[Interview] La rétention de données, un club VIP ouvert au plus grand nombre

Willy Duhen, docteur en droit, European Privacy Counsel, revient dans le cadre d’une interview sur le rapport du Conseil d’État sur le numérique et les libertés fondamentales. Les échanges se focalisent spécialement sur la question épineuse des données personnelles.

Dans son rapport, le Conseil d’État propose que la France tire les conséquences de l’annulation de la directive sur les données personnelles par la CJUE. Pouvez nous nous rappeler les termes de cet arrêt ?

La CJUE a considéré que la directive "data retention" de 2006 était invalide au regard des articles de la Charte des Droits Fondamentaux de l'Union européenne protégeant la vie privée et familiale, ainsi que les données personnelles.

La directive impose aux opérateurs de conserver les données de trafic et de localisation afin de les mettre à la disposition des autorités publiques qui y accèdent selon le cadre légal adéquat en cas d'infractions graves. Elle précise que ces données doivent être conservées entre six mois et deux ans et que les États doivent veiller à ce que l'accès aux données par les autorités soit réalisé dans le respect du principe de proportionnalité.

Cependant, la CJUE a considéré que la directive impose une forte intrusion dans la vie privée des individus: la quantité de données permettant de tracer toutes les activités numériques d'une personne sur une longue période.

La Cour a ainsi estimé que la directive n'impose pas assez de conditions aux États pour s'assurer du respect du principe de proportionnalité et de garanties afin de protéger la vie privée des individus (par exemple, sur les personnes pouvant accéder aux données). En considérant la directive invalide au regard de la Charte, la Cour ne l'annule pas, mais demande à l'Union européenne de la modifier.

A-t-on une idée des textes français impactés par cette décision ?

Oui, bien évidemment, mais c'est dense !

En ce qui concerne les enquêtes judiciaires, la conservation des données est imposée pour les opérateurs, FAI et hébergeurs par les articles L.34-1 du CPCE et 6-II de la LCEN. Pour les enquêtes administratives (antiterrorisme, sureté de l'État, etc.), il s'agit les articles L.41-1-1 du CPCE et 6-IIbis de la LCEN, qui vont être déplacés dans le Code de la sécurité intérieure au 1er janvier 2015.

Les données à conserver sont énumérées dans la partie réglementaire du CPCE (art. R.10-12 et suivants) et dans le décret du 25 février 2011.

L'accès à ces données est, quant à lui, prévu par de multiples dispositions légales concernant chaque type d'enquêteurs: Code de procédure pénale pour les juges et enquêteurs judiciaires, Code de la sécurité intérieure pour les services de renseignement, Code des douanes pour les douanes. Plus étonnantes, de nombreuses dispositions légales permettent l'accès à des autorités dans d'autres cadres que des enquêtes pénales graves et anti-terro. Par exemple, le juge civil peut accéder à ces données, tout comme la DGFiP, l'Hadopi, l'ANSSI ou encore l'AMF.

L'exemple français est particulièrement pertinent pour illustrer les dérives liées au manque de restrictions de la directive. Alors que les données ne devaient être conservées que pour des enquêtes pénales graves, en France, presque tout le monde peut y accéder légalement. C'est un peu comme créer un club VIP très select et laisser tout le monde entrer.

Pourquoi la France tarde-t-elle d’ailleurs à les mettre à jour ?

La directive n'a jamais été transposée en droit français, puisque le dispositif législatif existait avant, ce qui fait que l'invalidité de la directive n'invalide donc pas les dispositions françaises. Le gouvernement avait considéré que les lois françaises étaient conformes avec la directive. La directive déléguait aux États de définir les autorités pouvant accéder aux données, la durée de conservation, etc., ce que la France avait fait.

La CJUE a demandé à l'Union européenne de réviser la directive (ce qui en réalité est déjà envisagé depuis le rapport de la Commission européenne sur la directive de 2011). Une fois la directive révisée, elle pourra être transposée en France, si nécessaire. Cependant, une directive donne les orientations à suivre, mais laisse une marge d'interprétation aux États. De plus, en matière judiciaire, le droit de l'Union accorde une plus grande autonomie aux États.

D'ailleurs, en Europe, aucun État n'a modifié sa législation au regard de la décision de la CJUE. Le Danemark avait annoncé stopper la conservation des données, annonce non suivie d'effets. La Grande-Bretagne a même passé une loi en urgence renforçant l'obligation de conservation des données pour les services de renseignement...

