Devant la CJUE, la France défend la conservation généralisée des données par les intermédiaires

Oui, mais sous conditions 17
Accès libre
image dediée
Crédits : Cour de justice de l'Union européenne
Justice
Par
le lundi 25 juillet 2016 à 17:20
Marc Rees

Est-ce qu’un régime étatique qui oblige les intermédiaires à conserver toutes les données de connexion est bien compatible avec le droit européen ? L’avocat général de la Cour de justice de l’Union vient de répondre que oui. Mais sous une pluie de conditions parfois très précises.

C’est peu de le dire, mais cette question sur le grill de la justice européenne est suivie comme le lait sur le feu par l’ensemble des États membres, notamment par la France qui, notamment via sa loi sur le renseignement, connaît la richesse de la mine des données de connexion. La problématique concerne en effet l’obligation faite aux FAI, hébergeurs, opérateurs, etc. de conserver l’ensemble des métadonnées, soit tous les documents et informations qui encapsulent le contenu d’une communication passée par la population, les appels, les traces laissées derrière les sessions de surf, et tous les autres échanges électroniques (voir pour le cas français).  

Or, « ces bases de données d’une ampleur considérable offrent à toute personne y ayant accès le pouvoir de cataloguer instantanément l’ensemble de la population pertinente » estime sans mal, l’avocat général de la CJUE. Dans les 58 pages de son opinion (PDF), dévoilée la semaine dernière et destinée à éclairer la Cour, sans la lier, celui-ci a donc ausculté la solidité juridique de ce régime dans deux affaires visant la Suède et le Royaume-Uni. Sans surprise, la France y est intervenue volontairement pour défendre cette obligation. Pour Paris, avec elle, les autorités peuvent utilement « ‘lire le passé’ en consultant les données conservées, et ce à la différence des mesures de surveillance ciblées », résume l’avocat général, la position française en main.

De l’arrêt Digital Right à la situation des États membres

Ces procédures unifiées interviennent à la suite d’un arrêt fondamental rendu en avril 2014 par la Cour de justice de l’Union européenne. Dans l’affaire dite Digital Rights Irland (ou DRI), la justice européenne avait décapité la directive sur la conservation des données de 2006, compte tenu du manque de garanties imposées aux États membres.

Dans sa foulée, la CJUE avait souligné le caractère ô combien intrusif de ces métadonnées. Les qui, quand, où, quoi, comment d’une communication électronique « sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ». Les juges européens avaient du coup demandé à ce que des limites soient posées pour que l’ingérence dans la vie privée ne soit cantonnée qu’aux infractions les plus graves. Limites cruellement absentes dans la directive auscultée. 

La question soulevée par les deux dossiers en cours revient maintenant à savoir si ces obligations s’étendent également aux législations des États membres. Et avant tout, le droit européen s’oppose-t-il à une obligation générale de conservation des données, cette fois au regard de la directive de 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ?

Quand la France tente de s’opposer à la directive de 2002

Quand une telle procédure arrive sur le devant de la scène, l’avantage est qu’elle permet de faire sortir du bois les États membres, révélant alors leur stratégie juridique, ou sous un autre angle, leur appétit pour la vie privée. Remarquons tout spécialement la France qui, comme trois autres pays, a tenté d’écarter ce carcan, pensant avoir déniché une faille.

Comment ? Le gouvernement a trouvé une brèche, à l’article 1 paragraphe 3 de la directive de 2002. Celui-ci exclut en effet de la régulation l’ensemble des dispositions nationales régissant l’univers de la sécurité publique, la défense et la sûreté de l’État. Autant de motifs impérieux qui pourraient justifier de conserver toutes les données de la population librement, afin d’en « lire le passé », sans avoir à respecter quelques garanties que ce soient…

Seulement, l’avocat général n’a pas été convaincu. Et pour cause, une autre disposition de la directive, l’article 15, a été spécialement introduite pour régir l’obligation de conservation « pour une durée limitée » lorsqu’il s’agit de « sauvegarder la sécurité nationale - c'est-à-dire la sûreté de l'État - la défense et la sécurité publique ». N’est-ce pas là, la démonstration éclatante de la nécessité d’un encadrement ? De plus, la CJUE a déjà estimé que des dispositions équivalentes à celles de l’exception de l’article 1 ne frappaient que « des activités propres aux États ou aux autorités étatiques » et donc « étrangères aux domaines d’activité des particuliers ». En clair, n’en déplaise à Paris, l’article 15 permet bien de soumettre à la directive, la conservation des données.

