La portée de cet arrêt de la Cour de justice de l’Union européenne devrait secouer les législations nationales en matière d’obligation de conservation de données qui incombe aux fournisseurs de services de communication électronique (ce qui concerne en priorité les opérateurs télécoms, les FAI et les hébergeurs de sites Web).
C’est un sujet important en France, au regard des débats houleux portant sur la loi sur le renseignement adopté cette année et la protection de la confidentialité des citoyens français.
Dans un arrêt du 21 décembre 2016, la CJUE s’oppose à « une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation ».
Néanmoins, les Etats membres peuvent ériger des règles à titre préventif de « conservation ciblée de ces données dans le seul but de lutter contre la criminalité grave ». Ce qui intègre la lutte contre le terrorisme.
Cet arrêt de la CJUE survient après la saisine de deux affaires en Suède et au Royaume-Uni portant sur l’obligation imposée aux fournisseurs de services de communications électroniques de conserver les données de navigation Web et de localisation.
Un opérateur télécoms suédois (Tele2 Sverige en l’occurrence) et des citoyens britanniques avaient entamé des procédures dans leurs pays respectifs. La cour administrative d’appel de Stockholm (Suède) et la chambre civile de la cour d’appel d’Angleterre et du pays de Galles, Royaume-Uni ont demandé un éclairage à la CJUE. Sachant qu’elle avait déjà rendu l’arrêt Digital Rights Ireland du 8 avril 2014 qui abordait déjà ce débat.
Au regard de la cyber-surveillance accrue en Europe, le nouvel arrêt de la CJUE se montre percutant. On peut la synthétiser de la manière suivante : non à une réglementation nationale prévoyant une conservation généralisée et indifférenciée des données. Et ce, au nom de la protection du droit fondamental au respect de la vie privée.
Dévier de cette perception est considérée comme « une ingérence particulièrement grave » par la justice européenne. « Une telle réglementation nationale excède donc les limites du strict nécessaire et ne saurait être considérée comme étant justifiée dans une société démocratique », précise le communiqué associé à l’arrêt de la CJUE.
Les autorités étatiques de maintien de l’ordre, toutes entités confondues (police, renseignement), disposent toutefois d’une fenêtre d’exploitation : « La directive ne s’oppose pas à une réglementation nationale imposant une conservation ciblée des données à des fins de lutte contre la criminalité grave, à condition qu’une telle conservation soit, en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue, limitée au strict nécessaire. »
Toutefois, la CJUE se montre plus conciliante « dans des situations particulières, comme celles dans lesquelles des intérêts vitaux de la sécurité nationale, de la défense ou de la sécurité publique sont menacés par des activités de terrorisme ».
Sous cet angle de risque de troubles majeurs, « l’accès aux données d’autres personnes pourrait également être accordé lorsqu’il existe des éléments objectifs permettant de considérer que ces données pourraient, dans un cas concret, apporter une contribution effective à la lutte contre de telles activités. »
L’arrêt de la CJUE ne tranche pas les litiges nationaux initialement exposés en Suède et au Royaume-Uni. Mais les juridictions nationales chargées de résoudre les affaires devront se conformer à la décision de la Cour de justice de l’Union européenne.
Si d’autres juridictions nationales étaient saisies d’un problème similaire, elles pourraient s’appuyer sur cet arrêt Tele2 Sverige pour trancher.
Cette contribution de la CJUE ravit les Exégètes amateurs du nom d’un « groupe d’action juridique et contentieuse commun » entre French Data Network (FDN), La Quadrature du Net (LQDN) et la fédération des fournisseurs d’accès à Internet associatifs (Fédération FDN).
Ce dernier s’était constitué pour dénoncer des abus présumés de conservation de données par les autorités françaises sur fond de débat lié à l’étendue du renseignement à l’ère numérique.
L’arrêt Tele2 Sverige AB devrait « occuper une place décisive dans l’affaire engagée devant le Conseil d’État », selon un communiqué du jour des Exégètes amateurs. Ces derniers avaient contesté le décret n° 2014-1576 du 24 décembre 2014 relatif à l’accès administratif aux données de connexion pour « excès de pouvoir ».
Dans une décision du 12 février 2016, le Conseil d’État avait rejeté les arguments du groupe d’action. Mais, insatisfait sur la réponse apportée par la plus haute instance de justice administrative, la Cour européenne des droits de l’homme a été saisi le 1er juillet 2016. La boucle est bouclée ?
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…