Pour la CJUE, un meurtre ne justifie pas la conservation généralisée et indifférenciée des métadonnées

Pour la CJUE, un meurtre ne justifie pas la conservation généralisée et indifférenciée des métadonnées

Le crime ne plaît plus

Avatar de l'auteur
Marc Rees

Publié dans

Droit

05/04/2022 9 minutes
5

Pour la CJUE, un meurtre ne justifie pas la conservation généralisée et indifférenciée des métadonnées

Une nouvelle fois la Cour de justice de l’UE juge contraire au droit européen une législation organisant la conservation généralisée de données de connexion même dans le cadre de la lutte contre la criminalité grave. L’arrêt, qui concerne un meurtre commis en Irlande, contient plusieurs points qui questionnent le régime français.

L’affaire, tranchée aujourd’hui par la CJUE, concerne un individu condamné en 2015 en Irlande à une peine de réclusion à perpétuité pour le meurtre d’une femme disparue en août 2012.

L’individu avait contrattaqué en reprochant à la justice « d’avoir, à tort, admis comme éléments de preuve des données relatives au trafic et des données de localisation afférentes à des appels téléphoniques ». Il mettait en cause la compatibilité avec le droit de l’UE, la loi irlandaise qui organise la conservation de ces précieuses métadonnées, soit les qui, quand, comment, où des communications, notamment téléphoniques.

Après plusieurs étapes procédurales, la Haute cour irlandaise a interrogé la Cour de justice de l’UE, avec à l’index la solidité juridique de la conservation des données de connexion ici justifiée par un objectif de lutte contre la criminalité grave.

Autre problème soulevé : l’accès à ces données par la police nationale irlandaise. Dans ce pays, c’est en effet un commissaire divisionnaire, chef de la section de la sécurité et du renseignement, qui s’occupe de filtrer les demandes. S’il estime que les données se raccrochent au haut du panier de la criminalité, alors il prend contact avec les opérateurs.

Dans son arrêt, la CJUE a rappelé que la conservation des données de connexion était une dérogation à une interdiction de principe reposant sur le fondement de la protection de la vie privée, de la protection des données à caractère personnel, ou encore de la liberté d’expression. La Cour explique les fondements de ce régime, en recopiant un passage qu’on retrouve notamment dans son arrêt d’octobre 2020 dit « La Quadrature du Net » :

« Les données relatives au trafic et les données de localisation sont susceptibles de révéler des informations sur un nombre important d’aspects de la vie privée des personnes concernées, y compris des informations sensibles, telles que l’orientation sexuelle, les opinions politiques, les convictions religieuses, philosophiques, sociétales ou autres ainsi que l’état de santé »

Ainsi, lorsqu’on les prend dans leur ensemble, de telles données…

« peuvent permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ».

Il existe donc un principe, qui souffre d’exceptions et donc exige une analyse proportionnalité. Une confrontation entre deux plaques tectoniques, celle de la lutte contre les infractions, celle du respect des droits et libertés fondamentaux.

La lutte contre la criminalité grave ne justifie pas tout

Pour la résoudre, la CJUE a répété et affiné sa dense jurisprudence. Ainsi, le droit de l’UE ne s’oppose pas à la législation d’un État membre qui enjoint les opérateurs à une conservation généralisée et indifférenciée des données de connexion pourvu qu’elle soit justifiée par une « menace grave pour la sécurité nationale », « réelle et actuelle ou prévisible ».

Cette menace à la sécurité nationale est le très haut du panier. On parle ici de la protection des fonctions essentielles de l’État et des intérêts fondamentaux de la société. On pense évidemment au terrorisme. C'est dans ce cadre que la CJUE répète que « la criminalité, même particulièrement grave, ne peut être assimilée à une menace pour la sécurité nationale ».

Pour cette criminalité dite « grave », hors terrorisme, une conservation généralisée et indifférenciée, systématique et continue des données de trafic et de localisation n’est donc pas conforme au droit européen.

De la justification du stock

Dans ce même arrêt, la CJUE prévient que la circonstance que « les données relatives au trafic et les données de localisation ont légalement fait l’objet d’une conservation aux fins de la sauvegarde de la sécurité nationale est sans incidence sur la licéité de leur conservation aux fins de la lutte contre la criminalité grave ».

En clair, il semble impossible d’avoir accès aux données stockées aux fins de sauvegarde de la sécurité nationale pour cette autre finalité, sauf « à priver de tout effet utile l’interdiction de procéder à une telle conservation aux fins de la lutte contre la criminalité grave ».

Cette précision contraste avec l’arrêt du Conseil d’État et va sans doute malmener la récente législation française, comme le relève Me Alexandre Archambault : la loi du 2 mars 2022 vient en effet d’autoriser les réquisitions sur le stock de données existant lorsqu’une procédure porte notamment sur « un crime ou sur un délit puni d'au moins trois ans d'emprisonnement ». 

