La Cour constitutionnelle belge a annulé hier la législation sur la conservation des données personnelles en vigueur. Elle s'est appuyée sur l'invalidation de la directive du même nom par la Cour de justice de l'Union européenne en avril 2014. En France, cependant, cette décision est restée sans effet. Pour l'instant.
Adoptée après les attentats de Madrid et de Londres en 2004 et 2005, la directive sur la conservation des données personnelles n’avait pas été bien appréciée par la Cour de justice de l’Union européenne. Et pour cause, les juges européens avaient considéré que le texte engendre « une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel sans que cette ingérence soit limitée au strict nécessaire ». Cette directive avait pour ambition d’harmoniser la collecte et la conservation des données dans toute l’Europe. Elle obligeait à cette fin FAI et opérateurs à conserver l’origine, la destination, l’heure et les équipements utilisés entre six mois et deux ans, au libre choix des États membres.
Ce 8 avril 2014, la CJUE a estimé dans son arrêt fondamental Digital Rights que « ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ». Or, si la lutte contre les infractions graves qu’entend mener ce texte est évidemment louable, ses rédacteurs avaient quelque peu oublié de fixer des bornes, obligeant une conservation indifférenciée, même chez les personnes où « il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves ». De même, ces dispositions visaient également « des personnes dont les communications sont soumises, selon les règles du droit national, au secret professionnel » (avocat, etc.), sans encadrer par ailleurs l’accès des autorités nationales, ni prévoir d’encadrement dans ces accès.
Au final, les juges invalidaient cette directive. Depuis lors, plusieurs juridictions nationales ont fait tomber les textes de loi la transposant désormais invalidée : en 2014, l'Irlande, l'Autriche, la Roumanie, la Slovaquie, la Slovénie, en 2015, les Pays-Bas, la Bulgarie. Hier, un nouveau pays s’ajoute à cette liste bien fournie : la Belgique.
La Belgique annule la loi sur la conservation des données personnelles
La Nurpa (Net Users' Rights Protection Association) raconte sur cette page l’historique de cette procédure : « En février 2014, la NURPA, datapanik.org, la Liga voor Mensenrechten et la Ligue des droits de l’Homme initiaient conjointement une campagne de crowdfunding visant à financer une procédure de recours en annulation auprès de la Cour constitutionnelle ».
Dans sa décision (PDF) saluée également par la Ligue des droits de l’Homme belge, la Cour constitutionnelle reprend les reproches soulevés par la CJUE à l’encontre de la directive, pour les adresser à la législation nationale qui la transposent. : « la loi s’applique donc également à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec les infractions énumérées par la loi attaquée. De même, la loi s’applique sans aucune exception, également à des personnes dont les communications sont soumises au secret professionnel. Pas plus que ce n’est le cas pour la directive, l’article 5 attaqué ne requiert-il une relation entre les données dont la conservation est prévue et une menace pour la sécurité publique. Il ne limite pas non plus la conservation des données afférentes à une période temporelle ou à une zone géographique déterminée ou encore à un cercle de personnes susceptibles d’être mêlées à une infraction visée par la loi, ou qui pourraient contribuer par la conservation des données, à prévenir, détecter ou poursuivre ces infractions. »
Bref, le juge constitutionnel belge ne pouvait que torpiller ces dispositions en suivant la voie ouverte par la CJUE. Selon André Loconte, porte-parole de la NURPA, « la décision de la Cour constitutionnelle apporte un peu d’air frais dans un contexte nauséabond où les actes meurtriers de quelques terroristes suffisent à anéantir les principes fondamentaux de droits et de libertés de nos démocraties. Cela doit rappeler à chacun que les droits et libertés sont un combat de tous les instants, plus encore quand la tendance en Europe est à l’empilement de mesures sécuritaires, comme le démontre tristement le cas français. »
Et en France, justement ?
La situation française est quelque peu différente puisque notre législation ne procède pas de cette directive. Elle lui est en effet antérieure (voir cette actualité et cette interview). Cependant, l’arrêt de la CJUE sert de cartouche pour un des nombreux recours adressés notamment par la Quadrature du Net, FDN et FFDN contre les systèmes de conservation et d'accès aux données de connexion. Dans leur récente question prioritaire de constitutionnalité, ils ont encore repris les arguments dégagés devant la Cour de Luxembourg pour armer leurs arguments face au périmètre trop large des données accessibles par les services du renseignement.
Le Conseil d’État lui-même a prudemment appelé Paris à faire un certain ménage dans nos législations puisque dans notre pays, les données sont conservées par les intermédiaires un an durant, indistinctement. Dans la proposition 38 de son dernier rapport annuel, il demande ainsi aux autorités de « tenir compte de l’invalidation de la directive sur les données personnelles par la CJUE (arrêt Digital Rights Ireland) sur la question de l’accès aux données de connexion glanées au titre de l’obligation de conservation systématique prévue par notre législation ». Il suggère plusieurs pistes : réserver « l’accès à des fins de police judiciaire aux crimes et aux délits d’une gravité suffisante », réexaminer « les régimes prévoyant l’accès de certaines autorités administratives pour des finalités autres que la sécurité intérieure (notamment la HADOPI, l’ANSSI, l’administration fiscale, l’AMF) ». Il demande pareillement que les règles spécifiques de protection qui bénéficient aux parlementaires, aux avocats, aux magistrats et aux journalistes en matière d’interceptions du contenu des communications soient étendues à l’accès aux données de connexion. Des vœux restés pour l’heure sans effet.
