La Cour de justice de l'Union européenne (CJUE) a offert une nouvelle victoire aux défenseurs de la protection des données.
En 2014, elle avait déjà invalidé la directive sur la conservation des données. À la suite de quoi elle avait été saisie de deux affaires sur l’obligation imposée aux opérateurs de garder les données des utilisateurs par les législations suédoise et britannique.
Dans un arrêt très attendu, la Cour européenne a jugé, le 21 décembre, que les États membres ne peuvent pas imposer aux fournisseurs de services de communications électroniques une obligation générale et indiscriminée de conservation des données de trafic et de localisation.
Un renversement du raisonnement de l’avocat général
En juillet, l’avocat général, Henrik Saugmandsgaard Øe, a estimé que la conservation des données n’est pas contraire au droit européen, mais qu’elle doit être strictement encadrée.
La Cour a inversé la norme : cette pratique est contraire au droit de l’Union, sauf pour lutter contre "la criminalité grave", qui est la seule finalité qui peut la justifier.
Le cas échéant, la rétention doit être ciblée et limitée à ce qui est "strictement nécessaire". L’accès aux données conservées par les autorités nationales doit être soumis à plusieurs conditions, dont un examen préalable par un tribunal ou une autorité indépendante, sauf en cas d’urgence, et la localisation des données au sein de l’UE.
Par ailleurs, lorsque les autorités obtiennent l’autorisation d’accéder aux données conservées, elles doivent en informer la personne concernée.
Une obligation qui rappelle la nouvelle loi suisse de surveillance, a expliqué à Contexte Lukasz Olejnik, consultant en sécurité et protection des données et chercheur à l’University College de Londres. Dans un texte voté en septembre 2016, la Suisse a créé un précédent en précisant qu’« à la fin de toute opération, la personne surveillée devra en être informée".
La loi surveillance britannique dans la tourmente
Le texte sur la surveillance, voté par le Parlement britannique et promulgué par la reine en décembre, est directement concerné par cet arrêt.
La loi britannique, surnommée Snooper's Charter, prévoit plusieurs obligations de rétention des données, et notamment la conservation générale et indiscriminée de l’historique de navigation internet pendant un an.
L’impact de cet arrêt sur le texte est cependant incertain. Quand le Brexit sera finalisé, le Royaume-Uni ne sera plus soumis à la jurisprudence de la CJUE. En revanche, si Londres veut continuer à échanger des données avec l’Europe (et vice-versa), il lui faudra démontrer que son régime de protection est similaire à celui du continent.
"Des graviers dans la chaussure de Bernard Cazeneuve"
En France, la réaction des Exégètes amateurs ne s'est pas faite attendre :
Les Exégètes amateurs regroupent le French Data Network (FDN), La Quadrature du net (LQDN) et la Fédération des fournisseurs d'accès à internet associatifs (Fédération FDN). Ils ont déposé plusieurs recours contre des textes français liés à la surveillance.
"Il apparaît tout à fait improbable que le droit français soit maintenu en l’état."
Seront affectés "au minimum les articles de loi qui organisent la rétention des données de connexion chez les opérateurs, comme l’article L34-1 du code des postes et des communications électroniques et la loi pour la confiance dans l’économie numérique, ainsi que les volets réglementaires", a précisé à Contexte Benjamin Bayart, président de la Fédération des fournisseurs d'accès à internet associatifs et co-fondateur de la Quadrature du net.
Par exemple le décret de 2011 sur la conservation et la communication des données, en application de la LCEN.
Les recours contre la loi renseignement ont également de beaux jours devant eux. Par exemple, le contrôle préalable par une autorité judiciaire et entité judiciaire indépendante, demandé par la CJUE, n’est pas nécessairement garanti en France par la Commission nationale de contrôle des techniques de renseignement (CNTR), dans la mesure où son avis n’est que consultatif.
Les Exégètes amateurs ont déposé un recours, entre autres, contre le décret sur l'organisation de la Commission nationale de contrôle des techniques de renseignement (CNTR).
La CJUE a coupé l’herbe sous le pied des arguments du gouvernement français, qui estime que les modalités de mise en œuvre des textes sur la rétention des données relèvent de la souveraineté nationale, analyse l’avocat Alexandre Archambault, fin connaisseur des problématiques de protection des données :
"La marge de subsidiarité au niveau national est réduite à sa plus simple expression. Le contrôle de la Cour porte sur le principe, mais aussi sur les modalités". La seule marge de manœuvre restante est la définition de la "criminalité grave".
"Ce n’est plus un caillou, mais des graviers dans la chaussure de Bernard Cazeneuve", ajoute-t-il.
Cet arrêt est également un message envoyé à la Commission, au Conseil et au Parlement européens, juge maître Archambault :
"C’est un sacré signal donné à la Commission : une directive a été invalidée il y a trois ans, et entre-temps, vous n’avez rien fait. Aux États, la Cour dit que ce n’est pas parce que c’est open bar au niveau européen que vous pouvez tout faire, vous ne pouvez pas dénaturer les principes".