Devant la CJUE, la France défend la conservation généralisée des données par les intermédiaires

Devant la CJUE, la France défend la conservation généralisée des données par les intermédiaires

Oui, mais sous conditions

Avatar de l'auteur
Marc Rees

Publié dans

Droit

25/07/2016 14 minutes
17

Devant la CJUE, la France défend la conservation généralisée des données par les intermédiaires

Est-ce qu’un régime étatique qui oblige les intermédiaires à conserver toutes les données de connexion est bien compatible avec le droit européen ? L’avocat général de la Cour de justice de l’Union vient de répondre que oui. Mais sous une pluie de conditions parfois très précises.

C’est peu de le dire, mais cette question sur le grill de la justice européenne est suivie comme le lait sur le feu par l’ensemble des États membres, notamment par la France qui, notamment via sa loi sur le renseignement, connaît la richesse de la mine des données de connexion. La problématique concerne en effet l’obligation faite aux FAI, hébergeurs, opérateurs, etc. de conserver l’ensemble des métadonnées, soit tous les documents et informations qui encapsulent le contenu d’une communication passée par la population, les appels, les traces laissées derrière les sessions de surf, et tous les autres échanges électroniques (voir pour le cas français).  

Or, « ces bases de données d’une ampleur considérable offrent à toute personne y ayant accès le pouvoir de cataloguer instantanément l’ensemble de la population pertinente » estime sans mal, l’avocat général de la CJUE. Dans les 58 pages de son opinion (PDF), dévoilée la semaine dernière et destinée à éclairer la Cour, sans la lier, celui-ci a donc ausculté la solidité juridique de ce régime dans deux affaires visant la Suède et le Royaume-Uni. Sans surprise, la France y est intervenue volontairement pour défendre cette obligation. Pour Paris, avec elle, les autorités peuvent utilement « ‘lire le passé’ en consultant les données conservées, et ce à la différence des mesures de surveillance ciblées », résume l’avocat général, la position française en main.

De l’arrêt Digital Right à la situation des États membres

Ces procédures unifiées interviennent à la suite d’un arrêt fondamental rendu en avril 2014 par la Cour de justice de l’Union européenne. Dans l’affaire dite Digital Rights Irland (ou DRI), la justice européenne avait décapité la directive sur la conservation des données de 2006, compte tenu du manque de garanties imposées aux États membres.

Dans sa foulée, la CJUE avait souligné le caractère ô combien intrusif de ces métadonnées. Les qui, quand, où, quoi, comment d’une communication électronique « sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ». Les juges européens avaient du coup demandé à ce que des limites soient posées pour que l’ingérence dans la vie privée ne soit cantonnée qu’aux infractions les plus graves. Limites cruellement absentes dans la directive auscultée. 

La question soulevée par les deux dossiers en cours revient maintenant à savoir si ces obligations s’étendent également aux législations des États membres. Et avant tout, le droit européen s’oppose-t-il à une obligation générale de conservation des données, cette fois au regard de la directive de 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ?

Quand la France tente de s’opposer à la directive de 2002

Quand une telle procédure arrive sur le devant de la scène, l’avantage est qu’elle permet de faire sortir du bois les États membres, révélant alors leur stratégie juridique, ou sous un autre angle, leur appétit pour la vie privée. Remarquons tout spécialement la France qui, comme trois autres pays, a tenté d’écarter ce carcan, pensant avoir déniché une faille.

