Dans un avis très souvent suivi par la Cour, l’avocat général de la Cour de justice de l’Union européenne (CJUE) a jugé mardi que les états pouvaient imposer la conservation des données de connexion par les FAI, mais en respectant le cadre très strict déjà déterminé par la juridiction dans son arrêt Digital Rights Ireland. La France devra se conformer.

Le 8 avril 2014, la Cour de justice de l’Union européenne (CJUE) marquait sa volonté jurisprudentielle de protéger les droits des internautes, en décidant dans son arrêt Digital Rights Ireland d’invalider la directive européenne de 2006 qui obligeait les états membres de l’UE à exiger des fournisseurs d’accès à internet qu’ils conservent un journal des données de connexions de leurs clients, pour que police et justice puissent y avoir accès.

La cour qui s’appuie sur la Charte des droits fondamentaux de l’Union européenne avait jugé que l’obligation était disproportionnée et insuffisamment encadrée au regard de la protection de la vie privée et des données personnelles des citoyens européens.

Depuis, plusieurs pays de l’Union ont décidé de suspendre ou de réviser leurs législations pour prendre acte de l’avis de la cour suprême, en Slovaquie, en Belgique, aux Pays-Bas, en Irlande, en Autriche, en Roumanie, en Slovénie ou encore en Bulgarie. D’autres pays, comme la France, ont décidé de ne rien faire et la Commission européenne a elle-même choisi de ne pas revenir sur le sujet. Mais ce statu quo ne pourra pas durer éternellement.

L’avocat général Saugmandsgaard Øe, de la Cour de justice de l'Union européenne (CJUE).

L’avocat général Saugmandsgaard Øe, de la Cour de justice de l’Union européenne (CJUE).

Interrogé à ce sujet lors de deux affaires jointes (C-203/15 Tele2 Sverige et C-698/15 Secretary of State for Home Department/Tom Watson e.a), l’Avocat général Saugmandsgaard Øe a conseillé mardi à la CJUE de dire aux états membres qu’ils avaient bien le droit d’exiger la conservation de toutes les métadonnées, mais uniquement en se conformant aux impératifs fixés par l’arrêt Digital Rights Ireland (DRI).

Conserver, oui. Donner accès, le moins possible.

« J’estime que toutes les garanties énoncées par la Cour aux points 60 à 68 de l’arrêt DRI présentent un caractère impératif et doivent, par conséquent, accompagner une obligation générale de conservation de données en vue de limiter au strict nécessaire l’atteinte aux droits consacrés [par le droit de l’Union européenne] », écrit l’Avocat général, dont l’avis est très souvent suivi par la Cour.

Or ces points 60 à 68 sont très stricts et imposent en particulier que les données stockées ne puissent être consultées par les autorités que dans un cadre limité, pour les infractions les plus graves uniquement. Ils disent :

  • Fixer des « critères objectifs » pour « délimiter l’accès des autorités nationales compétentes aux données et leur utilisation ultérieure à des fins de prévention, de détection ou de poursuites pénales concernant des infractions pouvant (…) être considérées comme suffisamment graves pour justifier une telle ingérence » ;
  • Prévoir « expressément que cet accès et l’utilisation ultérieure des données en cause doivent être strictement restreints à des fins de prévention et de détection d’infractions graves précisément délimitées ou de poursuites pénales afférentes à celles-ci » ;
  • « Limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation », en subordonnant cet accès à l’autorisation d’un juge ou d’une autorité administrative indépendante « dont la décision vise à limiter l’accès aux données et leur utilisation à ce qui est strictement nécessaire » ;
  • Opérer « une distinction entre les catégories de données » à conserver, « ou selon les personnes concernées », pour prévoir des durées de conservation adaptées à chaque situation, selon des « critères objectifs » de proportionnalité.
  • « Assurer une protection efficace des données conservées contre les risques d’abus » et garantir « la destruction irrémédiable des données au terme de la durée de conservation de celles-ci »
  • Imposer que ces données soient conservées sur le territoire de l’Union européenne.

Dans son avis — qui sera pris en compte par la CJUE dans la décision finale qui devrait intervenir d’ici plusieurs semaines voire plusieurs mois, l’avocat général rappelle qu’il incombe donc aux états membres et à leurs juridictions de vérifier que l’ensemble de ces critères sont respectés, parmi d’autres principes de droits qui doivent permettre de concilier l’objectif de sécurité avec l’obligation de respecter les droits de l’homme.

La France, dont la législation sur la conservation des données n’est clairement pas conforme aux préconisations impératives de la CJUE, devra se mettre en conformité. Ce sera au Conseil d’État de le vérifier.

visuel_fibre_adsl2

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !