L’épineuse question de la conservation des données de connexion devient désormais un serpent de mer. Les autorités nationales s’interrogent, et pas seulement au plan interne, des conséquences de l'arrêt Télé2 de la CJUE. Un arrêt qui a réservé cette obligation à la lutte contre les seules infractions graves.
Dans l’un de ses importants arrêts, la Cour de justice de l’Union européenne a posé que la conservation et l’accès aux métadonnées, les données des données, devaient être limités à la lutte contre la criminalité grave.
Questionnée sur l’obligation générale de conservation de données imposées aux intermédiaires techniques, dont les fournisseurs d’accès, les juges de Luxembourg ont en effet estimé qu’ « eu égard à la gravité de l’ingérence dans les droits fondamentaux en cause que constitue une réglementation nationale prévoyant, aux fins de la lutte contre la criminalité, la conservation de données relatives au trafic et de données de localisation, seule la lutte contre la criminalité grave est susceptible de justifier une telle mesure ».
De l'arrêt Télé2 à la machinerie Hadopi
Ce petit bout de phrase asséné le 21 décembre 2016 a provoqué un séisme administratif. En France, notamment, le député Lionel Tardy avait questionné le ministre de la Justice en janvier 2017 sur les conséquences de cet arrêt, mais sa demande était restée sans réponse, la question ayant même été retirée suite à sa fin de mandat. Du côté de la Hadopi, le sujet devrait nécessairement faire trembler le mécanisme de la réponse graduée. La Haute autorité profite justement de cette obligation de conserver les données pour alimenter sa machine à adresser des avertissements.
Deux courants s’affrontent pour savoir si finalement un défaut de sécurisation, cible de l’avertissement Hadopi, relève ou non de la « criminalité grave ». Le premier vise à dire qu’on est face à une simple contravention, bien loin de ce que pourrait être la lutte contre les actes de terrorisme. En conséquence, la conservation, et au-delà l’accès à ces données, devraient donc être prohibés ou au moins beaucoup plus restreints.
Pour le second, l’idée est que l’objectif de l’avertissement est la lutte contre la contrefaçon en ligne. Or, ce délit est puni de 3 ans de prison et 300 000 euros d’amende, voire beaucoup plus lorsque commis en bande organisée. La conservation et l'accès seraient donc justifiés.
Une problématique vaste en France
Face à ces troubles, le collectif des Exégètes a exploité dans ses nombreux recours l’arrêt en question pour tenter de raboter au strict nécessaire le régime de la conservation des données de connexion. Il faut dire que cette problématique concerne également les réquisitions de l’autorité judiciaire, de l’AMF, des douanes, des services du renseignement, etc. qui ont tous accès à ces données.
Ces difficultés d’interprétation tiennent finalement à l’absence d’un standard de lecture, un trou qui ouvre la voie à de multiples interprétations. Dans une nouvelle question préjudicielle présentée par la Audiencia provincial de Tarragona, la Cour de justice est toutefois invitée à clarifier ses propos, et spécialement le critère de la « criminalité grave ».
L'Espagne demande des éclairages à la CJUE
Dans ce litige, les juridictions espagnoles demandent en effet à la CJUE s’il est possible de déterminer le critère de la « criminalité grave » en prenant en compte la seule « peine dont peut être punie l’infraction faisant l’objet d’une enquête ». Ou bien, s’il ne fallait pas en outre « identifier dans le comportement délictueux un caractère préjudiciable particulier pour des intérêts juridiques individuels ou collectifs ».
Si le premier critère est le seul à être retenu, les juges nationaux interrogent aussi la Cour pour connaître « le niveau minimal de cette peine ». Par exemple, « un niveau fixé de manière générale à un minimum de trois ans serait-il conforme ? » ajoutent-ils. La CJUE répondra dans plusieurs mois à ce dossier transmis en mars dernier, après les conclusions de l’avocat général.
