Conservation des données de connexion : la justice de l’UE siffle la fin du match, ou presque

Après des années d’attente, la Cour de justice de l’UE s’est penchée sur des sujets qui concentrent les attentions des associations de défense des libertés numériques : l’obligation de conservation généralisée des données de connexion, la transmission de ces données aux services du renseignement notamment. Deux sujets ayant fait l'objet de deux arrêts. Analyse.

La Cour de justice a une nouvelle fois été appelée à se pencher sur l’obligation de conservation généralisée et indifférenciée des données de connexion. Des internautes ignorent encore que lorsqu’ils utilisent des outils numériques, un compte Twitter ou Facebook par exemple, ces derniers, qui endossent le rôle d’intermédiaire technique, ont l’obligation de conserver les « données de connexion » de leurs activités en ligne.

En France, l'article L. 34-1 (II) du Code des postes et des télécommunications affirme qu'elles doivent en principe être effacées ou anonymisées. Le même texte, au point III, envisage cependant de multiples dérogations imposant une durée d'un an. Une conservation généralisée et indifférenciée. 

Ce stock est mis à la disposition d’une ribambelle d’autorités : la justice « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales », la Hadopi, l’ANSSI. Les services du renseignement, des Douanes ou du Fisc disposent aussi d’un accès à ces informations laissées dans le sillage numérique de chacun.

Et quelles informations ! En croisant plusieurs textes (la loi sur la confiance dans l’économie numérique, le Code des postes et des télécommunications électroniques et les décrets d’application), l’expression de données de connexion révèle ses ombres : ce sont toutes celles qui se rattachent aux « qui, quand, quoi, où, comment » d’une activité électronique. C’est tout, sauf le contenu du message lui-même, dont l’accès suppose une interception.

Les prémices : les arrêts Digital Right et Télé2

Le 8 avril 2014 dans son arrêt « Digital Rights », la CJUE avait traduit juridiquement cette ingérence dans la vie privée. Ces données de connexion « prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ».

Elle relevait au passage que la conservation et l’utilisation des données « sont effectuées sans que l’abonné ou l’utilisateur inscrit en soient informés ». Une situation qui peut générer « dans l’esprit des personnes concernées (…) le sentiment que leur vie privée fait l’objet d’une surveillance constante ».

Pour contester l’argument habituellement entendu, selon lequel une atteinte aux données de connexion est moins grave qu’une atteinte aux données de contenus, la députée Isabelle Attard avait cité un exemple le 14 avril 2015, en plein débat sur la loi Renseignement : 

« Vous vous êtes par exemple connectés à un site de rencontres échangiste ou fétichiste deux fois par jour pendant un mois, mais – nous dit-on – on ne sait pas du tout ce que vous avez écrit ou lu… Autre exemple, vous avez appelé Sida Info Service pendant douze minutes, puis un laboratoire d’analyses médicales pendant deux minutes. Une semaine plus tard, le laboratoire vous a rappelé. On ne sait pas ce que vous vous êtes dit, mais il vous a rappelé, et vous avez ensuite appelé votre médecin pendant quinze minutes, mais, encore une fois, on ne sait pas vraiment de quoi vous avez parlé. »

La CJUE n’avait pas condamné la conservation des données elle-même, mais exigé des garanties solides, des textes clairs. En substance, les juges ont demandé de réserver ce devoir de mémoire à la lutte contre les infractions graves, en faisant varier la durée de la rétention entre les catégories de données selon leur utilité éventuelle, tout en délimitant l’accès aux autorités compétentes ou en s’assurant d’un haut niveau de sécurité chez les opérateurs.

Le 21 décembre 2016, dans l’affaire « Télé2 », elle remettait le couvert : la Cour jugeait contraire au droit européen « une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ».

C’est dans ce contexte que plusieurs affaires ont éclaté au Royaume-Uni, en Belgique et en France.

