Conservation des données de connexion : la Suède et le Royaume-Uni devant la CJUE

Coucou Bernard ! 5
En bref
image dediée
Crédits : arunchristensen/iStock/Thinkstock
Justice
Marc Rees

L’obligation européenne faite aux fournisseurs d’accès de conserver très largement certaines données de leurs abonnés avait été épinglée il y a deux ans par la Cour de justice de l’Union européenne. Ce dossier rebondit désormais au Royaume-Uni et en Suède.

Le 8 avril 2014, la CJUE sonnait la fin de la récréation avec son arrêt Digital Rights Ireland. Elle invalidait la directive sur la collecte et la conservation des données de connexion, au motif que ce texte d’harmonisation comportait bien trop de trappes pour la vie privée.

Et pour cause, le législateur européen avait oublié quelques règles de base. Contraignant les intermédiaires techniques à un devoir de mémoire sur les faits et gestes de leurs abonnés, aux fins de sécurité publique, il organisait selon les juges « une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel sans que cette ingérence soit limitée au strict nécessaire ».

De la sensibilité des données de connexion

Au lieu et place, les juges auraient préféré des règles plus précises, plus claires, ainsi qu’une discrimination entre les données à conserver, selon leur utilité, avec des objectifs ciblés. Toutes ces règles d’hygiènes de base manquaient, alors qu’en imposant une obligation générale de conservation, la directive comportait « une ingérence dans [les] droits fondamentaux d’une vaste ampleur et d’une gravité particulière dans l’ordre juridique de l’Union sans qu’une telle ingérence soit précisément encadrée par des dispositions permettant de garantir qu’elle est effectivement limitée au strict nécessaire ».

Une ingérence d’autant plus grave que « ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ».

Il y des États qui réagissent et il y a la France

Depuis, des États membres ont mis à jour leur législation, on pense notamment à la Belgique ou encore à l'Irlande, l'Autriche, la Roumanie, la Slovaquie, la Slovénie, les Pays-Bas et la Bulgarie. La France est au contraire restée insensible alors que les opérateurs et les FAI sont tenus de garder un an durant toutes les données de connexion, pour le plus grand plaisir des services du renseignement notamment.

Le Code des postes et des télécommunications claironne le principe d’effacement des données de connexion (alinéa 2 de l’article L34-1) qu’il entame immédiatement par une obligation de conservation des données aussi bien pour le pénal, la loi Hadopi ou encore l’ANSSI. En outre, de nombreuses administrations se sont vues reconnaitre un droit de communication sur les données de connexion. Enfin, la loi pour la confiance dans l’économie numérique de 2004 oblige FAI et hébergeurs à conserver toutes les données « de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires. »

Ces textes français n’ont pas bougé d’un iota après l’arrêt Digital Right. Pourquoi ? Déjà, parce qu’ils sont antérieurs à la directive aujourd’hui invalidée. Surtout, parce que le Conseil d’État est intervenu pour soutenir, sans beaucoup de nuances, que ces dispositions sont enrichies de garanties suffisantes pour « permettre un contrôle effectif des demandes d’accès administratif aux données de connexion ». Bref, tout va bien, sauf dans l’esprit des Exégètes (La Quadrature du Net, FDN et FFDN) qui multiplient malgré tout les coups de cornes contre le régime français.

La situation en Suède et au Royaume-Uni auscultée par la CJUE

Ce sujet sensible devrait être très prochainement nourri de nouvelles positions de la CJUE. En Suède, une question préjudicielle va permettre à ses juges de rappeler les règles énoncées lors de son arrêt Digital Rights en auscultant cette fois une législation nationale jaugée avec l’actuel droit européen. Dans le pays nordique, pèse en effet une « obligation de conservation de données, relative à toute personne et à tous les moyens de communication électronique et portant sur l’ensemble des données relatives au trafic, sans qu’aucune différenciation, limitation ni exception ne soient opérées en fonction de l’objectif de lutte contre la criminalité ».

L’affaire est née suite à l’attitude militante d’un opérateur. Quelques heures après l’arrêt d’avril 2014, Tele2 Sverige avait indiqué à l’autorité suédoise de surveillance des postes et télécommunications qu’il cesserait désormais de conserver les données de connexion tout en lui indiquant effacer son stock actuel. Au Royaume-Uni, une question préjudicielle similaire a été posée afin de savoir si l’arrêt fondateur établit « des exigences impératives en droit de l’Union européenne ».

La compatibilité avec la Charte des droits fondamentaux 

Comme dans les procédures initiées par les Exégètes, ces deux actions s’appuient notamment sur la Charte des droits fondamentaux de l’Union européenne, spécialement son article 6, qui consacre le droit à la liberté et à la sûreté, l’article 7, relatif au droit au respect de la vie privée, du domicile et des communications et enfin l’article 52, lequel touche à l’encadrement des limitations aux droits et aux libertés.

Les conclusions de l’avocat général sont attendues le 19 juillet prochain. L’arrêt suivra quelques mois plus tard.


chargement
Chargement des commentaires...