Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Conservation des données de connexion : la justice de l'UE siffle la fin du match, ou presque

Droit à l'oubli du devoir de mémoire ?
Droit 6 min
Conservation des données de connexion : la justice de l'UE siffle la fin du match, ou presque
Crédits : D3Damon/iStock

Après des années d’attente, la Cour de justice de l’UE s’est penchée sur des sujets qui concentrent les attentions des associations de défense des libertés numériques : l’obligation de conservation généralisée des données de connexion, la transmission de ces données aux services du renseignement notamment. Deux sujets ayant fait l'objet de deux arrêts. Analyse.

La Cour de justice a une nouvelle fois été appelée à se pencher sur l’obligation de conservation généralisée et indifférenciée des données de connexion. Des internautes ignorent encore que lorsqu’ils utilisent des outils numériques, un compte Twitter ou Facebook par exemple, ces derniers, qui endossent le rôle d’intermédiaire technique, ont l’obligation de conserver les « données de connexion » de leurs activités en ligne.

En France, l'article L. 34-1 (II) du Code des postes et des télécommunications affirme qu'elles doivent en principe être effacées ou anonymisées. Le même texte, au point III, envisage cependant de multiples dérogations imposant une durée d'un an. Une conservation généralisée et indifférenciée. 

Ce stock est mis à la disposition d’une ribambelle d’autorités : la justice « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales », la Hadopi, l’ANSSI. Les services du renseignement, des Douanes ou du Fisc disposent aussi d’un accès à ces informations laissées dans le sillage numérique de chacun.

Et quelles informations ! En croisant plusieurs textes (la loi sur la confiance dans l’économie numérique, le Code des postes et des télécommunications électroniques et les décrets d’application), l’expression de données de connexion révèle ses ombres : ce sont toutes celles qui se rattachent aux « qui, quand, quoi, où, comment » d’une activité électronique. C’est tout, sauf le contenu du message lui-même, dont l’accès suppose une interception.

Les prémices : les arrêts Digital Right et Télé2

Le 8 avril 2014 dans son arrêt « Digital Rights », la CJUE avait traduit juridiquement cette ingérence dans la vie privée. Ces données de connexion « prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ».

Elle relevait au passage que la conservation et l’utilisation des données « sont effectuées sans que l’abonné ou l’utilisateur inscrit en soient informés ». Une situation qui peut générer « dans l’esprit des personnes concernées (…) le sentiment que leur vie privée fait l’objet d’une surveillance constante ».

Pour contester l’argument habituellement entendu, selon lequel une atteinte aux données de connexion est moins grave qu’une atteinte aux données de contenus, la députée Isabelle Attard avait cité un exemple le 14 avril 2015, en plein débat sur la loi Renseignement

« Vous vous êtes par exemple connectés à un site de rencontres échangiste ou fétichiste deux fois par jour pendant un mois, mais – nous dit-on – on ne sait pas du tout ce que vous avez écrit ou lu… Autre exemple, vous avez appelé Sida Info Service pendant douze minutes, puis un laboratoire d’analyses médicales pendant deux minutes. Une semaine plus tard, le laboratoire vous a rappelé. On ne sait pas ce que vous vous êtes dit, mais il vous a rappelé, et vous avez ensuite appelé votre médecin pendant quinze minutes, mais, encore une fois, on ne sait pas vraiment de quoi vous avez parlé. »

La CJUE n’avait pas condamné la conservation des données elle-même, mais exigé des garanties solides, des textes clairs. En substance, les juges ont demandé de réserver ce devoir de mémoire à la lutte contre les infractions graves, en faisant varier la durée de la rétention entre les catégories de données selon leur utilité éventuelle, tout en délimitant l’accès aux autorités compétentes ou en s’assurant d’un haut niveau de sécurité chez les opérateurs.

Le 21 décembre 2016, dans l’affaire « Télé2 », elle remettait le couvert : la Cour jugeait contraire au droit européen « une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ».

C’est dans ce contexte que plusieurs affaires ont éclaté au Royaume-Uni, en Belgique et en France.

Une ingérence dans la vie privée

Saisi par FDN, FFDN, et la Quadrature du Net, le Conseil d’État a questionné la CJUE sur le fait de savoir si l’ingérence dans la vie privée consécutive à l’obligation de conservation généralisée et indifférenciée ne pourrait pas être justifiée ou contrebalancée par des garanties spécifiques.

Dans sa quête de justifications, la juridiction a voulu savoir en outre si des autorités pouvaient en France éviter le devoir d’information des personnes surveillées, une fois le risque évaporé, par exemple en s’appuyant sur d’autres garanties comme le droit au recours. Sachant qu’on imagine mal comment assurer l’effectivité de ce droit lorsque les principaux concernés ne sont pas informés de l’exploitation de ces données.