Une ingérence dans la vie privée

Saisi par FDN, FFDN, et la Quadrature du Net, le Conseil d’État a questionné la CJUE sur le fait de savoir si l’ingérence dans la vie privée consécutive à l’obligation de conservation généralisée et indifférenciée ne pourrait pas être justifiée ou contrebalancée par des garanties spécifiques.

Dans sa quête de justifications, la juridiction a voulu savoir en outre si des autorités pouvaient en France éviter le devoir d’information des personnes surveillées, une fois le risque évaporé, par exemple en s’appuyant sur d’autres garanties comme le droit au recours. Sachant qu’on imagine mal comment assurer l’effectivité de ce droit lorsque les principaux concernés ne sont pas informés de l’exploitation de ces données.

Le Conseil d’État avait été saisi, avec à l’index des requérants, plusieurs dispositions de la loi renseignement de 2015 et ses décrets d’application. Dans le lot, l’article L851-3 du Code de la sécurité intérieure qui organise la mise en place des « boites noires ». Ces algorithmes censés détecter des graines de menace terroriste dans l’océan des données de connexion. Ils ont également épinglé l’obligation de conservation, qui sert à alimenter les activités des services, à des fins multiples, pas seulement la lutte contre le terrorisme.

En Belgique, l’Ordre des barreaux francophones et germanophones ou encore la Ligue des Droits de l’Homme ASBL notamment ont saisi la Cour constitutionnelle, toujours pour mettre en cause cette obligation de conservation indifférenciée. Dans la saisine, les juridictions nationales ont demandé à la Cour si la conservation généralisée et indifférenciée des données de trafic et de connexion était, ou non, compatible avec la directive Vie privée et communications électroniques, en particulier son article 15.

« Les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l'article 8, paragraphes 1, 2, 3 et 4, et à l'article 9 de la présente directive lorsqu'une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d'une société démocratique, pour sauvegarder la sécurité nationale - c'est-à-dire la sûreté de l'État - la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d'infractions pénales ou d'utilisations non autorisées du système de communications électroniques, comme le prévoit l'article 13, paragraphe 1, de la directive 95/46/CE.

À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit communautaire, y compris ceux visés à l'article 6, paragraphes 1 et 2, du traité sur l'Union européenne. »

Quand la France tente d’évacuer le droit européen

La Cour de justice de l’Union européenne va d’abord crever un abcès : déterminer si ces législations sécuritaires, qui touchent au régalien s’agissant du renseignement, relèvent bien de l’encadrement européen.

Paris notamment a considéré que non. « Les activités des services de renseignement, en ce qu’elles tiennent au maintien de l’ordre public ainsi qu’à la sauvegarde de la sécurité intérieure et de l’intégrité territoriale, relèveraient des fonctions essentielles des États membres » résume la Cour. La France des Droits de l’Homme espérait faire sortir sa législation de ce carcan et avec lui… ses multiples garanties.

Une pirouette qui n’a pas convaincu la Cour : « bien qu’il appartienne aux États membres de définir leurs intérêts essentiels de sécurité et d’arrêter les mesures propres à assurer leur sécurité intérieure et extérieure, le seul fait qu’une mesure nationale a été prise aux fins de la protection de la sécurité nationale ne saurait entraîner l’inapplicabilité du droit de l’Union ».

Pour la CJUE, en substance, « l’ensemble des traitements de données à caractère personnel effectués par les fournisseurs de services de communications électroniques relève du champ d’application de ladite directive ».

L’obligation de conservation à l’épreuve du droit européen

La Cour a rappelé les rouages de la directive de 2002 : un texte destiné à assurer un haut niveau de protection des personnes, un principe d’anonymisation des données, et des exceptions.

Ces exceptions doivent être impérativement nécessaires, appropriées et proportionnées et limitées à certaines finalités : celles impératives « pour sauvegarder la sécurité nationale, la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques ».

Cette liste d’exceptions est limitative, exhaustive, a insisté la juridiction qui a rappelé le sacro-saint principe de proportionnalité, entre le principe et la justification de l’atteinte.

