En cette fin d’année 2016, les défenseurs des libertés publiques ont reçu un cadeau de Noël avant l’heure. Le 21 décembre dernier, dans un arrêt « Tele2 Sverige », la Cour de justice de l’Union européenne a tranché : le droit de l’Union s’oppose à l’obligation généralisée de conservation des données de connexion par les fournisseurs de services de communications électroniques, y compris lorsque les législations nationales instaurent ce principe pour des questions de sécurité publique et de lutte contre la criminalité. La conservation des données doit rester l’exception et non la règle, d’où la nécessité d’encadrer strictement un telle dérogation. Désormais, seule une conservation ciblée pourra être mise en place.
Cette décision salutaire confirme la prise de conscience de la justice européenne concernant l’impact de la collecte systématique de données. En effet, sont concernées par l’obligation de conservation, les métadonnées qui entourent la connexion des internautes. Ces données de trafic et de localisation laissées dans le sillage de chaque internaute permettent, par recoupement, de tout connaître d’un individu : ses liens sociaux, professionnels, ses loisirs, ses engagements politiques, religieux, son état de santé, etc. La protection de ces données constitue donc un enjeu essentiel au regard de la protection de la vie privée des internautes. Ainsi, le présent arrêt constitue une avancée notable en la matière, s’inscrivant en réalité dans le prolongement du fameux arrêt « Digital Rights Ireland » du 8 avril 2014.
De « Digital Rights Ireland » à « Tele2 Sverige », la conservation des données de connexion vue par la CJUE
Deux ans plus tôt, dans l’affaire « Digital Rights Ireland », la CJUE avait invalidé la directive de 2006 sur la conservation des données personnelles utilisée pour lutter contre le crime organisé et le terrorisme. Adoptée après les attentats meurtriers de Madrid et de Londres, cette directive imposait aux fournisseurs de services de télécommunications une obligation générale de conservation des données de trafic et de localisation de leurs abonnés, afin que la justice puisse en disposer ultérieurement en cas de nécessité. En vertu de la Charte des droits fondamentaux de l’Union européenne, la Cour avait jugé que, compte tenu du manque de garanties imposées aux États membres, le texte ne permettait pas de « limiter au strict nécessaire » l’ingérence dans la vie privée des individus.
Peu de temps après cet arrêt essentiel, un fournisseur d’accès à internet suédois et des citoyens britanniques ont emboîté le pas et attaqué leurs législations nationales respectives.
En Suède, alors que le droit national prévoit une conservation systématique des données de connexion des abonnés pendant une durée maximale de six mois, l’entreprise de télécommunication Tele2 Sverige a manifesté son intention de cesser de procéder à cette conservation et d’effacer les données déjà enregistrées.
Quant au Royaume-Uni, ce sont trois citoyens qui ont introduit un recours contre le régime de conservation de données britannique, qui permet d’imposer aux opérateurs de télécommunications publiques la conservation de toutes les métadonnées relatives aux communications pour une durée maximale de douze mois.
La CJUE a finalement été saisie de ces deux affaires. Elle était alors invitée à vérifier si, cette fois, l’obligation de conservation imposée par les législations nationales était compatible avec le droit de l’Union, en l’occurence avec la directive « vie privée et communications électroniques » de 2002, lue à la lumière de la Charte des droits fondamentaux de l’Union européenne.
Les législations nationales peuvent-elles obliger les fournisseurs de services de communications électroniques (opérateurs, FAI, hébergeurs) à conserver de manière générale et indifférenciée les données de connexion de leurs abonnés ? En outre, qu’en est-il de l’accès des autorités nationales compétentes à ces données, dès lors qu’il se limite aux seules fins de lutte contre la criminalité grave ?
En juillet dernier, l’avocat général de la Cour, le Danois Henrik Saugmandsgaard Øe, estimant « qu’une obligation générale de conservation de données est apte à contribuer à la lutte contre les infractions graves », avait suggéré à la Cour de conditionner la conservation généralisée des données à une longue série de garanties. Ainsi, la conservation des données aurait pu perdurer tout en respectant la décision de l’arrêt Digital Rights Ireland. Le verdict de la CJUE était alors très attendu. Cependant, le 21 décembre dernier, la CJUE n’a pas suivi les conclusions de son avocat général.
La conservation « généralisée et indifférenciée » des données censurée
Dans un premier temps, la Cour confirme que les régimes nationaux relatifs à la conservation des données de connexion relèvent bien du champ d’application de la directive de 2002. Comme le souligne la CJUE : « La protection de la confidentialité des communications électroniques et des données relatives au trafic, garantie par la directive, s’applique aux mesures prises par toute personne autre que les utilisateurs, qu’il s’agisse de personnes ou d’entités privées ou d’entités étatiques ».