À l'inverse, avant même la décision de la CJUE, les Cours constitutionnelles allemande, roumaine et tchèque avaient considéré la directive contraire à leur Constitution, car l'atteinte à la vie privée des personnes était trop grande par rapport aux nécessités des enquêteurs.

Willy Duhen

Quel peut être le sort des sanctions décidées sur ces réglementations « bancales » ?

Légalement, la législation française n'est pas bancale puisque les textes ont suivi le processus législatif classique avec, pour certaines dispositions, un contrôle constitutionnel. Il n'y a aucune possibilité de voir réviser une décision de justice sur le seul fondement de la décision de la CJUE. En effet, les données de connexion ont été requises légalement. Elles sont d'ailleurs des éléments de preuve participant à la manifestation de la vérité, mais les juges ne condamnent pas les suspects uniquement à partir de ces éléments.

N’y aurait-il pas moyen de reprendre les arguments de la CJUE pour contester ces différentes oppositions, voire faire remonter les textes devant elle ?

La CJUE reproche est que la directive ne soit pas assez précise. Or, le droit de l'Union laisse une grande liberté aux États en matière de police. Les éléments imposés par la directive sont principalement : conserver les données entre 6 et 24 mois, et définir les personnes ayant accès aux données ; ce que la France a fait. Le seul point étant en contradiction avec la directive concerne la définition des infractions. La directive évoque les infractions "graves" alors que la France l'étend à toutes les infractions pénales.

Je ne suis, par ailleurs, pas convaincu que le droit français en la matière soit contraire à l'article 8 de la CEDH, puisqu'il autorise l'ingérence d'une autorité publique dans la vie privée si celle-ci est prévue par la loi et est nécessaire à la sécurité nationale, notamment.

À mon avis, l'enjeu est essentiellement politique. On a créé et organise un système permettant d'enregistrer tous les actes numériques des individus "au cas où" on en ait besoin lors d'une enquête judiciaire. Puis, on s'est dit que cette base était intéressante pour d'autres finalités et donc de permettre à d'autres autorités publiques de piocher dedans. Tout ceci est parfaitement encadré légalement. On a ici un conflit de lois que seul le politique peut maintenant résoudre. Mais le législateur est-il prêt à dire à la Direction générale des finances publiques qu'elle ne peut plus accéder à ces données dans le cadre de la lutte contre la fraude fiscale (qui est un principe à valeur constitutionnel)? Est-il prêt à refuser au juge civil d'accéder à ces données pour résoudre un litige entre personnes ? Le gouvernement est-il prêt à modifier les dispositions réglementaires énumérant les données à conserver pour la réduire au minimum et ainsi limiter l'intrusion dans la vie privée ?

Plusieurs propositions du rapport du Conseil d’État réclament aussi un meilleur encadrement des textes touchant à la sécurité, voire leur renforcement. Le projet de loi de programmation militaire (LPM) n’a-t’il pas été assez loin ?

Il faudrait plutôt parler de textes renforçant la surveillance des individus pour assurer leur sécurité. Certains trouveront toujours des arguments pour justifier de la nécessité de diminuer une liberté fondamentale au profit d'une pseudo-meilleure sécurité. Mais on est dans une fuite en avant inquiétante, le nombre de lois de police en la matière n'a fait qu'augmenter depuis 2001, sans parler des nombreuses modifications "à la marge" de dispositions existantes.

Par exemple, la LPM a donné aux services de renseignements de plus grandes possibilités d'accéder aux données de connexion. Il s'agit d'un élargissement de l'accès aux données pour de nouvelles finalités. Cependant, l'accès aux données de connexion pour le renseignement a été seulement créé légalement en 2006 et le Conseil constitutionnel avait alors limité l'accès aux forces anti-terro pour la prévention d'actes de terrorisme.

