CJUE : semaine décisive pour l'obligation de conservation des données de connexion

Le pétrole du renseignement 4
En bref
image dediée
Crédits : Cour de justice de l'Union européenne
Justice
Marc Rees

Mercredi, un arrêt de Grande chambre sera rendu par la Cour de justice de l’Union européenne. Il concerne l’obligation de conservation des données de connexion par les services en ligne. Un sujet fondamental.

Dans son fameux arrêt Digital Rights Ireland de 2014, la CJUE avait invalidé la directive sur la conservation des données de connexion. Derrière l’expression, se trouvent toutes les données qui, hors contenu, accompagnent une communication (heure, source, destination, localisation, etc.).

De Digital Rights à Tele2

Texte mal cadré, obligeant une conservation de l’ensemble des données sans limitations dédiées à la lutte contre les seules infractions graves, outre des obligations de sécurisation absentes, etc. C’en était trop pour les juges européens, qui décapitaient ce texte sur l’autel des dispositions fondamentales.

Après cet arrêt, Tele2 Sverige avait fait connaitre aux autorités suédoises de surveillance des postes et télécommunications sa décision de cesser de procéder à la conservation des données de ses utilisateurs. De plus, le fournisseur indiquait son projet d’effacer les données déjà enregistrées.

Dans ce pays, les intermédiaires doivent conserver l’ensemble des données de connexion, sans la moindre exception. L’affaire a rapidement pris la destination de la CJUE où trois personnes (Tom Watson, Peter Brice et Geoffrey Lewis) ont également introduit des recours contre des dispositions similaires existant outre-Manche. Dans un cas comme dans l’autre, le spectre est le même : la directive de 2002 sur le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.

Le « Oui, mais » de l'avocat général

Dans ses épaisses conclusions – plus de cinquante pages – l’avocat général de la CJUE a déjà estimé qu’une telle obligation est, faute de mieux, « apte à contribuer à la lutte contre les infractions graves ». Cependant, son avis est beaucoup plus mesuré, suggérant à la Cour de conditionner cette conservation généralisée à toute une série de garanties :

  • Respecter le contenu essentiel des droits reconnus par les articles 7 (vie privée) et 8 (données) de la charte des droits fondamentaux
  • Être strictement nécessaire à la lutte contre les infractions graves (test de nécessité : existe-t-il d’autres mesures aussi efficaces dans la lutte contre ces infractions, et moins attentatoires aux droits consacrés par la directive ?)
  • Nécessité de « délimiter l’accès des autorités nationales compétentes aux données et leur utilisation ultérieure à des fins de prévention, de détection ou de poursuites pénales concernant des infractions » jugées graves
  • Encadrer l’accès des autorités nationales compétentes aux données et à leur utilisation, toujours dans l’optique de prévenir ou détecter des infractions graves
  • Limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données conservées au strict nécessaire au regard de l’objectif poursuivi
  • Prévoir qu’un contrôle préalable soit effectué soit par une juridiction, soit par une entité administrative indépendante
  • Prévoir une distinction entre les catégories de données selon leur utilité éventuelle aux fins de l’objectif poursuivi ou selon les personnes concernées.
  • Prévoir une durée de conservation fondée sur des critères objectifs afin de garantir que celle-ci est limitée au strict nécessaire.
  • Prévoir des garanties suffisantes visant la sécurité et la protection des données conservées par les fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications
  • Prévoir une conservation des données en cause sur le territoire de l’Union, afin de rendre possible un contrôle par une autorité indépendante
  • Enfin, « cette obligation doit être proportionnée, dans une société démocratique, à l’objectif de lutte contre les infractions graves, ce qui implique que les graves risques engendrés par cette obligation dans une société démocratique ne doivent pas être démesurés par rapport aux avantages en découlant dans la lutte contre les infractions graves »

Les craintes françaises

Le débat soulevé ici aura des implications fortes dans toutes les législations des États membres. Autant Paris avait pu échapper à l'arrêt Digital Rights, aucun texte national ne procédant de cette directive, autant ici le danger menace puisqu'on s'attaque au fond des choses.

Pas étonnant donc que la France soit intervenue volontairement à la CJUE pour tenter de faire juger que ces questions de sécurité échappaient à la problématique. Le soulagement notamment des services du renseignement n’aura été que de courte durée : pour l’avocat général, ces sujets relèvent bien de la directive de 2002


chargement
Chargement des commentaires...