La Cour relève cependant que si l’article 15-1 de la directive de 2002 permet aux États de déroger au principe de confidentialité des données, l’exception ne doit pas devenir la règle. Ainsi, la Cour rappelle que les dérogations à la protection des données personnelles ne peuvent s’opérer que dans les limites du « strict nécessaire », telle que l’exige la protection du droit fondamental qu’est le respect de la vie privée selon une jurisprudence constante. La Cour considère que ce principe trouve ici à s’appliquer à la fois aux règles régissant la conservation des données mais également à celles relatives à l’accès par les autorités aux données conservées.
Et pour cause, ces métadonnées revêtent une importance primordiale comme l’a souligné la CJUE : « ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes ». Dès lors, en recoupant les données de connexion d’une personne, il est possible de tout savoir sur elle, même si ces données ne concernent pas le contenu même des communications. Ce raisonnement a récemment conduit la CJUE a considérer que l’adresse IP dynamique relève de la donnée à caractère personnel. L’ingérence dans la vie privée des internautes est donc « particulièrement grave » selon les juges. Seule la lutte contre la criminalité grave est donc susceptible de justifier la conservation des données de connexions des individus.
En définitive, pour les juges européens, un régime de « conservation généralisée et indifférenciée » des données de connexion, c’est à dire, sans lien avec une menace potentielle, notamment terroriste, doit être considéré comme excédant « les limites du strict nécessaire et ne saurait être considéré comme étant justifié dans une société démocratique, ainsi que l’exige la directive lue à la lumière de la Charte ». Le verdict des juges européens ne laisse nulle place au doute : dès lors qu’elle est généralisée, la conservation des données est proscrite, c’est à dire, y compris lorsque les états la prévoit à des fins de lutte contre la criminalité.
La conservation ciblée des données conditionnée au « strict nécessaire »
Pour autant, toute conservation n’est pas exclue. Afin de se conformer au droit européen, les États membres doivent donc instaurer une « conservation ciblée » des données à des fins de lutte contre la criminalité grave. Toutefois, cette conservation est conditionnée « au strict nécessaire » concernant :
– les catégories de données à conserver,
– les moyens de communication visés,
– les personnes concernées,
– ainsi que la durée de conservation retenue.
Une telle condition signifie qu‘une réglementation de conservation des données doit être « claire et précise et prévoir des garanties suffisantes » afin d’éviter toute forme d’abus. La Cour insiste sur le fait que la réglementation doit reposer sur des « éléments objectifs » permettant de déterminer en pratique les personnes dont les données sont susceptibles :
– de présenter un lien avec des actes de criminalité grave,
– de contribuer à la lutte contre la criminalité grave,
– de prévenir un risque grave pour la sécurité publique.
Reste à savoir dans quelle mesure sera entendue la notion de gravité, sachant qu’actuellement l’institution judiciaire recourt massivement à l’utilisation des données de connexion.
La renforcement bienvenu du contrôle de l’accès aux données par les autorités compétentes
Un encadrement de l’accès aux données de connexion par les autorités compétentes s’avère effectivement nécessaire. La CJUE apporte alors des précisions quant aux conditions matérielles et procédurales régissant cet accès. Ces modalités devraient concerner un certain nombre de dispositions de procédures pénales et administratives françaises.
Pour la Cour, il apparaît « essentiel » que cet accès soit, « sauf en cas d’urgence, subordonné à un contrôle préalable effectué par une juridiction ou une entité indépendante ». En France, c’est la Commission nationale de contrôle des techniques de renseignement (CNCTR), créée par la loi Renseignement, qui devrait jouer ce rôle. La question de son indépendance étant déjà posée, il faudra probablement veiller à la renforcer.
En outre, les personnes concernées ont désormais vocation à en être informées. Selon les juges, le fait que les internautes ne soient pas informés pouvait générer chez eux « le sentiment que leur vie privée fait l’objet d’une surveillance constante ». La CJUE réaffirme que la collecte systématique des données de connexion est une forme de surveillance, avant même toute forme d’exploitation.
Enfin, la CJUE estime qu’au regard de la quantité de données conservées, du caractère sensible de ces données ainsi que du risque d’accès illicite à celles-ci, chaque réglementation nationale devait conserver les données sur le territoire de l’Union et qu’elles soient « irrémédiablement détruites » au terme de la durée de leur conservation.
Dans cet arrêt, la CJUE apporte de nombreuses précisions sur l’encadrement nécessaire à la conservation des données de connexion. Ces dispositions impératives auront des conséquences sur les législations nationales contraires, qui n’auront d’autre choix que de se mettre en conformité avec ces dernières.
L‘inévitable mise en conformité des législations : cette fois ils n’y échapperont pas !
