La CJUE interrogée sur les critères de la conservation des métadonnées

La CJUE interrogée sur les critères de la conservation des métadonnées

La criminalité grave, quèsaco ?

Avatar de l'auteur
Marc Rees

Publié dans

Droit

28/08/2017 4 minutes
13

La CJUE interrogée sur les critères de la conservation des métadonnées

L’épineuse question de la conservation des données de connexion devient désormais un serpent de mer. Les autorités nationales s’interrogent, et pas seulement au plan interne, des conséquences de l'arrêt Télé2 de la CJUE. Un arrêt qui a réservé cette obligation à la lutte contre les seules infractions graves.  

Dans l’un de ses importants arrêts, la Cour de justice de l’Union européenne a posé que la conservation et l’accès aux métadonnées, les données des données, devaient être limités à la lutte contre la criminalité grave.

Questionnée sur l’obligation générale de conservation de données imposées aux intermédiaires techniques, dont les fournisseurs d’accès, les juges de Luxembourg ont en effet estimé qu’ « eu égard à la gravité de l’ingérence dans les droits fondamentaux en cause que constitue une réglementation nationale prévoyant, aux fins de la lutte contre la criminalité, la conservation de données relatives au trafic et de données de localisation, seule la lutte contre la criminalité grave est susceptible de justifier une telle mesure ».

De l'arrêt Télé2 à la machinerie Hadopi

Ce petit bout de phrase asséné le 21 décembre 2016 a provoqué un séisme administratif. En France, notamment, le député Lionel Tardy avait questionné le ministre de la Justice en janvier 2017 sur les conséquences de cet arrêt, mais sa demande était restée sans réponse, la question ayant même été retirée suite à sa fin de mandat. Du côté de la Hadopi, le sujet devrait nécessairement faire trembler le mécanisme de la réponse graduée. La Haute autorité profite justement de cette obligation de conserver les données pour alimenter sa machine à adresser des avertissements. 

Deux courants s’affrontent pour savoir si finalement un défaut de sécurisation, cible de l’avertissement Hadopi, relève ou non de la « criminalité grave ». Le premier vise à dire qu’on est face à une simple contravention, bien loin de ce que pourrait être la lutte contre les actes de terrorisme. En conséquence, la conservation, et au-delà l’accès à ces données, devraient donc être prohibés ou au moins beaucoup plus restreints.

Pour le second, l’idée est que l’objectif de l’avertissement est la lutte contre la contrefaçon en ligne. Or, ce délit est puni de 3 ans de prison et 300 000 euros d’amende, voire beaucoup plus lorsque commis en bande organisée. La conservation et l'accès seraient donc justifiés. 

Une problématique vaste en France

Face à ces troubles, le collectif des Exégètes a exploité dans ses nombreux recours l’arrêt en question pour tenter de raboter au strict nécessaire le régime de la conservation des données de connexion. Il faut dire que cette problématique concerne également les réquisitions de l’autorité judiciaire, de l’AMF, des douanes, des services du renseignement, etc. qui ont tous accès à ces données.

Ces difficultés d’interprétation tiennent finalement à l’absence d’un standard de lecture, un trou qui ouvre la voie à de multiples interprétations. Dans une nouvelle question préjudicielle présentée par la Audiencia provincial de Tarragona, la Cour de justice est toutefois invitée à clarifier ses propos, et spécialement le critère de la « criminalité grave ».

L'Espagne demande des éclairages à la CJUE

Dans ce litige, les juridictions espagnoles demandent en effet à la CJUE s’il est possible de déterminer le critère de la « criminalité grave » en prenant en compte la seule « peine dont peut être punie l’infraction faisant l’objet d’une enquête ». Ou bien, s’il ne fallait pas en outre « identifier dans le comportement délictueux un caractère préjudiciable particulier pour des intérêts juridiques individuels ou collectifs ».

Si le premier critère est le seul à être retenu, les juges nationaux interrogent aussi la Cour pour connaître « le niveau minimal de cette peine ». Par exemple, « un niveau fixé de manière générale à un minimum de trois ans serait-il conforme ? » ajoutent-ils. La CJUE répondra dans plusieurs mois à ce dossier transmis en mars dernier, après les conclusions de l’avocat général.

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

De l'arrêt Télé2 à la machinerie Hadopi

Une problématique vaste en France

L'Espagne demande des éclairages à la CJUE

Fermer

Commentaires (13)


ragoutoutou Abonné
Le 28/08/2017 à 15h 20

Et si on ne collecte pas ces informations mais qu’on conserve scrupuleusement tout ce qu’on collecte?



Avec le RGPD, collecter c’est s’exposer à d’autres risques.


crocodudule
Le 28/08/2017 à 15h 44

“quèsaco ?”

