Mercredi 15 janvier, le rapporteur de la Cour de justice de l’Union européenne rendra ses conclusions dans une série d’affaires fondamentales relatives à la conservation des données de connexion et aux outils du renseignement. Elles sont susceptibles de provoquer un big bang en la matière dans tous les États membres.

Ces affaires ont été initiées au Royaume Uni, en France et en Belgique, notamment par Privacy International, la Quadrature du Net et French Data Network et l’Ordre des barreaux francophones et germanophones.

Sur un plateau, la conservation généralisée des données de connexion, la collecte de masse par les services du renseignement. Sur l’autre, la protection de la vie privée, le respect des données à caractère personnel et celui du droit à un recours effectif. Au centre, une question épineuse : comment assurer un équilibre satisfaisant ? 

En Angleterre, résument les services de la cour, le service de sécurité (MI5) et le service secret de renseignement (MI6) « utilisent une technique de collecte en masse des informations personnelles, sans cibler de suspects particuliers, dans le but d’optimiser la quantité de renseignements ». Or, pour l’ONG Privacy International, cette collecte et ce traitement indiscriminés seraient contraires au droit de l’Union. 

La conservation durant 12 mois des données de connexion 

La Quadrature du Net, FDN, la Fédération des fournisseurs d’accès à Internet associatifs et l’association Igwan.net se sont attaqués à quatre décrets pris à la suite de la loi renseignement.

Les requérantes s’interrogent sur la licéité de la conservation indifférenciée et généralisée des données de connexion, obligation pesant sur les épaules des intermédiaires techniques (voir notre actualité détaillée de juillet 2018, sur la décision du Conseil d'Etat ayant transmis ces questions).   

En Belgique, l’Ordre des barreaux francophones et germanophones reproche à la législation en vigueur d’ordonner une telle conservation sans tenir compte des secrets professionnels dont bénéficient notamment les avocats. 

« Par ailleurs, prévient le service communication de la CJUE, ladite loi prévoirait une obligation généralisée de conservation des données sans opérer de distinction entre les justiciables selon qu’ils font ou non l’objet d’une mesure d’enquête ou de poursuite pour des faits susceptibles de donner lieu à une condamnation pénale ». 

Une autre affaire a été ouverte par un fiscaliste qui reproche, identiquement, à la législation nationale de faire peu de cas là encore du secret en la matière. Dans un dernier dossier, c’est l’obligation de conservation généralisée sur 12 mois (délai identique en France et en Belgique) qui est épinglée.

Dans ses arrêts Digital Rights et Tele2, la CJUE avait estimé que seule la lutte contre la criminalité grave pouvait justifier la conservation des données, exigeant au surplus que l’accès fasse l’objet d’un encadrement. Dans un arrêt du 2 octobre 2018, la même juridiction avait estimé toutefois qu'un accès limité à ces données pouvait être engagé dans le cadre de la répression d'une infraction non grave. 

• Affaire C-623/17 Privacy International
• Affaire C-511/18 La Quadrature du Net
• Affaire C-512/18 French Data Network
• Affaire C-520/18 Ordre des barreaux francophones et germanophones