Rétention des données : La CJUE dénonce le fichage systématique des communications

Posted on


Paris, 8 avril 2014 — Dans un arrêt rendu ce matin, la Cour de Justice européenne (CJUE) vient de s’opposer au fichage systématique de nos communications en ligne en invalidant la directive européenne sur la rétention des données adoptée en 2006. En plein débat sur la surveillance de masse, cette nouvelle jurisprudence représente une étape importante dans la reconquête de notre droit fondamental à la vie privée et à la protection de nos données personnelles.

Depuis son adoption en mars 2006, la directive sur la rétention des données a fait l’objet de nombreuses critiques, tant de la part des organisations de la société civile, que d’eurodéputés1Voir le résumé du rapport de la commission « Libertés civiles » (LIBE) du Parlement européen., d’autorités indépendantes2Voir notamment l’avis du Contrôleur européen des données personnelles. et des cours constitutionnelles de certains États membres3Les cours constitutionnelles de Roumanie (2009), Allemagne (2010), Bulgarie (2010), Chypre (2011) et République Tchèque (2011) ont jugé inconstitutionnelles les lois de transposition nationales en raison d’une immixtion dans la vie privée des citoyens jugée disproportionnée. Une procédure de saisie similaire est actuellement en cours en Belgique.. L’obligation pour les opérateurs télécoms, et donc les fournisseurs d’accès à Internet, de stocker toutes les données relatives aux communications de leurs abonnés pour une « durée minimale de six mois et maximale de deux ans à compter de la date de la communication », afin d’assurer « la disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions graves », figure parmi les dispositions les plus controversées de ce texte. Ces dispositions sont d’autant plus critiquées et jugées inutiles que les mesures de préservation (et non pas de conservation) pratiquées dans une trentaine de pays, qui permettent aux enquêteurs d’enjoindre les opérateurs et autres intermédiaires techniques de préserver certaines données ou de leur communiquer les données techniques en leur possession, s’avèrent efficaces et montrent donc l’existence de solutions alternatives beaucoup plus ciblées et donc plus proportionnées4À ce sujet, voir le contre-rapport [EN] rédigé par l’organisation EDRi..

L’arrêt rendu ce matin par la Cour de justice de l’UE fait suite aux saisines initiées par la Cour suprême irlandaise et par la Cour constitutionnelle autrichienne. En donnant gain de cause aux requérants, la CJUE affirme que la directive sur la conservation des données viole les droits garantis par les traités de l’Union européenne et la Charte des droits fondamentaux, qui protège notamment les droits des citoyens européens à la vie privée et familiale ainsi qu’à la protection de leurs données personnelles5La Cour souligne d’abord le extrêmement caractère étendu des données concernées, puisque la directive impose « la conservation de toutes les données relatives au trafic concernant la téléphonie fixe, la téléphonie mobile, l’accès à l’internet, le courrier électronique par Internet ainsi que la téléphonie par l’internet. Ainsi, elle vise tous les moyens de communication électronique dont l’utilisation est très répandue et d’une importance croissante dans la vie quotidienne de chacun » ingérant de ce fait dans la vie quotidienne de « la quasi-totalité de la population européenne » (§56).
La Cour insiste encore sur le caractère disproportionné de la directive, rappelant qu’elle ne se limite pas à des « personnes dont les données sont conservées se trouvent, même indirectement, dans une situation susceptible de donner lieu à des poursuites pénales. Elle s’applique donc même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves. En outre, elle ne prévoit aucune exception, de sorte qu’elle s’applique même à des personnes dont les communications sont soumises, selon les règles du droit national, au secret professionnel » (§58).
Enfin, la directive ne fixe pas de règles quant aux mesures techniques et organisationnelles de protection et de sécurité que les opérateurs doivent mettre en œuvre pour prévenir les fuites ou utilisations abusives de ces données (§67 notamment). Elle n’oblige pas non plus ces acteurs à conserver ces données dans le territoire de l’UE, ce qui serait de nature à renforcer leur niveau de protection.
. Cet arrêt de la CJUE ayant un effet erga omnes, sa portée dépassera les dossiers des instances irlandaise et autrichienne, et risque d’obliger les États membres à s’y conformer en réformant leur législation nationale en matière de conservation des données6D’après la Cour, « il appartient aux autorités nationales de tirer les conséquences, dans leur ordre juridique, de ladite déclaration [d’invalidité de la directive]. Les juridictions nationales peuvent ainsi être conduites à déclarer inapplicables les mesures nationales adoptées sur la base de l’acte invalidé (exemples : loi nationale transposant la directive). Le législateur national peut également décider d’abroger les mesures prises en application de l’acte européen invalidé ». (http://reflets.info/la-cour-de-justice-europeenne-va-se-prononcer-sur-la-retention-de-donnees-par-les-fournisseurs-de-services-de-telecommunication/). En France, cette décision pourrait notamment concerner les mesures de rétention des données imposées aux opérateurs télécoms et aux hébergeurs (dispositions renforcées à l’occasion de l’adoption de la loi de programmation militaire).