<img data-src=" />



Par contre cette foie, va pas falloir se contenter de dire “faut que cela soit proportionné à l’objectif poursuivi” mais que la CJUE donne des critères objectifs, ca va la changer ^^


127.0.0.1
Le 28/08/2017 à 15h 45



savoir si finalement un défaut de sécurisation, cible de l’avertissement Hadopi, relève ou non de la « criminalité grave »





Surement. Si on en croit les ayant-droits, c’est au même niveau que le génocide. <img data-src=" />



Et sinon, tu sais où je me la métadonnée ?


crocodudule
Le 28/08/2017 à 15h 53

Foie = fois (Grrr pas gentil de pas pouvoir éditer ! )


crocodudule
Le 28/08/2017 à 15h 58







ragoutoutou a écrit :



Et si on ne collecte pas ces informations mais qu’on conserve scrupuleusement tout ce qu’on collecte? 




 Avec le RGPD, collecter c'est s'exposer à d'autres risques.









Tu veux dire; si on ne traite pas ces informations mais qu'on conserve simplement les données.      


&nbsp;      


La simple collecte dans un db structurée est déjà un traitement (donc LIL, RGPD etc...).      


&nbsp;      


Et le sens du règlement RGPD est que la finalité du traitement détermine ce qui est proportionné ou non de collecter comme données.      







Donc fausse bonne idée de tout garder en bordel en disant qu'on y touche pas sauf recherche en lien avec la "criminalité grave" très très méchante.&nbsp;




Ou alors éventuellement via un procédé d’anonymisation réversible à la demande (la CNIL aime pas ça normalement).



ragoutoutou Abonné
Le 28/08/2017 à 16h 09

Non, je voulais juste dire … pas collecter du tout… si le devoir de rétention s’applique à ce qu’on collecte, ne pas collecter peut être un moyen d’exposer ses utilisateurs à la gourmandise des états.



Et vu le risque par rapport au RGPD de collecter trop (ce qui peut être vu comme un traitement), en faire moins n’est pas une mauvaise idée.



On ne risque pas de se faire voler ce qu’on a pas.


crocodudule
Le 28/08/2017 à 16h 14







ragoutoutou a écrit :



Non, je voulais juste dire … pas collecter du tout… si le devoir de rétention s’applique à ce qu’on collecte, ne pas collecter peut être un moyen d’exposer ses utilisateurs à la gourmandise des états.



Et vu le risque par rapport au RGPD de collecter trop (ce qui peut être vu comme un traitement), en faire moins n’est pas une mauvaise idée.



On ne risque pas de se faire voler ce qu’on a pas.





Certes, mais comme le relève Marc, si on collecte pas on tombe alors sous les sanctions de nos textes internes liés à la nécessité de pouvoir identifier/tracer quelqu’un via les logs de connexion.



Donc en l’absence de précision de la CJUE (et je pense que la CEDH aurait aussi son mot à dire sur d’autres aspects), on ne peut pas dire quel procédé est le bon.



fred42 Abonné
Le 28/08/2017 à 16h 26

Ma foi, il y a des fois où ça fout les foies ces fautes !


crocodudule
Le 28/08/2017 à 16h 38







fred42 a écrit :



Ma foi, il y a des fois où ça fout les foies ces fautes !





Moi j’avais :

“Il était une fois,

Dans la ville de Foix,

Une marchande de foie…”



2show7
Le 28/08/2017 à 17h 14

Connectez-vous, ils disaient !



Je crois la foi chanceler pour beaucoup de quoi attraper des métastases cancéreuses au foie à trop boire par inquiétude, avec toutes ces métadonnées obtenues collatéralement (c’est dommage et dommageable, mais trop tard)



Mais qui gagnera cette fois ? <img data-src=" /><img data-src=" />


ragoutoutou Abonné
Le 28/08/2017 à 20h 14

Si je regarde les textes, il me semble que seuls les FAI sont frappés de cette obligation de garder ces données (au risque de les exposer à des recours en justice à cause du RGPD). Ou alors j’ai raté les textes visant spécifiquement les hébergeurs?


kevinz
Le 29/08/2017 à 03h 07

edit: to delete… commentaire sur mauvais topic


crocodudule
Le 29/08/2017 à 16h 45







ragoutoutou a écrit :



Si je regarde les textes, il me semble que seuls les FAI sont frappés de cette obligation de garder ces données (au risque de les exposer à des recours en justice à cause du RGPD). Ou alors j’ai raté les textes visant spécifiquement les hébergeurs?





La jurisprudence a sacrément élargi la notion de FAI, tu as des décisions qui estiment que l’employeur en est un (et doit casquer les conséquences de l’infraction d’un employé qui a utilisé le réseau de la boite pour télécharger des œuvres protégées (à moins qu’il s’agisse de fichiers pédoporno etc.. j’en ai plus la mémoire), l’employeur étant incapable d’identifier le poste concerné sur son réseau faute de logs (ou de conservation de ces derniers).