La CJUE n’a pas eu de mal à estimer que l’obligation de conservation des données de trafic et de connexion est une dérogation au principe d’anonymisation. Et donc une ingérence dans la vie privée et au respect des données personnelles. Peu importe d’ailleurs le fait que les données soient ou non sensibles, voire utilisées ou non.

« La conservation des données relatives au trafic et des données de localisation à des fins policières est susceptible, à elle seule, de porter atteinte au droit au respect des communications (…) et d’entraîner des effets dissuasifs sur l’exercice par les utilisateurs des moyens de communication électroniques de leur liberté d’expression » relèvent les juges. « De tels effets dissuasifs peuvent affecter en particulier les personnes dont les communications sont soumises, selon les règles nationales, au secret professionnel ainsi que les lanceurs d’alerte dont les activités sont protégées par la directive, (…) sur la protection des personnes qui signalent des violations du droit de l’Union. »

Des effets « d’autant plus graves que le nombre et la variété des données conservées sont élevés » alors que les risques d’abus et d’accès illicite sont multipliés d’autant.

La même cour a donc été invitée à ausculter les différents textes nationaux dans un exercice d’équilibriste périlleux. Pour répondre à l’exigence de proportionnalité, prévient-elle, la réglementation doit prévoir « des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant des exigences minimales ».

Il est tout autant fondamental que les personnes concernées « disposent de garanties suffisantes permettant de protéger efficacement ces données contre les risques d’abus ». De même, la réglementation interne « doit être légalement contraignante en droit interne ».

« La nécessité de disposer de telles garanties est d’autant plus importante lorsque les données à caractère personnel sont soumises à un traitement automatisé, notamment lorsqu’il existe un risque important d’accès illicite à ces données » impose-t-elle.

Conclusion intermédiaire : « une réglementation prévoyant une conservation des données à caractère personnel doit toujours répondre à des critères objectifs, établissant un rapport entre les données à conserver et l’objectif poursuivi ». Voilà pour les lignes directrices.

L’encadrement de cette obligation de conservation

Ceci posé, la juridiction va indiquer qu’une obligation de conservation généralisée n’est pas toujours interdite. Une législation peut autoriser des autorités à enjoindre aux fournisseurs de service de conserver l’ensemble des données de trafic et de localisation de l’ensemble des utilisateurs. Seulement, une telle incise dans la vie privée ne peut se concevoir que dans des conditions particulières :

1. Durant une période limitée,
2. En présence de circonstances suffisamment concrètes permettant de considérer l’existence d’une menace grave
3. Pour la sécurité nationale
4. Et d’une menace « réelle et actuelle ou prévisible »

On change donc complètement de régime, alors que jusqu’à présent en France notamment, la conservation des données était depuis de nombreuses années devenue le principe de fait. Cette fois-ci, son caractère exceptionnel est lourdement souligné par les juges. Un véritable rappel à l’ordre.

Message transmis à la France et autres pays : « cette conservation ne saurait présenter un caractère systématique ». Mieux, la cour demande que cette atteinte soit véhiculée par une « injonction », et donc une décision spécifique, qui pourra au besoin être renouvelée si la menace est persistante. Et encore faudra-t-il que la conservation soit encadrée de multiples garanties « permettant de protéger efficacement les données à caractère personnel des personnes concernées contre les risques d’abus ».

Quelles garanties ? « Il est essentiel qu’une décision faisant injonction aux fournisseurs de services de communications électroniques de procéder à une telle conservation des données puisse faire l’objet d’un contrôle effectif soit par une juridiction, soit par une entité administrative indépendante ».

L’autorité ou la juridiction devra alors vérifier le respect du test de proportionnalité, et sanctionner les éventuelles injonctions qui dépasseraient les bornes.

