Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

La CJUE s’oppose à l'obligation généralisée de conservation des données de connexion

C'est données
Droit 4 min
La CJUE s’oppose à l'obligation généralisée de conservation des données de connexion
Crédits : alphaspirit/iStock

La justice européenne vient de trancher : le droit de l’Union s’oppose à ce que les États membres imposent aux acteurs du Net « une conservation généralisée et indifférenciée » des données de connexion de leurs abonnés ou utilisateurs. Chaque législateur doit donc opter pour « conservation ciblée », sous conditions.

Saisie par un fournisseur d’accès à Internet suédois et des citoyens britanniques, la Cour de justice de l’Union européenne (CJUE) était invitée à dire si des législations nationales peuvent obliger les intermédiaires – opérateurs, hébergeurs... – à conserver l’ensemble des métadonnées entourant les faits et gestes de leurs utilisateurs : quel site a été consulté, à quelle heure, etc.

Dans l’affaire dite « Digital Rights Ireland », la justice européenne avait déjà invalidé la directive sur la conservation des données de 2006, compte tenu du manque de garanties imposées aux États membres. Cette fois-ci, il s’agissait de vérifier la compatibilité avec la directive « vie privée et communications électroniques », lue à la lumière de la Charte des droits fondamentaux de l’UE.

La conservation généralisée et indifférenciée contraire au droit de l'Union

Pour les juges, cela ne faisait aucun doute : les régimes de conservation des données de connexion relèvent bien de ce texte (contrairement à ce que s’est évertué à démontrer la France, notamment). « La protection de la confidentialité des communications électroniques et des données relatives au trafic, garantie par la directive, s’applique aux mesures prises par toute personne autre que les utilisateurs, qu’il s’agisse de personnes ou d’entités privées ou d’entités étatiques », souligne ainsi la CJUE.

Ce faisant, la Cour a considéré que sa jurisprudence constante, selon laquelle « la protection du droit fondamental au respect de la vie privée exige que les dérogations à la protection des données à caractère personnel s’opèrent dans les limites du strict nécessaire », devait également s’appliquer aux règles régissant la conservation des données de connexion (ainsi que leur accès par les autorités). Et pour cause. Les données de connexion « sont susceptibles de permettre de tirer des conclusions très précises sur la vie privée des personnes », rappelle l’arrêt.

Ainsi, poursuivent les magistrats, « seule la lutte contre la criminalité grave » est susceptible de justifier une conservation des données relatives au trafic et à la localisation des individus. Dès lors, tout régime prévoyant une collecte générale et indifférenciée (c’est-à-dire sans lien avec une potentielle menace, par exemple terroriste) « excède donc les limites du strict nécessaire et ne saurait être considéré comme étant justifié dans une société démocratique, ainsi que l’exige la directive lue à la lumière de la Charte ».

La Cour enfonce le clou : toute « réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique » est à proscrire.

Une conservation limitée au « strict nécessaire »

Pour respecter le droit européen, les États membres doivent donc instaurer « une conservation ciblée des données à des fins de lutte contre la criminalité grave, à condition qu’une telle conservation soit, en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue, limitée au strict nécessaire ». Cela signifie en pratique que les régimes devront notamment être fondés « sur des éléments objectifs permettant de viser les personnes dont les données sont susceptibles de présenter un lien avec des actes de criminalité grave, de contribuer à la lutte contre la criminalité grave ou de prévenir un risque grave pour la sécurité publique ».

La CJUE apporte en outre des précisions quant à l’encadrement nécessaire de l’accès des autorités à ces données de connexion. Il est à ses yeux « essentiel » que cet accès soit, « sauf en cas d’urgence, subordonné à un contrôle préalable effectué par une juridiction ou une entité indépendante ». Les personnes concernées ont par ailleurs vocation à en être informées, ajoutent les juges. Enfin, l’institution a jugé qu’au regard de la quantité de données conservées, du caractère sensible de ces données ainsi que du risque d’accès illicite à celles-ci, chaque réglementation nationale devait « prévoir que les données soient conservées sur le territoire de l’Union et qu’elles soient irrémédiablement détruites au terme de la durée de leur conservation ».

