Les Exégètes accentuent leur pression sur l’obligation de rétention des données
Données, c'est (parfois) violer
Le 23 mai 2016 à 10h12
6 min
Droit
Droit
La pression s’accentue aux portes du gouvernement sur la question de la rétention des données. La Quadrature du Net, French Data Network et la Fédération des fournisseurs d’accès à Internet associatifs viennent d'adresser un nouveau mémoire pour s’attaquer à ce sujet sensible, et espérer un encadrement digne de ce nom.
Fin 2014, dans son rapport sur les libertés numériques (PDF), la section des études du Conseil d’État avait été on ne peut plus claire : l’obligation générale de conservation des données de connexion qui pèse sur l’ensemble des opérateurs en France souffre d’une problématique de conformité avec un arrêt de la Cour de Justice de l’Union européenne.
En France, l'obligation de conservation généralisée
Explications : le Code des postes et des télécommunications prévoit un principe d’effacement des données de connexion. Ce principe claironné à l’alinéa 2 de l’article L34-1, est cependant immédiatement réduit en cendre dans le fil de cet article où est prévue une obligation de conservation des données aussi bien pour le pénal, la loi Hadopi ou encore l’ANSSI. En outre, de nombreuses administrations se sont vues reconnaitre un droit de communication sur ce stock, avec un encadrement très allégé. De même, la loi sur la confiance dans l’économie numérique de 2004 oblige les FAI et les hébergeurs à conserver toutes les données « de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires. »
Cette machine à conserver les données de connexion ronronnait tranquillement en France, jusqu’à cet évènement européen. Un véritable morceau de sucre dans son réservoir.
En Europe, l'obligation de conservation affinée
Le 8 avril 2014, la Cour de justice de l’Union européenne a en effet invalidé la directive sur la conservation des données de connexion, faute pour celle-ci de prévoir une série de garanties jugées inévitables. Et pour cause, les données de connexion, « prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes (…) telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ».
En scrutant le nuage de métadonnées laissées dans le sillage d’un internaute, il est effectivement très simple de reconstituer, avec un luxe de détails, l’ensemble de ses liens sociaux, professionnels, ses loisirs, mais aussi sa vie sexuelle, ses qualités, ses défauts, ses goûts, ses engagements politiques, religieux, syndicaux, son état de santé, etc. Bref, des pans de vie très intimes qui mettent à nu celui qui pense s’abriter derrière le paravent de l’écran.
Quelles ont été les garanties posées par la CJUE ? Dans leur droit d’inventaire appuyé par la Charte des droits fondamentaux de l’Union, les juges ont réclamé de réserver cette conservation aux seules infractions graves, en discriminant la durée de la rétention entre les catégories de données selon leur utilité éventuelle, tout en délimitant l’accès aux autorités compétentes et en s’assurant d’un haut niveau de sécurité chez les opérateurs, etc.
Voilà pourquoi, la législation française dans une main, cet arrêt Digital Rights dans l’autre, la section des études du Conseil d’État a réclamé un toilettage de la législation française. Et pour cause, celle-ci a opté pour la conservation généralisée, plutôt que discriminée.
Contourner le silence du Conseil d’État
Mais tout n’a pas été aussi simple. D’une part, formellement, notre législation ne procède pas de la directive invalidée. Nos textes lui sont antérieurs. Cependant, les garanties exigées par la CJUE ne sont pas cimentées à la directive. Elles ont une portée très vaste permettant de les appliquer aussi aux législations internes plus anciennes.
Malheureusement, d’autre part, saisie de cette problématique, la section du contentieux de la même juridiction a fait peu de cas du fameux arrêt lorsqu’elle a été invitée à jauger l'article 20 de la Loi de programmation militaire (ou LPM). Cette disposition, élargie depuis par la loi Renseignement, permet pourtant aux autorités de recueillir en temps réel et sur sollicitation du réseau, tous les « documents » et «informations » conservés par les opérateurs. Déjà dans leur recours, French Data Network, La Quadrature du Net, la Fédération des fournisseurs d'accès à internet associatifs et RSF avaient dénoncé une incompatibilité manifeste avec l’arrêt de la CJUE.