La question de la criminalité grave

Ainsi, même lorsqu’une réglementation nationale met sur pied une conservation généralisée et indifférenciée des données, sur l’ensemble du territoire national, aux fins de lutte contre la criminalité grave ou la prévention des menaces graves contre la sécurité publique, la CJUE estime qu’elle « excède les limites du strict nécessaire et ne saurait être considérée comme étant justifiée dans une société démocratique ».

L’exception doit en effet être… l’exception, non la règle. Quand l’ensemble de la population est visé, comme en France, on n’a plus de proportionnalité comme pourrait l’organiser une réglementation limitée à une zone géographique, à une période ou un cercle de personnes.

En somme, aussi noble soit l’objectif de lutte contre la criminalité grave, on ne peut exiger de surveiller l’ensemble de la population d’un pays. Par contre, la Cour admet sans difficulté que pour lutter contre ces infractions graves, soit mise en place « une conservation ciblée des données relatives au trafic et des données de localisation ».

Dit autrement, l’accès open bar et la conservation généralisée sont proscrits. Par contre, seront acceptés et acceptables les obligations limitées à « des lieux caractérisés par un nombre élevé d’actes de criminalité grave, des lieux particulièrement exposés à la commission d’actes de criminalité grave, tels que des lieux ou infrastructures fréquentés régulièrement par un nombre très élevé de personnes, ou encore des lieux stratégiques, tels que des aéroports, des gares ou des zones de péages ».

Aux États membres de se débrouiller pour basculer l’arrêt dans la délicate réalité notamment technique.

L’épineuse question de l’adresse IP, des données nominatives

Quid si la conservation se concentre sur les IP ? En traçant une adresse IP, il est possible de suivre le parcours d’une personne en ligne et tirer des conséquences très précises sur sa vie privée. Dans le même temps, cette donnée peut parfois constituer « le seul moyen d’investigation permettant l’identification de la personne à laquelle cette adresse était attribuée au moment de la commission » d’une infraction.

Comment gérer l’analyse de proportionnalité avec ces éléments sur chacun des plateaux ? La CJUE manie là encore le chaud et le froid. Une telle législation frappe des personnes qui n’ont aucun lien avec l’objectif poursuivi et qui doivent disposer « du droit de s’attendre (…) à ce que leur identité ne soit, en principe, pas dévoilée ».

Néanmoins, temporise-t-elle, « cette conservation généralisée et indifférenciée des seules adresses IP attribuées à la source d’une connexion n’apparaît pas, en principe, contraire (…) pourvu que cette possibilité soit soumise au strict respect des conditions matérielles et procédurales devant régir l’utilisation de ces données ».

Pour la Cour, il s’agit finalement d’une ingérence grave qui doit être limitée à la seule lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique, « à l’instar de la sauvegarde de la sécurité nationale ». Elle exige des limitations temporelles et des garanties strictes quant à l’exploitation de ces données.

Les données relatives à l’identité civile

La situation diffère s’agissant des données relatives à l’identité civile de ces personnes. Cette fois, « ces données ne permettent pas, à elles seules, de connaître la date, l’heure, la durée et les destinataires des communications effectuées, non plus que les endroits où ces communications ont eu lieu ou la fréquence de celles-ci avec certaines personnes pendant une période donnée ». L’ingérence n’est plus qualifiée de grave.

La conservation et l’accès à ces données « à la seule fin de l’identification de l’utilisateur concerné (…) sont susceptibles d’être justifiées par l’objectif de prévention, de recherche, de détection et de poursuite d’infractions pénales en général » explique la CJUE, qui impose ceci dit que les données ne doivent pas être associées à des informations relatives aux communications effectuées.

Une mesure qui peut concerner des infractions non graves et qui sera donc examinée de près par la Hadopi puisque la haute autorité récupère en effet les IP glanées par les ayants droit aux fins d’identification. Sachant toutefois que l’horodatage et le contenu du fichier mis en partage sur les réseaux P2P sont aussi des données attachées aux communications effectuées.

