La décision rendue la 21 décembre 2016 par la Cour de justice de l'Union européenne (CJUE) considère comme non-conforme au droit de l'Union la législation d'un Etat membre qui impose aux fournisseurs d'accès à internet et aux réseaux de télécommunications une obligation de "conservation généralisée et indifférenciée des données".
En l'espèce, la CJUE est saisie sur renvoi préjudiciel. La question est posée par les juges suédois et britanniques, saisis par un opérateur suédois Tele2 Sverige AB et trois parlementaires britanniques, M. Watson, Brice et Lewis, auxquels se sont joints un certain nombre d'ONG.
Elle porte sur l'interprétation de l'article 15 §1 de la directive du 12 juillet 2002 relative au traitement des données à caractère personnel et à la protection de la vie privée dans le secteur des communications. Il énonce que les Etats membres peuvent adopter des lois portant atteinte au principe de confidentialité des conversations personnelles lorsque cette limitation "constitue une mesure nécessaire, appropriée et proportionnée, au sein d'une société démocratique, pour sauvegarder la sécurité nationale - c'est-à-dire la sûreté de l'Etat - la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d'infractions pénales ou d'utilisations non autorisées du système de communication électronique". Les lois suédoises et britanniques de lutte contre le terrorisme imposent aux opérateurs la conservation de données relatives aux communications ainsi que l'accès à ces données par les autorités publiques nationales. Elles ne sont pas les seules, et bon nombre d'Etats européens comme la France, sont intervenus à l'audience pour défendre leur système juridique.
La conséquence de Digital Rights Ireland
Quoi qu'il en soit, le présent litige est la conséquence d'un arrêt précédent de la CJUE. Dans l'affaire Digital Rights Ireland du 8 avril 2014, elle avait déjà déclaré non conforme au traité la directive de 2006 sur la rétention des données qui permettait de contraindre les opérateurs à conserver les données relatives aux
communications de leurs abonnées pour une durée minimale de six mois et
maximale de deux ans, (...) afin de garantir "la disponibilité de ces données à des fins de recherche, de détection et de poursuite d'infractions graves".
A l'époque, la CJUE avait écarté cette directive au motif que l'ingérence dans la vie privée des personnes qu'elle induisait était excessive par rapport aux objectifs de sécurité poursuivis. Elle faisait notamment valoir que ses dispositions ne s'appliquaient pas seulement aux personnes mêlées à une affaire pénale, mais aussi et surtout à des citoyens sur lesquels ne pesait aucun soupçon. Sur la base de la décision Digital Rights Ireland, la Tele2 Sverige AB avait donc décidé de ne plus conserver les données personnelles de ses utilisateurs, en violation du droit interne suédois.
 |
| Valerio Adami. Private Life. 1970 |
Le champ d'application
La première question posée à la CJUE est celle du champ d'application de
la directive de 2002. Elle semble en effet, du moins à la première
lecture, comporter des dispositions contradictoires. Son article 1er § 3
énonce en effet que "la présente directive ne s'applique pas aux activités qui ne
relèvent pas du traité (...) et, en tout état de cause, aux activités
concernant la sécurité publique, la défense, la sûreté de l'Etat, ou
activités de l'Etat dans des domaines relevant du droit pénal".
C'est sur cette disposition que s'appuyait l'opinion française
développée devant la Cour, estimant que tout le champ de la lutte contre
le terrorisme et la grande criminalité était exclu du champ
d'application de la directive.
Le problème est que l'article 15 § 1 dit exactement le contraire. Il a été introduit dans la directive de 2002 par une autre directive du 25 novembre 2009 qui prévoit, cette fois, que la confidentialité des communications électroniques s'applique "aux mesures prises par toute personne autre que les utilisateurs", qu'il s'agisse de personnes privées ou d'"entités étatiques". La Cour fait observer que l'application stricte de l'article 1er § 3 priverait d'effet utile l'article 15 § 1. Celui-ci doit donc être considéré comme constituant en quelque sorte une loi spéciale applicable à toute réglementation de droit interne.
