Justice européenne : prohibition de la conservation générale de données requise par les Etats

Les Etats membres de l’Union européenne ne peuvent pas réclamer aux opérateurs de téléphonie et fournisseurs de services de communications électroniques une collecte massive des données de connexion à des fins judiciaires ou dans le cadre de leurs activités de renseignement.

Source : Info Curia, Arrêt de la Cour du 6 octobre 2020

 

Comment concilier lutte contre la criminalité et protection des droits fondamentaux dès lors que tout acte criminel implique l’emploi des technologies de l’information et de la communication ?

 

Pour les autorités administratives, les services de police ou de renseignement, la tentation est grande d’organiser la conservation d’un maximum de données afin de pouvoir y accéder dans le cadre de la prévention ou de la répression de crimes ou délits.

 

Pour arriver à cette fin, le chemin le plus court consiste à s’adresser aux multiples opérateurs privés du secteur des TIC, perpétuels collecteurs de données personnelles.

 

Le sujet est sensible et récurrent entre d’un côté les Etats qui ont fait de la sécurité une priorité absolue et, de l’autre, la loi, garante de la protection de la vie privée et de l’exercice des libertés fondamentales.

 

Ces dernières années et au fil de ses arrêts, la CJUE a établi une position qui pouvait paraitre assez claire, érodée toutefois par des multiples entorses dues au contexte permanent de risque terroriste.

 

La première salve est venue d’un arrêt du 8 avril 2014, « Digital Rights Ireland Ltd » n°C-293/12, où la Cour invalidait la directive européenne 2006/24/CE du 15 mars 2006 portant sur la conservation des données, considérant que celle-ci permettait une ingérence disproportionnée à l’encontre du droit au respect de la vie privée tel que reconnu par la Charte des droits fondamentaux de l’Union européenne.

 

La Cour enfonçait le clou le 21 décembre 2016 dans le cadre de son arrêt « Tele2 Sverige AB », n°C-203/15, réaffirmant que la conservation généralisée et indifférenciée des données était incompatible avec la Charte des droits fondamentaux.

 

Le 6 octobre dernier, la CJUE a rappelé cette position, cette fois marquée par une série d’exceptions.

 

Sollicitée par les hautes juridictions administratives française, britannique et belge, la Cour était saisie sur la question de la légalité des réglementations adoptées par certains Etats membres prévoyant une obligation pour les fournisseurs de services de communications électroniques de transmettre à une autorité publique, ou de conserver de manière généralisée ou indifférenciée, les données utilisateurs relatives au trafic et à la localisation.

 

Suivant l’avocat général de la Cour, les règles françaises, belges et britanniques obligeant les opérateurs privés à transmettre de façon indifférenciée les données d’utilisateurs dans le cadre de la lutte contre le terrorisme étaient contraire au droit européen.

 

Selon lui, le droit français s’inscrit certes « dans un contexte marqué par des menaces graves et persistantes pour la sécurité nationale », mais « n’instaure pas l’obligation d’informer les personnes concernées du traitement de leurs données à caractère personnel », contrevenant ainsi à la directive 2002/58/CE du 12 juillet 2002 portant sur la protection de la vie privée dans le secteur des communications électroniques.

 

Les Etats concernés s’appuyaient sur le traité de l’Union européenne pour défendre l’idée selon laquelle la sécurité nationale reste de la seule responsabilité de chaque Etat membre.

 

Dans la droite ligne de sa jurisprudence, la CJUE confirme que le droit de l’Union européenne s’oppose à toute réglementation nationale imposant à un fournisseur de services de communications électroniques la transmission ou la conservation généralisée et indifférenciée de données relatives au trafic ou à la localisation dans le cadre de la lutte contre les infractions en général ou de sauvegarde de la sécurité nationale.

 

Actuellement, la loi française impose aux opérateurs l’obligation de conserver les données de connexion Internet ou téléphoniques de leurs clients « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales » pendant une durée maximale d’un an (article 34-1.II Code des postes et des communications électroniques).

 

En pratique, les enquêteurs peuvent rapidement se procurer la liste des communications détaillées d’un individu, les fameuses « fadettes », pour effectuer des surveillances ou procéder à des interpellations, que ce soit dans le cadre d’actions terroristes mais également pour des délits ordinaires, notamment en matière économique et financière.

 

L’arrêt fleuve de la CJUE remet une nouvelle fois en cause ces pratiques, réaffirmant que la dérogation à l’obligation de principe de garantir la confidentialité des communications électroniques et des données afférentes ne peut devenir la règle.

 

Cependant, au-delà de son opposition générale à la conservation/transmission généralisée et indifférenciée des données, la CJUE laisse la porte ouverte à un certain nombre de dérogations :

 

  Ainsi, dans des situations dans lesquelles un Etat membre fait face à une menace grave pour la sécurité nationale qui s’avère réelle, actuelle ou prévisible, celui-ci peut déroger à l’obligation d’assurer la confidentialité des données afférentes aux communications électroniques en imposant par des mesures législatives, une conservation généralisée et indifférenciée de ces données pour une durée limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace ;

 

  S’agissant de la lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique, un Etat membre peut également prévoir la conservation ciblée desdites données. Une telle ingérence dans les droits fondamentaux doit être assortie de garanties effectives et contrôlées par un juge ou une autorité administrative indépendante disposant d’un pouvoir contraignant ;

 

  Il est également possible à un Etat membre de procéder à une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une communication dès lors que la durée de conservation est limitée au strict nécessaire, ou encore de procéder à une conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs des moyens de communications électroniques, sans que cela soit dans ce dernier cas limité à un délai particulier.

 

Ainsi, cette décision de la CJUE apparaît comme un savant compromis entre la protection de la vie privée et des libertés individuelles, d’une part, et les nécessités imposées notamment dans le cadre de la lutte anti-terroriste, d’autre part.

 

Toutefois, nul doute que cet arrêt ouvre la voie à de multiples interprétations. A titre d’exemple :

 

  Qu’est-ce qu’une menace prévisible ?

 

  Qu’est-ce qu’une menace persistante ?

 

  Qu’est-ce qu’une durée limitée au strict nécessaire ?

 

  Que sont les garanties effectives autorisant la conservation de données ?

 

Vianney DESSENNE