorías de personas identificadas previamente como que presentan riesgos particulares. Pero, según lo dispuesto en el Convenio de Budapest de 2001, las autoridades pueden pedir a los operadores que congelen los datos de tráfico y ubicación relacionados con una persona, a los efectos de una investigación criminal, durante un período corto (el llamado "método de" retención ”de datos).
3) El almacenamiento de datos de conexión no está permitido por otras razones, en particular para la búsqueda de delitos no relacionados con delitos graves.
El Consejo de Estado comprueba que la aplicación de la legislación europea no compromete los requisitos de la Constitución francesa.
Tras las aclaraciones aportadas por el TJUE, el Consejo de Estado, resolviendo en la Asamblea de Litigio -su formación más solemne-, tuvo que examinar la conformidad del marco jurídico francés con el derecho europeo.
En primer lugar, aclaró el alcance de su control.
Por un lado, y contrariamente a lo que le pidió el Gobierno, se niega a verificar que los órganos de la Unión Europea, y en particular el TJUE, no se hayan extralimitado en sus competencias (control conocido como "ultra vires").
Por otra parte, el Consejo de Estado recuerda que la Constitución francesa sigue siendo la norma suprema del derecho nacional.
En consecuencia, le corresponde verificar que la aplicación del derecho europeo, tal como lo especifica el TJUE, no compromete en la práctica requisitos constitucionales que no están garantizados de manera equivalente por el derecho europeo.
El marco para la conservación de datos de la legislación europea no cuestiona los requisitos constitucionales relacionados con la seguridad nacional y la lucha contra la delincuencia.
El Consejo de Estado observa que los requisitos constitucionales de salvaguardar los intereses fundamentales de la Nación, la prevención de las violaciones del orden público, la lucha contra el terrorismo y la búsqueda de los autores de delitos no benefician, en particular. Derecho de la Unión, protección equivalente al garantizado por la Constitución. Por tanto, debe asegurarse de que los límites definidos por el TJUE no pongan en peligro estos requisitos constitucionales.
El Consejo de Estado observa que la retención generalizada impuesta actualmente a los operadores por la ley francesa está bien justificada por una amenaza a la seguridad nacional, como exige el TJUE. De acuerdo con los requerimientos de la Corte, requiere que el Gobierno lleve a cabo, bajo la supervisión del juez administrativo, una revisión periódica de la existencia de tal amenaza.
Por otro lado, considera ilegal la obligación de retención general de datos (aparte de los datos insensibles: estado civil, dirección IP, cuentas y pagos) para necesidades distintas a las de seguridad nacional, en particular la persecución de delitos.
Para estos delitos, la solución sugerida por el TJUE de retención selectiva de datos en sentido ascendente no es materialmente posible ni, en cualquier caso, operativamente eficaz. De hecho, no es posible predeterminar las personas que estarán involucradas en un delito que aún no se ha cometido o el lugar donde se cometerá. Sin embargo, el método de “retención rápida” autorizado por la legislación europea puede basarse hasta la fecha en el stock de datos conservados de forma generalizada para las necesidades de seguridad nacional, y puede utilizarse para el enjuiciamiento de delitos.
En cuanto a la distinción que establece la Corte entre delito grave y delito común, para lo cual no permite la retención o uso de datos de conexión, el Consejo de Estado recuerda que el principio de proporcionalidad entre la gravedad del delito y la importancia de la Las medidas de investigación implementadas, que rigen el proceso penal, también justifican que el uso de datos de conexión se limite a la persecución de delitos de suficiente gravedad.
En cuanto al uso de datos conservados con fines de inteligencia, finalmente, el Consejo de Estado observa que el control previo por una autoridad independiente previsto por el marco legal francés no es suficiente, ya que el dictamen emitido por la comisión nacional para el control de técnicas de inteligencia (CNCTR) antes de cualquier autorización no es vinculante. Por lo tanto, la legislación nacional debe modificarse, incluso si, en la práctica, el Primer Ministro nunca se ha excedido en una opinión desfavorable de la CNCTR para el acceso de los servicios de inteligencia a los datos de conexión.
El Consejo de Estado ordena al Primer Ministro que modifique el marco regulatorio para cumplir con estos requisitos en un plazo de 6 meses.
(1) CE, 26 de julio de 2018, Quadrature du Net et al. E Igwan.net, n ° s 394922 394925 397844 397851, T.
(2) TJUE, 6 de octubre de 2020, Privacy International , aff. C-623/17; La Quadrature du Net ea, Red francesa de datos ea , aff. C-511/18 y C-512/18; Orden de bares francófonos y germanoparlantes y otros , aff. C-520/18.
Lea la decisión en formato PDF