Interdiction de la "conservation généralisée et indifférenciée"
La Cour exerce ensuite son contrôle de proportionnalité. Elle rappelle que la directive énonce une interdiction de principe à toute personne autres que les utilisateurs de stocker sans leur consentement les données afférentes à leurs communications électroniques. Ce principe a d'ailleurs déjà été formulé dans un arrêt du 29 janvier 2008 Promusicae, et mentionné comme étant d'interprétation stricte dans une décision Probst du 22 novembre 2012. Dès lors que le principe est celui du secret des communications, toute dérogation doit nécessairement être limitée, restreinte à ce qui est strictement nécessaire. Tel n'est pas le cas d'un système juridique qui impose aux fournisseurs d'accès et de télécommunications "une conservation généralisée et indifférenciée" des données de connexion de leurs utilisateurs.
La conservation "ciblée"
La Tele2 Sverige AB met-elle en question le droit français ? Différentes raisons permettent d'en douter, car la CEDH n'interdit pas une conservation "ciblée" des données personnelles.
On peut considérer que le droit français ne repose pas sur "une conservation généralisée et indifférenciée" des données personnelles circulant sur les réseaux. Il est vrai que les fournisseurs d'accès sont tenus de conserver les "données de connexion" de leurs clients pendant une année. Il s'agit de l'ensemble des identifiants (nom, mot de passe) ainsi que des informations techniques telles que la date et l'heure des connexion auxquelles s'ajoutent d'éventuelles références de paiement. Ces données sont limitativement énumérées dans l'article 1er du décret du 25 février 2011 et la liste ne mentionne pas le contenu des messages échangés. La conservation est peut-être généralisée car elle concerne tous les utilisateurs des réseaux, mais elle n'est pas indifférenciée car toutes les informations ne sont pas conservées.
Quant à la loi renseignement du 24 juillet 2015, elle n'a pas pour finalité de conserver toutes les données accessibles mais seulement, dans un flux constant, de déceler celles qui sont pertinentes pour identifier des personnes représentant un danger pour la sécurité publique. Le droit distingue donc clairement la collecte de la conservation. S'il autorise éventuellement une collecte de masse organisée comme un filet dérivant, il ne permet pas une "une conservation généralisée et indifférenciée", d'ailleurs totalement inutile.
Dans sa décision Tele2 Sverige AB la Cour de justice prend soin d'affirmer que la conservation de données à des fins de police administrative n'est pas formellement prohibée, dès qu'il s'agit de "prévenir un risque grave pour la sécurité publique", qu'il s'agisse de lutter contre le terrorisme ou la grande criminalité. Dans ce cas cependant, cette conservation doit faire l'objet d'une procédure préalable faisant intervenir un juge ou une autorité indépendante. Or, la loi renseignement prend soin de mettre en place une procédure d'autorisation faisant intervenir la Commission nationale de contrôle des techniques de renseignement (CNCTR), autorité indépendante et soumise au contrôle du Conseil d'Etat. Tout cela est sans doute largement cosmétique, mais l'ensemble répond, au moins formellement, aux conditions posées par la CJUE.
La décision du 21 décembre 2016 ne remet donc pas en cause le droit français, et il est probable que les autorités françaises ne changeront rien au système existant. Quoi qu'il en soit, le renseignement commence seulement à faire l'objet d'un encadrement juridique minimum et il serait dommage que les décisions de la CJUE conduisent les Etats à finalement préférer l'opacité.
Sur la protection des données personnelles : Chapitre 8 section 5 du manuel de libertés publiques sur internet.
Même si cette jurisprudence de la Cour de Luxembourg, apparait comme protectrice des droits fondamentaux des citoyens de l'Union européenne (protection de la vie privée), elle laisse le lecteur déboussolé au moins à deux titres :
RépondreSupprimer- par la contradiction dans les termes mêmes de la directive concernée. Les textes de compromis adoptés à Bruxelles, comme dans toute négociation internationale, prêtent souvent le flanc à pareille critique. C'est ce que les experts qualifient de théorie de l'ambiguïté constructive. Faire dire aux mots tout et son contraire pour parvenir à un accord au forceps !
- par le recours à des concepts flous et volatils comme ceux de contrôle de proportionnalité (où est la limite entre l'acceptable et l'inacceptable ?) et de conservation ciblée (où commence-t-elle et où finit-elle ?). Si ces concepts sont séduisants en théorie, ils sont parfois difficiles à mettre en oeuvre dans la pratique quotidienne.
