Par Gérard HAAS et Enzo FALCONIERI
La CJUE protège les internautes européens contre toute surveillance généralisée de leurs données de connexion. En effet, le droit de l’UE s’oppose à ce qu’une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une « conservation généralisée et indifférenciée de l’ensemble des données de trafic et de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication ».
La grande chambre de la Cour de justice de l’Union Européenne, dans son arrêt du 21 décembre 2016 (aff. C-203/15) affirme que les réglementations nationales ne peuvent prévoir qu’une conservation ciblée des données de connexion.
Saisie de deux questions préjudicielles par le Kammarrätten i Stockholm et la Court of Appeal England & Wales Civil Division, la Cour devait se prononcer sur le fait de savoir si une réglementation nationale peut imposer à un fournisseur de services de communications électroniques une « conservation généralisée et indifférenciée » l’ensemble des métadonnées relatives au trafic et à la localisation utilisateurs, tels que : le site consulté, l’heure de consultation, la localisation du terminal de consultation, etc.
Reprenant le raisonnement qu’elle avait tenu dans son arrêt Digital Rights Ireland (1), la Cour rappelle (2) que la protection du droit fondamental au respect de la vie privée des personnes exige que les dérogations à la protection des données à caractère personnel s’opèrent dans les limites du strict nécessaire.
Or, la Cour note que, dans leur ensemble, les données conservées par les FAI permettent de « tirer des conclusions très précises sur la vie privée des personnes ».
En ce sens, la Cour considère que la conservation de telles données doit être regardée comme particulièrement grave (3) et qu’une conservation générale et indifférenciée de ces données « ne saurait être considérée comme justifiée dans une société démocratique ».
La Cour n’interprète pas pour autant la directive « vie privée et communication électronique » comme s’opposant à toute conservation de données trafic et de localisation.
La Cour précise qu’une telle conservation est possible pour lutter contre la criminalité grave pour autant qu’elle :
- soit claire et précise,
- repose sur des garanties suffisantes,
- et soit fondée sur des éléments objectifs pour définir les circonstances et les conditions dans lesquelles l’accès aux données est possible par les autorités nationales compétentes.
En pratique, une réglementation nationale peut prévoir une conservation ciblée des données à des fins de lutte contre la criminalité grave si et seulement si, elle est limitée au strict nécessaire quant à :
- la catégorie de données à conserver ;
- les moyens de communication visés ;
- les personnes concernées ;
- la durée de conservation.
Enfin, la Cour apporte deux précisions importantes en pratique en ce qui concerne la garantie du respect de la vie privée des personnes :
- l’accès aux données conservées doit, sauf urgence, être subordonnée au contrôle préalable d’un juge ou d’une entité indépendante ;
- les personnes concernées doivent être informées de l’accès ;
- la réglementation doit prévoir une conservation de ces données sur le territoire de l’UE.
Ainsi, si la Suède et le Royaume-Uni devront modifier leur législation, en France, la question se pose de l’impact de cette décision sur la loi Renseignement, la LCEN ainsi que l’article L. 34-1 du code des postes et des communications électroniques.
Pour toute demande d’information, contactez nous ICI.
(1) CJUE, 8 avril 2014, aff. C-293/12 : par lequel elle avait invalidé la directive 2006/24/CE sur la conservation des données pour absence de garanties suffisantes imposées aux Etats membres.
(2) Faisant application de la directive 2002/58/CE « vie privée et communication électronique » interprétée à la lumière de la Charte des droit fondamentaux de l’UE
(3) De nature à générer chez les personnes concernées le sentiment que leur vie privée est sous surveillance constante, précise la Cour.