62 associations s’attaquent à la rétention des données de connexion en Europe

Plusieurs dizaines d’associations, FAI associatifs, et autres organismes militants s’attaquent à la rétention des données de connexion en Europe. Ils ont déposé des plaintes contre 11 États membres tout en saisissant la Commission européenne pour dénoncer ces législations.

En France, une simple lecture de l'article L. 34-1 du Code des postes et des télécommunications permet de comprendre sans mal l’enjeu. Il pose le principe d'un effacement ou d’une anonymisation immédiate des données de connexion chez les FAI ou les hébergeurs. Lorsqu’on publie des contenus sur Internet, lorsqu’on échange des mails ou passe un coup de fil, aucune trace ne doit être laissée chez les intermédiaires techniques. 

Seulement, ce beau principe est réduit en poudre par ce même article. Il prévoit en effet une ribambelle d’exceptions pour justifier la conservation de ces métadonnées, allant de la poursuite des infractions pénales, aux besoins de la Hadopi en passant par ceux de l’ANSSI. S’y ajoutent les services du renseignement notamment.

Par l’empilement des lois, ils se sont vu autorisés à butiner le stock des métadonnées que les intermédiaires techniques sont donc aujourd’hui obligés de conserver un an durant. Le Code des postes ne fait pas dans la nuance : tous les utilisateurs sont concernés, de l’apprenti terroriste à l’innocente grand-mère, du criminel aguerri à l’enfant découvrant les joies du web.

Deux arrêts fondamentaux de la CJUE

Soixante-deux associations, fournisseurs d'accès Internet associatifs, universitaires et militants ont adressé une lettre ouverte à la Commission européenne pour dénoncer les législations similaires de dix-sept États membres (Belgique, Bulgarie, Croatie, Chypre, République tchèque, France, Allemagne, Hongrie, Irlande, Italie, Luxembourg, Pologne, Portugal, Slovénie, Espagne, Suède et Royaume-Uni), tout en déposant plainte dans onze d'entre eux devant l'institution bruxelloise.

Dans leur combat présenté sur stopdataretention.eu, ils disposent de deux armes de poing. Deux décisions de la Cour de justice de l’Union européenne, à savoir l’arrêt Digital Rights du 8 avril 2014 et Tele2 du 21 décembre 2016.

La cour a en effet jugé contraire au droit européen une « réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ». Soit très exactement ce que prévoient les législations attaquées. 

Pour les Exégètes, Tetaneutral, Digital Rights Ireland ou encore le Chaos Computer Club Lëtzebuerg, membres du collectif, l’heure est venue de mettre un peu d’ordre en Europe. Anticipant d'une certaine manière cette procédure, la Quadrature du Net a déjà lancé un recours contre le dispositif français cette fois devant la CNIL.

Quand la France milite pour une rétention généralisée

À l’occasion d’une autre affaire devant la CJUE, relative au Privacy Shield, Paris a fait connaitre ses positions : « la conservation des données techniques de communications électroniques, telles que les données de connexion ou de localisation, est strictement nécessaire pour garantir la disponibilité de ces données à des fins de préservation des intérêts vitaux de la sécurité nationale ». 

Selon la France, imposer une obligation de conservation ciblée, et donc non généralisée, ne permettrait pas de « remplir les objectifs assignés à la politique de sécurité nationale, qui consistent à détecter, pour les prévenir, les menaces aux intérêts vitaux des États ».