La Cour de justice européenne a imposé mardi 8 avril une révision de la législation européenne sur la conservation des données personnelles utilisée pour lutter contre le crime organisé et le terrorisme, jugée nécessaire mais disproportionnée et trop intrusive. L’arrêt de la Cour pointe trois problèmes: la durée de conservation des données, jugée « disproportionnée », le manque de protection contre les risques d’abus et l’absence de mesures pour « limiter au strict nécessaire » l’ingérence dans la vie privée des individus. C’est tout ce que l’on veut, sauf une surprise, l’avocat général, Cruz Villalon, dans ses conclusions de fin de l’année passée avait été très sévère et ne laissait que peu d’espoir.

 La Quadrature du Net salue la décision de la Cour de justice : une victoire pour tous les défenseurs de la vie privé, qui partout en Europe, s’était mobilisés depuis 2006 contre le fichage généralisé des communications ». Le président de l’European Digital Rights Group (EDRI), John MacNamee, a souligné de son côté que cet arrêt mettait fin à « 8 années d’abus sur les données personnelles ». L’euro député vert allemand Jan Philipp Albrecht rapporteur sur la proposition de refonte de la Directive sur la protection des données personnelles parle « d’une véritable délivrance pour les droits civiques (…) La conservation des données téléphoniques sans raison particulière doit être abolie dans toute l’Europe». Il est urgent de doter l’Europe d’un Habeas corpus numérique et de suspendre une bonne fois pour toutes les accords Safe Harbour et Swift-TFTP n’ont cessé de réclamer depuis plusieurs mois beaucoup de députés européens. Menaçant même dans une résolution votée en plénière d’arrêter les négociations commerciales transatlantiques.

 Sont visées la durée de conservation mais aussi la nature des données : des indications très précises comme nos habitudes de la vie quotidienne : relations sociales, déplacements quotidiens etc . Dans un article du 25 octobre 2012, suite aux débats au sein du Parlement européen Nea say de Eulogos posait la question quand la Commission va-t-elle modifier la directive ? Quelles garanties ? Quelle efficacité ?

 La Cour de justice a déclaré la directive sur la conservation des données « invalide », car elle « comporte une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel sans que cette ingérence soit limitée au strict nécessaire ».

 Mais la Cour a considéré que « la conservation des données en vue de leur transmission éventuelle aux autorités nationales compétentes répond effectivement à un objectif d’intérêt général, à savoir la lutte contre la criminalité grave ainsi que, en définitive, la sécurité publique ».

 Les Etats ne peuvent plus utiliser cette législation en l’état, ce qui va leur poser un problème, car elle les prive d’un instrument pour la lutte contre le crime organisé et le terrorisme », a-t-on fait valoir,mais il reste à démontrer l’efficacité d’une telle démarche de plus en plus généralement contestée comme indiqué par ailleurs à commencer par les Etats-Unis . Certes le texte a été adopté après les attentats meurtriers du 11 mars 2004 à Madrid et du 7 juillet 2005 à Londres et dans ce contexte chargé d’émotion, il obligeait les fournisseurs de services de télécommunications à conserver, pendant un délai de six à vingt-quatre mois, les données relatives au trafic et à la localisation des interlocuteurs, mais pas le contenu même des conversations. La High Court (Haute Cour irlandaise) et le Verfassungsgerichtshof (Cour constitutionnelle autrichienne) avaient saisi la Cour européenne pour qu’elle statue sur la compatibilité de ce texte avec la Charte des droits fondamentaux de l’Union européenne. Ils étaient soucieux de trancher les plaintes déposées par différents groupes de citoyens et associations : ils ‘opposaient à ce que la directive oblige les opérateurs télécoms continuent à stocker pendant une période comprise entre six et vingt-quatre mois les données de l’ensemble des communications de leurs clients afin de faciliter la recherche, la détection et la poursuite d’infractions graves

 Comme déjà indiqué l’arrêt de la cour souligne trois problèmes : la durée de conservation des données, jugée « disproportionnée », le manque de protection contre les risques d’abus et l’absence de mesures pour « limiter au strict nécessaire » l’ingérence dans la vie privée des individus. « En outre, le fait que la conservation et l’utilisation ultérieure des données sont effectuées sans que l’abonné ou l’utilisateur inscrit en soit informé est susceptible de générer dans l’esprit des personnes concernées le sentiment que leur vie privée fait l’objet d’une surveillance constante. »

 Quelques extraits de l’arrêt : le motif de la lutte contre le terrorisme est un motif légitime reconnaît la Cour mais le texte constitue « une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux » Il contrevient « au respect de la vie privée et à la protection des données à caractère personnel, sans que cette ingérence soit limitée au strict nécessaire (…) Ces données, prises dans leur ensemble, sont susceptibles de fournir des indications très précises sur la vie privée des personnes, comme les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, ,les déplacements journaliers ou autres, les activités exercées, et les milieux sociaux fréquentés (…) Le fait que la conservation et l’utilisation ultérieure des données sont effectuées sans que l’abonnée ou l’utilisateur inscrit en soit informé est susceptible de générer dans l’esprit des personnes concernées le sentiment que leur vie privée fait l’objet d’une surveillance constante ». Une surveillance que la Cour de Justice « juge disproportionnée » en l’absence d’un minimum de garanties » la directive couvre de manière généralisée l’ensemble des individus, des moyens de communication électroniques et des données relatives au trafic sans qu’aucune différenciation, limitation ou exception, soit opérée en fonction de lutte contre les infractions graves (…)l’accès aux données n’est notamment pas subordonné au contrôle préalable d’une juridiction ou d’une entité administrative indépendante »Les juges regrettent, dénoncent, critiquent… « pas de garanties suffisantes permettant d’assurer une protection efficace des données contre les risques d’abus et l’utilisation illicites des données (…)la législation n’impose pas une conservation des données sur le territoire de l’Union » permettant ainsi leur stockage dans des pays tiers au risque d’une utilisation abusive de ces informations.