Ceci étant, le processus de création de la loi en la matière témoigne d'une volonté d'encadrer juridiquement des pratiques de surveillance, ce qui participe également à la transparence de certaines activités qui étaient auparavant "secrètes". Malheureusement, la révélation de ces activités entraine une certaine fatalité puisqu'elles s'imposent sans débat public et sans concertation nationale avec les principaux intéressés. Les restrictions sur les communications affectent en profondeur les relations privées, intimes des personnes, mais également les relations professionnelles et stratégiques des entreprises, sans pour autant que l'on s'en rende compte au quotidien. Et je ne parle ici que des traces laissées par les communications électroniques. Pourtant, la France avait été pionnière en la matière pour protéger les citoyens contre la surveillance généralisée par le gouvernement, avec la loi "Informatique et Libertés" de 1978. Le législateur n'a pas, au fil des années, accordé plus de pouvoirs à la CNIL pour s'adapter à la surveillance gouvernementale et les a même diminués en la matière.

Dans ces nouvelles propositions législatives, ne préférerions-nous pas accorder plus de pouvoirs aux cyber enquêteurs pour accéder ou perquisitionner des données dans le cadre d'une enquête dirigée par un magistrat plutôt que de conserver à la volée toutes les données "au cas où" ?

Sur la question des données personnelles, le Conseil d’État propose aussi de reconnaître la qualité de loi de police à la législation européenne sur la protection des données personnelles. Quelle en serait la conséquence ?

Une loi de police permet de faire prévaloir l'application de la loi nationale du pays dans lequel l'individu lésé se trouve sur les accords contractuels. Le Conseil d'État a dans l'idée d'écarter les argumentaires des sociétés notamment américaines qui font prévaloir les accords contractuels face à la localisation du dommage. En effet, l'utilisateur d'un service en ligne comme Gmail ou Facebook n'a aucun moyen de négocier les termes du contrat (ou conditions générales d'utilisation) pour utiliser le service. Il s'engage à s'y conformer. Dans ces contrats (que - presque - personne ne lit), la résolution du litige est prévue dans l'État dans lequel se trouve le siège de la compagnie - souvent la Californie donc.

Définir la législation sur la protection des données comme loi de police permettrait, selon les règles du droit international, de saisir la juridiction dans laquelle le dommage est subi (par exemple, en France pour un citoyen français). Cela permet, en théorie, de contraindre les sociétés américaines à respecter le droit local, en l'occurrence la directive de 95 et le futur règlement européen. Néanmoins, la jurisprudence au sein des États membres de l'UE a déjà à plusieurs reprises confirmé que les entreprises américaines exerçant une activité sur le territoire européen doivent se conformer au droit local, le dernier arrêt en date concernant Google Spain.

Il semble d’ailleurs s’opposer à la CNIL sur le terrain du droit à l’oubli, en permettant au site tiers de faire-valoir ses observations...

La CNIL n'a pas vraiment pris de position officielle et définitive sur la question, mais continue à s'interroger sur les conditions permettant de rendre effectif ce droit à l'oubli, ou plutôt ce droit au déréférencement. Cependant, la problématique est plus complexe. Ici, il s'agit de rendre effectif un droit accordé a un individu (le déréférencement d'un résultat d'une requête particulière sur un moteur de recherche) dans un contexte hostile à la suppression de toute information en ligne relevant du droit fondamental à l'information.

En cas de nuisance d'une information, le bon sens serait de demander à l'éditeur de supprimer une partie de l'article concerné, notamment le nom de la personne (passer par exemple de Willy Duhen a Monsieur D.). Cependant, le droit à l'effacement d'une donnée personnelle est confronté à la permanence du droit à l'information du public. Les éditeurs de presse ont tendance à refuser de retirer le nom de la personne dès lors qu'il ne s'agit pas d'une erreur manifeste ou d'une information pouvant entrainer un risque certain et immédiat sur la personne. Cela participe du bon sens et d'une conception au fondement de notre démocratie : l'intérêt du public (et son information) passe avant l'intérêt particulier (et son mécontentement). L'effacement de l'information à la source n'est donc pas la solution idéale: le droit à l'oubli ne s'appelle pas le devoir d'amnésie.

Dès lors, réduire la possibilité de tomber sur un contenu en faisant une recherche, sans pour autant supprimer ce contenu, permet de faire perdurer l'information du public tout en réduisant le préjudice subi par la personne. La logique théorique est donc séduisante et semble faire l'équilibre entre les enjeux en présence.La pratique du déréférencement est cependant moins vertueuse.

