Soutenons La Quadrature du Net !

Conservation généralisée des données : un coup porté à la surveillance de masse !

Paris, 22 décembre 2016 — La Cour de justice de l'Union européenne a rendu un arrêt très important le 21 décembre dernier, en condamnant le principe de conservation généralisée des données par les opérateurs, y compris lorsque ce sont les États qui souhaitent instaurer ce principe notamment pour des questions liées à la sécurité et à la lutte contre la criminalité. La conservation de données doit rester l'exception et non la règle, et ne peut être pratiquée qu'avec de sérieux garde-fous, à cause de la violation très sérieuse du droit au respect de la vie privée que constitue cette conservation. La Quadrature du Net salue cette décision extrêmement positive et demande au gouvernement français de prendre enfin acte des décisions européennes, en abrogeant l'ensemble des législations touchant à la conservation et à l'exploitation des données de connexion des internautes.

L'arrêt du 21 décembre fait suite à une autre décision très importante de la CJUE, l'arrêt Digital Rights Ireland. En avril 2014, la CJUE avait invalidé la directive européenne de 2006 faisant obligation aux États membres d'organiser la collecte et la conservation générale des données de connexion des internautes européens. Déjà, la CJUE considérait que cette conservation systématique des données de connexion portait atteinte de façon trop importante au droit au respect de la vie privée : même sans se pencher sur l'utilisation ultérieure de cette conservation de données, le fait même de les conserver par défaut instaure une intrusion systématique dans la vie et l'intimité des citoyens.

Ce nouvel arrêt de la CJUE est une conséquence de celui de 2014 : à la suite de Digital Rights Ireland, une grande partie des pays européens ont abrogé leur législation, et La Quadrature du Net s'en était félicitée. Mais plusieurs autres pays ne l'ont pas fait, dont le Royaume-Uni, la Suède et la France.

Concernant la France, les Exégètes amateurs, regroupant FDN, FFDN et La Quadrature du Net, ont attaqué la législation française devant le Conseil d'État, mais celui-ci a considéré que la France n'était pas concernée par l'arrêt Digital Rights et a omis de poser la question officiellement à la CJUE, malgré la demande explicite des Exégètes. La décision d'hier de la CJUE met le Conseil d'État devant ses propres contradictions et marquera sans aucun doute une étape importante dans les affaires qui opposent les Exégètes amateurs à l'État français et dans la lutte contre la surveillance de masse.

En ce qui concerne la Suède et le Royaume-Uni, deux contestations nationales ont été transférées à la CJUE, et sont donc à l'origine de cet arrêt. La Cour de justice de l'Union européenne a décidé le 21 décembre que les États n'avaient pas à imposer aux opérateurs cette conservation générale des données, sous peine de porter atteinte de façon disproportionnée à la vie privée de leurs administrés. Une conservation de données par les fournisseurs de services ne devrait être que limitée, et en aucun cas généralisée. Il en va, pour la CJUE, du respect de la Charte des droits fondamentaux de l'Union européenne, et notamment des droits fondamentaux au respect de la vie privée, à la protection des données personnelles mais également à la liberté d'expression. La Cour réaffirme que les données de connexion occupent une place primordiale dans nos vies, et que toute collecte systématique de ces données de connexion et de localisation est une forme de surveillance :

« Prises dans leur ensemble, ces données sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ».

« L’ingérence que comporte une telle réglementation dans les droits fondamentaux [...] s’avère d’une vaste ampleur et doit être considérée comme particulièrement grave. La circonstance que la conservation des données est effectuée sans que les utilisateurs des services de communications électroniques en soient informés est susceptible de générer dans l’esprit des personnes concernées le sentiment que leur vie privée fait l’objet d’une surveillance constante. »

« Même si une telle réglementation n’autorise pas la conservation du contenu d’une communication et, partant, n’est pas de nature à porter atteinte au contenu essentiel desdits droits (voir, par analogie, en ce qui concerne la directive 2006/24, arrêt Digital Rights, point 39), la conservation des données relatives au trafic et des données de localisation pourrait toutefois avoir une incidence sur l’utilisation des moyens de communication électronique et, en conséquence, sur l’exercice par les utilisateurs de ces moyens de leur liberté d’expression, garantie à l’article 11 de la Charte. »

Cette décision est extrêmement positive. Elle renforce ce qui commence à devenir une position ferme de la CJUE concernant l'impact de la collecte systématique de données : la collecte de données est une forme de surveillance en tant que telle, avant même toute exploitation. En tant qu'outil de surveillance, la collecte de données doit être très strictement encadrée et utilisée uniquement lors de cas précis, ciblés, graves et proportionnés.

C'est un véritable camouflet pour les politiques de surveillances qui se multiplient au sein de l'Union européenne. Notamment pour la France, qui multiplie depuis des années les législations allant dans ce sens, et refuse de se sentir concernée par les signaux de plus en plus clairs envoyés par la plus haute juridiction européenne.

Cependant la décision de la CJUE laisse quelques points d'obscurité ou d'insécurité qu'il faudra préciser dans le cadre des nouvelles législations qui ne manqueront pas de devoir être votées dans le futur, y compris en France :

  • la CJUE demande un contrôle préalable par une autorité indépendante. La Quadrature du Net et les organisations de défense des droits fondamentaux ont toujours demandé à ce que ce contrôle soit effectué sous l'autorité d'une justice indépendante. À défaut, et concernant les accès administratifs aux données de connexion, il faudra donc veiller, au minimum, à renforcer l'indépendance des membres des autorités de contrôle, et en particulier de la CNCTR (notamment s'agissant de la qualité et du processus de nomination des membres, du caractère contraignant des avis, du respect du principe de contradictoire et de l'article 6 de la CEDH, du principe de notification aux personnes surveillées).
  • au delà de la question de la surveillance des citoyens par le biais de la conservation des données de connexion, il faudra également se pencher sur les pratiques de l'institution judiciaire, qui recourt de façon extrêmement massive à l'utilisation de ces données de connexion et de localisation, y compris dans le cadre d'enquêtes n'appartenant pas au régime de criminalité grave ou du terrorisme1.

Plus généralement, cet arrêt de la CJUE va devoir poser les questions politiques indispensables à notre temps, après deux décennies de course à la surveillance via la conservation des données de connexion : comment reconstruire un système où l'équilibre des droits est respecté ? La plus haute juridiction européenne demande de stopper l'usage massif des données de connexion, y compris pour des motifs affichés de sécurité. Il y a donc de nouvelles méthodes à inventer, un nouvel équilibre à trouver, des choix politiques à faire sur la nécessité absolue du respect des droits fondamentaux, y compris lors de périodes troublées où les décideurs politiques ont tôt fait de sacrifier ces droits fondamentaux au profit de politiques sécuritaires dont il n'a pas non plus été prouvé qu'elles étaient plus efficaces grâce à la surveillance. La Quadrature du Net espère que cette décision de la CJUE fera avancer le droit français dans le bon sens, et influera notamment sur les divers recours suivis par les Éxégètes amateurs devant les juridictions françaises et européennes : « Alors que nous avons vécu 15 ans pendant lesquels l'invocation - souvent trompeuse - de la sécurité semblait suffire à justifier une érosion permanente de l'État de droit, jusqu'à permettre que tous soient surveillés partout et tout le temps, la Cour de Justice envoie aux États un rappel aux droits. Nous nous efforcerons par toutes nos actions - juridiques avec les Exégètes amateurs, comme politiques - de faire en sorte que nul ne l'oublie » déclare Philippe Aigrain, co-fondateur de La Quadrature du Net.

Lire également le communiqué de presse des Éxégètes amateurs