En 2014, suite à l’arrêt Digital Rights Ireland, plusieurs pays de l’Union ont décidé de suspendre ou de réformer leurs législations pour prendre acte de cette décision. Ce fut le cas en Slovaquie, en Belgique, aux Pays-Bas, en l’Irlande, en Autriche, en Roumanie, en Slovénie ou encore en Bulgarie. Cependant, la Commission européenne ayant elle-même choisi de ne pas revenir sur le sujet à l’époque, certains pays ont tout simplement décidé de ne rien faire. Ce fut d’ailleurs le cas de la France dont aucun texte national ne relevait directement de la directive invalidée. L‘obligation de conservation prévue dans le CPCE aussi bien pour le pénal, la loi Hadopi ou l’ANSSI, ainsi que celle prévue à l’égard des FAI par la LCEN, relevant de textes antérieurs à l’arrêt Digital Rights Ireland, n’avaient donc pas été revues.
Pourtant, la France cumule clairement tous les aspects relevant d’une conservation généralisée de données. Réunis sur le site des Exégètes amateurs, la Quadrature du Net, French Data Network, la Fédération des fournisseurs d’accès à Internet associatifs, avaient déjà dénoncé auprès du Conseil d’État une incompatibilité manifeste de la législation française avec l’arrêt Digital Rights Ireland. Pourtant, le Conseil d’État avait ignoré leurs demandes de questions préjudicielles à la Cour de justice de l’Union européenne. Plus étonnant, le Conseil d’État n’avait pas entendu les critiques adressées à la législation française par la section des études du même Conseil d‘État dans un rapport sur les libertés numériques de 2014.
Cette incompatibilité apparaît d’autant plus claire à la lecture de la loi Renseignement de 2015. En effet, par son système de « boîtes noires » qui collecte toutes nos données de connexion, soumises à des algorithmes détecteurs de potentiels terroristes, nos données sont ensuite conservées pendant douze mois. Pour le Conseil constitutionnel, ce dispositif ne porte pas « une atteinte manifestement disproportionnée à l’intérêt de la vie privée » (DC n°2015-713 du 23 juillet 2015). Ce n’est pourtant pas l’avis de la Haute juridiction de l’Union européenne.
En effet, par le présent arrêt la CJUE va au fond des choses. Les garanties désormais exigées ont une portée vaste, déliées de la directive même, permettant ainsi une application aux textes antérieurs. C’est donc inévitable, certains états vont être contraints de revoir leur législation, à commencer par la Suède et le Royaume-Uni dont l’IP Act est également dans le viseur de la CJUE. Pour en savoir plus, vous pouvez consulter l’article « L’adoption du Investigatory Powers Act : la contestable loi britannique sur la surveillance » de M. Saber Othmani.
La remise en cause salutaire de la surveillance de masse en ligne
Avec ce rappel aux droits, la France devrait donc revoir son dispositif de surveillance. Pourtant, après avoir tenté de convaincre la CJUE pendant près d’un an de la conformité de son dispositif de conservation des données, en s’appuyant sur une supposée faille juridique, que 20 000 personnes ont été surveillées en France cette année et que l’état d’urgence a de nouveau été prolongé, on peut craindre que la France ne rechigne à remettre en cause son tout nouveau système de surveillance. Pourtant, à terme, elle devra s’y plier, car cet arrêt devrait faire avancer le recours des Exégètes amateurs et remettre en cause le système français.
Plus largement, cet arrêt pose des questions politiques quant au recours à la surveillance de masse. Face aux attaques terroristes ayant touchés divers pays européens ces dernières années, les autorités étatiques ont parfois eu tendance à sacrifier le droit au respect de la vie privée pour des motifs affichés de sécurité. C’est donc tout un équilibre qui doit être retrouvé afin de faire respecter les droits fondamentaux.
SOURCES :
ANONYME, « Interdiction de conservation généralisée et indifférenciée des données de trafic et localisation », legalis.net, publié le 22/12/16, consulté le 22/12/16, disponible sur https://www.legalis.net/actualite/interdiction-de-conservation-generalisee-et-indifferenciee-des-donnees-de-trafic-et-localisation/
BERNE (X.), « La CJUE s’oppose à l’obligation généralisée de conservation des données de connexion », nextinpact.com, publié le 21/12/16, consulté le 22/12/16, disponible sur https://www.nextinpact.com/news/102607-la-cjue-s-oppose-a-obligation-generalisee-conservation-donnees-connexion.htm
DE MONTECLER (M-C.), « La CJUE défend la vie privée numérique – Cour de justice de l’Union européenne 21 décembre 2016 », consulté le 26/12/16, disponible sur AJDA 2016, p.2466
REES (M.), « Devant la CJUE, la France défend la conservation généralisée des données par les intermédiaires », nextinpact.com, publié le 25/07/16, consulté le 26/07/16, disponible sur https://www.nextinpact.com/news/100691-devant-cjue-france-defend-conservation-generalisee-donnees-par-intermediaires.htm