La CJUE s’oppose à l'obligation généralisée de conservation des données de connexion

La CJUE s’oppose à l’obligation généralisée de conservation des données de connexion

C'est données

Avatar de l'auteur
Xavier Berne

Publié dans

Droit

21/12/2016 5 minutes
29

La CJUE s’oppose à l'obligation généralisée de conservation des données de connexion

La justice européenne vient de trancher : le droit de l’Union s’oppose à ce que les États membres imposent aux acteurs du Net « une conservation généralisée et indifférenciée » des données de connexion de leurs abonnés ou utilisateurs. Chaque législateur doit donc opter pour « conservation ciblée », sous conditions.

Saisie par un fournisseur d’accès à Internet suédois et des citoyens britanniques, la Cour de justice de l’Union européenne (CJUE) était invitée à dire si des législations nationales peuvent obliger les intermédiaires – opérateurs, hébergeurs... – à conserver l’ensemble des métadonnées entourant les faits et gestes de leurs utilisateurs : quel site a été consulté, à quelle heure, etc.

Dans l’affaire dite « Digital Rights Ireland », la justice européenne avait déjà invalidé la directive sur la conservation des données de 2006, compte tenu du manque de garanties imposées aux États membres. Cette fois-ci, il s’agissait de vérifier la compatibilité avec la directive « vie privée et communications électroniques », lue à la lumière de la Charte des droits fondamentaux de l’UE.

La conservation généralisée et indifférenciée contraire au droit de l'Union

Pour les juges, cela ne faisait aucun doute : les régimes de conservation des données de connexion relèvent bien de ce texte (contrairement à ce que s’est évertué à démontrer la France, notamment). « La protection de la confidentialité des communications électroniques et des données relatives au trafic, garantie par la directive, s’applique aux mesures prises par toute personne autre que les utilisateurs, qu’il s’agisse de personnes ou d’entités privées ou d’entités étatiques », souligne ainsi la CJUE.

Ce faisant, la Cour a considéré que sa jurisprudence constante, selon laquelle « la protection du droit fondamental au respect de la vie privée exige que les dérogations à la protection des données à caractère personnel s’opèrent dans les limites du strict nécessaire », devait également s’appliquer aux règles régissant la conservation des données de connexion (ainsi que leur accès par les autorités). Et pour cause. Les données de connexion « sont susceptibles de permettre de tirer des conclusions très précises sur la vie privée des personnes », rappelle l’arrêt.

Ainsi, poursuivent les magistrats, « seule la lutte contre la criminalité grave » est susceptible de justifier une conservation des données relatives au trafic et à la localisation des individus. Dès lors, tout régime prévoyant une collecte générale et indifférenciée (c’est-à-dire sans lien avec une potentielle menace, par exemple terroriste) « excède donc les limites du strict nécessaire et ne saurait être considéré comme étant justifié dans une société démocratique, ainsi que l’exige la directive lue à la lumière de la Charte ».

La Cour enfonce le clou : toute « réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique » est à proscrire.

Une conservation limitée au « strict nécessaire »

Pour respecter le droit européen, les États membres doivent donc instaurer « une conservation ciblée des données à des fins de lutte contre la criminalité grave, à condition qu’une telle conservation soit, en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue, limitée au strict nécessaire ». Cela signifie en pratique que les régimes devront notamment être fondés « sur des éléments objectifs permettant de viser les personnes dont les données sont susceptibles de présenter un lien avec des actes de criminalité grave, de contribuer à la lutte contre la criminalité grave ou de prévenir un risque grave pour la sécurité publique ».

La CJUE apporte en outre des précisions quant à l’encadrement nécessaire de l’accès des autorités à ces données de connexion. Il est à ses yeux « essentiel » que cet accès soit, « sauf en cas d’urgence, subordonné à un contrôle préalable effectué par une juridiction ou une entité indépendante ». Les personnes concernées ont par ailleurs vocation à en être informées, ajoutent les juges. Enfin, l’institution a jugé qu’au regard de la quantité de données conservées, du caractère sensible de ces données ainsi que du risque d’accès illicite à celles-ci, chaque réglementation nationale devait « prévoir que les données soient conservées sur le territoire de l’Union et qu’elles soient irrémédiablement détruites au terme de la durée de leur conservation ».

Il y a désormais fort à parier pour que cet arrêt contraigne plusieurs États membres à revoir leur législation, à commencer par la Suède et le Royaume-Uni, avec son IP Bill. La France, avec sa récente loi Renseignement, surveillait également de près cette décision. Nous y reviendrons prochainement.

29

Écrit par Xavier Berne

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

La conservation généralisée et indifférenciée contraire au droit de l'Union

Une conservation limitée au « strict nécessaire »

Commentaires (29)


Nice !&nbsp;<img data-src=" />


J’étais mauvaise langue

Merci à la CJUE&nbsp;<img data-src=" />




“sur des éléments objectifs permettant de viser les personnes dont

les données sont susceptibles de présenter un lien avec des actes de

criminalité grave, de contribuer à la lutte contre la criminalité grave

ou de prévenir un risque grave pour la sécurité publique “.



Coucou hadopi?


une telle naïveté laisse pantois. <img data-src=" />

La contrefaçon finance Daesh, malheureux!



<img data-src=" />




&nbsp;Il y a désormais fort à parier pour que cet arrêt contraigne plusieurs États membres à revoir leur législation, à commencer par la Suède et le Royaume-Uni,&nbsp;avec son IP Bill&nbsp;





Une fois qu’il se sera cassé de l’UE, le RU pourra faire ce qu’il veut…


Ils ne peuvent donc pas enregistrer toutes les données des internautes, seulement en cas de suspicion / enquêtes pour des personnes en lien avec des activités criminelles graves.





les personnes dont les données sont susceptibles de présenter un lien avec des actes de criminalité grave








loser a écrit :



Une fois qu’il se sera cassé de l’UE, le RU pourra faire ce qu’il veut…





Ouais, mais on s’en branle des rouquemoutes.

