Données de connexions et surveillance de masse de la population : le juge de l’Union européenne dit STOP !
Le 6 octobre 2020, la Cour de justice de l’Union européenne (CJUE) a rendu deux décisions très attendues en matière de surveillance étatique.
Plusieurs organisations non-gouvernementales et associations au Royaume-Uni, en France et en Belgique contestaient la collecte par les Etats des données de connexion de citoyens à des fins de renseignement.
Faits
Revenons tout d’abord en 2015 au Royaume-Uni…
Un rapport de la Commission du renseignement et de la sécurité du Parlement du Royaume-Uni avait rendu public l’existence de pratiques de recueil et d’utilisation de données relatives à des communications de masse par différents services de sécurité et de renseignement du Royaume-Uni.
Ces pratiques étaient autorisées par :
- une mesure législative qui imposait aux opérateurs d’accès Internet et de téléphonie de conserver toutes les données relatives au trafic et à la localisation de leurs clients
- une mesure législative qui imposait à ces opérateurs d’accorder aux autorités nationales compétentes l’accès à ces données
Le 5 juin 2015, Privacy International, une organisation non-gouvernementale spécialisée dans la protection des droits de l’Homme et plus particulièrement de la vie privée, avait saisi le tribunal chargé des pouvoirs d’enquête au Royaume-Uni d’un recours en contestant la légalité de ces pratiques au regard du droit de l’Union et notamment de la directive « vie privée et communication électroniques » de 2002.
Procédure
Privacy International considère que ces pratiques sont illégales au regard du droit de l’Union car elles portent atteinte au droit à la vie privée des citoyens.
Le Gouvernement du Royaume-Uni, défendeur, conteste la compétence du droit de l’Union dans cette affaire. Il considère que l’obligation de conservation des données ainsi que l’obligation de les transmettre sont de la compétence exclusive de chaque Etat membre car cela a trait à la sécurité nationale.
La juridiction britannique a donc interrogé la Cour de Justice de l’UE pour savoir si le droit de l’Union s’appliquait en l’espèce ou non.
La réponse de la CJUE
1. La CJUE considère que le droit de l’Union s’applique à ces législations nationales.
Ainsi, la Cour de l’Union confirme sa décision Tele2 Sverige et Watson rendue en 2016. Dans cette dernière, elle précisait que les Etats ne pouvaient pas imposer aux opérateurs d’accès Internet et de téléphonie une « obligation généralisée et indifférenciée » de collecte et de conservation des données relatives au trafic et aux données de localisation.
Néanmoins, de nombreux Etats tels que le Royaume-Uni, la Belgique ou encore la France continuaient à exiger des opérateurs qu’ils collectent en masse les données de connexions et leur y donne accès aux fins de renseignement.
2. La CJUE précise que les pratiques dénoncées par Privacy International excède les limites du strict nécessaire et ne saurait être considérées comme étant justifiées, dans une société démocratique.
La CJUE procède ici à un contrôle de proportionnalité.
La CJUE énonce donc que les législations nationales en cause sont contraires au droit de l’Union.
Quid de la Belgique et de la France ?
Même son de cloche côté belge et français pour des faits similaires : https://cdn2.nextinpact.com/medias/arret-c_511_18fr.pdf
- La CJUE précise dans cette deuxième affaire que des mesures législatives imposant aux opérateurs d’accès Internet et de téléphonie, à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et à la localisation est également contraire au droit de l’Union car il s’agit d’ingérences particulièrement graves dans les droits fondamentaux garantis par la Charte de l’Union.
Les exceptions à cette interdiction :
1. La CJUE considère qu’un Etat membre faisant face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, peut imposer aux opérateurs de conserver de manière généralisée et indifférenciée des données de trafic/localisation. Cette possibilité doit être limitée dans le temps au strict nécessaire et faire l’objet d’un contrôle effectif par une juridiction ou autorité administrative indépendante.
2. La CJUE indique également que les Etats membres peuvent conserver des données de manière ciblée, dans un temps limité au strict nécessaire, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique.
3. De même, cette directive ne s’oppose pas à de telles mesures prévoyant une conservation généralisée et indifférenciée des adresses IP, pour autant que la durée de conservation est limitée au strict nécessaire.
Ainsi même si la CJUE modifie le cadre d’utilisation des données personnelles, les fournisseurs d’accès Internet/téléphonie pourront tout de même être amené à conserver les données collectées, comme par exemple dans le cadre de la lutte contre le terrorisme.
Les services de renseignements notamment français considèrent la décision de la Cour de l’Union comme un désastre qui entrave sérieusement leur travail d’enquête.
Pour la Quadrature du Net, association spécialisée dans la défense des droits et libertés des internautes et demandeur dans la deuxième affaire, il s’agit d’une « défaite victorieuse » car la CJUE a instauré de nombreuses exceptions à cette interdiction de collecter les données de manière généralisée.
La suite de cette saga sur la surveillance de masse se poursuivra au sein de chaque juridiction nationale (le Tribunal chargé des pouvoirs d’enquête au Royaume-Uni, le Conseil d’Etat en France et la Cour constitutionnelle en Belgique) qui devra se prononcer sur les législations et décrets attaqués.
Sources :
Rapport de la Commission du renseignement et de la sécurité du Parlement du Royaume-Uni sur les données personnelles et la sécurité, mars 2015
Décision Tele2 Sverige et Watson de la Cour de justice de l’Union européenne, 21 décembre 2016
Décision du tribunal chargé des pouvoirs d’enquête au Royaume-Uni , Privacy International, juillet 2018
Communiqué de presse de la Cour de justice de l’Union européenne, 6 octobre 2020
Décision Privacy International C-623/17 de la Cour de justice de l’Union européenne , 6 octobre 2020
Communiqué de la Quadrature du Net, 6 octobre 2020
Article du Monde, La justice de l’UE s’oppose à la collecte massive des données de connexions Internet et téléphoniques par les Etats, 6 octobre 2020
Directive « vie privée et communication électroniques » de 2002
