La CJUE s’oppose à l’obligation généralisée de conservation des données de connexion
C'est données
Le 21 décembre 2016 à 11h03
5 min
Droit
Droit
La justice européenne vient de trancher : le droit de l’Union s’oppose à ce que les États membres imposent aux acteurs du Net « une conservation généralisée et indifférenciée » des données de connexion de leurs abonnés ou utilisateurs. Chaque législateur doit donc opter pour « conservation ciblée », sous conditions.
Saisie par un fournisseur d’accès à Internet suédois et des citoyens britanniques, la Cour de justice de l’Union européenne (CJUE) était invitée à dire si des législations nationales peuvent obliger les intermédiaires – opérateurs, hébergeurs... – à conserver l’ensemble des métadonnées entourant les faits et gestes de leurs utilisateurs : quel site a été consulté, à quelle heure, etc.
Dans l’affaire dite « Digital Rights Ireland », la justice européenne avait déjà invalidé la directive sur la conservation des données de 2006, compte tenu du manque de garanties imposées aux États membres. Cette fois-ci, il s’agissait de vérifier la compatibilité avec la directive « vie privée et communications électroniques », lue à la lumière de la Charte des droits fondamentaux de l’UE.
La conservation généralisée et indifférenciée contraire au droit de l'Union
Pour les juges, cela ne faisait aucun doute : les régimes de conservation des données de connexion relèvent bien de ce texte (contrairement à ce que s’est évertué à démontrer la France, notamment). « La protection de la confidentialité des communications électroniques et des données relatives au trafic, garantie par la directive, s’applique aux mesures prises par toute personne autre que les utilisateurs, qu’il s’agisse de personnes ou d’entités privées ou d’entités étatiques », souligne ainsi la CJUE.
Ce faisant, la Cour a considéré que sa jurisprudence constante, selon laquelle « la protection du droit fondamental au respect de la vie privée exige que les dérogations à la protection des données à caractère personnel s’opèrent dans les limites du strict nécessaire », devait également s’appliquer aux règles régissant la conservation des données de connexion (ainsi que leur accès par les autorités). Et pour cause. Les données de connexion « sont susceptibles de permettre de tirer des conclusions très précises sur la vie privée des personnes », rappelle l’arrêt.
Ainsi, poursuivent les magistrats, « seule la lutte contre la criminalité grave » est susceptible de justifier une conservation des données relatives au trafic et à la localisation des individus. Dès lors, tout régime prévoyant une collecte générale et indifférenciée (c’est-à-dire sans lien avec une potentielle menace, par exemple terroriste) « excède donc les limites du strict nécessaire et ne saurait être considéré comme étant justifié dans une société démocratique, ainsi que l’exige la directive lue à la lumière de la Charte ».
La Cour enfonce le clou : toute « réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique » est à proscrire.
Une conservation limitée au « strict nécessaire »
Pour respecter le droit européen, les États membres doivent donc instaurer « une conservation ciblée des données à des fins de lutte contre la criminalité grave, à condition qu’une telle conservation soit, en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue, limitée au strict nécessaire ». Cela signifie en pratique que les régimes devront notamment être fondés « sur des éléments objectifs permettant de viser les personnes dont les données sont susceptibles de présenter un lien avec des actes de criminalité grave, de contribuer à la lutte contre la criminalité grave ou de prévenir un risque grave pour la sécurité publique ».
La CJUE apporte en outre des précisions quant à l’encadrement nécessaire de l’accès des autorités à ces données de connexion. Il est à ses yeux « essentiel » que cet accès soit, « sauf en cas d’urgence, subordonné à un contrôle préalable effectué par une juridiction ou une entité indépendante ». Les personnes concernées ont par ailleurs vocation à en être informées, ajoutent les juges. Enfin, l’institution a jugé qu’au regard de la quantité de données conservées, du caractère sensible de ces données ainsi que du risque d’accès illicite à celles-ci, chaque réglementation nationale devait « prévoir que les données soient conservées sur le territoire de l’Union et qu’elles soient irrémédiablement détruites au terme de la durée de leur conservation ».
Il y a désormais fort à parier pour que cet arrêt contraigne plusieurs États membres à revoir leur législation, à commencer par la Suède et le Royaume-Uni, avec son IP Bill. La France, avec sa récente loi Renseignement, surveillait également de près cette décision. Nous y reviendrons prochainement.
La CJUE s’oppose à l’obligation généralisée de conservation des données de connexion
-
La conservation généralisée et indifférenciée contraire au droit de l'Union
-
Une conservation limitée au « strict nécessaire »
Commentaires (29)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 21/12/2016 à 11h07
Nice ! 
" />
Le 21/12/2016 à 11h11
J’étais mauvaise langue
" />
Merci à la CJUE
Le 21/12/2016 à 11h21
Yes !!
