Rétention des données : la CJUE ne se Retient Pas

Publié le | par

La Cour de justice européenne (CJUE) ouvre une brèche pour un retour à nos droits relatifs à la vie privée.Concernant le monde de surveillance auquel nous semblons désormais promis ad vitam, la vigilance des militants des ONG et de la société civile est indispensable mais n’est pas suffisante. Il faut que les actions soient conclues par des décisions officielles (juridiques voire politiques) pour prétendre à préserver nos libertés.

L’avis de la Cour de Justice de l’Union européenne (CJUE) du 8 avril dernier était très attendu car il pouvait profondément modifier les législations européennes et nationales sur la rétention de données par les fournisseurs de services de télécommunications. Une décision qui pouvait remettre en cause les dispositions législatives qui ont autorisé la rétention des données de navigation des citoyens sur l’Internet. Cette institution qui siège au Luxembourg (à ne pas confondre avec la Cour Européenne des Droits de l’Homme, qui elle est à Strasbourg) est chargée d’interpréter le droit européen. C’est une sorte de « Cour Suprême », et ses décisions s’appliquent à tous les États membres de l’UE.

Une directive intrusive

Le texte remis en cause devant la CJUE est la directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications.

Selon cette directive,

« Les États membres doivent obliger les fournisseurs de services de télécommunication (comme les opérateurs de téléphonie ou les fournisseurs d’accès à Internet) à conserver les données de connexion de leurs clients afin de pouvoir identifier, le cas échéant, les auteurs d’infractions graves (terrorisme, pédopornographie ou harcèlement sexuel en ligne par exemple). Les données peuvent être conservées, selon le choix des pays, entre 6 mois et 2 ans. Les fournisseurs doivent notamment conserver les données qui permettent d’identifier la source, la destination, la date, l’heure et la durée des communications, le type de communication, la machine utilisée pour communiquer ainsi que la localisation des équipements de communication mobile. En revanche, la directive n’autorise pas la conservation du contenu de la communication et des informations consultées »

Cette directive a été transposée en droit français par le décret n°2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques dont les dispositions ont été intégrées dans le Code des postes et des communications électroniques et dans le Code de procédure pénale.

L’enregistrement pas à pas de la vie des internautes est tellement devenu une banalité qu’il n’était même plus question pour les citoyens de remettre en cause cet état de fait (conserver les données des internautes dans ce cas présent). Il s’agit après tout de nous protéger de la menace terroriste…

Les incidences de la directive

En pratique, les fournisseurs d’accès (FAI) se trouvent obligés de conserver les données relatives au trafic, à la localisation ainsi que celles nécessaires à l’identification de l’abonné ou de l’utilisateur (adresse IP par exemple).

La directive permet donc de savoir avec quelle personne et par quel moyen un abonné a communiqué, de déterminer le temps de la communication ainsi que l’endroit à partir duquel celle-ci a eu lieu et de connaître la fréquence de ces communications. Brèfle, un ensemble d’indications très précises sur la vie privée des personnes : habitudes de la vie quotidienne, lieux de séjour permanents ou temporaires, déplacements journaliers ou autres, activités exercées, relations sociales et milieux sociaux fréquentés.

De quoi permettre l’établissement d’une cartographie aussi fidèle qu’exhaustive d’une fraction importante des comportements d’une personne relevant strictement de sa vie privée, voire d’un portrait complet et précis de son identité privée.

Par contre, nulle atteinte au contenu de la communication et des informations consultées. La NSA se charge de ce pan…

Et de nous retrouver finalement défendus contre notre gré !

L’étincelle

Qui saisit la Cour de justice de l’Union européenne ? Quelle idée saugrenue que de saisir ce tribunal après plus de huit ans !?

Tout part de la Cour suprême de l’Irlande et de la Cour constitutionnelle autrichienne, toutes deux saisies par des citoyens. Les deux juridictions demandent à la Cour de justice de l’UE d’examiner la validité de la directive, notamment à la lumière de deux droits fondamentaux garantis par la charte des droits fondamentaux de l’Union européenne, à savoir le « droit fondamental au respect de la vie privée et le droit fondamental à la protection des données à caractère personnel ».

Il est question de savoir si cette conservation des données des utilisateurs ne contrevient pas à leur droit fondamental au respect de leur vie privée ?

Les réquisitions de l’avocat général lui-même laissaient déjà augurer de la décision positive de la Cour. Et effectivement, la CJUE a été à la hauteur des espérances des défenseurs des libertés individuelles.

