01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Surveillance de masse et protection des données

surveillance protection des données haas avocats
  • Actualité juridique, Avertissement public, Base de données, BIG DATA, CNIL, Communication, Consommation, Cybercriminalité, Cybersurveillance, Data, Données personnelles, Droit de l'Internet, Droit des télécommunications, Droits de l'Homme, E-Réputation, Fichier informatique, Information et libertés, Libertés individuelles, Loi Informatique et libertés, Sanctions, Vie privée

Par Gérard HAAS et Enzo FALCONIERI

La CJUE protège les internautes européens contre toute surveillance généralisée de leurs données de connexion. En effet, le droit de l’UE s’oppose à ce qu’une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une « conservation généralisée et indifférenciée de l’ensemble des données de trafic et de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication ».

La grande chambre de la Cour de justice de l’Union Européenne, dans son arrêt du 21 décembre 2016 (aff. C-203/15) affirme que les réglementations nationales ne peuvent prévoir qu’une conservation ciblée des données de connexion.

Saisie de deux questions préjudicielles par le Kammarrätten i Stockholm et la Court of Appeal England & Wales Civil Division, la Cour devait se prononcer sur le fait de savoir si une réglementation nationale peut imposer à un fournisseur de services de communications électroniques une « conservation généralisée et indifférenciée » l’ensemble des métadonnées relatives au trafic et à la localisation utilisateurs, tels que : le site consulté, l’heure de consultation, la localisation du terminal de consultation, etc.

Reprenant le raisonnement qu’elle avait tenu dans son arrêt Digital Rights Ireland (1), la Cour rappelle (2) que la protection du droit fondamental au respect de la vie privée des personnes exige que les dérogations à la protection des données à caractère personnel s’opèrent dans les limites du strict nécessaire.

Or, la Cour note que, dans leur ensemble, les données conservées par les FAI permettent de « tirer des conclusions très précises sur la vie privée des personnes ».

En ce sens, la Cour considère que la conservation de telles données doit être regardée comme particulièrement grave (3) et qu’une conservation générale et indifférenciée de ces données « ne saurait être considérée comme justifiée dans une société démocratique ».

La Cour n’interprète pas pour autant la directive « vie privée et communication électronique » comme s’opposant à toute conservation de données trafic et de localisation.

La Cour précise qu’une telle conservation est possible pour lutter contre la criminalité grave pour autant qu’elle :

  • soit claire et précise,
  • repose sur des garanties suffisantes,
  • et soit fondée sur des éléments objectifs pour définir les circonstances et les conditions dans lesquelles l’accès aux données est possible par les autorités nationales compétentes.

En pratique, une réglementation nationale peut prévoir une conservation ciblée des données à des fins de lutte contre la criminalité grave si et seulement si, elle est limitée au strict nécessaire quant à :

  • la catégorie de données à conserver ;
  • les moyens de communication visés ;
  • les personnes concernées ;
  • la durée de conservation.

Enfin, la Cour apporte deux précisions importantes en pratique en ce qui concerne la garantie du respect de la vie privée des personnes :

  • l’accès aux données conservées doit, sauf urgence, être subordonnée au contrôle préalable d’un juge ou d’une entité indépendante ;
  • les personnes concernées doivent être informées de l’accès ;
  • la réglementation doit prévoir une conservation de ces données sur le territoire de l’UE.

Ainsi, si la Suède et le Royaume-Uni devront modifier leur législation, en France, la question se pose de l’impact de cette décision sur la loi Renseignement, la LCEN ainsi que l’article L. 34-1 du code des postes et des communications électroniques.

 

Pour toute demande d’information, contactez nous ICI.

 

(1) CJUE, 8 avril 2014, aff. C-293/12 : par lequel elle avait invalidé la directive 2006/24/CE sur la conservation des données pour absence de garanties suffisantes imposées aux Etats membres.

(2) Faisant application de la directive 2002/58/CE « vie privée et communication électronique » interprétée à la lumière de la Charte des droit fondamentaux de l’UE

(3) De nature à générer chez les personnes concernées le sentiment que leur vie privée est sous surveillance constante, précise la Cour.

 

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com