Pourquoi la directive sur la conservation des données est invalidée
Quelles conséquences en France ?
Le 08 avril 2014 à 10h20
10 min
Droit
Droit
C’est une petite bombe qui vient d’exploser ce matin, peu avant 10 heures, à Luxembourg : la Cour de justice de l'Union europénne a en effet déclaré la directive sur la conservation des données invalide (voir l'arrêt). Explications.
À l’instar de l’avocat général, les juges ont finalement estimé que la directive sur les données personnelles engendre bien « une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel sans que cette ingérence soit limitée au strict nécessaire. »
Cette messe a été dite après l’examen de deux affaires envoyées à la CJUE remettant en question la validité de la directive de 2006 sur la conservation des données personnelles. En Irlande, la société Digital Rights Ireland Ltd, qui promeut les droits civiques et les droits de l’homme, avait fait valoir que les données de son téléphone portable avaient été illégalement traitées et contrôlées par les autorités nationales. En Autriche, plusieurs personnes - dont le gouvernement d’un des lands - avaient estimé que la loi de transposition de la directive de 2006 était contraire à la Constitution. Tous soulignaient une violation du respect de la vie privée, droit fondamental reconnu par le droit européen.
Pour mémoire, la directive sur les données personnelles entend harmoniser la collecte et la conservation des données de connexion dans toute l’Europe. Avec elle, l’origine, la destination, mais aussi l’heure et les équipements utilisés sont conservés par les FAI et les opérateurs entre six mois et deux ans, au choix des États membres.
Les données de connexion, une ingérence dans la vie privée
D’entrée la CJUE considère sans mal que « ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ». Bref, en cartographiant les données de connexion d’une personne, il est possible de tout savoir sur elle, dans les recoins les plus intimes de sa vie privée, même si ces données laissent de côté les contenus des échanges.
La CJUE conclut donc à l’ingérence dans la vie privée, et celle-ci de rappeler à ceux qui estiment qu’ils n’ont rien à cacher qu’ « il importe peu que les informations relatives à la vie privée concernées présentent ou non un caractère sensible ou que les intéressés aient ou non subi d’éventuels inconvénients en raison de cette ingérence ».
Le problème est que cette ingérence est d’autant plus grande que les autorités nationales ont un plein accès dans cet estomac de données personnelles conservées par les FAI et les opérateurs de téléphonie. Fait plus grave encore, la conservation des données et l’utilisation ultérieure de celles-ci « sont effectuées sans que l’abonné ou l’utilisateur inscrit en soient informés », générant « dans l’esprit des personnes concernées (…) le sentiment que leur vie privée fait l’objet d’une surveillance constante ». En pleine affaire Snowden, on mesure facilement la portée de cette remarque.
Une ingérence, mais un objectif louable : la lutte contre les infractions graves
Toutes les ingérences ne sont pas nécessairement illicites. Pour la Cour, des ingérences peuvent raboter des droits et libertés fondamentales pour autant qu’elles soient « nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui ». L’objectif affiché ici par la directive est celui de la lutte contre la criminalité et la délinquance. L’ingérence est justifiée puisqu’elle permet aux autorités de renifler les données retenues par les intermédiaires techniques, et donc de se voir offrir des « possibilités supplémentaires d’élucidation des infractions graves. »
Pour autant, cette adéquation entre les moyens et l’objectif n’est parfaite que si la réglementation prévoit des règles claires et précises, avec des garanties suffisantes, histoire d’éviter les fuites fâcheuses. Est-ce le cas ici ? Pour la CJUE, on est loin du compte, avec pour preuve, une série de points noirs décelés dans la directive de 2006.
Mais une directive sans limites
D’abord, c’est un texte sans limites. Cette directive couvre « de manière généralisée toute personne et tous les moyens de communication électronique ainsi que l’ensemble des données relatives au trafic sans qu’aucune différenciation, limitation ni exception soit opérée en fonction de l’objectif de lutte contre les infractions graves ». En clair, on aspire tout, on voit ensuite, même chez les personnes qui ne se trouvent pas indirectement « dans une situation susceptible de donner lieu à des poursuites » ou « pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves. »
Autre chose. Cette aspiration vise même « des personnes dont les communications sont soumises, selon les règles du droit national, au secret professionnel » (avocat, etc.). Cette conservation est aussi très large, puisqu'elle « n’est pas limitée à une conservation portant soit sur des données afférentes à une période temporelle et/ou une zone géographique déterminée et/ou sur un cercle de personnes données susceptibles d’être mêlées d’une manière ou d’une autre à une infraction grave, soit sur des personnes qui pourraient, pour d’autres motifs, contribuer, par la conservation de leurs données, à la prévention, à la détection ou à la poursuite d’infractions graves ».