Comment ? Le gouvernement a trouvé une brèche, à l’article 1 paragraphe 3 de la directive de 2002. Celui-ci exclut en effet de la régulation l’ensemble des dispositions nationales régissant l’univers de la sécurité publique, la défense et la sûreté de l’État. Autant de motifs impérieux qui pourraient justifier de conserver toutes les données de la population librement, afin d’en « lire le passé », sans avoir à respecter quelques garanties que ce soient…

Seulement, l’avocat général n’a pas été convaincu. Et pour cause, une autre disposition de la directive, l’article 15, a été spécialement introduite pour régir l’obligation de conservation « pour une durée limitée » lorsqu’il s’agit de « sauvegarder la sécurité nationale - c'est-à-dire la sûreté de l'État - la défense et la sécurité publique ». N’est-ce pas là, la démonstration éclatante de la nécessité d’un encadrement ? De plus, la CJUE a déjà estimé que des dispositions équivalentes à celles de l’exception de l’article 1 ne frappaient que « des activités propres aux États ou aux autorités étatiques » et donc « étrangères aux domaines d’activité des particuliers ». En clair, n’en déplaise à Paris, l’article 15 permet bien de soumettre à la directive, la conservation des données.

De l’utilité d’une telle conservation

Suivant cette fois la France, qui y voit un précieux outil pour lutter contre le terrorisme ou retrouver des personnes disparues, l’avocat général considère « qu’une obligation générale de conservation de données est apte à contribuer à la lutte contre les infractions graves ».

Mais l’autoroute vers les petits secrets de chaque individu ne peut être sans limitation puisqu’« il reste toutefois à vérifier si une telle obligation est à la fois nécessaire et proportionnée à cet objectif ». Pour bien insister, il répète d’ailleurs qu’« une obligation générale de conservation de données vise l’ensemble des communications réalisées par l’ensemble des utilisateurs, sans que ne soit exigé un quelconque lien avec une infraction grave. Une telle obligation permet aux autorités compétentes d’avoir accès à l’historique des communications réalisées par une personne avant d’avoir été identifiée comme ayant un tel lien ». En clair : on conserve tout, on fait un tri ensuite.

Un test de nécessité

La problématique revient finalement à se demander si cette obligation est aussi nécessaire que proportionnée. Dans son opinion, l’avocat général évoque là l’idée d’un « test de nécessité » visant à savoir s’il y a plus efficace, et surtout moins attentatoire à cette conservation. À la suite de son analyse, ses conclusions soufflent le chaud et le froid, comme souvent à ce niveau juridictionnel. Il ressort en effet qu’« une telle obligation [de conservation] n’excède pas les limites du strictement nécessaire à condition d’être accompagnée de certaines garanties concernant l’accès aux données, la durée de conservation ainsi que la protection et la sécurité des données ».

Pour le dire autrement, une obligation générale de conservation des données sera toujours hors des clous du droit européen si elle n’est accompagnée d’aucune garantie. C’est d'ailleurs ce qu’a déjà dit la CJUE dans son arrêt Digital Rights, pilonnant cette obligation de conservation de l’ensemble des données relatives « au trafic, sans qu’aucune différenciation, limitation ni exception soient opérées en fonction de l’objectif de lutte contre les infractions graves ».

Une obligation qui doit être encadrée

Retenons donc qu'une telle obligation sera possiblement licite si elle est encadrée : « une obligation générale de conservation de données ne doit pas toujours être considérée comme excédant, en soi, les limites de ce qui est strictement nécessaire aux fins de la lutte contre les infractions graves. En revanche, une telle obligation excède toujours les limites de ce qui est strictement nécessaire lorsqu’elle n’est pas accompagnée de garanties concernant l’accès aux données, la durée de conservation ainsi que la protection et la sécurité des données ».

Voilà en tout cas pour la base de départ. Viennent maintenant les garanties qui doivent jalonner l’obligation. Là aussi, l’arrêt DRI est d’une aide précieuse. La Cour de justice avait en effet égrainé une série de garanties aux points 60 à 68.

Il faut par exemple que la liste des autorités, mais également celles des personnes au sein de ces autorités, ayant accès aux données conservées doivent être limitées. Les infractions recherchées doivent être considérées comme graves. Il doit y avoir des règles de procédures précises. La durée de conservation doit être différente selon son utilité éventuelle, laquelle doit être fondée sur des critères objectifs. Il faut en outre des règles claires et précises régissant cette ingérence dans la vie privée. Les FAI doivent également être astreints à des règles solides pour garantir la sécurité des données contre les accès indus. Enfin, les données doivent être conservées sur le territoire de l’Union.

