Conservation des données de connexion : pour le gouvernement, tout va bien

Vous avez une autre question ? 27
En bref
image dediée
Crédits : arunchristensen/iStock/Thinkstock
Loi
Marc Rees

Quelles sont les conséquences de l’invalidation par la CJUE de la directive Conservation des données personnelles sur la législation française ? Cette question avait été posée par Lionel Tardy en avril 2014. « Aucun effet » vient de lui répondre en substance le gouvernement.

Le 8 avril 2014, la Cour de justice de l’Union européenne dégoupillait une sacrée grenade dans le ciel européen. Elle invalidait la directive sur la conservation des données, les juges épinglant « une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel sans que cette ingérence soit limitée au strict nécessaire ».

De la poussière d’or

Ce texte tentait d’harmoniser en Europe la collecte et la conservation des données de connexion entre les mains des FAI et des opérateurs. Ces intermédiaires se voyaient alors imposer l’obligation d’un « devoir de mémoire légal » pour toutes les particules informatiques laissées dans le sillage des clics et des appels des citoyens.

Ces métadonnées sont une véritable poussière d’or pour les autorités. Elles concernent toutes les informations qui encapsulent une session de surf, l’envoi d’un SMS, d’un mail ou une correspondance téléphonique. Or, comme l’a bien exprimé la CJUE, « ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ». Avec ces qui, quoi, quand, où, comment d’un échange électronique, on découvre sans mal des éléments très intimes de la vie privée d’une personne.

Les lacunes de la directive invalidée

Pour justifier l'invalidation de cette directive, la CJUE avait particulièrement mis en cause son trop faible intérêt pour quelques règles de base. Voilà une obligation de conservation qui couvre « de manière généralisée toute personne et tous les moyens de communication électronique ainsi que l’ensemble des données relatives au trafic sans qu’aucune différenciation, limitation ni exception soit opérée en fonction de l’objectif de lutte contre les infractions graves ». En clair : les intermédiaires doivent absolument tout conserver, pour permettre aux autorités de trier a posteriori.

Ensuite, la Cour a eu beau lire et relire la directive, elle n'y voyait « aucun critère objectif permettant de limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données ».

Autre chose, le même texte laissait aux États membres la liberté d’ordonner une durée de conservation entre 6 mois à 2 ans, « sans que soit opérée une quelconque distinction entre les catégories de données en fonction de leur utilité éventuelle aux fins de l’objectif poursuivi ou selon les personnes concernées ».

Enfin, il avait omis d’organiser « un niveau particulièrement élevé de protection et de sécurité par des mesures techniques et organisationnelles » dans les mains des intermédiaires.

La question de Lionel Tardy et ses répliques

Le 22 avril 2014, soit quelques jours après cette décision, le député Lionel Tardy (LR) avait demandé au gouvernement quelles étaient les conséquences juridiques de cette invalidation sur les textes français (notre actualité).

Dans son optique, « les procédures mises en place au titre du droit de communication combiné avec les dispositions des articles L. 34-1 et R. 10-13 du CPCE, permettent ainsi à l'administration d'obtenir au titre des diverses dispositions (articles L. 96 G du livre des procédures fiscales, L. 65 du code des douanes, L. 621-10 du code monétaire et financier, L. 114-19 du code de sécurité sociale, L. 2321-3 du code de la défense, L. 246-1 du code de la sécurité intérieure) des informations portant atteinte à la vie privée des utilisateurs en dehors de tout contrôle préalable, soit au par un magistrat indépendant au sens des prescriptions de la Cour de cassation, soit par une autorité administrative indépendante ». C’est notamment par ce biais que les autorités administratives obtiennent, sans passer par un juge, les FADET des journalistes.

lionel tardy données de connexion

Faute de réponse, sa question fut renouvelée. Et pas qu'une fois : en juillet et novembre 2014 puis février, mai et septembre 2015 et enfin mars 2016. Ouf ! Plus de deux ans plus tard, le gouvernement a su trouver les mots pour y répondre. Et c’est une fin de non recevoir, le régime français étant selon l'exécutif d'une belle perfection.

Les textes français sont parfaits selon Jean-Jacques Urvoas

Jean-Jacques Urvoas rappelle d’abord que l’article socle de ce droit de communication, le L. 34-1 du Code des poste et des communications électroniques, a été adopté « deux ans avant l'adoption de la directive 2006/24/CE ». Il ne procède pas de la directive invalidée. 

Mieux, le ministre de la Justice et Garde des Sceaux considère que « la législation française apporte des garanties supérieures à celles prévues par la directive invalidée en matière de protection des données et de contrôle des demandes d'accès aux données ». La preuve, avec quelques exemples triés sur le volet : d’une part, « les données de connexion sont conservées sur le territoire français et soumises au contrôle de la Commission nationale de l'informatique et des libertés ». D’autre part, « des sanctions pénales sont encourues en cas de consultations indues et [...] les personnes habilitées à consulter ces données sont déterminées par la loi ».

Une réponse et de nouvelles questions

Cette analyse n’est pas spécialement partagée par tous. Comme Lionel Tardy, la section des études du Conseil d’Etat a déjà exprimé des doutes en 2014. Selon elle, la fameuse décision européenne soulève bien « la question de la conformité au droit de l’Union européenne des législations nationales, telles que la législation française, qui prévoient une telle obligation de conservation générale des données de connexion ».

De plus, en réaction à la réponse française, on notera que la directive invalidée (PDF) indiquait déjà dans son article 9 que « chaque État membre désigne une ou plusieurs autorités publiques qui sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres (...) pour ce qui concerne la sécurité des données conservées ».

De plus, la même directive prévoyait aussi à l'article 13 que « chaque État membre prend, en particulier, les mesures nécessaires pour faire en sorte que l’accès intentionnel aux données conservées conformément à la présente directive ou le transfert de ces données qui ne sont pas autorisés par le droit interne adopté en application de la présente directive soient passibles de sanctions, y compris de sanctions administratives ou pénales, qui sont efficaces, proportionnées et dissuasives ».

Enfin, son article 4 ajoutait que, s’agissant de l’accès aux données, « les États membres prennent les mesures nécessaires pour veiller à ce que les données conservées conformément à la présente directive ne soient transmises qu’aux autorités nationales compétentes, dans des cas précis et conformément au droit interne ».

En somme, il était déjà prévu dans le texte européen l’intervention d’une autorité comme la CNIL tout comme des sanctions en cas d’accès ou transfert non autorisé, tout autant que la désignation des autorités compétentes pour garantir cet accès... On retrouve peu ou prou les trois exemples cités par Urvoas qui n’ont pourtant pas su éviter les nombreuses critiques de la CJUE, sur lesquelles le gouvernement est silencieux...

Il est donc à craindre que la réponse ministérielle ne puisse satisfaire complètement le député de Haute-Savoie. Seul moyen d’avoir une réponse objective ? Espérer que les récentes procédures initiées par la Quadrature du Net, FDN et FFDN devant les juridictions françaises soient transmises à la Cour de Justice de l’Union européenne afin que soit jaugé notre système juridique. Qu'en dit le Garde des Sceaux ? 


chargement
Chargement des commentaires...