Bref, la difficulté déjà signalée dans nos colonnes n’est peut-être pas clairement réglée…

Les situations d’urgence

L’analyse menée par la CJUE, très dense, se poursuit avec la question de « la conservation rapide des données relatives au trafic et des données de localisation aux fins de la lutte contre la criminalité grave ».

Derrière l’expression, se retrouve le cas où un traitement ou un stockage de données pourrait se révéler nécessaire lorsqu’il y a des raisons de penser que ces données sont susceptibles de perte ou de modification (notamment en raison de l’échéance des délais de conservation).

La Cour admet ce régime, mais seulement « aux fins de l’élucidation d’infractions pénales graves ou d’atteintes à la sécurité nationale ». L’idée est de répondre à l’impératif de conserver des traces notamment en cas de soupçon raisonnable. Elle va jusqu’à signaler que cette mesure peut frapper les données de la victime ou encore de l’entourage, voire des zones géographies.

Les boites noires et le droit européen

S’agissant de l’activité des renseignements, une autre question a été soumise à la cour. Elle concerne l’analyse automatisée et le recueil en temps réel des données relatives au trafic et de localisation outre le recueil en temps réel des données techniques relatives à la localisation des équipements terminaux utilisés, « sans que soit prévue l’information des personnes concernées ».

Est-ce qu’un tel régime, qu’on retrouve notamment dans la loi Renseignement française en particulier avec le mécanisme des boites noires concentré sur le terrorisme, est compatible avec la directive de 2002 ? Pour la CJUE, ces traitements algorithmiques opèrent « un filtrage de la totalité des données relatives au trafic et des données de localisation ». Ces opérations sont effectuées à la demande des services du renseignement à l’aide de paramètres décidés par eux. Conséquence : « les données des utilisateurs des moyens de communications électroniques sont toutes vérifiées si elles correspondent à ces paramètres ».

Selon les juges, voilà une atteinte à la confidentialité des communications électroniques et des données consacrées par les textes européens, outre une atteinte à la vie privée voire à la liberté d’expression. Les personnes se sentant surveillées sont en outre incitées à être moins expressives sous ces yeux électroniques.

La mise en œuvre d’un tel système concernant les données de l’ensemble des utilisateurs de moyens de communications électroniques peut néanmoins être considérée comme justifiée, si elle est opérée « pendant une période strictement limitée ». La CJUE exige néanmoins l’intervention d’une autorité qui viendra contrôler effectivement la décision autorisant ces boites noires.

La cour demande « un contrôle effectif soit par une juridiction, soit par une entité administrative indépendante ». La Commission de contrôle des techniques du renseignement intervient certes, mais seulement dans le cadre d’un « avis » alors que la CJUE réclame une décision ayant « un effet contraignant visant à vérifier l’existence d’une situation justifiant ladite mesure ainsi que le respect des conditions et des garanties devant être prévues ».

Elle donne d’autres pistes : ainsi, injecter dans l’algorithme un postulat selon lequel l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, l’état de santé ou la vie sexuelle d’une personne pourraient être pertinents, peu importe le comportement de la personne, serait interdit.

« Les modèles et les critères préétablis aux fins d’une analyse automatisée visant à prévenir des activités de terrorisme présentant une menace grave pour la sécurité nationale ne sauraient être fondés sur ces seules données sensibles », estime l’arrêt, qui n’exclut donc pas un recours partiel à ces critères. Il réclame au passage que « la fiabilité et l’actualité » des modèles utilisés fassent « l’objet d’un réexamen régulier ».

Un message là aussi adressé à la France.

La géolocalisation en temps réel

La géolocalisation en temps réel est aussi autorisée par la loi Renseignement s’agissant des personnes identifiées préalablement comme susceptibles d’être en lien avec une menace terroriste. Voilà une nouvelle atteinte à l’obligation de confidentialité et à la vie privée.