Quand la France et l’Allemagne tentent de limiter les garanties accordées aux citoyens

Sans surprise, des États membres ont là encore tenté d’éteindre cet incendie de garanties, histoire de trouver le moins de contrariétés possible dans leur chemin sécuritaire. Un exemple ? L’une des questions en suspens est de savoir si ces États membres doivent respecter toutes les obligations de ce long listing ou bien certaines d’entre elles seulement. Pour Open Rights Group et Privacy International, cela ne fait aucun doute. Il s’agit de garanties minimales devant être suivies à la lettre !

Tel ne fut pas l’avis de l’Allemagne ou encore et toujours de la France. Pour ce couple, de telles garanties ne sont « qu’indicatives ». Dans leur esprit, il reviendrait donc aux juridictions de réaliser une sorte d’appréciation d’ensemble, et de ne surtout pas entrer dans de menus détails. Nos voisins d’outre-Rhin ont soutenu en ce sens une logique dite des « vases communicants » où « une approche plus souple » sur l’une des garanties identifiées par la Cour « pourrait être compensée par une approche plus stricte » sur une autre.

Thèse repoussée sans ménagement par l’avocat général puisqu’elle serait impraticable à l’épreuve des faits. « Un régime national restreignant strictement l’accès aux seules fins de la lutte contre le terrorisme et limitant la durée de conservation à trois mois (approche stricte quant à l’accès et à la durée de conservation), mais qui n’obligerait pas les fournisseurs à conserver les données sur son territoire national et sous un format encrypté (approche souple quant à la sécurité), exposerait l’ensemble de sa population à un risque élevé d’accès illégal aux données conservées ». Selon lui, toutes les garanties énoncées par la Cour doivent donc être considérées comme impératives à l’égard des États membres. Un point c'est tout !

Et donc ?

Dans ses conclusions, l’avocat général pose donc le principe selon lequel l’obligation de conservation n’est pas contraire au droit européen. Néanmoins, cette obligation doit impérativement respecter cette série de conditions :

  • Cette obligation et les garanties l’accompagnant « doivent être prévues par des mesures législatives ou réglementaires possédant les qualités d’accessibilité, de prévisibilité et de protection adéquate contre l’arbitraire »
  • Elle doit respecter le contenu essentiel des droits reconnus par les articles 7 (vie privée) et 8 (données) de la charte des droits fondamentaux
  • Elle doit être strictement nécessaire à la lutte contre les infractions graves (test de nécessité : existe-t-il d’autres mesures aussi efficaces dans la lutte contre ces infractions, et moins attentatoires aux droits consacrés par la directive ?)
  • Il est nécessaire de « délimiter l’accès des autorités nationales compétentes aux données et leur utilisation ultérieure à des fins de prévention, de détection ou de poursuites pénales concernant des infractions » jugées graves
  • Il faut des règles encadrant l’accès des autorités nationales compétentes aux données et à leur utilisation, toujours dans l’optique de prévenir ou détecter les infractions graves
  • Il est nécessaire de limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données conservées au strict nécessaire au regard de l’objectif poursuivi
  • Prévoir qu’un contrôle préalable soit effectué soit par une juridiction, soit par une entité administrative indépendante
  • Prévoir une distinction entre les catégories de données selon leur utilité éventuelle aux fins de l’objectif poursuivi ou selon les personnes concernées.
  • Prévoir une durée de conservation fondée sur des critères objectifs afin de garantir que celle-ci est limitée au strict nécessaire.
  • Prévoir des garanties suffisantes visant la sécurité et la protection des données conservées par les fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications
  • Prévoir une conservation des données en cause sur le territoire de l’Union, afin de rendre possible un contrôle par une autorité indépendante
  • Enfin, « cette obligation doit être proportionnée, dans une société démocratique, à l’objectif de lutte contre les infractions graves, ce qui implique que les graves risques engendrés par cette obligation dans une société démocratique ne doivent pas être démesurés par rapport aux avantages en découlant dans la lutte contre les infractions graves »

