Les Exégètes accentuent leur pression sur l'obligation de rétention des données

Données, c'est (parfois) violer 11
En bref
image dediée
Crédits : iStock/ThinkStock
Justice ANALYSE
Par
le lundi 23 mai 2016 à 12:12
Marc Rees

La pression s’accentue aux portes du gouvernement sur la question de la rétention des données. La Quadrature du Net, French Data Network et la Fédération des fournisseurs d’accès à Internet associatifs viennent d'adresser un nouveau mémoire pour s’attaquer à ce sujet sensible, et espérer un encadrement digne de ce nom.

Fin 2014, dans son rapport sur les libertés numériques (PDF), la section des études du Conseil d’État avait été on ne peut plus claire : l’obligation générale de conservation des données de connexion qui pèse sur l’ensemble des opérateurs en France souffre d’une problématique de conformité avec un arrêt de la Cour de Justice de l’Union européenne.

En France, l'obligation de conservation généralisée

Explications : le Code des postes et des télécommunications prévoit un principe d’effacement des données de connexion. Ce principe claironné à l’alinéa 2 de l’article L34-1, est cependant immédiatement réduit en cendre dans le fil de cet article où est prévue une obligation de conservation des données aussi bien pour le pénal, la loi Hadopi ou encore l’ANSSI. En outre, de nombreuses administrations se sont vues reconnaitre un droit de communication sur ce stock, avec un encadrement très allégé. De même, la loi sur la confiance dans l’économie numérique de 2004 oblige les FAI et les hébergeurs à conserver toutes les données « de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires. »

Cette machine à conserver les données de connexion ronronnait tranquillement en France, jusqu’à cet évènement européen. Un véritable morceau de sucre dans son réservoir.

En Europe, l'obligation de conservation affinée

Le 8 avril 2014, la Cour de justice de l’Union européenne a en effet invalidé la directive sur la conservation des données de connexion, faute pour celle-ci de prévoir une série de garanties jugées inévitables. Et pour cause, les données de connexion, « prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ».

En scrutant le nuage de métadonnées laissées dans le sillage d’un internaute, il est effectivement très simple de reconstituer, avec un luxe de détails, l’ensemble de ses liens sociaux, professionnels, ses loisirs, mais aussi sa vie sexuelle, ses qualités, ses défauts, ses goûts, ses engagements politiques, religieux, syndicaux, son état de santé, etc. Bref, des pans de vie très intimes qui mettent à nu celui qui pense s’abriter derrière le paravent de l’écran.

Quelles ont été les garanties posées par la CJUE ? Dans leur droit d’inventaire appuyé par la Charte des droits fondamentaux de l’Union, les juges ont réclamé de réserver cette conservation aux seules infractions graves, en discriminant la durée de la rétention entre les catégories de données selon leur utilité éventuelle, tout en délimitant l’accès aux autorités compétentes et en s’assurant d’un haut niveau de sécurité chez les opérateurs, etc. 

Voilà pourquoi, la législation française dans une main, cet arrêt Digital Rights dans l’autre, la section des études du Conseil d’État a réclamé un toilettage de la législation française. Et pour cause, celle-ci a opté pour la conservation généralisée, plutôt que discriminée.

Contourner le silence du Conseil d’État 

Mais tout n’a pas été aussi simple. D’une part, formellement, notre législation ne procède pas de la directive invalidée. Nos textes lui sont antérieurs. Cependant, les garanties exigées par la CJUE ne sont pas cimentées à la directive. Elles ont une portée très vaste permettant de les appliquer aussi aux législations internes plus anciennes.  

Malheureusement, d’autre part, saisie de cette problématique, la section du contentieux de la même juridiction a fait peu de cas du fameux arrêt lorsqu’elle a été invitée à jauger l'article 20 de la Loi de programmation militaire (ou LPM). Cette disposition, élargie depuis par la loi Renseignement, permet pourtant aux autorités de recueillir en temps réel et sur sollicitation du réseau, tous les « documents » et «informations » conservés par les opérateurs. Déjà dans leur recours, French Data Network, La Quadrature du Net, la Fédération des fournisseurs d'accès à internet associatifs et RSF avaient dénoncé une incompatibilité manifeste avec l’arrêt de la CJUE.

Si leur première tentative est donc restée vaine, ces trois acteurs, réunis sur le site Exegetes.eu.org ne baissent pas les bras. Ils viennent d’adresser un nouveau mémoire (PDF) au Conseil d’État dans le cadre d’une autre procédure. Sans rentrer dans d’amples détails, ce trio avait aussi sollicité en mai 2015 du gouvernement l’abrogation de  l’article R. 10-13 du Code des postes et des communications électroniques (CPCE) et le décret no 2011-219 du 25 février 2011, deux textes détaillant la conservation des données.

En juillet de la même année, ils ont attaqué l’absence de réponse du gouvernement, puisque ce silence équivaut à un refus tacite. Dans le dernier mémoire adressé à la juridiction administrative, les associations expliquent en quoi le droit de l’Union, et consécutivement la Charte des droits fondamentaux de l’Union européenne, est bien applicable à ce régime de conservation des données personnelles.

Si son doute persiste, il demande au Conseil d’État de ne plus faire barrage, mais d’agir : soit d’appliquer malgré tout les articles 7 (respect de la vie privée) et 8 (droit à la protection des données personnelles) de la Charte, soit, à l’image de ce qu’a fait l’Angleterre, questionner la Cour de justice de l’Union européenne pour savoir si l’arrêt Digital Rights concerne aussi le régime français de la conservation et de l’accès aux donnés. 


chargement
Chargement des commentaires...