Conservation non généralisée

Dans une approche très logique, la prohibition de la conservation généralisée et indifférenciée ne s’étend pas à la conservation... limitée à quelques données, durant une période ou une zone géographique déterminée ou un cercle de personnes « susceptibles d’être mêlées d’une manière ou d’une autre à une infraction grave ».

Pour lutter contre la criminalité grave, la CJUE accepte donc des mesures plus restreintes, par exemple, qui portent sur les seules adresses IP pour une période limitée au strict nécessaire, ou sur l’identité civile des utilisateurs, ou dans le cadre d’une injonction (ou « quick freeze ») enjoignant les opérateurs à une conservation rapide.

Un État membre peut donc ordonner une conservation ciblée « fondée sur un critère géographique » déterminée selon un taux moyen de criminalité. Il peut tout autant viser « des lieux ou des infrastructures fréquentés régulièrement par un nombre très élevé de personnes » comme des aéroports, des gares, des ports maritimes ou des zones de péages.

Au fil de ses décisions, la justice européenne parvient à définir un régime d’application complexe, où l’obligation de conservation varie donc selon les données en jeu, la durée, l’objectif poursuivi. Et où doit toujours être respecté le principe de proportionnalité, peu importe le scénario choisi.

Ce tableau, synthétisé par le Sénat, résume la situation :

cjue conservation des données
Crédits : Commission des lois (Sénat)

L’impossibilité d’une conservation ciblée ne justifie pas la conservation généralisée

Pour enfoncer un peu plus le clou, la CJUE relève que « l’existence éventuelle de difficultés pour définir précisément les hypothèses et les conditions dans lesquelles une conservation ciblée peut être effectuée ne saurait justifier que des États membres, en faisant de l’exception une règle, prévoient une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation ».

En somme, l'impossibilité d'une conservation ciblée ne peut justifier une conservation généralisée. Aux autorités de deviner par avance le lieu de commission d’un crime « grave » pour ordonner les mesures de conservation qui s'imposent.

Une situation pas vraiment simple, mais les États membres ont aussi été alertés des fragilités des législations internes depuis plusieurs années, et ils ont surtout brillé par leur volonté de préserver les acquis... 

Pas de limitation dans le temps

Dans ce même arrêt, la Cour juge contraires au droit européen les législations nationales qui centralisent le traitement des demandes d’accès aux données entre les mains d’un fonctionnaire de police.

Elle répète enfin que le droit de l’Union s’oppose à ce qu’une juridiction nationale limite dans le temps les effets d’une déclaration d’invalidité. Un État membre n’a pas de marge de manœuvre : il doit repousser les normes contraires, sans attendre.

Là encore, la solution tranche avec les positions françaises où le Conseil constitutionnel n’hésite pas à reporter dans le temps les effets d’une déclaration d’inconstitutionnalité, afin de sauvegarder les procédures en cours. 

Par contre, s’agissant de l’admissibilité des éléments de preuve obtenus au moyen d’une telle conservation, la Cour relève que cette question est du ressort de chaque État membre. Comme elle l’avait déjà jugé en mars 2021, le juge pénal national doit écarter ces preuves obtenues au moyen d’une conservation généralisée et indifférenciée, sauf si les personnes mises en cause peuvent commenter « efficacement ces informations et ces éléments de preuve, provenant d’un domaine échappant à la connaissance des juges et qui sont susceptibles d’influencer de manière prépondérante l’appréciation des faits ». 

Armées de cette réponse parfois brumeuse, les juridictions irlandaises vont devoir maintenant examiner les conséquences sur la procédure pénale en cause.

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

La lutte contre la criminalité grave ne justifie pas tout

De la justification du stock

Conservation non généralisée

L’impossibilité d’une conservation ciblée ne justifie pas la conservation généralisée

Pas de limitation dans le temps

Commentaires (5)


Assez intéressant de voir une fois encore cette confirmation des décisions précédentes. Et effectivement, notre Conseil constitutionnel français est une honte à ce niveau-là


je suis partagé (pour/contre ? ), alors “no comment” ! :zarb:



vizir67 a dit:


je suis partagé (pour/contre ? ), alors “no comment” ! :zarb:




Compliqué hein ?



Peut être le moment de revoir les textes EU, car les versions actuelles conduisent la CJUE a opter pour des solutions alchimiques et de plus en plus théoriques. J’ai essayé de simplifier au maximum l’arrêt, mais je vous invite à le lire, après aspirine.
Imaginez maintenant la situation des autorités et des victimes, et le côté vertigineux pour les associations de défense des libertés numériques.


du coup le monsieur jugé meurtrier, on va lui demander de commenter des preuves obtenues illégalement et rester en prison ou il va ressortir libre?



pas clair tout ça


Je dirais qu’en France le jugement serait cassé, en Irlande je n’en sais rien.