L’arrêt de la CJUE est attendu dans quelques mois. Remarquons que les États membres pourront à nouveau souffler à ses oreilles « la difficulté, voire l’impossibilité de déterminer à l’avance les données qui pourraient présenter un lien avec une infraction grave », justifiant du coup de la nécessité de tout conserver, puis de trier ensuite.

Une affaire riche pour un dossier défendu par les Exégètes

En attendant, cette affaire est en train de nourrir un autre dossier né en France. Devant le Conseil d'État, la Quadrature du Net, FDN et l’association FFDN se sont en effet attaqués au régime de rétention des données, très généralisées dans notre pays.

Dans un mémoire mis en ligne la semaine dernière, les requérants considèrent qu’« à la différence de nombreux autres régimes européens de conservation des données, le système français cumule toutes les violations possibles au droit européen : il est généralisé, la durée de conservation est inutilement longue, les données ne sont pas suffisamment sécurisées eu égard à leur caractère hautement sensible et intrusif et à l’amplitude de la conservation, enfin, l’accès aux données n’est pas encadré et aucun contrôle judiciaire préalable et indépendant n’est exercé tant sur la conservation par les opérateurs que sur l’accès aux données par la police administrative ». Thèse évidemment combattue par le ministre de la Justice (voir en PDF, le mémoire en réplique des Exégètes).

17

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

De l’arrêt Digital Right à la situation des États membres

Quand la France tente de s’opposer à la directive de 2002

De l’utilité d’une telle conservation

Un test de nécessité

Une obligation qui doit être encadrée

Quand la France et l’Allemagne tentent de limiter les garanties accordées aux citoyens

Et donc ?

Une affaire riche pour un dossier défendu par les Exégètes

Commentaires (17)


Excellent article.

La question que je me pose, c’est de savoir de quoi il faut avoir le plus peur : que ce soient des entreprises ou bien des états qui connaissent tout de nous ? Et la porosité entre les deux (Snowden inside).

Pour les états en plus, est-ce que des lois pourraient être appliquées rétroactivement. Genre quelque chose devient interdit, on regarde dans “l’historique de la personne” et blam elle est alors directement fichée (au mieux).


Quand bien même seraient-ce les entreprises, cela rend-il moins grave le pouvoir potentiel des Etats ? Et puis les finalités sont différentes. Enfin, tu peux dire stop à FB ou GG, plus difficilement passer entre les mailles de la conservation (#my2cents)

 


C’est vrai que les entreprises, au moins, elles ne cherchent qu’à gagner de l’argent (en faisant des dégâts au passage, mais cela reste collatéral).

Alors que les états, certes, ils peuvent aller beaucoup plus loin… Je sais que je m’auto-censure déjà sur les sujets chauds, quel que soit le lieu (même en local sur ma machine) et que je ne participe plus aux manifestations par exemple. Le terrorisme d’Etat est bien passé par là. (oups, je viens de dire une connerie&nbsp;<img data-src=" />).


Actuellement, l’Etat français ou plutôt l’exécutif de l’Etat, cherche essentiellement à se préserver de toute menace et confond allègrement l’ordre public avec la sécurisation d’actions de l’Etat lui-même (les écoutes de l’Elysée sous F Mitterrand sont un bon exemple).



Alors que l’efficacité de l’Etat vis-à-vis de la collectivité et de la préservation de l’ordre public peut être obtenue grâce à des contre-pouvoirs et une absence de conflit d’intérêts (pas de “juge et partie”, pas de cumul de rôles possiblement en opposition ou en contradiction dans l’activité d’une personne ou d’une institution).