Il y a désormais fort à parier pour que cet arrêt contraigne plusieurs États membres à revoir leur législation, à commencer par la Suède et le Royaume-Uni, avec son IP Bill. La France, avec sa récente loi Renseignement, surveillait également de près cette décision. Nous y reviendrons prochainement.

29 commentaires
Avatar de Liara T'soni INpactien
Avatar de Liara T'soniLiara T'soni- 21/12/16 à 11:07:07

Signaler ce commentaire aux modérateurs :

Nice ! 

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 21/12/16 à 11:11:46

Signaler ce commentaire aux modérateurs :

J'étais mauvaise langue
Merci à la CJUE 

Avatar de La Loutre INpactien
Avatar de La LoutreLa Loutre- 21/12/16 à 11:21:03

Signaler ce commentaire aux modérateurs :

Yes !!

Avatar de CUlater INpactien
Avatar de CUlaterCUlater- 21/12/16 à 11:23:12

Signaler ce commentaire aux modérateurs :

"sur des éléments objectifs permettant de viser les personnes dont
les données sont susceptibles de présenter un lien avec des actes de
criminalité grave, de contribuer à la lutte contre la criminalité grave
ou de prévenir un risque grave pour la sécurité publique ".

Coucou hadopi?

Avatar de hellmut Abonné
Avatar de hellmuthellmut- 21/12/16 à 11:29:31

Signaler ce commentaire aux modérateurs :

une telle naïveté laisse pantois.
La contrefaçon finance Daesh, malheureux!

Avatar de loser Abonné
Avatar de loserloser- 21/12/16 à 11:32:34

Signaler ce commentaire aux modérateurs :

 Il y a désormais fort à parier pour que cet arrêt contraigne plusieurs États membres à revoir leur législation, à commencer par la Suède et le Royaume-Uni, avec son IP Bill 

Une fois qu'il se sera cassé de l'UE, le RU pourra faire ce qu'il veut...

Avatar de CreaYouz INpactien
Avatar de CreaYouzCreaYouz- 21/12/16 à 11:33:59

Signaler ce commentaire aux modérateurs :

Ils ne peuvent donc pas enregistrer toutes les données des internautes, seulement en cas de suspicion / enquêtes pour des personnes en lien avec des activités criminelles graves.

les personnes dont les données sont susceptibles de présenter un lien avec des actes de criminalité grave

Édité par CreaYouz le 21/12/2016 à 11:34
Avatar de Drepanocytose INpactien
Avatar de DrepanocytoseDrepanocytose- 21/12/16 à 12:01:12

Signaler ce commentaire aux modérateurs :

loser a écrit :

Une fois qu'il se sera cassé de l'UE, le RU pourra faire ce qu'il veut...

Ouais, mais on s'en branle des rouquemoutes.
Ils l'ont cherché, qu'ils assument maintenant.

Avatar de Exagone313 Abonné
Avatar de Exagone313Exagone313- 21/12/16 à 12:03:30

Signaler ce commentaire aux modérateurs :

En tant que site web, a-t-on le droit de conserver les requêtes effectuées par tous les clients pendant une certaine période (disons un an) ?

Avatar de AhLeBatord Abonné
Avatar de AhLeBatordAhLeBatord- 21/12/16 à 12:06:53

Signaler ce commentaire aux modérateurs :

 "prévoir que les données [...] soient irrémédiablement détruites au terme de la durée de leur conservation"

Quid des données chiffrées conservées sans limite de temps d’après la loi renseignement?

Joli cadeau de noël de la CJUE!

Édité par AhLeBatord le 21/12/2016 à 12:07
Il n'est plus possible de commenter cette actualité.
Page 1 / 3