Ensuite, l’accès aux données collectées est largement ouvert. La directive « ne prévoit aucun critère objectif permettant de délimiter l’accès des autorités nationales compétentes », relève ainsi la CJUE. Le texte se borne simplement à laisser aux États le soin de définir les « infractions » qu’ils jugent graves pour autoriser cette aspiration. Or, il est facile de comprendre que la sensibilité des États n’est pas la même sur la notion même de « gravité ».
Des données trop ouvertes, non sécurisées
Ce n’est pas tout. Il n’est prévu aucun encadrement dans cet accès. Cette broutille était laissée aux États membres. « La directive ne prévoit aucun critère objectif permettant de limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données ». Dans le même sens, elle oublie également de prévoir un contrôle préalable de ces accès par une juridiction ou une autorité indépendante, alors qu’on touche tout de même à des questions ultra sensibles.
En outre, la directive prévoit une durée de conservation de 6 mois à 2 ans, au bon vouloir des États membres, « sans que soit opérée une quelconque distinction entre les catégories de données [conservées, ndlr] en fonction de leur utilité éventuelle aux fins de l’objectif poursuivi ou selon les personnes concernées. »
Enfin, pour enfoncer un peu plus les derniers clous dans ce texte mal ficelé, les magistrats ont estimé ce matin que rien dans cette directive n’a été prévu pour « assurer une protection efficace des données conservées contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites de ces données ». Spécialement, elle ne garantit pas que soit appliqué par les FAI et les opérateurs « un niveau particulièrement élevé de protection et de sécurité par des mesures techniques et organisationnelles ». Au contraire, le texte « autorise notamment ces fournisseurs à tenir compte de considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent, notamment en ce qui concerne les coûts de mise en œuvre des mesures de sécurité ». Et pour parfaire l’analyse, il n’est pas prévu une obligation de destruction irrémédiable des données au terme de la durée de conservation, ni que ces données soient conservées sur le territoire de l’Union, rendant bien vain le contrôle par une quelconque autorité indépendante.
Une ingérence d'une vaste ampleur
En conclusion, la directive « comporte une ingérence dans [les] droits fondamentaux d’une vaste ampleur et d’une gravité particulière dans l’ordre juridique de l’Union sans qu’une telle ingérence soit précisément encadrée par des dispositions permettant de garantir qu’elle est effectivement limitée au strict nécessaire ». Les magistrats considèrent après un tel tableau noir que le législateur de l’Union a adopté une directive qui trahit les principes fondateurs européens.
Quelles conséquences en France ?
Nous attendons un retour de la CNIL pour déterminer les premières conséquences de ce texte sur le droit français. Déjà, un des principaux FAI nationaux relativise la portée de cette invalidation dans notre pays. Ce texte est en effet une directive de prescription ciblant les États dépourvus de législation spécifique sur ces questions. « En France, au niveau pénal, les textes datent des années 90 et 2000. On a déjà une législation qui certes par la suite a évolué pour tenir compte de la directive, mais du fait du principe de subsidiarité, elle est bien antérieure à la directive ».
Les obligations des FAI sont en effet forgées sur l’article L34-1 du Code des postes et des télécommunications électroniques, qui, « dans sa version d’origine ne vise pas la directive ». Il n'empêche, la question de l’impact de cette décision sur les procédures pénales sera sans nul doute soulevée par les avocats.
Autre chose, la décision devra être examinée sous l’angle des procédures parapénales et par ricochet sur le droit de communication reconnu au ceinturon de plusieurs administrations (douanes, impôts, etc.). De longue date, les FAI critiquent ce droit ouvert sur les données conservées, reprochant un manque d’encadrement : « Les administrations ont le droit de lutter contre la fraude, mais encore faut-il que ce soit correctement cadré. Dans notre secteur, l’article 34 - 1 CPCE avait été rédigé uniquement pour des besoins pénaux puis pour la Hadopi et depuis peu l’ANSSI. Il y aurait donc matière à contester ce droit de communication. Dans tous les cas, la CJUE a pris son courage à deux mains : elle ne remet pas en question le principe de la conservation des données, mais dénonce le manque de garantie qui exige un texte clair prévoyant tous les cas. Et non une rédaction ouverte avec toutes les interprétations possibles » nous explique le FAI.
Pourquoi la directive sur la conservation des données est invalidée
-
Les données de connexion, une ingérence dans la vie privée
-
Une ingérence, mais un objectif louable : la lutte contre les infractions graves
-
Mais une directive sans limites
-
Des données trop ouvertes, non sécurisées
-
Une ingérence d'une vaste ampleur
-
Quelles conséquences en France ?