Le renseignement et la conservation des données sont nécessaires et utiles, mais pas n’importe comment et pas dans n’importe quel but. C’était d’ailleurs l’objectif de la création de la CNIL face à S.A.F.A.R.I. (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus).


Tout à fait, cette confusion est malsaine mais il est trop bien trop tard pour la perturber. Et l’Etat trouve toujours un moyen de se justifier après coup, ce qui est assez ironique car si l’on sortait les “dossiers/historiques” des politiques…


Est-ce qu’on a une idée du temps que la France et l’Allemagne voudraient que ces données soient conservées ou tout simplement elles veulent du ad-vitam æternam?








MarcRees a écrit :



Quand bien même seraient-ce les entreprises, cela rend-il moins grave le pouvoir potentiel des Etats ? Et puis les finalités sont différentes. Enfin, tu peux dire stop à FB ou GG, plus difficilement passer entre les mailles de la conservation (#my2cents)





C’est beau tant de naiveté: Mme Michu peut dire stop à FB et GG alors qu’elle est traquée sans même le savoir ?

Le geek quant à lui ne peut pas utiliser de système crypté pour échapper à la surveillance ?

La seule différence ? On est sur que TOUTES nos données fournies aux opérateurs privés sont traitées conditionnées et profilées alors que pour les Etats on suppose, on extrapole…



Très bon papier Marc, cependant une question me taraude l’esprit, est-ce que le cout financier d’une telle pratique (stockage des métadonnées), car cela à je suppose un coup est exclusivement à la charge de l’hébergeur, FAI etc ??


La lois sur le flicage généralisé risque d’en prendre un coup et ce n’est pas plus mal.


Le L34-1 du Code des postes (notamment) prévoit que :

“Un décret en Conseil d’Etat, pris après avis de la Commission nationale

de l’informatique et des libertés, détermine, dans les limites fixées

par le VI, ces catégories de données et la durée de leur conservation,

selon l’activité des opérateurs et la nature des communications ainsi

que les modalités de compensation, le cas échéant, des surcoûts

identifiables et spécifiques des prestations assurées à ce titre, à la

demande de l’Etat, par les opérateurs.”



(Je n’ai vraiment pas idée du coût global à cet instant, faute d’accès à toutes les données)








jul a écrit :



[…]

Pour les états en plus, est-ce que des lois pourraient être appliquées rétroactivement. Genre quelque chose devient interdit, on regarde dans “l’historique de la personne” et blam elle est alors directement fichée (au mieux).&nbsp;





Je ne suis pas juriste mais il me semble que c’est un socle fondamental du droit, on ne pas condamner quelqu’un pour un fait qui n’était pas illégal à l’époque du fait.



Exemple: En 2010 j’utilise une clé GPG de 128 bits pour chiffrer mes communications

En 2017, une loi déclare illégale l’utilisation d’une clé de plus de 64 bits. Si j’ai supprimé ma clé avant le décret promulguant la loi, je ne peux être condamné pour usage entre 2010 et 2017.



Merci pour cet article passionnant ☺


Merci pour cet article très INtéressant et INformatif <img data-src=" />








Nerkazoid a écrit :



Est-ce qu’on a une idée du temps que la France et l’Allemagne voudraient que ces données soient conservées ou tout simplement elles veulent du ad-vitam æternam?





Si mes souvenirs de conférences de B. Bayard sont exacts, la France souhaiterais conserver les données 3 ans (actuellement 1 an) et l’Allemagne 1 an (actuellement 3 mois, mais avec possibilité de freeze sur les données en cas d’enquête …)



Ce qu’on pourrait considérer comme rassurant dans cette affaire de surveillance de masse (à la manière NSA en quelque sorte …)

C’est que nous n’auront jamais les moyens budgétaires et humains pour mener à bien cette volonté ´politique ´


Merci pour l’information <img data-src=" />


Oui j’imagine que c’est proportionnel à la taille de l’entreprise et à la quantité de métadonnées stockées.