Le Conseil d’État avait été saisi, avec à l’index des requérants, plusieurs dispositions de la loi renseignement de 2015 et ses décrets d’application. Dans le lot, l’article L851-3 du Code de la sécurité intérieure qui organise la mise en place des « boites noires ». Ces algorithmes censés détecter des graines de menace terroriste dans l’océan des données de connexion. Ils ont également épinglé l’obligation de conservation, qui sert à alimenter les activités des services, à des fins multiples, pas seulement la lutte contre le terrorisme.

En Belgique, l’Ordre des barreaux francophones et germanophones ou encore la Ligue des Droits de l’Homme ASBL notamment ont saisi la Cour constitutionnelle, toujours pour mettre en cause cette obligation de conservation indifférenciée. Dans la saisine, les juridictions nationales ont demandé à la Cour si la conservation généralisée et indifférenciée des données de trafic et de connexion était, ou non, compatible avec la directive Vie privée et communications électroniques, en particulier son article 15.

« Les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l'article 8, paragraphes 1, 2, 3 et 4, et à l'article 9 de la présente directive lorsqu'une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d'une société démocratique, pour sauvegarder la sécurité nationale - c'est-à-dire la sûreté de l'État - la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d'infractions pénales ou d'utilisations non autorisées du système de communications électroniques, comme le prévoit l'article 13, paragraphe 1, de la directive 95/46/CE.

À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit communautaire, y compris ceux visés à l'article 6, paragraphes 1 et 2, du traité sur l'Union européenne. »

Quand la France tente d’évacuer le droit européen

22 commentaires
Avatar de rguesdon Abonné
Avatar de rguesdonrguesdon- 06/10/20 à 15:37:31

:D

Avatar de Salamandar Abonné
Avatar de SalamandarSalamandar- 06/10/20 à 15:57:25

:incline:

Avatar de roro2mile Abonné
Avatar de roro2mileroro2mile- 06/10/20 à 16:12:48

"au sein d’une société démocratique"
Bah c'est bon non ? on est pas en démocratie en France :transpi:

Avatar de Malizor Abonné
Avatar de MalizorMalizor- 06/10/20 à 16:14:37

Je sens que je vais me faire huer, mais ça manque d'un petit TL;DR selon moi.
:pastaper:

Avatar de AhLeBatord Abonné
Avatar de AhLeBatordAhLeBatord- 06/10/20 à 16:17:42

Merci Marc

Avatar de Cyberastronaute Abonné
Avatar de CyberastronauteCyberastronaute- 06/10/20 à 16:21:43

Bien sûr, 6 minutes de lecture 😂

Excellent travail.

Avatar de Idiogène INpactien
Avatar de IdiogèneIdiogène- 06/10/20 à 16:39:59

Elle estime en substance que ces moyens de preuve doivent être rejetés si les personnes en cause « ne sont pas en mesure de commenter efficacement ces informations et ces éléments de preuve », pour autant qu’elles proviennent « d’un domaine échappant à la connaissance des juges et qui sont susceptibles d’influencer de manière prépondérante l’appréciation des faits ».

Matrix c'est fini ? Roooh. :D

Avatar de deltadelta Abonné
Avatar de deltadeltadeltadelta- 06/10/20 à 17:26:49

Mais mais mais... il s'est fardé les deux arrêts dans la journée ??? Plus la rédaction de l'article ?
:eeek2:

Avatar de lanoux Abonné
Avatar de lanouxlanoux- 06/10/20 à 17:36:18

Alors on garde? On garde pas?
:bravo:

Avatar de Envol Abonné
Avatar de EnvolEnvol- 06/10/20 à 18:54:35

A votre avis , Aurore Bergé sera-t-elle aussi rapide a patcher Hadopi que Marc a nous faire ce super résumé ?

Il n'est plus possible de commenter cette actualité.
Page 1 / 3
  • Introduction
  • Les prémices : les arrêts Digital Right et Télé2
  • Une ingérence dans la vie privée
  • Quand la France tente d’évacuer le droit européen
  • L’obligation de conservation à l’épreuve du droit européen
  • L’encadrement de cette obligation de conservation
  • La question de la criminalité grave
  • L’épineuse question de l’adresse IP, des données nominatives
  • Les données relatives à l’identité civile
  • Les situations d’urgence
  • Les boites noires et le droit européen
  • La géolocalisation en temps réel
  • Pas de modulation dans le temps des systèmes illégaux
  • Droit de la preuve et conservation illicite des données
  • La transmission généralisée et indifférenciée des métadonnées
S'abonner à partir de 3,75 €