Tout d'abord, une inégalité de classement entre les sites de presse dans la liste des résultats entraine l'individu à demander la suppression d'un lien apparaissant dans les premiers résultats, plutôt que sur la deuxième ou troisième page. Certains titres seraient rendus inaccessibles alors que d'autres le resteraient, pourtant tous porteurs de la même information. Ensuite, l'inégalité résultant de l'algorithme de classement est amplifiée par l'opacité de la procédure de traitement de la demande de déréférencement.

Le moteur de recherche se transforme juge prive sans garantie d’égalité de traitement des demandes entre les personnes, mais également entre les titres de presse cibles. Normal que les sites victimes de l'obscure décision unilatérale souhaitent défendre leur référencement. Bien évidemment, la suppression d'un lien peut ensuite être contestée devant les tribunaux, mais le règlement du litige prendra devra se conformer au rythme lent de la juridiction.

Pour cela, le mécanisme actuel est totalement insatisfaisant et nécessite de mettre en place une autorité spécifique permettant de juger de la nécessite ou non de retirer un lien, faisant la balance des enjeux en présence. Vu le nombre de demandes de suppression que Google a déclaré, je suis sceptique sur la possibilité pour une juridiction ou une autorité administrative de traiter le flux dans un délai satisfaisant. Une vraie usine à gaz nécessaire pour protéger les intérêts de chacun, mais que l'on n'est pas près d'oublier...

Est-il souhaitable, comme le suggère le Conseil d’État, de créer une action collective en matière de protection des données personnelles ?

Tout renforcement des droits et des possibilités d'action des citoyens est bien évidemment souhaitable. Le Conseil d'État suggère que les citoyens français puissent agir dans le cadre d'une action collective (qui serait à créer en droit français, seule l'action de groupe sur les préjudices patrimoniaux existe depuis la loi du 17 mars 2014) afin de faire infléchir les sociétés multinationales pour qu'elles respectent la législation française.

En pratique, j'ai cependant quelques doutes. Le business de Facebook, Google et autres n'est pas centré sur la France, mais est mondial. Les stratégies sont définies à l'échelle du milliard d'utilisateurs, pas seulement de quelques millions de Français potentiellement mécontents... C'est évidemment un peu dur à accepter en tant que Français, mais la réalité économique prédomine sur les intérêts d'un seul pays. Et elle donne raison à l'entreprise : les gens sont mécontents (de toute manière, les français sont connus pour toujours se plaindre ;)), mais continuent à utiliser quotidiennement et massivement les services proposés par la société.

En revanche, une action collective au niveau européen, concernant 600.000 personnes, aurait plus de poids et d'influence pour infléchir la politique de protection des données d'une multinationale. La procédure initiée par Mark Schrems contre Facebook est un bon test.

Le rapport demande aussi une sorte d’obligation de certification pour les acteurs manipulant des données personnelles. Une bonne idée ?

Le Conseil d'État évoque le "rescrit" qui serait une sorte de guide pour bien mettre en oeuvre un traitement de données personnelles. En pratique, le responsable de traitement demanderait à la CNIL ce qu'il doit faire pour se conformer à la législation, puis appliquerait la marche à suivre. S’il ne se conforme pas à la recommandation de la CNIL, il s'opposerait à des sanctions. L'idée est intéressante pour protéger les entreprises et leur assurer qu'aucune sanction ne pourra être prise à leur égard sur ce traitement  en cas de faille, dès lors qu'elles auraient suivi le "rescrit" de la CNIL.

En revanche, je vois mal la CNIL endosser ce rôle piégeux et inégalitaire, car la présentation des traitements se fait sur présentation des pièces, d'un dossier. Comment juger la bonne application de la loi sans aller voir sur place et s'assurer de l'effectivité des mesures physiques et logiques de sécurité?

Finalement, on retomberait dans une procédure administrative lourde, aussi bien pour la CNIL que pour l'entreprise, qui est contraire à l'orientation prise dans le projet de règlement européen où il est question de supprimer la majorité des formalités préalables. Je crois vraiment que le temps des formalités administratives est dépassé, il a montré ces limites.

En revanche, il faudrait que ce "rescrit" soit obligatoire pour les fichiers publics, notamment les fichiers de police. Cela redonnerait un réel pouvoir de contrainte de la CNIL et apporterait une garantie supplémentaire pour les individus. Le rescrit serait efficace si la CNIL pouvait également sanctionner sévèrement le gouvernement et l'administration en cas de non-respect de ses recommandations ayant force contraignante.