CJUE : Coup d’arrêt à la collecte généralisée des données de connexion

par | 15 Oct 2020 | Données Personnelles - RGPD

Dans un arrêt du 6 octobre 2020, la Cour de justice de l’Union Européenne (CJUE) s’oppose à la collecte généralisée des données de connexion par les États membres.

La Cour persiste ainsi à encadrer la collecte des données au niveau étatique en dépit des craintes exprimées par les États, comme la France, de se voir privés d’outils majeurs de surveillance.

Les États concernés avançaient que la surveillance de masse est utilisée seulement en cas de danger pour la sécurité nationale mais selon la Cour de justice de l’UE, les États européens ne peuvent pas réclamer aux opérateurs une collecte massive des données de connexions à des fins judiciaires et de renseignement.

Dès lors, les États membres sont autorisés à transmettre et détenir des données de communication seulement en cas de présence d’un « grave danger pour la sécurité nationale », a statué la CJUE.

Ces pratiques doivent donc être limitées au « strict nécessaire » par les services de sécurité des pays européens. De plus, ces pratiques doivent être soumises à un examen effectué par une juridiction d’une autorité administrative indépendante, comme la CNIL.

Une collecte des données « nécessaire, appropriée et proportionnée »

En l’espèce, plusieurs associations de protection de la vie privée avaient porté à l’attention de la Belgique, la France (la Quadrature du Net) et le Royaume-Uni (Privacy International) les pratiques que ces mêmes États utilisaient pour récupérer les données auprès des prestataires de services.

C’est finalement « Privacy International », association caritative britannique, qui plaide auprès de la CJUE sur la question. Pour eux les services de sécurité et de renseignement du pays avaient utilisé à tort l’exception à la directive e-Privacy de 2002 et ainsi récolté en masse les fichiers de données personnelles et les données de communication.

C’est l’article 15 – 1 de cette Directive de 2002 (e-Privacy) qui était le sujet ici.

En effet, l’article 15 prévoit la possibilité d’adopter des « mesures législatives visant à limiter la portée des droits et des obligations » de la directive « lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique » notamment pour « sauvegarder la sécurité nationale ». Les États membres pouvant, entre autres, « adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée. »

Dès lors, selon « Privacy International » n’était justement pas constituée « une mesure nécessaire, appropriée et proportionnée ». Donc, conformément aux conditions générales, les méthodes des États membres obligeant les prestataires de services à éplucher les données de communication transgressaient cette directive de 2002 sur la protection de la vie privée dans le secteur des communications électroniques (e-Privacy).

Le refus d’une obligation généralisée et indifférenciée de collecte des données

Mais quelle est la position de la CJUE sur la question ?

En 2016 la CJUE rendait un arrêt intitulé Télé 2. Arrêt dans lequel la Cour avait déjà jugé que les États membres ne pouvaient pas imposer aux fournisseurs une obligation généralisée et indifférenciée » de collecte et de conservation des données (de trafic et de localisation notamment).

La juridiction européenne décide ici de suivre cette décision et confirmer sa position. Les États ayant pour la plupart décidé de continuer la collecte afin que policiers, magistrats ou services de renseignement puissent accéder à ces données. Les données étant celles de connexions Internet et de conversations téléphoniques, permettant notamment de récupérer non pas le contenu des messages mais l’identité des messagers, la localisation, la date, la durée etc.

Le droit européen s’oppose donc à une réglementation imposant à un opérateur, à des fins de lutte contre les infractions en général ou de sauvegarde sécurité nationale, la transmission ou la conservation « généralisée et indifférenciée » de données de connexion.

Exception : la menace grave pour la sécurité nationale

L’arrêt de la CJUE ménage des exceptions, lorsqu’un État fait face à une « menace grave pour la sécurité nationale, réelle et actuelle ou prévisible ». Dans ce cas, il peut imposer par « des mesures législatives » une conservation « généralisée et indifférenciée » des données « pour une durée limitée au strict nécessaire ». Cette concession laissée par la Cour, dont l’interprétation doit encore être précisée, va certainement susciter à l’avenir des « batailles juridiques » entre avocats et magistrats qui ne cachent pas leurs inquiétudes.

La justice européenne conditionne cette exception à plusieurs critères : « une telle ingérence dans les droits fondamentaux doit être assortie de garanties effectives et contrôlées par un juge ou une autorité administrative indépendante ».

La cour précise également que ces mesures doivent être appliquées « pour une période temporellement limitée ». Pour l’instant, la loi de 2001 (loi sur la sécurité quotidienne), qui régit en France la conservation des données de connexion par les fournisseurs d’accès à Internet (FAI), ne pose aucune limite temporelle ou nécessité d’une menace grave pour la sécurité nationale.

Dans les faits, la Cour de justice européenne ne ferme donc pas complètement la porte à la conservation des données par les FAI en France, mais exige un encadrement conforme au droit européen : le cadre légal français devra donc mettre en œuvre de nouveaux garde-fous suffisants pour répondre aux exigences européennes en la matière. 

Les États ne sont pas au-dessus des lois

Si dans cette affaire la défense des États membres s’appuyait notamment sur le traité de l’Union qui prévoit que la sécurité nationale « reste de la seule responsabilité de chaque État membre » ce fut finalement l’occasion pour la Cour de justice de l’UE de montrer que même les États ne sont pas au-dessus des lois.

D’autant que la CJUE a également averti que des données de la sorte, collectées dans le cadre de procédures pénales d’une manière qui enfreint le droit européen, ne seraient pas admises lors de procès. Cette décision a provoqué auprès des magistrats et services concernés une vive réaction considérant que leur travail sera rendu beaucoup plus compliqué.

Cependant, l’arrêt rendu hier clarifie également le fait qu’il en va de la responsabilité des États membres de définir quelles activités constituent un danger à la sécurité nationale. De plus, le recours aux outils de surveillance pourrait être autorisé au-delà d’un délai donné, si le danger persiste. Pas sûr donc que les récoltes massives de données ne continuent pas. 

Rencontrez-vous une problématique liée à cet article ?

Share This