Pourquoi la directive sur la conservation des données est invalidée

C’est une petite bombe qui vient d’exploser ce matin, peu avant 10 heures, à Luxembourg : la Cour de justice de l'Union europénne a en effet déclaré la directive sur la conservation des données invalide (voir l'arrêt). Explications.

À l’instar de l’avocat général, les juges ont finalement estimé que la directive sur les données personnelles engendre bien « une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel sans que cette ingérence soit limitée au strict nécessaire. »

Cette messe a été dite après l’examen de deux affaires envoyées à la CJUE remettant en question la validité de la directive de 2006 sur la conservation des données personnelles. En Irlande, la société Digital Rights Ireland Ltd, qui promeut les droits civiques et les droits de l’homme, avait fait valoir que les données de son téléphone portable avaient été illégalement traitées et contrôlées par les autorités nationales. En Autriche, plusieurs personnes - dont le gouvernement d’un des lands - avaient estimé que la loi de transposition de la directive de 2006 était contraire à la Constitution. Tous soulignaient une violation du respect de la vie privée, droit fondamental reconnu par le droit européen.

Pour mémoire, la directive sur les données personnelles entend harmoniser la collecte et la conservation des données de connexion dans toute l’Europe. Avec elle, l’origine, la destination, mais aussi l’heure et les équipements utilisés sont conservés par les FAI et les opérateurs entre six mois et deux ans, au choix des États membres.

Les données de connexion, une ingérence dans la vie privée

D’entrée la CJUE considère sans mal que « ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ». Bref, en cartographiant les données de connexion d’une personne, il est possible de tout savoir sur elle, dans les recoins les plus intimes de sa vie privée, même si ces données laissent de côté les contenus des échanges.

La CJUE conclut donc à l’ingérence dans la vie privée, et celle-ci de rappeler à ceux qui estiment qu’ils n’ont rien à cacher qu’ « il importe peu que les informations relatives à la vie privée concernées présentent ou non un caractère sensible ou que les intéressés aient ou non subi d’éventuels inconvénients en raison de cette ingérence ».

Le problème est que cette ingérence est d’autant plus grande que les autorités nationales ont un plein accès dans cet estomac de données personnelles conservées par les FAI et les opérateurs de téléphonie. Fait plus grave encore, la conservation des données et l’utilisation ultérieure de celles-ci « sont effectuées sans que l’abonné ou l’utilisateur inscrit en soient informés », générant « dans l’esprit des personnes concernées (…) le sentiment que leur vie privée fait l’objet d’une surveillance constante ». En pleine affaire Snowden, on mesure facilement la portée de cette remarque.

Une ingérence, mais un objectif louable : la lutte contre les infractions graves

Toutes les ingérences ne sont pas nécessairement illicites. Pour la Cour, des ingérences peuvent raboter des droits et libertés fondamentales pour autant qu’elles soient « nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui ». L’objectif affiché ici par la directive est celui de la lutte contre la criminalité et la délinquance. L’ingérence est justifiée puisqu’elle permet aux autorités de renifler les données retenues par les intermédiaires techniques, et donc de se voir offrir des « possibilités supplémentaires d’élucidation des infractions graves. »

Pour autant, cette adéquation entre les moyens et l’objectif n’est parfaite que si la réglementation prévoit des règles claires et précises, avec des garanties suffisantes, histoire d’éviter les fuites fâcheuses. Est-ce le cas ici ? Pour la CJUE, on est loin du compte, avec pour preuve, une série de points noirs décelés dans la directive de 2006.

Mais une directive sans limites 

D’abord, c’est un texte sans limites. Cette directive couvre « de manière généralisée toute personne et tous les moyens de communication électronique ainsi que l’ensemble des données relatives au trafic sans qu’aucune différenciation, limitation ni exception soit opérée en fonction de l’objectif de lutte contre les infractions graves ». En clair, on aspire tout, on voit ensuite, même chez les personnes qui ne se trouvent pas indirectement « dans une situation susceptible de donner lieu à des poursuites » ou « pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves. »

Autre chose. Cette aspiration vise même « des personnes dont les communications sont soumises, selon les règles du droit national, au secret professionnel » (avocat, etc.). Cette conservation est aussi très large, puisqu'elle « n’est pas limitée à une conservation portant soit sur des données afférentes à une période temporelle et/ou une zone géographique déterminée et/ou sur un cercle de personnes données susceptibles d’être mêlées d’une manière ou d’une autre à une infraction grave, soit sur des personnes qui pourraient, pour d’autres motifs, contribuer, par la conservation de leurs données, à la prévention, à la détection ou à la poursuite d’infractions graves ».

