Alors que la CNIL presse les entreprises et collectivités à se mettre en conformité sur le terrain du RGPD, qu’attend la France pour se mettre en phase avec une jurisprudence fondamentale de la CJUE rendue sur la conservation des données ? Éléments de réponse apportés par la présidente de la CNIL.
Avec l’arrêt Télé2 du 21 décembre 2016, la Cour de justice de l’Union européenne a interdit toute « réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ».
En clair, avec cette jurisprudence, qui confirme l’arrêt Digital Rights, les États membres ne peuvent prévoir une obligation indiscriminée de conservation des données de connexion pour les échanges téléphoniques et électroniques passés sur leur territoire.
Petite contrariété nationale : si l'article L. 34-1 du Code des postes et des télécommunications pose un principe d’effacement ou d’anonymisation des données de connexion, c’est pour prévoir une dérogation immédiate. Il impose aux intermédiaires techniques de conserver des wagons de données pour une durée d’un an.
Sur ce stock, de nombreuses institutions viennent ensuite butiner de précieuses informations sur le qui, quand, où, comment d’un appel ou d’un échange électronique. Les services du renseignement, mais aussi les douanes, l’autorité judiciaire, l’ANSSI, la sécurité sociale, Bercy ou encore la Hadopi dans le cadre de la riposte graduée. Bref, des situations qui ne relèvent pas toutes de la « criminalité grave », selon le critère pourtant exigé par la Cour de justice de l’Union européenne.
Quand la CNIL se tourne vers la Chancellerie et l'Intérieur
La question étant tombée pour fin de mandat, la députée UDI Laure de la Raudière est revenue à la charge pas plus tard que le 10 avril dernier, en reprenant peu ou prou les éléments clefs de ces interrogations.
Vendredi dernier, lors d’un colloque au Conseil d’État relatif au contrôle de la loi sur le renseignement, plusieurs huiles du secteur ont souligné en chœur que l’arrêt posait des problèmes opérationnels lourds. Des questionnements qui n’ont pas été aussi métaphysiques outre-Rhin.
Hier, lors de la conférence de présentation du rapport annuel de la CNIL, nous avons interrogé Isabelle Falque-Pierrotin, sa présidente, pour savoir ce qu’entendait faire la commission, plus d’un an et demi après cet arrêt. « La situation est assez difficile. Nous nous sommes tournés vers la chancellerie et le ministère de l’Intérieur pour avoir des recommandations ou des solutions dans la mise en œuvre de cette décision, mais nous n’avons pas eu de réponse, dans un sens ou un autre » nous a-t-elle indiqué. Selon des précisions apportées quelques minutes plus tard, la CNIL a bien fait des suggestions, mais sans retour.
Une autorité indépendante
Le positionnement reste néanmoins surprenant s’agissant d’une autorité indépendante. Celle-ci n’est pas tributaire de l’exécutif. Sans son aval, elle peut mener à bien ses contrôles voire mettre en demeure des institutions pourtant publiques. La CNIL s’est d’ailleurs déjà attaquée à l’Admission Post-Bac cher au ministère de l’Éducation ou à l’Assurance maladie pour des indélicatesses avec la législation sur les données personnelles.
La passivité française, qui cache en réalité une volonté de statu quo absolu du gouvernement, contraint aujourd’hui des associations à entamer une guerre juridictionnelle nécessairement coûteuse, pas seulement en énergie et temps.
Plus globalement, l’affaire Facebook/Cambridge Analytica suscite aujourd’hui une pluie de critiques faciles et légitimes des autorités de contrôle. Mais quelle est donc la logique, quand ces mêmes poussent l’arrêt Télé2 vers l’oubli, un arrêt pourtant si fondamental pour la protection des données personnelles ?