Les cartes prépayées
On sait que ces cartes prépayées sont certes utilisées par des personnes parfaitement honnêtes désirant payer moins cher leurs communications lorsqu'elles voyagent à l'étranger. Mais elles font aussi l'objet d'un usage moins avouable, en particulier par les membres des mouvements terroristes ou de la grande criminalité qui souhaitent ne pas pouvoir être identifiés et qui, de fait, sont alors difficilement identifiables une fois leurs forfaits commis. Les cartes SIM prépayées permettent ainsi à des délinquants, petits ou grands, de se soustraire à la justice. On a même vu certains usages de pseudonymes, tels que "Paul Bismuth", destinés à soustraire les conversations aux écoutes de la police.
Après les attentats de 2015 à Paris et de 2016 à Bruxelles, les Etats ont commencé à légiférer dans ce domaine. Aujourd'hui, une quinzaine de membres du Conseil de l'Europe imposent une déclaration de l'identité de l'acheteur d'une carte prépayée, en y ajoutant parfois d'autres données d'identification telles que l'adresse personnelle ou professionnelle. La durée de la conservation des données est assez variable selon les Etats, de même que la liste des autorités habilitées à les consulter. Dans tous les cas cependant, la mesure est motivée par la volonté de réprimer des actions criminelles et d'assurer l'ordre public.
L'Allemagne, quant à elle, avait pris de telles dispositions dès 2004, imposant aux utilisateurs de cartes prépayées la déclaration de leur identité, de leur adresse, de leur numéro de téléphone et de leur date de naissance. En 2012, deux citoyens allemands particulièrement attachés à la protection des données personnelles, et l'on sait qu'il existe dans ce pays une grande sensibilité à cette question, ont contesté cette législation, dans laquelle ils voient un instrument de surveillance de l'Etat. Ils ont introduit une action contestant la constitutionnalité de ces dispositions, mais le Tribunal de Karlsruhe a rejeté cette requête le 24 janvier 2012.
Devant la CEDH, ils invoquent une atteinte à l'article 8 de la Convention européenne de sauvegarde des droits de l'homme, qui protège la vie privée des personnes.
L'article 2 de la convention européenne sur la protection des données définit comme donnée à caractère personnel "toute information concernant une personne physique identifiée ou identifiable". Une jurisprudence constante de la CEDH considère donc que la collecte, la conservation et l'utilisation de données personnelles constituent des ingérences dans la vie privée. Il en ainsi, par exemple, en matière d'utilisation du GPS dans les enquêtes criminelles (CEDH, 2 septembre 2010, Uzun c. Allemagne), de l'exigence de communication de données personnelles par les fournisseurs d'accès (CEDH, 2 décembre 2008, K.U. c. Finlande), de fichier d'empreintes digitales (CEDH, 13 novembre 2012, S. and Marper c. Royaume Uni) ou encore des fichier des auteurs de violences sexuelles (CEDH, 17 décembre 2009, Gardel c. France).
Cette ingérence dans la vie privée est toutefois parfaitement licite si elle est organisée par la loi, répond à un but légitime, et se révèle "nécessaire dans une société démocratique". En l'espèce, la collecte des données sur les acheteurs de cartes prépayées est prévue par la loi allemande. Le but légitime n'est pas contesté, puisqu'il s'agit à la fois de poursuivre les auteurs d'infractions pénales et de lutter préventivement contre le terrorisme.
Reste le caractère "nécessaire dans une société démocratique", appréciation qui est réalisée par un contrôle de proportionnalité. La CEDH va donc s'assurer que l'ingérence dans la vie privée que constitue cette collecte de donnée est proportionnée aux buts annoncés. Dans plusieurs arrêts, et notamment Ramda c. France du 19 décembre 2017, la Cour affirme que la lutte contre le crime organisé et le terrorisme constitue une ardente nécessité. L'évolution des télécommunications requiert, quant à elle, de nouveaux instruments d'investigation, nécessité formulée dans l'arrêt Marper c. Royaume-Uni.
En l'espèce, les requérants font valoir que cette contrainte d'identification des acheteurs de carte SIM prépayée peut être contournée par l'usage d'une carte volée ou d'un faux nom. Aux yeux de la CEDH, un tel argument ne permet pas de contester l'utilité de cette procédure qui a pour objet de renforcer les moyens de l'Etat de droit.
Les requérants invoquent aussi la décision rendue par la Cour de justice de l'Union européenne le 8 avril 2014 Digital Rights Ireland, dans laquelle le juge européen écarte une directive de 2006 qui mettait en place une collecte de masse des données privées figurant sur internet, et spécialement les réseaux sociaux. Il s'agissait alors d'effectuer un profilage des individus, en particulier au profit des entreprises privées actives sur le net, par exemple pour mieux connaître leurs habitudes de consommations et davantage cibler les actions de promotion. Mais dans l'affaire Breyer devant la CEDH, les données collectées ne sont pas particulièrement sensibles et de ne permettent pas d'établir des profils de comportement. La conservation des données est limitée dans le temps (un an après la fin de la relation contractuelle avec l'entreprise qui a vendu la carte SIM), durée qui semble opérer une conciliation satisfaisante entre les besoins de la police et la protection des données personnelles. Au regard de ces considérations, la CEDH estime donc que la loi allemande ne porte pas une atteinte excessive à la vie privée.
