La directive sur la conservation des données a été invalidée ce mardi par la Cour de justice de l’Union européenne, qui la déclare disproportionnée. Elle relève aussi l’absence d’un contrôle strict permettant d’encadrer l’immixtion vaste et particulièrement grave dans les droits fondamentaux des Européens.

La directive sur la conservation des données par les fournisseurs d’accès à Internet et les opérateurs téléphoniques devra être réécrite. Ce mardi matin, la Cour de Justice de l’Union Européenne (CJUE) l’a en effet jugée « invalide« , comme le rapporte le magazine Contexte Numérique sur Twitter. Il faudra que la nouvelle version du texte tienne mieux compte de la protection de la vie privée des Européens.

La CJUE a suivi l’avis de l’avocat général

Dans les faits, la Cour de Justice de l’Union Européenne a suivi l’avis de l’avocat général Pedro Cruz Villalón qui considérait en décembre que « la directive sur la conservation des données est dans son ensemble incompatible avec l’exigence, consacrée par la charte des droits fondamentaux de l’Union européenne, selon laquelle toute limitation de l’exercice d’un droit fondamental doit être prévue par la loi« 

Celui-ci ajoutait que cette directive « constitue une ingérence caractérisée dans le droit fondamental des citoyens au respect de la vie privée, en établissant une obligation pour les fournisseurs de services de communications téléphoniques ou électroniques de collecter et de conserver les données de trafic et de localisation de ces communications« .

Une directive à la portée très étendue

En premier lieu, la CJUE a rappelé la portée du texte, puisque « les données à conserver permettent de savoir avec quelle personne et par quel moyen un abonné ou un utilisateur inscrit a communiqué, de déterminer le temps de sa communication ainsi que l’endroit à partir duquel celle-ci a eu lieu et de connaître la fréquence des communications de l’abonné […] avec certaines personnes pendant une période donnée« .

« Ces données, prises dans leur ensemble, sont susceptibles de fournir des indications très précises sur la vie privée des personnes dont les données s ont conservées, comme les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales et les milieux sociaux fréquentés« , ajoute la CJUE.

Une immixtion « particulièrement grave »…

Pour la Cour de Justice de l’Union Européenne, outre le fait que les citoyens ne sont pas nécessairement informés des tenants et des aboutissants de cette directive, ce qui est « susceptible de générer dans l’esprit des personnes concernées le sentiment que leur vie privée fait l’objet d’une surveillance constante« ,

« En imposant la conservation de ces données et en en permettant l’accès aux autorités nationales compétentes, la directive s’immisce de manière particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel« , poursuit la CJUE.

… justifiée par l’intérêt général…

Les magistrats notent toutefois que la directive « n’est pas de nature à porter atteinte au contenu essentiel des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel« , dans la mesure où le « contenu des communications électroniques en tant que tel » n’est pas ciblé (même si les métadonnées peuvent donner des indices précis là-dessus).

La cour ajoute que la directive est justifiée du fait de l’intérêt général à combattre la criminalité. « La conservation des données en vue de leur transmission éventuel le aux autorités nationales compétentes répond effectivement à un objectif d’intérêt général, à savoir la lutte contre la criminalité grave ainsi que, en définitive, la sécurité publique« .

… mais qui n’est pas assez encadrée

Tout comme l’avocat général, la CJUE considère que la directive est incompatible avec le principe de proportionnalité. « Le législateur de l’Union a excédé les limites qu’impose le respect du principe de proportionnalité« , écrit la cour, qui plaide pour un « contrôle strict » face à ce qu’elle décrit à nouveau comme une « ingérence vaste et particulièrement grave« .

La CJUE rappelle en effet que :

  • la directive « couvre de manière généralisée l’ensemble des individus […] sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif de lutte contre les infractions graves » ;
  • Elle ne prévoit « aucun critère objectif qui permettrait de garantir que les autorités nationales compétentes n’aient accès aux données » nécessaires à la poursuite des objectifs fixés par la directive (infractions justifiant une ingérence aussi poussée dans les droits fondamentaux) ;
  • Elle fixe une durée de conversation des données « sans opérer une quelconque distinction entre les catégories de données en fonction des personnes concernées ou de l’utilité éventuelle des données par rapport à l’objectif poursuivi » ni fixer de critères objectifs « sur la base desquels la durée de conservation doit être déterminée afin de garantir sa limitation au strict nécessaire » ;
  • Elle « ne prévoit pas de garanties suffisantes permettant d’assurer une protection efficace des données contre les risques d’abus ainsi que contre l’accès et l’utilisation illicites des données » ;
  • Elle « n’impose pas une conservation des données sur le territoire de l’Union« , ce qui signifie qu’elle « ne garantit pas pleinement le contrôle du respect des exigences de protection et de sécurité par une autorité indépendante« .

( photo : CJUE )

une comparateur meilleur vpn numerama

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !