Une nouvelle fois, la question sensible de l’accès aux données de connexion mobilise la Cour de justice de l’Union européenne (CJUE). Ce matin, l’avocat général a rendu son avis dans une affaire espagnole relative au périmètre de cet accès. Un dossier de première importance, en particulier en France.
La conservation et l’accès des données de connexion est un sujet technique mais aussi juridique voire philosophique. Avec la démocratisation du numérique, les États ont trouvé un outil idéal pour aiguiser les enquêtes judiciaires voire les connaissances des services du renseignement : ils obligent les prestataires des télécommunications à conserver durant plusieurs mois (un an en France) l’intégralité des « métadonnées » puis à ouvrir l’accès à ce stock à bon nombre d’autorités.
Derrière l’expression, se cache un ensemble d’informations et documents hétérogènes comme la date, le lieu, l’origine, la destination, les moyens d’un échange électronique ou téléphonique. Les métadonnées sont un nuage de données qui, sans toucher au contenu d’une correspondance, permet de deviner des pans entiers d’une vie que chacun pense privée.
La Cour de justice de l’Union européenne est intervenue plusieurs fois pour encadrer l’exploitation du graphe social d’un individu. Deux arrêts fondamentaux sont à relever.
Avec l’arrêt du 9 avril 2014, dit Digital Rights, la CJUE a invalidé la directive sur la conservation des données, expliquant que le texte orchestrait « une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel sans que cette ingérence soit limitée au strict nécessaire ».
À travers ces lignes, se devinait l’obligation pour chaque État membre de prévoir un encadrement strict de l’accès et l’exploitation des fameuses métadonnées.
Dans l’arrêt Télé2 du 21 décembre 2016, la même juridiction est montée en gamme, laissant entendre que « seule la lutte contre la criminalité grave » pouvait justifier une conservation des données relatives au trafic et à la localisation des individus. Ainsi, toute « réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique » est prohibée.
Vague de froid en Europe après l’arrêt Télé2
Ces arrêts ont jeté un froid parmi les pays européens. Si la lutte contre le terrorisme tombe sans hésiter dans le périmètre des infractions graves, la situation est beaucoup moins évidente dans d’autres univers comme l’intelligence économique, la lutte contre les resquilleurs de la redevance TV, la riposte graduée chère à la Hadopi, etc. Des chapitres où, à chaque fois, la conservation des données est le préalable à un accès industrialisé. On devine sans mal les coups de boutoir dans l’édifice !
En France, la CNIL a préféré transmettre au gouvernement la patate chaude de la conformité de notre législation, tant le sujet est lourd de conséquences. Lors d’une récente conférence au Conseil d’État, plusieurs responsables du renseignement ont même jugé l’arrêt Télé2 difficilement praticable !
Une affaire née en Espagne donne à la CJUE l’opportunité de revenir sur l’épineux ouvrage. Elle était en effet invitée à définir ce qu’elle entendait par « criminalité grave », ce critère qui permet donc de justifier une vaste conservation des données de connexion.
Un vol de téléphone, avec violence, une infraction grave ?
Les faits sont simples, les enjeux fondamentaux : un certain Hernández Sierra s’était fait voler avec violence, son portefeuille et son téléphone en 2015. La police avait alors demandé au juge l’autorisation de glaner les données de connexion, en particulier le numéro IMEI, les références de la carte SIM et les numéros de téléphone contactés sur une période de douze jours après ces faits.
Cependant, le juge d’instruction a refusé cette communication au motif que le droit espagnol la réserve aux « infractions graves », celles sanctionnées d’une peine d’au moins cinq ans de prison, ce qui n’était pas le cas ici.
L’ordonnance a été frappée d’appel par le ministère public espagnol devant l’Audiencia Provincial de Tarragona (cour provinciale de Tarragone), dans l’espoir de renverser cet interdit.
À titre conservatoire, la juridiction a d’abord demandé aux opérateurs de prolonger la conservation des données de connexion. Elle a surtout relevé que depuis, la législation espagnole a défini deux critères alternatifs pour déterminer le degré de gravité d’une infraction : un critère matériel comme le terrorisme ou la criminalité organisée, un critère normatif formel qui fixe un seuil de trois ans de prison pour qualifier une infraction de « grave ». Un seuil réduit très généreux, puisqu’il permet d’embrasser bon nombre de qualifications pénales.
Par prudence, cette juridiction a préféré interroger la CJUE sur la compatibilité de cette législation avec le droit européen et les jurisprudences Digital Rights et Télé2. C’est dans ce contexte qu’a été rendu aujourd’hui l’avis de l’avocat général. Un avis destiné à éclairer la Cour sur les questions de droits, sans préjuger de la décision à venir dans quelques mois.
Une infraction non grave, une ingérence non grave
Que disent ces conclusions ? Elles partent d’abord d’un constat. La demande exercée par la police ne concerne qu’une période de douze jours et un nombre restreint de personnes, celles ayant été en relation avec l’individu suspecté d’être le voleur du téléphone. Seules les noms et prénoms outre les références SIM et IMEI ont été sollicitées, non l’ensemble des données de manière généralisée et indifférenciée.
Selon l’avocat général, qui suit là les positions des autorités françaises, intervenues au litige, on ne se situe donc pas dans le même cadre que l’arrêt Digital Rights.
Certes, la communication des données à une autorité publique est une ingérence dans les droits fondamentaux des personnes. Cependant, l’affaire ne vise pas « une obligation de conservation généralisée et indifférenciée des données relatives au trafic et à la localisation de n’importe quel abonné ou utilisateur inscrit qui concernerait tous les moyens de communication électronique ».