" />
Le 21/12/2016 à 11h23
“sur des éléments objectifs permettant de viser les personnes dont
les données sont susceptibles de présenter un lien avec des actes de
criminalité grave, de contribuer à la lutte contre la criminalité grave
ou de prévenir un risque grave pour la sécurité publique “.
Coucou hadopi?
Le 21/12/2016 à 11h29
une telle naïveté laisse pantois.
" />
" />
La contrefaçon finance Daesh, malheureux!
Le 21/12/2016 à 11h32
Il y a désormais fort à parier pour que cet arrêt contraigne plusieurs États membres à revoir leur législation, à commencer par la Suède et le Royaume-Uni, avec son IP Bill
Une fois qu’il se sera cassé de l’UE, le RU pourra faire ce qu’il veut…
Le 21/12/2016 à 11h33
Ils ne peuvent donc pas enregistrer toutes les données des internautes, seulement en cas de suspicion / enquêtes pour des personnes en lien avec des activités criminelles graves.
les personnes dont les données sont susceptibles de présenter un lien avec des actes de criminalité grave
Le 21/12/2016 à 12h01
Le 21/12/2016 à 12h03
En tant que site web, a-t-on le droit de conserver les requêtes effectuées par tous les clients pendant une certaine période (disons un an) ?
Le 21/12/2016 à 12h06
“prévoir que les données […] soient irrémédiablement détruites au terme de la durée de leur conservation”
Quid des données chiffrées conservées sans limite de temps d’après la loi renseignement?
Joli cadeau de noël de la CJUE!
Le 21/12/2016 à 12h07
Le 21/12/2016 à 12h30
J’attends avec impatience les modifications législatives.
/me sort le pop-corn.
Le 21/12/2016 à 12h41
Il y a une limite temporelle dans la loi renseignement pour les données chiffrées (la durée normale + 10 ans de mémoire)
Le 21/12/2016 à 13h08
Le 21/12/2016 à 13h09
Le 21/12/2016 à 13h10
Le 21/12/2016 à 13h16
Comme quoi, l’UE, c’est pas si mal que ça, quand ce ne sont pas les politiciens qui dictent leurs règles
" />
Le 21/12/2016 à 13h37
Le 21/12/2016 à 13h37
Le 21/12/2016 à 13h56
A partir du moment ou tu as des données personnels (en gros si tu lies les requêtes avec les comptes utilisateurs, tu dois faire une demande à la CNIL. Si tu as leurs accord c’est bon.
Si les données que tu conserves sont justifiés, normalement ça passe.
Maintenant si ton site a des clients venant de l’étranger, franchement je n’ai jamais compris comment ça marche. Il y a des chances que tu doivent faire des demandes aux équivalents de la CNIL des pays depuis lesquels tes clients navigues.
Le 21/12/2016 à 14h00
Il dit aussi que le marché unique est composé de plusieurs libertés indispensables, dont la libre circulation des personnes.
Hors pour l’instant le Royaume Unis est contre (communication anti-immigration), donc ce n’est pas certain qu’il reste dans le marché unique.
Le 21/12/2016 à 14h10
Le 21/12/2016 à 15h17
Pour l’instant ce n’est que des contrôles, mais si j’ai bien suivi ils ne veulent plus de la libre circulation des personnes (donc demande de VISA pour pouvoir rentrer). Et apparemment ça pour l’U.E c’est incompatible avec la libre circulation des biens, donc du marché unique. Bon après ça c’est ce que j’ai compris en suivant le sujet de loin.
Le 21/12/2016 à 15h32
Donc toutes les condamnations par Hadopi sont illégales et violent les droits de l’Homme?
" />
Le 21/12/2016 à 18h41
Le 21/12/2016 à 19h52
Le 22/12/2016 à 12h09
…donc si on se retrouve avec un merah bis à pister par leboncoin pour chopper son appart et qu’on arrive pas à le retracer on sait quelle institution remettre en cause, et la responsabilité des geeks approuvant une telle décision.
Lol.
Le 22/12/2016 à 15h25
Merci pour cet article qui fait honneur à Nexinpact (et au rédac’). Avec le lien, ce qui devient de plus en plus rare sur les sites des journaux.
Nous savons que malheureusement les risques -réels- dus au terrorisme donnent des prétextes divers et variés pour pondre des tas de textes liberticides. Tout cela, la main sur le cœur avec des trémolos et des bouquets de chrysanthèmes pour des commémorations tenant lieu de substituts méprisables à ce qui devrait donner lieu à des prises de décision courageuses. Des discours, toujours des discours, des palabres, des commissions, des rapports …
Pour info, Nexinpact ne pourrait-il pas passer par le site jaimelinfo pour que les internautes lui fassent des dons avec déduction fiscale.
J’aime l’info24 rue de l’Est75020 ParisNuméro SIRET : 529 975 005 00016 Bien cordialement.
Le 22/12/2016 à 16h57