Il doit dès lors exister « une raison valable de soupçonner qu’elles sont impliquées » (la loi Renseignement parle de « raisons sérieuses »), outre des critères objectifs et non discriminatoires. Là encore le contrôle de l’autorité judiciaire ou d’une autorité administrative indépendante doit être effectif, doté d’un effet contraignant et intervenir à bref délai en cas d’urgence.

Les personnes concernées doivent-elles être informées ? Ce n’est obligatoire que dans l’hypothèse « où elle n’est pas susceptible de compromettre les missions » des autorités. Un levier suffisamment vaste pour empêcher qu’un individu préalablement soupçonné et surveillé puisse savoir et ensuite faire valoir ses droits devant les juridictions.

Pas de modulation dans le temps des systèmes illégaux

Restaient les dernières questions dans le premier arrêt. L’une visait à vérifier la conformité de l’obligation de conservation à la lumière cette fois de la directive Commerce électronique de 2000. La CJUE a expliqué que ce texte n’est pas applicable en matière de protection de la confidentialité des communications.

Dans l’affaire C-520/18, jugée dans ce même arrêt, les juridictions belges ont voulu savoir s’il était possible de maintenir un temps durant et malgré la décision du jour, l’obligation de conservation indifférenciée et généralisée des données de connexion. La CJUE a répondu qu’elle était seule à disposer d’un tel pouvoir.

« Le juge national chargé d’appliquer, dans le cadre de sa compétence, les dispositions du droit de l’Union a l’obligation d’assurer le plein effet de celles-ci en laissant au besoin inappliquée, de sa propre autorité, toute disposition contraire de la législation nationale, même postérieure, sans qu’il ait à demander ou à attendre l’élimination préalable de celle-ci par voie législative ou par tout autre procédé constitutionnel. »

Droit de la preuve et conservation illicite des données

Enfin, la Cour a répondu à la question de savoir « si le droit de l’Union s’oppose à une exploitation, dans le cadre d’une procédure pénale, des informations et des éléments de preuve qui ont été obtenus par une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation incompatible avec ce droit ».

Elle estime en substance que ces moyens de preuve doivent être rejetés si les personnes en cause « ne sont pas en mesure de commenter efficacement ces informations et ces éléments de preuve », pour autant qu’elles proviennent « d’un domaine échappant à la connaissance des juges et qui sont susceptibles d’influencer de manière prépondérante l’appréciation des faits ».

La transmission généralisée et indifférenciée des métadonnées

Dans le second arrêt, dit Privacy International (31 pages contre 85), c’est cette fois la question de la surveillance de masse par le GCHQ, le MI5 et MI6 qui était sur la sellette. Ces pratiques furent rendues publiques par un rapport de la commission du renseignement au Parlement britannique.

Question principale : est-ce que le droit européen s’oppose à ce qu’un État membre, aux fins de la sauvegarde de la sécurité nationale, peut exiger des fournisseurs « la transmission généralisée et indifférenciée des données relatives au trafic et des données de localisation aux services de sécurité et de renseignement » ?

On ne parle donc plus de conservation, mais de transmission. L’arrêt rappelle de précieux points, qui donnent le vertige : sans autorisation préalable d’une juridiction ou d’une autorité indépendante, « les données ainsi recueillies, qui sont soumises à des traitements et à des analyses de masse et automatisés, peuvent être recoupées avec d’autres bases de données comportant différentes catégories de données à caractère personnel en masse ou être divulguées hors de ces services et à des États tiers ».

La Cour répète qu’il s’agit d’atteintes au principe de la confidentialité des données à caractère personnel et que chacune doit prendre la forme d’une « mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale, la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques ».

Mais face à une telle ampleur, pas de doute : un tel système est incompatible avec le droit européen, en particulier deux dispositions de la directive de 2002 Vie Privée et Communications Électroniques.

Nous reviendrons sur les effets de ces arrêts en France, et les réactions.

• L’arrêt LQDN, FDN, FFDN et autres 
• L’arrêt Privacy International