Commentaires (40)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 08/04/2014 à 12h32
beau météorite dans la mare des pro surveillances a Gogo……" />
Le 08/04/2014 à 12h37
Le 08/04/2014 à 12h43
La CJUE conclut donc à l’ingérence dans la vie privée, et celle-ci de rappeler à ceux qui estiment qu’ils n’ont rien à cacher qu’ « il importe peu que les informations relatives à la vie privée concernées présentent ou non un caractère sensible ou que les intéressés aient ou non subi d’éventuels inconvénients en raison de cette ingérence ».
" />
Et oui, même si on aime se balader à poil, ce n’est pas pour autant que c’est autorisé, ni souhaitable pour tout le monde " />
Le 08/04/2014 à 12h46
Le 08/04/2014 à 12h56
Le 08/04/2014 à 13h07
Le 08/04/2014 à 16h40
Qui a dit que l’on pourrait faire le rapprochement avec la faille OpenSSL ?
" />
Le 08/04/2014 à 17h22
Le 08/04/2014 à 17h45
Le 08/04/2014 à 19h30
Petite question, du coup un inpact sur Hadopi possible?
Le 09/04/2014 à 09h57
Le 09/04/2014 à 19h45
Le 10/04/2014 à 08h40
Le 10/04/2014 à 17h24
Le 11/04/2014 à 07h30
Le 13/04/2014 à 15h01
Le 08/04/2014 à 10h38
" />
Ça c’est fait… Le soucis reste que la traque et la conservation des données utilisateurs, c’est le business de Web 2.0.
Le 08/04/2014 à 10h39
Petite question, du coup un inpact sur Hadopi possible?
Le 08/04/2014 à 10h44
Dans ta face la surveillance généralisée en roue libre sans contrôle ni aucun respect de quoi que ce soit.
De temps en temps, rarement, mais de temps en temps,
il existe un espoir que la raison l’emporte sur la folie des apprentis sorciers
" />
Le 08/04/2014 à 10h50
Et j’en viens fatalement à me poser la question suivante : Et si Snowden n’avait pas étalé au grand jour les magouilles de la NSA, est ce que le résultat du jugement aurait été le même ?
Vous avez deux heures " />
Le 08/04/2014 à 10h51
Le 08/04/2014 à 10h53
Le 08/04/2014 à 10h56
bonjour
HS: un pote consultant reseau me signale, je cite:
> Il y a un petit “bug” dans openssl (le bout de code qui fait le “https”
> de quasi tout sur la planète..) qui permet de dumper la mémoire du
> serveur d’en face.. Bilan, tu peux sortir les données “sensibles” des
> autre tiers qui utilisent ce serveur.. et en plus il y a un exploit
> pour enfant de dispo…
>
> Donc par exemple le cookie de session peut etre intercepté ce qui
> permet alors de te faire passer pour monsieur X.
>
> Bref méga grave.
>
> Pour te donner un ordre d’idée de la gravitude.. Marc Dorcel a coupé
> le site SSL.
quelq’un aurait des infos?
ampleur du problème?
vu ma source j’ai peu de doute sur la véracité de la chose mais bon.
cldt,
AC
ps: je ne retrouve plus comment contact la team pour proposer info.
Le 08/04/2014 à 11h01
Le 08/04/2014 à 11h03
Le 08/04/2014 à 11h07
Le 08/04/2014 à 11h09
En clair, on aspire tout, on voit ensuite
Je vais me faire griller mais…NSA ?
Le 08/04/2014 à 11h09
Le 08/04/2014 à 11h10
Ce n’est pas tout. Il n’est prévu aucun encadrement dans cet accès. Cette broutille était laissée aux États membres. « La directive ne prévoit aucun critère objectif permettant de limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données ». Dans le même sens, elle oublie également de prévoir un contrôle préalable de ces accès par une juridiction ou une autorité indépendante, alors qu’on touche tout de même à des questions ultra sensibles.
Ah mais non, en fait on parvient à faire pire que la NSA.
Le 08/04/2014 à 11h16
Le 08/04/2014 à 11h16
Le 08/04/2014 à 11h22
Le 08/04/2014 à 11h30
Le 08/04/2014 à 11h41
Le 08/04/2014 à 11h43
Le 08/04/2014 à 11h55
Le 08/04/2014 à 11h56
Le 08/04/2014 à 12h02
Le 08/04/2014 à 12h05
Le 08/04/2014 à 12h12