 Et maintenant ? Un arrêt très sévère, à la sévérité inédite. Cecilia Malmström, la commissaire en charge des affaires intérieures a salué « les clarifications apportées par la Cour de justice(…) des clarifications en ligne avec l’évaluation critique faite par la Commission ». L’arrêt va obliger la Commission à proposer une modification de la directive en cause et certainement relancer les négociations en cours entre le Parlement et le Conseil, négociations actuellement bloquées pour la refonte d’une législation ancienne, rendue complètement obsolète par les nouvelles technologies, notamment. Les élections, puis la nomination d’une nouvelle Commission européenne vont inévitablement retarder le dénouement avec des risques accrus : retrouverons nous les mêmes protagonistes ? Certainement pas avec comme conséquence la disparitions d’une certaine culture, d’une certaine expérience. C’est d’autant plus regrettable que cet arrête n’apprend rien à la Commission européenne qui savait de longue date que la directive posait problème, une révision était annoncée, elle avait jugé qu’il était préférable d’attendre la fin des travaux sur la réforme globale des règles de protection des données, fin que par trop d’optimisme , elle estimait proche. L’expérience a montré que tel n’a pas été le cas. A contrario on peut estimer que cet arrêt peut accélérer les travaux, car la situation nouvelle créée par l’arrêt ne pourra pas se prolonger indéfiniment. Dans son rapport d’évaluation (cf.infra pour en savoir plus) elle avait porté un regard lucide, mais curieusement tout en ne faisant rien pour modifier la directive,elle a fait le choix de poursuivre certains Etats membres pour infraction, certains venaient tout juste de notifier leur transposition, ces mêmes Etats et les autres peuvent s’interroger sur la conformité de leur transposition avec l’arrêt. Comment poursuivre jusqu’au bout ces infraction ? La rétention à des fins de lutte contre le terrorisme reste permise, mais selon quelle modalité. Comment les opérateurs de télécommunications doivent-ils désormais se comporter ?

 Toujours est-il que Edward Snowden a contribué largement à ce que la Cour tranche d’une façon aussi vigoureuse.Ce n’était plus tenable : rappelons que les conclusions de l’avocat général sont tombées au moment où l’émotion était la plus forte, chaque jour apportant son lot de révélations et cela mois après mois. Il est légitime de s’interroger sur ce lien.

Henri-Pierre Legros

Pour en savoir plus :

 -. Article de Nea say du 25 octobre 2012 http://europe-liberte-securite-justice.org/2012/10/25/conservation-des-donnees-personnelles-le-parlement-europeen-pose-des-questions-quand-quelles-garanties-quelle-efficacite/

 -. La Quadrature du Net pour un historique de l’Affaire https://www.laquadrature.net/fr/retention-des-donnees-la-cjue-denonce-le-fichage-systematique-des-communications

 -. Rapport du député européen Alexander Alvaro sur la proposition de Directive (28 novembre 2005) http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A6-2005-0365+0+DOC+XML+V0//FR

 -. Contre rapport de EDRI (European Digital Rights) http://www.edri.org/files/shadow_drd_report_110417.pdf

 -. Avis du Contrôleur européen des données, Peter Hustinx (31 mai 2011) http://europa.eu/rapid/press-release_EDPS-11-6_fr.htm

 -. Témoignage d’une euro députée militante de longue date, Françoise Castex : un coup d’arrêt à la détention des données personnelles http://www.francoisecastex.org/2014/04/cjue-un-coup-darret-a-la-retention-des-donnees.html

 -. Intervention de la députée Sylvie Guillaume lors du débat au Parlement européen du 24 octobre 2012 http://www.deputes-socialistes.eu/?p=8288

 -. Texte de la Directive 2006 /24/CE (FR) http://eur-lex.europa.eu/legal-content/FR/ALL/;jsessionid=rSy5TCJQqSpskmh2nTp2nX97rPhByty8snSp41jJT1x6TngGtH10!505893075?uri=CELEX:32006L0024 (EN)

  -. Conclusions de l’avocat général Cruz Villalon (FR) http://curia.europa.eu/jcms/upload/docs/application/pdf/2013-12/cp130157fr.pdf

(EN) http://curia.europa.eu/jcms/upload/docs/application/pdf/2013-12/cp130157en.pdf (EN) http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d2dc30dbce66488b3af54f8abf56edf172750166.e34KaxiLc3qMb40Rch0SaxuNaN50?text=&docid=145562&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=597252

 -. Arrêt de la Cour (FR) http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d2dc30dbce66488b3af54f8abf56edf172750166.e34KaxiLc3qMb40Rch0SaxuNaN50?text=&docid=150642&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=597252 (EN) http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d2dc30dbce66488b3af54f8abf56edf172750166.e34KaxiLc3qMb40Rch0SaxuNaN50?text=&docid=150642&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=597252

 -. Frequently asked questions :data retention Directive http://europa.eu/rapid/press-release_MEMO-14-269_en.htm

 -. Rapport d’évaluation de la Commission sur la Directive rétention des données http://europa.eu/rapid/press-release_MEMO-14-269_en.htm

      -. Commentaires du Helsinki Times http://www.helsinkitimes.fi/finland/finland-news/domestic/10120-finland-must-revise-its-data-protection-laws.html

      -. Communiqué du Ministère de la Justice luxembourgeois http://www.gouvernement.lu/3641093/08-cjue

  -. Commissioner Malmström’s statement on today’s Court judgement. http://europa.eu/rapid/press-release_STATEMENT-14-113_en.htm