De l’utilité d’une telle conservation

Suivant cette fois la France, qui y voit un précieux outil pour lutter contre le terrorisme ou retrouver des personnes disparues, l’avocat général considère « qu’une obligation générale de conservation de données est apte à contribuer à la lutte contre les infractions graves ».

Mais l’autoroute vers les petits secrets de chaque individu ne peut être sans limitation puisqu’« il reste toutefois à vérifier si une telle obligation est à la fois nécessaire et proportionnée à cet objectif ». Pour bien insister, il répète d’ailleurs qu’« une obligation générale de conservation de données vise l’ensemble des communications réalisées par l’ensemble des utilisateurs, sans que ne soit exigé un quelconque lien avec une infraction grave. Une telle obligation permet aux autorités compétentes d’avoir accès à l’historique des communications réalisées par une personne avant d’avoir été identifiée comme ayant un tel lien ». En clair : on conserve tout, on fait un tri ensuite.

Un test de nécessité

La problématique revient finalement à se demander si cette obligation est aussi nécessaire que proportionnée. Dans son opinion, l’avocat général évoque là l’idée d’un « test de nécessité » visant à savoir s’il y a plus efficace, et surtout moins attentatoire à cette conservation. À la suite de son analyse, ses conclusions soufflent le chaud et le froid, comme souvent à ce niveau juridictionnel. Il ressort en effet qu’« une telle obligation [de conservation] n’excède pas les limites du strictement nécessaire à condition d’être accompagnée de certaines garanties concernant l’accès aux données, la durée de conservation ainsi que la protection et la sécurité des données ».

Pour le dire autrement, une obligation générale de conservation des données sera toujours hors des clous du droit européen si elle n’est accompagnée d’aucune garantie. C’est d'ailleurs ce qu’a déjà dit la CJUE dans son arrêt Digital Rights, pilonnant cette obligation de conservation de l’ensemble des données relatives « au trafic, sans qu’aucune différenciation, limitation ni exception soient opérées en fonction de l’objectif de lutte contre les infractions graves ».

Une obligation qui doit être encadrée

Retenons donc qu'une telle obligation sera possiblement licite si elle est encadrée : « une obligation générale de conservation de données ne doit pas toujours être considérée comme excédant, en soi, les limites de ce qui est strictement nécessaire aux fins de la lutte contre les infractions graves. En revanche, une telle obligation excède toujours les limites de ce qui est strictement nécessaire lorsqu’elle n’est pas accompagnée de garanties concernant l’accès aux données, la durée de conservation ainsi que la protection et la sécurité des données ».

Voilà en tout cas pour la base de départ. Viennent maintenant les garanties qui doivent jalonner l’obligation. Là aussi, l’arrêt DRI est d’une aide précieuse. La Cour de justice avait en effet égrainé une série de garanties aux points 60 à 68.

Il faut par exemple que la liste des autorités, mais également celles des personnes au sein de ces autorités, ayant accès aux données conservées doivent être limitées. Les infractions recherchées doivent être considérées comme graves. Il doit y avoir des règles de procédures précises. La durée de conservation doit être différente selon son utilité éventuelle, laquelle doit être fondée sur des critères objectifs. Il faut en outre des règles claires et précises régissant cette ingérence dans la vie privée. Les FAI doivent également être astreints à des règles solides pour garantir la sécurité des données contre les accès indus. Enfin, les données doivent être conservées sur le territoire de l’Union.

Quand la France et l’Allemagne tentent de limiter les garanties accordées aux citoyens

Sans surprise, des États membres ont là encore tenté d’éteindre cet incendie de garanties, histoire de trouver le moins de contrariétés possible dans leur chemin sécuritaire. Un exemple ? L’une des questions en suspens est de savoir si ces États membres doivent respecter toutes les obligations de ce long listing ou bien certaines d’entre elles seulement. Pour Open Rights Group et Privacy International, cela ne fait aucun doute. Il s’agit de garanties minimales devant être suivies à la lettre !

Tel ne fut pas l’avis de l’Allemagne ou encore et toujours de la France. Pour ce couple, de telles garanties ne sont « qu’indicatives ». Dans leur esprit, il reviendrait donc aux juridictions de réaliser une sorte d’appréciation d’ensemble, et de ne surtout pas entrer dans de menus détails. Nos voisins d’outre-Rhin ont soutenu en ce sens une logique dite des « vases communicants » où « une approche plus souple » sur l’une des garanties identifiées par la Cour « pourrait être compensée par une approche plus stricte » sur une autre.