Si leur première tentative est donc restée vaine, ces trois acteurs, réunis sur le site Exegetes.eu.org ne baissent pas les bras. Ils viennent d’adresser un nouveau mémoire (PDF) au Conseil d’État dans le cadre d’une autre procédure. Sans rentrer dans d’amples détails, ce trio avait aussi sollicité en mai 2015 du gouvernement l’abrogation de l’article R. 10 - 13 du Code des postes et des communications électroniques (CPCE) et le décret no 2011 - 219 du 25 février 2011, deux textes détaillant la conservation des données.
En juillet de la même année, ils ont attaqué l’absence de réponse du gouvernement, puisque ce silence équivaut à un refus tacite. Dans le dernier mémoire adressé à la juridiction administrative, les associations expliquent en quoi le droit de l’Union, et consécutivement la Charte des droits fondamentaux de l’Union européenne, est bien applicable à ce régime de conservation des données personnelles.
Si son doute persiste, il demande au Conseil d’État de ne plus faire barrage, mais d’agir : soit d’appliquer malgré tout les articles 7 (respect de la vie privée) et 8 (droit à la protection des données personnelles) de la Charte, soit, à l’image de ce qu’a fait l’Angleterre, questionner la Cour de justice de l’Union européenne pour savoir si l’arrêt Digital Rights concerne aussi le régime français de la conservation et de l’accès aux donnés.
Les Exégètes accentuent leur pression sur l’obligation de rétention des données
-
En France, l'obligation de conservation généralisée
-
En Europe, l'obligation de conservation affinée
-
Contourner le silence du Conseil d’État
Commentaires (11)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 23/05/2016 à 11h22
Bravo à eux de faire le travail que ne font malheureusement pas nos parlementaires
Le 23/05/2016 à 13h11
Trop occupé! Passer 3 heures au resto midi et soir, ça occupe!
Le 23/05/2016 à 13h20
Le 23/05/2016 à 15h35
Donc notre gouvernement est officiellement CONTRE l’Europe, ou seulement quant ça l’arrange " />
Le 23/05/2016 à 19h37
Notre gouvernement est contre le fait de se faire contredire, que ce soit par l’Europe ou par une cour de justice. Et, en matière européenne, la France a depuis des décennies une position totalement hypocrite. Typiquement quand nos gouvernements affirment que l’Europe leur impose un truc, alors que la France soutenait le truc en question (ou ne s’y est pas opposé). C’est un grand classique, typiquement français.
Le 24/05/2016 à 07h31
Le 24/05/2016 à 17h43
Symptomatique de l’attitude de nos élus qui se comportent d’une façon particulière face à leurs homologues étrangers, et qui prêchent le contraire face à leurs électeurs issus de leur propre Pays.
L’Homo Sapiens et l’Homo neanderthalensis dans toute leur splendeur.
Le 25/05/2016 à 08h20
Typiquement Français comme attitude, je ne suis pas sûr. Pour voyager pas mal, je m’aperçois que dans la majorité des pays, le citoyen lambda fait exactement (ou presque) les mêmes reproches à sa classe dirigeante… Ca m’interpelle au niveau de la citoyenneté et de mon engagement personnel : je râle comme tout le monde, mais que fais-je pour changer ce monde ?
Le 25/05/2016 à 08h26
tu fais comme tout le monde : tu votes pour ceux d’en face (sans changement notable) ou alors tu arrêtes de voter… (attendu que l’argument “présente-toi et monte ton parti” ne peut s’appliquer qu’à quelqu’un qui a des millions en banque (ou est prêt à se faire financer et donc possiblement manipuler) ET qui a au minimum 15-20 ans devant lui pour atteindre une visibilité correcte)
Le 25/05/2016 à 09h03
Le 25/05/2016 à 14h10