Ils l’ont cherché, qu’ils assument maintenant.



En tant que site web, a-t-on le droit de conserver les requêtes effectuées par tous les clients pendant une certaine période (disons un an) ?


&nbsp;“prévoir que les données […] soient irrémédiablement détruites au terme de la durée de leur conservation”



Quid des données chiffrées conservées sans limite de temps d’après la loi renseignement?



Joli cadeau de noël de la CJUE!








loser a écrit :



Une fois qu’il se sera cassé de l’UE, le RU pourra faire ce qu’il veut…



&nbsp;

L’accès au marché intérieur apporte certaines contraintes dont le principe dit d’équivalence&nbsp;!



J’attends avec impatience les modifications législatives.



/me sort le pop-corn.


Il y a une limite temporelle dans la loi renseignement pour les données chiffrées (la durée normale + 10 ans de mémoire)








Drepanocytose a écrit :



Ouais, mais on s’en branle des rouquemoutes.

Ils l’ont cherché, qu’ils assument maintenant.



Des rosbeefs.

Les roukmoutes, c’est l’Irlande <img data-src=" />









Soriatane a écrit :



J’attends avec impatience les modifications législatives.



/me sort le pop-corn.





lol









Patch a écrit :



Des rosbeefs.

Les roukmoutes, c’est l’Irlande <img data-src=" />





J’adore ton avatar. <img data-src=" />



Comme quoi, l’UE, c’est pas si mal que ça, quand ce ne sont pas les politiciens qui dictent leurs règles <img data-src=" />








Soriatane a écrit :



J’attends avec impatience les modifications législatives.



/me sort le pop-corn.





On passe là dans une autre dimension temporelle, à savoir le temps administratif.



Ça fait quand même plaisir cette tartouille sur l’arrière crâne des nostalgiques de la STASI



A partir du moment ou tu as des données personnels (en gros si tu lies les requêtes avec les comptes utilisateurs, tu dois faire une demande à la CNIL. Si tu as leurs accord c’est bon.&nbsp;

Si les données que tu conserves sont justifiés, normalement ça passe.&nbsp;



Maintenant si ton site a des clients venant de l’étranger, franchement je n’ai jamais compris comment ça marche. Il y a des chances que tu doivent faire des demandes aux équivalents de la CNIL des pays depuis lesquels tes clients navigues.


Il dit aussi que le marché unique est composé de plusieurs libertés indispensables, dont la libre circulation des personnes.&nbsp;&nbsp;

Hors pour l’instant le Royaume Unis est contre (communication anti-immigration), donc ce n’est pas certain qu’il reste dans le marché unique.&nbsp;








t0FF a écrit :



Il dit aussi que le marché unique est composé de plusieurs libertés indispensables, dont la libre circulation des personnes.&nbsp;&nbsp;

Hors pour l’instant le Royaume Unis est contre (communication anti-immigration), donc ce n’est pas certain qu’il reste dans le marché unique.&nbsp;



&nbsp;

Le Royaume-Uni et par ricochet l’Irlande participe de façon parcellaire à Schengen (contrairement à ce que certains de nos politiques veulent faire croire), c’est juste qu’ils se réservent le droit de procéder à des contrôles aux frontières intérieures de l’Union (vu le caractère insulaire : ports et aéroports)



Pour l’instant ce n’est que des contrôles, mais si j’ai bien suivi ils ne veulent plus de la libre circulation des personnes (donc demande de VISA pour pouvoir rentrer). Et apparemment ça pour l’U.E c’est incompatible avec la libre circulation des biens, donc du marché unique. Bon après ça c’est ce que j’ai compris en suivant le sujet de loin.&nbsp;


Donc toutes les condamnations par Hadopi sont illégales et violent les droits de l’Homme? <img data-src=" />








Ricard a écrit :



J’adore ton avatar. <img data-src=" />



Moi aussi… <img data-src=" />









ProFesseur Onizuka a écrit :



Donc toutes les condamnations par Hadopi sont illégales et violent les droits de l’Homme? <img data-src=" />





OSEF des droits de l’homme. Avec l’état d’urgence, la France peut y déroger sans problème. La grande classe. <img data-src=" />



…donc si on se retrouve avec un merah bis à pister par leboncoin pour chopper son appart et qu’on arrive pas à le retracer on sait quelle institution remettre en cause, et la responsabilité des geeks approuvant une telle décision.

Lol.


Merci pour cet article qui fait honneur à Nexinpact (et au rédac’). Avec le lien, ce qui devient de plus en plus rare sur les sites des journaux.

Nous savons que malheureusement les risques -réels- dus au terrorisme donnent des prétextes divers et variés pour pondre des tas de textes liberticides. Tout cela, la main sur le cœur avec des trémolos et des bouquets de chrysanthèmes pour des commémorations tenant lieu de substituts méprisables à ce qui devrait donner lieu à des prises de décision courageuses. Des discours, toujours des discours, des palabres, des commissions, des rapports …&nbsp;

Pour info, Nexinpact ne pourrait-il pas passer par le site jaimelinfo pour que les internautes lui fassent des dons avec &nbsp;déduction fiscale.

&nbsp;J’aime l’info24 rue de l’Est75020 ParisNuméro SIRET : 529 975 005 00016&nbsp;Bien cordialement.








petilu a écrit :



Pour info, Nexinpact ne pourrait-il pas passer par le site jaimelinfo pour que les internautes lui fassent des dons avec  déduction fiscale.





Comme ceci ?



On a déjà eu quelques articles qui en parlaient…