Thèse repoussée sans ménagement par l’avocat général puisqu’elle serait impraticable à l’épreuve des faits. « Un régime national restreignant strictement l’accès aux seules fins de la lutte contre le terrorisme et limitant la durée de conservation à trois mois (approche stricte quant à l’accès et à la durée de conservation), mais qui n’obligerait pas les fournisseurs à conserver les données sur son territoire national et sous un format encrypté (approche souple quant à la sécurité), exposerait l’ensemble de sa population à un risque élevé d’accès illégal aux données conservées ». Selon lui, toutes les garanties énoncées par la Cour doivent donc être considérées comme impératives à l’égard des États membres. Un point c'est tout !

Et donc ?

Dans ses conclusions, l’avocat général pose donc le principe selon lequel l’obligation de conservation n’est pas contraire au droit européen. Néanmoins, cette obligation doit impérativement respecter cette série de conditions :

  • Cette obligation et les garanties l’accompagnant « doivent être prévues par des mesures législatives ou réglementaires possédant les qualités d’accessibilité, de prévisibilité et de protection adéquate contre l’arbitraire »
  • Elle doit respecter le contenu essentiel des droits reconnus par les articles 7 (vie privée) et 8 (données) de la charte des droits fondamentaux
  • Elle doit être strictement nécessaire à la lutte contre les infractions graves (test de nécessité : existe-t-il d’autres mesures aussi efficaces dans la lutte contre ces infractions, et moins attentatoires aux droits consacrés par la directive ?)
  • Il est nécessaire de « délimiter l’accès des autorités nationales compétentes aux données et leur utilisation ultérieure à des fins de prévention, de détection ou de poursuites pénales concernant des infractions » jugées graves
  • Il faut des règles encadrant l’accès des autorités nationales compétentes aux données et à leur utilisation, toujours dans l’optique de prévenir ou détecter les infractions graves
  • Il est nécessaire de limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données conservées au strict nécessaire au regard de l’objectif poursuivi
  • Prévoir qu’un contrôle préalable soit effectué soit par une juridiction, soit par une entité administrative indépendante
  • Prévoir une distinction entre les catégories de données selon leur utilité éventuelle aux fins de l’objectif poursuivi ou selon les personnes concernées.
  • Prévoir une durée de conservation fondée sur des critères objectifs afin de garantir que celle-ci est limitée au strict nécessaire.
  • Prévoir des garanties suffisantes visant la sécurité et la protection des données conservées par les fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications
  • Prévoir une conservation des données en cause sur le territoire de l’Union, afin de rendre possible un contrôle par une autorité indépendante
  • Enfin, « cette obligation doit être proportionnée, dans une société démocratique, à l’objectif de lutte contre les infractions graves, ce qui implique que les graves risques engendrés par cette obligation dans une société démocratique ne doivent pas être démesurés par rapport aux avantages en découlant dans la lutte contre les infractions graves »

L’arrêt de la CJUE est attendu dans quelques mois. Remarquons que les États membres pourront à nouveau souffler à ses oreilles « la difficulté, voire l’impossibilité de déterminer à l’avance les données qui pourraient présenter un lien avec une infraction grave », justifiant du coup de la nécessité de tout conserver, puis de trier ensuite.

Une affaire riche pour un dossier défendu par les Exégètes

En attendant, cette affaire est en train de nourrir un autre dossier né en France. Devant le Conseil d'État, la Quadrature du Net, FDN et l’association FFDN se sont en effet attaqués au régime de rétention des données, très généralisées dans notre pays.

Dans un mémoire mis en ligne la semaine dernière, les requérants considèrent qu’« à la différence de nombreux autres régimes européens de conservation des données, le système français cumule toutes les violations possibles au droit européen : il est généralisé, la durée de conservation est inutilement longue, les données ne sont pas suffisamment sécurisées eu égard à leur caractère hautement sensible et intrusif et à l’amplitude de la conservation, enfin, l’accès aux données n’est pas encadré et aucun contrôle judiciaire préalable et indépendant n’est exercé tant sur la conservation par les opérateurs que sur l’accès aux données par la police administrative ». Thèse évidemment combattue par le ministre de la Justice (voir en PDF, le mémoire en réplique des Exégètes).


chargement
Chargement des commentaires...