Non, les Etats ne font pas ce qu’ils veulent avec les données de connexion !

Publié le par - 244 vues

En ces jours d’attaques terroristes fréquentes, la tentation est grande de renforcer tant et plus les moyens de contrôle. Parmi les données les plus convoitées par les enquêteurs, figurent les données de connexion à l’Internet et aux réseaux de communications. Les Etats font-ils ce qu’ils veulent ? Peuvent-ils obliger les fournisseurs à conserver ces données pour les remettre aux services de police ? L’avocat général vient de leur rappeler qu’il y a des garanties très strictes à respecter.

 

Acte 1 :  annulation de la directive

En avril 2014, la Cour de justice provoquait un petit séisme : elle invalidait une directive qui constituait un pilier pour tout ce qui touche aux e-enquêtes judiciaires et à la e-lutte contre le terrorisme.

La directive sur la conservation des données avait pour objectif principal d’harmoniser les dispositions des Etats membres sur la conservation de certaines données générées ou traitées par les fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communication. Elle visait à garantir la disponibilité de ces données à des fins de prévention, de recherche, de détection et de poursuite des infractions graves, comme notamment les infractions liées à la criminalité organisée et au terrorisme. Cette directive était ancienne (2006) et avait depuis lors été transposée dans les Etats membres, où la loi était en vigueur depuis longtemps. En vigueur mais contestée, au point que la Cour de justice fut saisie dans le cadre de questions préjudicielles provenant d’Irlande et d’Autriche.

La Cour avait estimé qu’en imposant la conservation de ces données et en en permettant l’accès aux autorités nationales compétentes, la directive s’immisce de manière particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel.

La Cour s’était ensuite attachée à vérifier si cette ingérence était justifiée.

Elle avait conclu que si la conservation des données imposée par la directive peut être considérée comme apte à réaliser l’objectif poursuivi par celle-ci, l’ingérence vaste et particulièrement grave de cette directive dans les droits fondamentaux en cause n’était toutefois pas suffisamment encadrée afin de garantir que cette ingérence soit effectivement limitée au strict nécessaire. Parmi les reproches formulés :

·         la directive mettait toutes les infractions sur un pied d’égalité, alors qu’elles ne sont pas toutes nécessairement graves ;

·         la directive ne protégeait pas suffisamment les données contre les accès abusifs. La Cour n’aimait pas trop que les Etats puissent accéder aux données sans critères clairs ;

·         la Cour aurait aimé une directive qui prévoit une durée de conservation à géométrie variable, en fonction de la nature des données et de la gravité de l’infraction soupçonnée ;

·         la directive n’avait pas prévu de sanctions des abus lorsqu’un représentant de l’État accède aux données sans respecter le cadre ;

·         la directive ne prévoyait pas que les données devaient être conservées sur le territoire de l’Union.

Acte 2 : la réaction des opérateurs , des citoyens et des Etats

Peu après cet arrêt, l’entreprise de télécommunication Tele2 Sverige a notifié à l’autorité suédoise de surveillance des postes et télécommunications sa décision de cesser de procéder à la conservation des données ainsi que son intention d’effacer les données déjà enregistrées (affaire C-203/15). Le droit suédois oblige en effet les fournisseurs de services de communications électroniques à conserver certaines données à caractère personnel de leurs abonnés.

Dans l’affaire C-698/15, MM. Tom Watson, Peter Brice et Geoffrey Lewis ont introduit des recours contre le régime britannique de conservation de données qui permet au ministre de l’Intérieur d’obliger les opérateurs de télécommunications publiques de conserver toutes les données relatives à des communications pour une durée maximale de douze mois, étant entendu que la conservation du contenu de ces communications est exclue.

Quant aux Etats, plusieurs d’entre eux ont décidé, dans l’attente d’une nouvelle directive ‘de réparation’, de se doter de législations propres dans cette matière qui n’est plus harmonisée suite à l’annulation de la directive. Les Etats sont par contre tenus, puisqu’il s’agit de données à caractère personnel, d’agir dans le cadre général de la protection de ce type d’informations.

Acte 3 : l’avis de l’avocat général

C’est dans le cadre des deux affaires qui précèdent que l’avocat général vient de rendre un avis.

La question qui était posée consiste à savoir si les Etats peuvent créer une obligation générale de conservation de données imposée aux fournisseurs de services de communications électroniques ?

À cette question, l’avocat général répond « oui, mais ».

·         Du côté du « oui », l’avocat général considère qu’une obligation générale de conservation de données peut être compatible avec le droit de l’Union.

·         Du côté du « non », il ajoute que le recours par les Etats membres à la faculté d’imposer une telle obligation est cependant subordonné au respect d’exigences strictes. Il appartient aux juridictions nationales de vérifier, à la lumière de toutes les caractéristiques pertinentes des régimes nationaux, si ces exigences sont satisfaites. Toutefois, il est impératif que cette obligation soit encadrée par des garanties strictes.

Quelles garanties ?

Mais au fait, quelles sont les garanties nécessaires ? L’avocat général en distingue cinq :

En premier lieu, l’obligation générale de conservation et les garanties l’accompagnant doivent être prévues par des mesures législatives ou réglementaires possédant les qualités d’accessibilité, de prévisibilité et de protection adéquate contre l’arbitraire.

En deuxième lieu, l’obligation doit respecter le contenu essentiel du droit à la vie privée ainsi que du droit à la protection des données à caractère personnel prévus par la Charte.

En troisième lieu, l’avocat général rappelle que le droit de l’Union exige que toute ingérence dans les droits fondamentaux poursuive un objectif d’intérêt général. Il considère que seule la lutte contre des infractions graves constitue un objectif d’intérêt général susceptible de justifier une obligation générale de conservation de données, à la différence de la lutte contre les infractions simples ou le bon déroulement des procédures non pénales.

En quatrième lieu, l’obligation générale de conservation de données doit être strictement nécessaire à la lutte contre les infractions graves, ce qui implique qu’aucune autre mesure ou combinaison de mesures ne doit pouvoir être aussi efficace tout en étant moins attentatoire aux droits fondamentaux. En outre, l’avocat général souligne que cette obligation doit respecter les conditions énoncées dans l’arrêt Digital Rights Ireland en ce qui concerne l’accès aux données, la durée de conservation ainsi que la protection et la sécurité des données, en vue de limiter au strict nécessaire l’atteinte aux droits fondamentaux.

Enfin, l’obligation générale de conservation de données doit être proportionnée, dans une société démocratique, à l’objectif de lutte contre les infractions graves, ce qui implique que les graves risques engendrés par cette obligation dans une société démocratique ne doivent pas être démesurés par rapport aux avantages en découlant dans la lutte contre les infractions graves.

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK