Coup de tonnerre : la directive sur la conservation des données de communication est invalidée
La Cour de justice de l’Union européenne (CJUE) a rendu ce matin un arrêt des plus attendus, car il concernait la validité de la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications.
Cette directive
vise ainsi à garantir la disponibilité de ces données à des fins de prévention, de recherche, de détection et de poursuite des infractions graves, comme notamment les infractions liées à la criminalité organisée et au terrorisme. Ainsi, la directive prévoit que les fournisseurs précités doivent conserver les données relatives au trafic, les données de localisation ainsi que les données connexes nécessaires pour identifier l’abonné ou l’utilisateur. En revanche, elle n’autorise pas la conservation du contenu de la communication et des informations consultées.
La CJUE a été requise d’examiner la validité de la directive sous l’angle du respect du droit fondamental à la vie privée et du droit fondamental à la protection des données à caractère personnel.
Constats préliminaires (mais ô combien importants)
La CJUE constate d’abord que les données en question
permettent notamment de savoir avec quelle personne et par quel moyen un abonné ou un utilisateur inscrit a communiqué, de déterminer le temps de la communication ainsi que l’endroit à partir duquel celle-ci a eu lieu et de connaître la fréquence des communications de l’abonné ou de l’utilisateur inscrit avec certaines personnes pendant une période donnée.
Elle retient donc justement que, prises dans leur globalité, ces données
sont susceptibles de fournir des indications très précises sur la vie privée des personnes dont les données sont conservées, comme les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales et les milieux sociaux fréquentés.
Dès lors, et cela ne surprendra personne, la CJUE déclare que,
en imposant la conservation de ces données et en en permettant l’accès aux autorités nationales compétentes, la directive s’immisce de manière particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel.
Elle ajoute d’ailleurs que, sur un plan personnel et du point de vue des citoyens,
le fait que la conservation et l’utilisation ultérieure des données sont effectuées sans que l’abonné ou l’utilisateur inscrit en soit informé est susceptible de générer dans l’esprit des personnes concernées le sentiment que leur vie privée fait l’objet d’une surveillance constante.
Ingérence justifiée dans les droits fondamentaux ?
Tout d’abord, la CJUE estime que la conservation des données n’est, dans le cas présent
pas de nature à porter atteinte au contenu essentiel des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. En effet, la directive ne permet pas de prendre connaissance du contenu des communications électroniques en tant que tel et prévoit que les fournisseurs de services ou de réseaux doivent respecter certains principes de protection et de sécurité des données.
Cette première déclaration surprend, sachant que les “métadonnées” peuvent dévoiler un grand nombre d’éléments personnels au sujet d’un individu, chose que la CJUE a elle-même relevée dans son arrêt. Le fait que le contenu des communications ne puisse pas être connu ne devrait pas nécessairement faire pencher la balance dans l’autre sens.
La CJUE ajoute encore que l’intérêt poursuivi par la directive (prévention, recherche, détection et poursuite d’infractions graves) répond effectivement à un objectif d’intérêt général.
Là-dessus, il n’y a pas grand-chose à contester.
Cependant, la CJUE estime que l’adoption de cette directive par le Parlement européen va au-delà des limites imposées par le respect du principe de proportionnalité. Bien que le but de la directive soit conforme à un intérêt public reconnu, la CJUE déclare que l’ingérence dans les droits fondamentaux des citoyens n’est pas suffisamment encadrée et devrait se limiter au strict nécessaire.
Tout d’abord, aucune différenciation, limitation ou exception n’est opérée (entre les individus, les moyens de communication, et les données) en fonction de l’objectif de lutte contre les infractions graves.En d’autres termes, toute infraction n’est pas forcément grave, et tous les individus ne sont pas forcément des criminels.
Ensuite, la directive ne prévoit aucun critère objectif qui permette de garantir que les autorités nationales compétentes n’accèdent aux données et ne les utilisent qu’aux seules fins de prévenir, détecter ou poursuivre pénalement des infractions susceptibles d’être considérées comme suffisamment graves pour justifier l’ingérence.En d’autres termes, il manque de sérieuses protections contre l’accès aux données conservées. La directive renvoie au droit national pour définir ce qu’est une infraction grave, ce qui ne permet pas de déterminer de critère objectif en la matière. Enfin, aucune condition matérielle ou procédurale n’est prévue par la directive sur la question des conditions d’accès aux données par les autorités nationales.
De plus, la durée de conservation d’au moins 6 mois (mais au maximum 24 mois), sans distinction entre les catégories de données en fonction des personnes en cause ou de l’utilité des données, apparait comme disproportionnée, car la directive ne précise pas les critères objectifs sur la base desquels on détermine la durée de conservation.
Puis, la protection contre le risque d’abus contre l’accès et l’utilisation illicites des données n’est pas suffisamment garantie.La directive autorise les fournisseurs de service à prendre en compte des considérations économiques pour déterminer le niveau de sécurité à adopter, et elle ne garantit pas la destruction irréversible de ces données lorsque la conservation arrive à son terme.
Enfin, la directive n’impose pas de conservation des données sur le territoire de l’Union européenne. C’est-à-dire que les données en question doivent être conservées sur sol européen de façon à ce que le contrôle des exigences de protection et de sécurité des données puisse être réalisé par une autorité indépendante.
Commentaire
Cette décision est une victoire pour les citoyens. Malgré que leurs données soient désormais conservées sans base légale valide dans l’UE, la CJUE a courageusement décidé de fustiger le travail du Parlement européen et de le renvoyer à ses études.
La sécurité et la lutte contre le terrorisme ne sont donc pas des éléments qui permettent de faire tout et n’importe quoi, et surtout n’importe comment, au mépris des droits fondamentaux. Notamment la protection des données et la vie privée.
Cependant, les victimes principales sont les fournisseurs de service dont le pays a transposé la loi, car ils se trouvent dans une situation embarrassante où la base même de la loi qu’ils doivent appliquer est désormais absente, et contredite. Ainsi, ils pourraient décider de ne pas appliquer la loi en question, mais pourraient de ce fait s’exposer à des sanctions, en attendant que la loi soit abrogée.
Les États membres devront donc réformer leur législation nationale, en attendant une nouvelle version de la directive. La CJUE a d’ailleurs clairement déclaré
qu’il appartient aux autorités nationales de tirer les conséquences, dans leur ordre juridique, de ladite déclaration. Les juridictions nationales peuvent ainsi être conduites à déclarer inapplicables les mesures nationales adoptées sur la base de l’acte invalidé […]. Le législateur national peut également décider d’abroger les mesures prises en application de l’acte européen invalide.
Un citoyen européen pourrait donc, dès aujourd’hui, assigner en justice son fournisseur de service pour faire constater comme illégale la rétention des données le concernant, demander la cessation de cette activité et la destruction des données.