Le sujet épineux de l’accès aux données de connexion revient devant la Cour de justice de l’Union européenne (CJUE). Celle-ci vient d’admettre qu’un tel accès pouvait s’envisager, même pour lutter contre des infractions non graves. Il faut cependant qu'il ne permette pas de tirer des conclusions importantes sur la vie privée d’une personne.

Cette affaire née en Espagne est simple, mais ses enjeux sont très importants. En 2015, un certain Hernández Sierra s’était fait voler avec violence, son portefeuille et son téléphone. Il avait naturellement porté plainte.

Dans la foulée, la police avait saisi le juge d’instruction pour obtenir l’accès à plusieurs données de connexion de son téléphone : numéro IMEI et références de la ou des cartes SIM utilisées. L’objectif ? Identifier le détenteur, et donc possiblement le voleur.

Le juge avait refusé, principalement parce que la loi réserve cette communication aux seules infractions graves, celles sanctionnées d’au moins cinq ans de prison. Le ministère public avait fait appel de cette ordonnance devant l’Audiencia Provincial de Tarragona.

À titre conservatoire, la cour provinciale de Tarragone a d’abord demandé aux opérateurs de prolonger la conservation des données. Elle a relevé en outre que la législation avait depuis changé. Elle définit désormais deux critères alternatifs pour déterminer le degré de gravité d’une infraction : un critère matériel (terrorisme, criminalité organisée, etc.) et un critère normatif formel (un seuil de trois ans pour qualifier une infraction de « grave »).

C’est dans ce contexte qu’elle a questionné la Cour de justice de l’Union européenne pour éprouver ce cadre aux normes européennes.

Infraction grave et ingérence grave

Celle-ci avait, au fil de ses arrêts Digital Rights et Tele2, conditionné l’accès aux données de connexion à la lutte contre le haut du panier pénal, le terrorisme et d’autres infractions considérées par elle comme (vraiment) graves.

 Comment donc résoudre cette difficulté ? L’analyse de la CJUE est fondamentale puisqu’elle met en lumière une logique de proportionnalité dont elle raffole.

Le principe, comme exposé, est que seules les infractions graves sont susceptibles de justifier un vaste accès aux autorités aux données de connexion. Cependant, tempère-t-elle aujourd’hui, ce seuil « doit être en relation avec la gravité de l’ingérence dans les droits fondamentaux en cause que cette opération entraîne ».

Infraction non grave, accès limité 

Ainsi, « lorsque l’ingérence que comporte un tel accès n’est pas grave, ledit accès est susceptible d’être justifié par un objectif de prévention, de recherche, de détection et de poursuite d’« infractions pénales » en général ».

« En somme, nous explique Me Alexandre Archambault, qui fut responsable des affaires réglementaires chez Free, lorsque des informations permettent de tirer des conclusions importantes sur la vie privée d’une personne, il y a ingérence profonde. La cour réserve ces accès à la seule lutte ou prévention contre la criminalité grave. » Inversement, il peut y avoir une ingérence moins importante lorsqu’il s’agit de s’attaquer au tout-venant des infractions.

Dans le cas d’espèce, la demande porte sur le code IMEI, l’identification des cartes SIM utilisées dans le téléphone volé et l’identité de leur détenteur sur une période de 12 jours. De telles données, répond la cour, « ne permettent de connaître ni la date, l’heure, la durée et les destinataires des communications effectuées (…), ni les endroits où ces communications ont eu lieu ou la fréquence de celles-ci avec certaines personnes pendant une période donnée ».

Avec un si faible lot de données de connexion, impossible de tirer des conclusions précises sur la vie privée des personnes concernées. Ces ingérences n’étant pas graves, elles peuvent justifier un accès limité des autorités.

Hadopi moins menacée par l'arrêt Tele2

Cet arrêt va nourrir nécessairement les questions soulevées par le Conseil d’État en juillet 2018 visant à trouver des justifications à la conservation généralisée et à l’accès aux données.

De même, l’analyse devrait être transposable à la Hadopi : certes celle-ci dispose d’un accès aux données de connexion, mais il est limité à quelques informations (nom de famille et prénoms, l’adresse postale, les adresses électroniques, les coordonnées téléphoniques, l’adresse de l'installation téléphonique de l'abonné).

Un périmètre bordé qui pourrait être considéré comme proportionné au montant de la contravention (1 500 euros) puisque ces informations « ne permettent de connaître ni la date, l’heure, la durée et les destinataires des communications effectuées (…), ni les endroits où ces communications ont eu lieu ou la fréquence de celles-ci avec certaines personnes pendant une période donnée ». Plus exactement, seuls quelques éléments sont connus comme le lieu, l'heure et la date de la mise à disposition d'une oeuvre protégée.