L’arrêt de la cour

Il est consultable sur le site dédié. Et c’est une avalanche de récriminations contre cette directive pré-citée !

Certes, la directive n’est finalement pas de nature à porter atteinte au contenu essentiel des droits fondamentaux, notamment au respect de la vie privée et à la protection des données à caractère personnel. Car elle ne permet pas de prendre connaissance du contenu des communications électroniques (puisqu’on vous dit que c’est la NSA qui s’en charge !). De plus la conservation des données en vue de leur transmission éventuelle aux autorités nationales compétentes répond effectivement à un objectif d’intérêt général de lutte contre le terrorisme.

Mais pour la Cour, tout se fait sans une information éclairée. La directive couvre de manière généralisée l’ensemble des individus, des moyens de communication électronique et des données relatives au trafic sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif de lutte contre les infractions graves.

« Le fait que la conservation et l’utilisation ultérieure des données sont effectuées sans que l’abonné ou l’utilisateur inscrit en soit informé est susceptible de générer dans l’esprit des personnes concernées le sentiment que leur vie privée fait l’objet d’une surveillance constante » (CJUE)

Un manque de proportionnalité

Si la conservation des données peut être considérée comme apte à réaliser l’objectif poursuivi de lutte contre les bandes organisées et le terrorisme, la directive n’est pas suffisamment encadrée afin de garantir que cette ingérence soit effectivement limitée au strict nécessaire.

Et surtout, la Cour souligne que : « l’accès aux données n’est notamment pas subordonné au contrôle préalable d’une juridiction ou d’une entité administrative indépendante ».

Aussi, la directive impose une durée d’au moins six mois sans opérer une quelconque distinction par rapport à l’objectif poursuivi, et cette durée se situe entre 6 mois au minimum et 24 mois au maximum, sans définir de critères objectifs pouvant le justifier. Donc la directive est incompatible avec le principe de proportionnalité, dans la mesure où elle impose aux États membres une garantie de conservation d’une durée maximale de deux ans.

La directive ne prévoit pas plus de garanties permettant d’assurer une protection efficace contre les risques d’abus ainsi que contre l’utilisation illicites de ces données. Si les fournisseurs de services sont autorisés à tenir compte de considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent, la directive ne garantit pas la destruction des données au terme de leur durée de conservation. Et la directive n’impose pas une conservation des données sur le territoire de l’Union.

N’en jetez plus ! Il s’agit nettement d’une ingérence caractérisée dans le droit fondamental des citoyens au respect de la vie privée.

Comme quoi il ne faut pas désespérer de toutes les institutions européennes…

Les conséquences de cet arrêt

Tout d’abord, une déclaration en invalidité n’entraîne pas, à proprement parler, l’annulation de l’acte en cause. L’acte continue à subsister dans l’ordre juridique, mais est inapplicable (contrairement à l’annulation qui provoque la disparition pure et simple de l’acte).

Toutefois, déclaré invalide dans son intégralité, l’acte n’a plus vocation à s’appliquer à compter de sa date d’entrée en vigueur. Et une déclaration en invalidité est irrévocable.

Il appartient aux institutions compétentes de l’Union de prendre les mesures nécessaires pour remédier à l’invalidité constatée.

Et maintenant également aux autorités nationales de tirer les conséquences, dans leur ordre juridique, de ladite déclaration d’invalidité. Soit déclarer inapplicables les mesures nationales adoptées sur la base de l’acte. Soit décider d’abroger les mesures prises en application de l’acte européen invalide.

De leur côté, les fournisseurs d’accès à l’Internet et les opérateurs de téléphonie français pourraient donc être légitimement tentés de cesser d’appliquer cette directive. De leur propre chef.

Ces recours ont donc obtenu l’annulation des dispositions nationales qui transposent la directive en droit interne.

Subséquemment, les autres États membres vont donc être amenés à devoir revoir leurs propres législations. Une avancée très positive en faveur des droits des citoyens européens.

Comme quoi il ne faut jamais renoncer à se battre pour nos libertés, aussi ténues soient les chances de gagner. En attendant, ce premier coup porté est un véritable coup de tournevis donné dans le mur blindé de l’espionnage institutionnalisé et industrialisé…

Lurinas

Sources

Le communiqué de presse de la décision de la CJUE

Blog du droit des collectivités territoriales

Partager cet article