On se situe plutôt sur un droit d’accès, ciblé, limité dans le temps. L’ingérence dans la vie privée n’est donc pas grave. Et du coup, les critères des arrêts Digital Rights et Télé2 ne trouvent plus à s’appliquer.
Dit autrement, « c’est uniquement lorsque l’ingérence subie est d’une particulière gravité (…) que les infractions susceptibles de justifier une telle ingérence doivent elles-mêmes être d’une particulière gravité ». Et quand l’ingérence n’est pas grave, on peut étendre l’accès d’autres infractions pénales. Simple !
L’avocat général tente ainsi de trouver une solution pour ne pas « entraver » l’action des États membres lorsqu’ils tentent de retrouver les auteurs d’une infraction pénale pas aussi grave que des faits de terrorisme.
Qu’est-ce qu’une infraction grave ?
Poursuivant ses recherches sur ce sujet complexe, il a considéré à titre subsidiaire que la notion même de « l’infraction grave » n’était pas une notion autonome du droit de l’Union. Il revient donc à chaque État membre, selon ses spécificités, ses traditions, etc. d’en définir les caractéristiques.
Si la Cour venait à juger du contraire, consacrant cette autonomie, l’avocat général ajoute que la seule échelle des peines attachées à chaque infraction ne devrait pas être un critère suffisant. « D’autres facteurs objectifs doivent tout autant entrer en ligne de compte, au cas par cas », comme le contexte (comportement volontaire du délinquant, hypothèse de récidive, etc.) « l’importance des intérêts de la société ayant pu être méconnus », ou encore « la nature et/ou de l’ampleur des préjudices ayant pu être subis par la victime », voire « l’échelle des peines applicables en général dans l’État membre concerné ».
Mais dans l’hypothèse où la Cour jugerait que le caractère grave d’une infraction pénale devait être déterminé sur le seul autel du quantum des peines privatives de liberté, il appelle à une grande prudence.
D’une part, « même si chaque État membre a la faculté d’apprécier quel est le seuil de peine adéquat pour caractériser une infraction grave, il a cependant le devoir de ne pas fixer celui-ci à un échelon tellement bas, au regard du niveau habituel des peines applicables dans cet État, que les exceptions à l’interdiction de stocker et d’exploiter les données à caractère personnel (…) seraient muées en principes ». Une limite que semble avoir violée l’Espagne puisque le seuil des trois années de prison embrasse visiblement bon nombre d’infractions.
D’autre part, dans un exercice d’équilibriste habile, l’avocat général pense que les États membres doivent se souvenir que « les ingérences dans les droits fondamentaux (…) doivent rester exceptionnelles et respecter le principe de proportionnalité ».
L’après Télé2
On retiendra surtout de cet avis qu’une ingérence limitée dans la vie privée doit rester possible dès lors qu’il s’agit de lutter contre des infractions non graves. Inversement, un accès beaucoup plus généralisé ne doit être réservé qu’au haut du panier du droit pénal (terrorisme, pédopornographie, etc.).
Cette position, qui gorgera d’espoir les autorités notamment françaises, est séduisante sur le papier. Elle tente de trouver une voie médiane pour ceux qui se sont inquiétés des conséquences de la jurisprudence de la CJUE. Il n’est cependant pas certain qu’elle satisfasse les farouches opposants à la conservation et à l’accès généralisés des données.
Ceux-là pourront relever que les demandes des autorités judiciaires ou administratives sont toujours d’une certaine manière ciblées, matériellement, géographiquement, temporellement. Si ces conclusions venaient à être suivies par la Cour, les États membres trouveront bon nombre de leviers pour justifier le statu quo.
Commentaires (8)
#1
définir ce qu’elle entendait par « criminalité grave », ce critère qui permet donc de justifier une vaste conservation des données de connexion.
Le plus simple c’est d’utiliser l’échelle de gravité BFMTV:
#2
#3
lol.
#4
#5
Excellent
" /> 
" />
#6
J’ai le sentiment que l’avocat général sert un peu de laquais aux gros états membres avec cette CJUE…
Ravi de voir que la France, faute de mettre en oeuvre les conclusions de l’arrêt télé 2 a préféré utiliser du temps de juriste probablement spécialisé (et utilisable dans le premier domaine) afin d’intervenir dans le cadre de cette décision.
Le plus troublant est que ça permettrait d’éluder les principes posés par la Cour en laissant les EM libre de définir ce qui est grave ou non et si l’atteinte est proportionnée ou non, et limitant le pouvoir de la Cour à décider de ce qui est vraiment exorbitant.
J’ai hâte de savoir ce que dira la Cour du coups.
#7
La position de l’avocat général est effectivement plus que troublante et va très fortement à contre courant de la position habituelle de la CJUE sur le sujet. Le lobbying français n’y est sans doute pas pour rien, nos hommes politiques n’aimant pas trop quand on parle de droits et de liberté des citoyens.
J’ai ma petite idée sur la décision de la Cour mais il ne faut pas négliger la force du rapport de l’avocat général et son influence sur les décisions.
Au-delà de ça, j’ai peur que cet avis soit le premier d’une future et longue série d’avis tendant à battre en brèche les droits fondamentaux des populations, que la Cour craque au fur et à mesure et qu’il n’y ait par la suite plus de garde-fou aux horreurs législatives de nos états.
L’avenir ne me parait pas si radieux du coup.
#8