Le 8 avril dernier, la Cour de justice de l'Union européenne (CJUE) a invalidé la directive « Data Retention », jugée contraire au droit européen. C’est par cette directive que des États membres obligent les intermédiaires techniques à conserver les données de trafic en matière de téléphonie fixe et mobile, d'accès à Internet, de courrier électronique et de téléphonie par Internet. D’ores et déjà, le Royaume-Uni prépare une rustine afin de blinder sa législation.

Dans son arrêt, la CJUE avait considéré que par ses nombreux flous, cette directive constitue « une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel ». Ainsi, elle reprochait le fait que les FAI et autres opérateurs doivent tout aspirer « sans qu’aucune différenciation, limitation ni exception soit opérée en fonction de l’objectif de lutte contre les infractions graves », même chez les utilisateurs qui sont étrangers à la moindre infraction.

Pareillement, le texte ouvre trop largement les portes puisqu’il oublie de prévoir un « critère objectif permettant de délimiter l’accès des autorités nationales compétentes » aux informations collectées sur une période de 6 mois à 2 ans. Dans le même temps, elle oubliait d’imposer à ces intermédiaires « un niveau particulièrement élevé de protection et de sécurité par des mesures techniques et organisationnelles. »

Colmatage en urgence au Royaume-Uni

Le Royaume-Uni fait parti des premiers pays à vouloir remettre à niveau sa législation après cette invalidation. Londres vient de notifier sous procédure d'urgence un nouveau texte à la Commission européenne afin « d’établir clairement la base juridique selon laquelle certaines entreprises nationales doivent conserver les données de communication ». Sans une telle rustine, « les prestataires de services de communication pourraient supprimer des données essentielles relatives au trafic qui étaient conservées conformément à la directive relative à la conservation des données. Des mois entiers de données pourraient être supprimés si nous ne parvenons pas à combler les éventuelles failles se créant dans les obligations que nous imposons aux entreprises. Ces données pourraient par la suite constituer des éléments de preuve primordiaux. »

Le pays a donc notifié son « projet de loi sur la conservation des données et les pouvoirs d’enquête, et dispositions réglementaires de 2014 relatives à la conservation des données », un texte qui veut également « clarifier la loi sur la réglementation des pouvoirs d’enquête afin d’établir clairement l’obligation imposée aux compagnies étrangères afin de se conformer à leurs obligations au titre de cette loi ». Il affirme que ce texte ne change pas les moyens de protection en vigueur dans le pays, « il fait simplement en sorte qu’ils puissent se poursuivre selon un cadre juridique solide dans le droit britannique » et nos voisins de soutenir que « sans une législation d’urgence sur ces deux questions, des vies sont en jeu. »

Des données récoltées pour 12 mois, maximum

Ils citent les cas de géolocalisation de personnes vulnérables, la pédopornographie, ou les menaces d’attaque contre l’aéroport d’Heathrow. En cas de procès, la partie adverse pourrait en effet s’appuyer sur l’invalidation de la directive, pour faire tomber les preuves récoltées sur les logs des opérateurs.

Parmi les mesures « solidifiée », Londres annonce que dorénavant les données seront conservées non pour 12 mois, mais pour 12 mois maximum, ce qui autorisera des délais de rétention moindres. De même, les données conservées ne pourront être accessibles que dans le cadre du Regulation of Investigatory Powers Act (RIPA), sur décision de justice et dans certaines circonstances bien limitées. Les FAI se verront notifier des mesures pour blinder la sécurité de ces données sensibles, sans passer par un simple accord commercial comme ce fut le cas jusqu’à présent.

On pourra lire :

• L’étude d’impact
• Et le texte notifié à Bruxelles par le Royaume-Uni

Situation en France

En France, les effets de cette invalidation sont encore inconnus. La CNIL s'est montrée très floue sur cette question, mais le député Lionel Tardy a déjà questionné le gouvernement pour connaître les suites de cette procédure : de nombreuses administrations comme le fisc, les douanes, l’Autorité des marchés financiers ou la Sécurité sociale disposent désormais d'un droit de communication très peu encadré sur les logs des opérateurs. Elles peuvent ainsi aspirer « des informations portant atteinte à la vie privée des utilisateurs en dehors de tout contrôle préalable, soit par un magistrat indépendant au sens des prescriptions de la Cour de cassation, soit par une autorité administrative indépendante. »