Quelles sont les conséquences de l’invalidation par la CJUE de la directive Conservation des données personnelles sur la législation française ? Cette question avait été posée par Lionel Tardy en avril 2014. « Aucun effet » vient de lui répondre en substance le gouvernement. [...] Seul moyen d’avoir une réponse objective ? Espérer que les récentes procédures initiées par la Quadrature du Net, FDN et FFDN devant les juridictions françaises soient transmises à la Cour de Justice de l’Union européenne afin que soit jaugé notre système juridique. Qu'en dit le Garde des Sceaux ?
La Cour constitutionnelle belge a annulé hier la législation sur la conservation des données personnelles en vigueur. Elle s'est appuyée sur l'invalidation de la directive du même nom par la Cour de justice de l'Union européenne en avril 2014. En France, cependant, cette décision est restée sans effet. Pour l'instant.
Adoptée après les attentats de Madrid et de Londres en 2004 et 2005, la directive sur la conservation des données personnelles n’avait pas été bien appréciée par la Cour de justice de l’Union européenne. Et pour cause, les juges européens avaient considéré que le texte engendre « une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel sans que cette ingérence soit limitée au strict nécessaire ». Cette directive avait pour ambition d’harmoniser la collecte et la conservation des données dans toute l’Europe. Elle obligeait à cette fin FAI et opérateurs à conserver l’origine, la destination, l’heure et les équipements utilisés entre six mois et deux ans, au libre choix des États membres.
Ce 8 avril 2014, la CJUE a estimé dans son arrêt fondamental Digital Rights que « ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ». Or, si la lutte contre les infractions graves qu’entend mener ce texte est évidemment louable, ses rédacteurs avaient quelque peu oublié de fixer des bornes, obligeant une conservation indifférenciée, même chez les personnes où « il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves ». De même, ces dispositions visaient également « des personnes dont les communications sont soumises, selon les règles du droit national, au secret professionnel » (avocat, etc.), sans encadrer par ailleurs l’accès des autorités nationales, ni prévoir d’encadrement dans ces accès.
Au final, les juges invalidaient cette directive. Depuis lors, plusieurs juridictions nationales ont fait tomber les textes de loi la transposant désormais invalidée : en 2014, l'Irlande, l'Autriche, la Roumanie, la Slovaquie, la Slovénie, en 2015, les Pays-Bas, la Bulgarie. Hier, un nouveau pays s’ajoute à cette liste bien fournie : la Belgique.
Ce texte comprend deux chapitres principaux. Le premier vient préciser les données à conserver par les fournisseurs d’accès et les hébergeurs pour permettre l’identification des personnes qui ont contribué à la création d’un contenu sur un service de communication au public en ligne. Le second précise les modalités d’accès à ces informations dans le cadre des enquêtes administratives relatives à la prévention des actes de terrorisme. Il s’agit dans ce dernier cas d’une extension à ce contexte des dispositions existant déjà pour l’accès aux données détenues par les opérateurs de communications électroniques au titre de l’article L34-1 du code des postes et communications électroniques.
Un arrêt a été rendu voilà quelque temps par le Conseil d’État va impacter directement l’ensemble des opérateurs et des fournisseurs d’accès. La décision est passée inaperçue en novembre dernier, nous y revenons en conséquence compte tenu de ses nombreuses implications.
Selon l'avocat général près la CJUE, la directive sur la conservation des données constitue une ingérence caractérisée dans le droit fondamental des citoyens au respect de la vie privée, en établissant une obligation pour les fournisseurs de services de communications téléphoniques ou électroniques de collecter et de conserver les données de trafic et de localisation de ces communications.
Donner accès à Internet constitue aujourd’hui pour certains professionnels (cybercafés, hôtels, bars ou autres lieux de restauration avec le développement des zones « Wi-Fi » …) une prestation essentielle attendue par leurs clients. Ce service est, toutefois, soumis à des obligations strictement encadrées par la loi.
En effet, si en principe la navigation et la communication sur Internet reposent sur l’anonymat et l’effacement des données relatives au trafic, la loi contraint les personnes qui offrent un accès au réseau Internet à conserver les données techniques de leurs clients, pour les transmettre éventuellement aux services de police.
C'est un énorme pavé dans la mare que l'avocat général de la Cour de justice de l'UE vient de lancer, en remettant en cause la légalité de la directive qui organise la conservation des données de connexion des utilisateurs de l'internet. S'il est suivi, ce sera un désaveu cinglant pour les Etats membres et pour toute la lutte contre le terrorisme telle qu'elle est organisée aujourd'hui.