Et qu'en est-il du droit français ? Le décret du 10 novembre 2016 relatif à la lutte contre le financement du terrorisme, entré en vigueur le 1er janvier 2017, impose désormais une déclaration lors de l'achat d'une carte prépayée. Elle peut toutefois intervenir a posteriori, par l'envoi au fournisseur de la copie d'une pièce d'identité. Si cette procédure n'est pas respectée, la carte SIM sera désactivée dans un délai de quinze jours. On peut évidemment s'interroger sur l'efficacité du système : n'est-il pas possible d'envoyer la copie d'une fausse pièce d'identité, ou de celle d'un tiers ? N'est-il pas plus simple, si l'on est animé d'intentions plus ou moins honnêtes, d'acheter dans des circuits plus ou moins opaques une carte volée ou venant de l'étranger ? Bref, les lacunes de législations demeurent importantes et les Paul Bismuth en tous genres ont sans doute encore de beaux jours devant eux.
 |
| Placide. Médiapart, 19 avril 2016 |
Les données à caractère personnel
L'article 2 de la convention européenne sur la protection des données définit comme donnée à caractère personnel "toute information concernant une personne physique identifiée ou identifiable". Une jurisprudence constante de la CEDH considère donc que la collecte, la conservation et l'utilisation de données personnelles constituent des ingérences dans la vie privée. Il en ainsi, par exemple, en matière d'utilisation du GPS dans les enquêtes criminelles (CEDH, 2 septembre 2010, Uzun c. Allemagne), de l'exigence de communication de données personnelles par les fournisseurs d'accès (CEDH, 2 décembre 2008, K.U. c. Finlande), de fichier d'empreintes digitales (CEDH, 13 novembre 2012, S. and Marper c. Royaume Uni) ou encore des fichier des auteurs de violences sexuelles (CEDH, 17 décembre 2009, Gardel c. France).
Cette ingérence dans la vie privée est toutefois parfaitement licite si elle est organisée par la loi, répond à un but légitime, et se révèle "nécessaire dans une société démocratique". En l'espèce, la collecte des données sur les acheteurs de cartes prépayées est prévue par la loi allemande. Le but légitime n'est pas contesté, puisqu'il s'agit à la fois de poursuivre les auteurs d'infractions pénales et de lutter préventivement contre le terrorisme.
Le contrôle de proportionnalité
Reste le caractère "nécessaire dans une société démocratique", appréciation qui est réalisée par un contrôle de proportionnalité. La CEDH va donc s'assurer que l'ingérence dans la vie privée que constitue cette collecte de donnée est proportionnée aux buts annoncés. Dans plusieurs arrêts, et notamment Ramda c. France du 19 décembre 2017, la Cour affirme que la lutte contre le crime organisé et le terrorisme constitue une ardente nécessité. L'évolution des télécommunications requiert, quant à elle, de nouveaux instruments d'investigation, nécessité formulée dans l'arrêt Marper c. Royaume-Uni.
En l'espèce, les requérants font valoir que cette contrainte d'identification des acheteurs de carte SIM prépayée peut être contournée par l'usage d'une carte volée ou d'un faux nom. Aux yeux de la CEDH, un tel argument ne permet pas de contester l'utilité de cette procédure qui a pour objet de renforcer les moyens de l'Etat de droit.
Les requérants invoquent aussi la décision rendue par la Cour de justice de l'Union européenne le 8 avril 2014 Digital Rights Ireland, dans laquelle le juge européen écarte une directive de 2006 qui mettait en place une collecte de masse des données privées figurant sur internet, et spécialement les réseaux sociaux. Il s'agissait alors d'effectuer un profilage des individus, en particulier au profit des entreprises privées actives sur le net, par exemple pour mieux connaître leurs habitudes de consommations et davantage cibler les actions de promotion. Mais dans l'affaire Breyer devant la CEDH, les données collectées ne sont pas particulièrement sensibles et de ne permettent pas d'établir des profils de comportement. La conservation des données est limitée dans le temps (un an après la fin de la relation contractuelle avec l'entreprise qui a vendu la carte SIM), durée qui semble opérer une conciliation satisfaisante entre les besoins de la police et la protection des données personnelles. Au regard de ces considérations, la CEDH estime donc que la loi allemande ne porte pas une atteinte excessive à la vie privée.
Et qu'en est-il du droit français ? Le décret du 10 novembre 2016 relatif à la lutte contre le financement du terrorisme, entré en vigueur le 1er janvier 2017, impose désormais une déclaration lors de l'achat d'une carte prépayée. Elle peut toutefois intervenir a posteriori, par l'envoi au fournisseur de la copie d'une pièce d'identité. Si cette procédure n'est pas respectée, la carte SIM sera désactivée dans un délai de quinze jours. On peut évidemment s'interroger sur l'efficacité du système : n'est-il pas possible d'envoyer la copie d'une fausse pièce d'identité, ou de celle d'un tiers ? N'est-il pas plus simple, si l'on est animé d'intentions plus ou moins honnêtes, d'acheter dans des circuits plus ou moins opaques une carte volée ou venant de l'étranger ? Bref, les lacunes de législations demeurent importantes et les Paul Bismuth en tous genres ont sans doute encore de beaux jours devant eux.
Sur la protection des données personnelles : Chapitre 8 section 5 du manuel de libertés publiques sur internet.