Une fois encore, l'équilibre entre protection de la sécurité de tous et respect de la sécurité de chacun est toujours très délicat à trouver dans une période de recrudescence de la menace terroriste (Cf. attentat de Berlin).
Même si cette remarque pourrait paraître incongrue dans un blog consacré à l'analyse du droit positif, en matière de défense des libertés publiques contre les dérives potentielles de la "déraison d'état" : "il n'y a de victoire que morale" (Jean-Paul II en Pologne, 1983).
=== POST SCRIPTUM ===
Rendons grâce à notre président de la République touché par la grâce, à qui l'on n'avait pas accordé d'état de grâce au début de son quinquennat, qui a usé avec humanité et humilité de son droit de grâce dans une affaire aussi douloureuse que celle de Jacqueline Sauvage. Ma pensée est parfaitement reflétée dans cette conclusion d'un article paru ce jour sur le sujet :
"Enfin, que vaut cette justice si rigoureuse avec une femme battue par un mari violeur de ses deux filles, et si apte à comprendre les difficultés d’une autre, dispensée de peine le 19 décembre dernier, car elle subissait la pression de « la crise financière mondiale », et en raison de « sa personnalité et de sa réputation nationale et internationale ». Les deux cas sont différents, les juridictions aussi, et le commentaire propice à la démagogie, mais ces deux événements sont tout de même survenus à dix jours d’intervalle, et ils concernent la même justice. Virginie Duval, la présidente de l’USM (Union des syndicats de magistrats) est dans son rôle quand elle écrit dans un tweet : « cette décision est consternante, c’est une atteinte totale aux décisions de justice ». On aurait apprécié le même genre d’envolée quand la puissante patronne du FMI a été condamnée et amnistiée de fait par une autre cour.
À moins, naturellement, que la légitime défense d’une femme au nom de sa dignité et de celle de sa famille n'ait moins de valeur que le prix du pouvoir, et la puissance de l’argent" ("Jacqueline Sauvage : les paradoxes d'un président et l'injustice", Hubert Huertas, www.mediapart.fr, 29 décembre 2016).
Gnouf ! Je Me porte bien.
RépondreSupprimerDidonque, Meuf, tapas mieuzafaire que diffuser entre Noël et le Jour de l’Elan un post aussi ennuyeux ?
Finalement, on ne sait pas ce qui est permis et ce qui est interdit et en plus tout le monde s’en fout. La NSA n’y prend garde, ni le FSB.
Uhuhuhuhuhuhuhuh…u.
LNE
Vous écrivez :
RépondreSupprimer"La conservation est peut-être généralisée car elle concerne tous les utilisateurs des réseaux, mais elle n'est pas indifférenciée car toutes les informations ne sont pas conservées." car "Ces données sont limitativement énumérées dans l'article 1er du décret du 25 février 2011 et la liste ne mentionne pas le contenu des messages échangés."
Le droit suédois disait (voir le point 17 de l'arrêt):
"17 Selon les indications de la juridiction de renvoi dans l’affaire C‑203/15, les dispositions de l’article 16 a du chapitre 6 de la LEK, lues en combinaison avec l’article 1er du chapitre 2 de cette loi, prévoient une obligation pour les fournisseurs de services de communications électroniques de conserver les données dont la conservation était prévue par la directive 2006/24. Il s’agit des données relatives aux abonnements et à toutes communications électroniques nécessaires pour retrouver et identifier la source et la destination d’une communication, pour en déterminer la date, l’heure, la durée et la nature, pour identifier le matériel de communication utilisé ainsi que pour localiser le matériel de communication mobile utilisé au début et à l’achèvement de la communication. L’obligation de conservation des données porte sur les données générées ou traitées dans le cadre d’un service de téléphonie, d’un service de téléphonie par un point de connexion mobile, d’un système de messagerie électronique, d’un service d’accès à Internet ainsi que d’un service de fourniture de capacités d’accès à Internet (mode de connexion). Cette obligation inclut également les données relatives aux communications infructueuses. Elle ne porte cependant pas sur le contenu des communications."
Donc, en suivant votre raisonnement, la CJUE n'a absolument pas remis en cause le droit suédois.
Un tel aveuglement de votre part est effrayant.