Une première lecture rapide nous laisse penser qu’il s’agit d’une défaite victorieuse. En effet, si la Cour affirme que la France ne peut plus imposer cette conservation généralisée des données de connexion, elle fait apparaître un certain nombre de régimes d’exception importants. Cette décision est une défaite au sens où ces exceptions réduisent la protection de la vie privée et conduiront inévitablement à des abus, que nous détaillerons plus tard.

Cependant, aussi décevant soit-il, l’arrêt de ce matin dessine un cadre juridique qui est beaucoup plus protecteur des libertés et de la vie privée que l’état actuel du droit français. Par exemple, si l’État peut toujours obliger les fournisseurs d’accès à Internet à conserver les adresses IP de toute la population, ces adresses ne peuvent plus être utilisées que dans le cadre des enquêtes sur la criminalité grave ou dans les affaires de sécurité nationale (notamment, de terrorisme). Autre victoire importante, les hébergeurs de sites web ne peuvent plus être contraints par la loi à surveiller pour le compte de l’État l’ensemble de leurs utilisateurs, en gardant en mémoire qui publie quoi, avec quelle adresse IP, quand, etc.

Le droit français se retrouve ainsi en contradiction flagrante avec la décision de la CJUE : le principe de conservation généralisée est refusé par la Cour alors qu’il est la règle en droit français. La Cour acte que les mécanismes français de contrôle des services de renseignement ne sont pas suffisants, et nous veillerons lors de la réforme annoncée du droit français à ce que les garde-fous nécessaires soient renforcés.