« Cette décision historique est une victoire pour tous les défenseurs de la vie privée qui, partout en Europe, s’étaient mobilisés depuis 2006 contre le fichage généralisé des communications. Alors que depuis près d’un an se tient un débat sans précédent sur la surveillance de masse, la Cour de Justice de l’Union européenne souligne à son tour que les mesures d’exception adoptées au nom de la lutte contre le terrorisme ont abouti à des violations inacceptables de la vie privée. Cet arrêt est une invitation à continuer le combat contre la surveillance par tous les moyens appropriés, qu’ils soient techniques, politiques ou juridiques. Lois après lois, nos gouvernements se sont affranchis de l’État de droit. Il est désormais temps de leur rappeler que les libertés fondamentales constituent la pierre angulaire de nos démocraties et qu’elles ne sont pas négociables. » déclare Félix Tréguer, cofondateur de La Quadrature du Net.

References

References
1 Voir le résumé du rapport de la commission « Libertés civiles » (LIBE) du Parlement européen.
2 Voir notamment l’avis du Contrôleur européen des données personnelles.
3 Les cours constitutionnelles de Roumanie (2009), Allemagne (2010), Bulgarie (2010), Chypre (2011) et République Tchèque (2011) ont jugé inconstitutionnelles les lois de transposition nationales en raison d’une immixtion dans la vie privée des citoyens jugée disproportionnée. Une procédure de saisie similaire est actuellement en cours en Belgique.
4 À ce sujet, voir le contre-rapport [EN] rédigé par l’organisation EDRi.
5 La Cour souligne d’abord le extrêmement caractère étendu des données concernées, puisque la directive impose « la conservation de toutes les données relatives au trafic concernant la téléphonie fixe, la téléphonie mobile, l’accès à l’internet, le courrier électronique par Internet ainsi que la téléphonie par l’internet. Ainsi, elle vise tous les moyens de communication électronique dont l’utilisation est très répandue et d’une importance croissante dans la vie quotidienne de chacun » ingérant de ce fait dans la vie quotidienne de « la quasi-totalité de la population européenne » (§56).
La Cour insiste encore sur le caractère disproportionné de la directive, rappelant qu’elle ne se limite pas à des « personnes dont les données sont conservées se trouvent, même indirectement, dans une situation susceptible de donner lieu à des poursuites pénales. Elle s’applique donc même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves. En outre, elle ne prévoit aucune exception, de sorte qu’elle s’applique même à des personnes dont les communications sont soumises, selon les règles du droit national, au secret professionnel » (§58).
Enfin, la directive ne fixe pas de règles quant aux mesures techniques et organisationnelles de protection et de sécurité que les opérateurs doivent mettre en œuvre pour prévenir les fuites ou utilisations abusives de ces données (§67 notamment). Elle n’oblige pas non plus ces acteurs à conserver ces données dans le territoire de l’UE, ce qui serait de nature à renforcer leur niveau de protection.
6 D’après la Cour, « il appartient aux autorités nationales de tirer les conséquences, dans leur ordre juridique, de ladite déclaration [d’invalidité de la directive]. Les juridictions nationales peuvent ainsi être conduites à déclarer inapplicables les mesures nationales adoptées sur la base de l’acte invalidé (exemples : loi nationale transposant la directive). Le législateur national peut également décider d’abroger les mesures prises en application de l’acte européen invalidé ». (http://reflets.info/la-cour-de-justice-europeenne-va-se-prononcer-sur-la-retention-de-donnees-par-les-fournisseurs-de-services-de-telecommunication/)