Ensuite, l’accès aux données collectées est largement ouvert. La directive « ne prévoit aucun critère objectif permettant de délimiter l’accès des autorités nationales compétentes », relève ainsi la CJUE. Le texte se borne simplement à laisser aux États le soin de définir les « infractions » qu’ils jugent graves pour autoriser cette aspiration. Or, il est facile de comprendre que la sensibilité des États n’est pas la même sur la notion même de « gravité ».

Des données trop ouvertes, non sécurisées

Ce n’est pas tout. Il n’est prévu aucun encadrement dans cet accès. Cette broutille était laissée aux États membres. « La directive ne prévoit aucun critère objectif permettant de limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données ». Dans le même sens, elle oublie également de prévoir un contrôle préalable de ces accès par une juridiction ou une autorité indépendante, alors qu’on touche tout de même à des questions ultra sensibles.

En outre, la directive prévoit une durée de conservation de 6 mois à 2 ans, au bon vouloir des États membres, « sans que soit opérée une quelconque distinction entre les catégories de données [conservées, ndlr] en fonction de leur utilité éventuelle aux fins de l’objectif poursuivi ou selon les personnes concernées. »

Enfin, pour enfoncer un peu plus les derniers clous dans ce texte mal ficelé, les magistrats ont estimé ce matin que rien dans cette directive n’a été prévu pour « assurer une protection efficace des données conservées contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites de ces données ». Spécialement, elle ne garantit pas que soit appliqué par les FAI et les opérateurs « un niveau particulièrement élevé de protection et de sécurité par des mesures techniques et organisationnelles ». Au contraire, le texte « autorise notamment ces fournisseurs à tenir compte de considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent, notamment en ce qui concerne les coûts de mise en œuvre des mesures de sécurité ». Et pour parfaire l’analyse, il n’est pas prévu une obligation de destruction irrémédiable des données au terme de la durée de conservation, ni que ces données soient conservées sur le territoire de l’Union, rendant bien vain le contrôle par une quelconque autorité indépendante.

Une ingérence d'une vaste ampleur

En conclusion, la directive « comporte une ingérence dans [les] droits fondamentaux d’une vaste ampleur et d’une gravité particulière dans l’ordre juridique de l’Union sans qu’une telle ingérence soit précisément encadrée par des dispositions permettant de garantir qu’elle est effectivement limitée au strict nécessaire ». Les magistrats considèrent après un tel tableau noir que le législateur de l’Union a adopté une directive qui trahit les principes fondateurs européens.

Quelles conséquences en France ?

Nous attendons un retour de la CNIL pour déterminer les premières conséquences de ce texte sur le droit français. Déjà, un des principaux FAI nationaux relativise la portée de cette invalidation dans notre pays. Ce texte est en effet une directive de prescription ciblant les États dépourvus de législation spécifique sur ces questions. «  En France, au niveau pénal, les textes datent des années 90 et 2000. On a déjà une législation qui certes par la suite a évolué pour tenir compte de la directive, mais du fait du principe de subsidiarité, elle est bien antérieure à la directive ».

Les obligations des FAI sont en effet forgées sur l’article L34-1 du Code des postes et des télécommunications électroniques, qui, « dans sa version d’origine ne vise pas la directive ». Il n'empêche, la question de l’impact de cette décision sur les procédures pénales sera sans nul doute soulevée par les avocats.

Autre chose, la décision devra être examinée sous l’angle des procédures parapénales et par ricochet sur le droit de communication reconnu au ceinturon de plusieurs administrations (douanes, impôts, etc.). De longue date, les FAI critiquent ce droit ouvert sur les données conservées, reprochant un manque d’encadrement : « Les administrations ont le droit de lutter contre la fraude, mais encore faut-il que ce soit correctement cadré. Dans notre secteur, l’article 34-1 CPCE avait été rédigé uniquement pour des besoins pénaux puis pour la Hadopi et depuis peu l’ANSSI. Il y aurait donc matière à contester ce droit de communication. Dans tous les cas, la CJUE a pris son courage à deux mains : elle ne remet pas en question le principe de la conservation des données, mais dénonce le manque de garantie qui exige un texte clair prévoyant tous les cas. Et non une rédaction ouverte avec toutes les interprétations possibles » nous explique le FAI.