Selon la Cour de justice de l’Union européenne, les États ne peuvent pas forcer les fournisseurs d’accès Internet à conserver les données de leurs clients.
À voir aussi sur Konbini
C’est une (petite) victoire pour la protection de la vie privée en ligne : mercredi 21 décembre, la Cour de justice de l’Union européenne (CJUE) a rendu un arrêt qui stipule que les États ne peuvent pas imposer aux fournisseurs d’accès à Internet (FAI) une “conservation généralisée et indifférenciée” des données de connexion de leurs clients. En d’autres termes, et comme le résume très bien Numerama, l’open bar de la justice sur vos données privées vient de fermer. Désormais, les demandes des magistrats devront être extrêmement limitées et “ciblées”. Dans les faits, une demande de conservation des données ne pourra se faire que dans des affaires de lutte contre “la criminalité grave”. La notion est large, mais on se doute bien qu’elle inclut le terrorisme.
Avec cette décision, la CJUE confirme la position de défense des droits des internautes qu’elle avait déjà prise en 2014 en invalidant, via l’arrêt Digital Rights Ireland, une directive européenne de 2006 qui obligeait (oui, obligeait) les États-membres à mettre les fournisseurs d’accès à leur service en conservant toutes les données de connexion, au cas où la justice en aurait besoin plus tard. En vertu de la charte des droits fondamentaux de l’UE, la Cour avait jugé que l’initiative “n’était pas limitée au strict nécessaire” et ne protégeait donc pas la vie privée des citoyens européens.
Deux saisies de la CJUE plus tard, l’avocat général de la cour, le Danois Henrik Saugmandsgaard Øe, rendait un verdict, en juillet dernier, qui permettait à nouveau aux États de réclamer la conservation des données tout en respectant les modalités de l’arrêt Digital Rights Ireland. Le 21 décembre, la CJUE en a donc remis une couche en s’opposant à son propre avocat général. Une manière de dire qu’elle considère de manière univoque que conserver les données de connexion de ses citoyens est bien incompatible avec la Charte des droits fondamentaux. Mieux, voilà ce qu’elle écrit noir sur blanc dans son communiqué, on ne saurait faire plus clair :
“L’ingérence résultant d’une réglementation nationale prévoyant la conservation des données relatives au trafic et des données de localisation doit donc être considérée comme particulièrement grave. […] Une telle réglementation nationale excède donc les limites du strict nécessaire et ne saurait être considérée comme étant justifiée dans une société démocratique, ainsi que l’exige la directive lue à la lumière de la Charte.”
Coucou la loi sur le renseignement
C’est désormais limpide : la justice européenne proscrit toute “réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique”. Les États qui souhaitent quand même surveiller le comportement en ligne de certains individus (une conservation “limitée au strict nécessaire”, on le rappelle) devront se plier à un ensemble de règles, que détaille la CJUE : les personnes devront être informées que leurs données sont conservées, l’accès des autorités aux données devra être “subordonné à un contrôle préalable effectué par une juridiction ou une entité indépendante”, et les données devront être conservées sur le territoire de l’Union et détruites après consultation. Oups, la France va devoir revoir sa politique sécuritaire.
Eh oui : difficile, lorsque la CJUE évoque une réglementation nationale prévoyant “une conservation généralisée et indifférenciée” des données à des fins de lutte contre la criminalité, de ne pas y voir la définition même de la loi sur le renseignement, créée par l’actuel Premier ministre Bernard “Big” Cazeneuve, alors ministre de l’Intérieur, et votée en 2015. En France, aujourd’hui, ces “boîtes noires” récoltent toutes nos données de connexion, les font passer à travers le tamis algorithmique de recherche de terroristes potentiels, et les conservent ensuite pendant douze mois, juste au cas où. Pour le Conseil constitutionnel, ce dispositif ne portait pas “une atteinte manifestement disproportionnée à l’intérêt de la vie privée”. Dommage, la plus haute institution judiciaire européenne pense le contraire.
La France, héraut de la surveillance
En théorie, la France devrait donc prendre acte de cette décision et mettre à jour son dispositif de surveillance. Attendons de voir, mais il y a fort à parier qu’elle n’en fera rien. En 2014, notre gouvernement avait déjà soigneusement ignoré l’arrêt Digital Rights Ireland. À côté de ça, il tente depuis un an de convaincre la CJUE que son dispositif de conservation des données est compatible avec la charte des droits fondamentaux, en s’appuyant sur une supposée faille juridique. Pour résumer, ces deux dernières années, la France, en compagnie de l’Allemagne et du Royaume-Uni (l’orwellienne IP Bill est également dans le viseur de la CJUE), est de tous les combats pour le déploiement des systèmes de collecte des données en Europe et, surtout, leur intégration (aux forceps) dans les textes de loi.
Alors que l’état d’urgence est (encore) prolongé jusqu’au 15 juillet, que l’élection présidentielle approche, que Bernard Cazeneuve est Premier ministre et que la France a surveillé de près 20 000 personnes cette année, on voit mal notre pays se plier docilement à la justice européenne et désactiver avec le sourire ses tous nouveaux outils. Qu’importe qu’ils soient désormais illégaux.