Des associations portent plainte contre 17 États membres, au motif qu'ils violent le droit européen. Ces derniers continuent d'appliquer une conservation généralisée des métadonnées, alors que les tribunaux ont strictement encadré et restreint cette rétention.

Les associations passent à l’attaque contre la rétention généralisée des données que les opérateurs de téléphonie et d’Internet appliquent. Lundi 25 juin, une coalition de 62 organisations, provenant de 19 États membres de l’Union européenne, a adressé une lettre ouverte à la Commission pour protester contre cette conservation, illégale. En parallèle, des plaintes ont été déposées à l’encontre de 17 États membres, dont la France, pour leur irrespect du droit européen.

Il faut savoir en effet que la législation nationale de ces 17 nations prévoit toujours une rétention de données, c’est-à-dire la contrainte imposée aux opérateurs de garder les métadonnées (numéros appelés, adresses IP, données de localisation, d’identité…), en vue de répondre aux besoins des enquêteurs, des services de renseignement ou de la justice. Cette rétention est globale : elle s’applique à tout le monde, y compris aux personnes qui ne font l’objet d’aucune enquête ou surveillance.

Freebox
CC Jérôme Choain

Deux arrêts-clés

Or, cette conservation n’est pas acceptable, en tout cas sous cette forme actuelle. Et ce ne sont pas les associations de défense des libertés dans l’environnement numérique qui l’ont jugé ainsi : ou, plutôt, elles ne sont plus les seules. La Cour de justice de l’Union européenne a eu l’occasion de se prononcer par deux fois sur cette mémorisation pour dire que le cadre qui a été mis en place ne va pas : une fois le 8 avril 2014 et une autre fois le 21 décembre 2016.

En 2014, la Cour a d’abord décidé, dans l’arrêt Digital Rights Ireland, d’invalider la directive de 2006 qui obligeait les États membres à exiger des fournisseurs d’accès à Internet qu’ils conservent un journal des données de connexions de leurs clients pour que police et justice puissent y avoir accès. Pour la Cour, l’obligation est excessive et insuffisamment encadrée au regard de la protection de la vie privée et des données personnelles des citoyens européens.

En 2016, rebelote. Dans un autre arrêt, cette fois impliquant le gouvernement suédois à l’opérateur Tele2, la Cour considère que les États ne peuvent pas imposer une « conservation généralisée et indifférenciée » des données de connexion. Celle-ci doit se faire de façon ciblée, limitée et avec des garde-fous solides. La nouvelle avait alors été saluée par La Quadrature du Net, qui est parmi les signataires de la lettre ouverte, et conduit à des questionnements sur les conséquences pour la France.

cjue
La Cour de justice de l’Union européenne.
CC Harald Deischinger

C’est dans ce contexte que les signataires de la lettre ouverte, dont font partie des FAI associatifs, des universitaires, des organisations et des militants de toute l’Europe, fondent leur action. « Le droit de l’Union, censé prévaloir sur les lois nationales, est plus protecteur de nos droits et libertés. Nous souhaitons le faire appliquer et que les régimes de conservation généralisée des données encore en vigueur dans 17 États membres soient abrogés ».

En France, le régime exige de conserver pendant un an toutes les métadonnées de leurs clients. Sont visées les informations permettant d’identifier l’internaute, les données sur les équipements utilisés, les caractéristiques techniques et l’horodatage de chaque communication, la géolocalisation des mobiles, les données permettant d’identifier les destinataires et les données des services complémentaires demandés ou utilisés et leurs fournisseurs.

Si les arrêts de la Cour de justice de l’Union européenne n’ont pas encore produit leurs effets en France, d’autres États ont suspendu ou révisé leurs textes, dont les règles de conservation, et donc la durée, varient d’un pays à l’autre, en fonction des lois qui ont été votées. C’est le cas de l’Autriche, de la Belgique, de la Bulgarie, de l’Irlande, des Pays-Bas, de la Roumanie, de la Slovaquie et de la Slovénie. D’autres ont fait mine de ne pas se sentir concernés, que ce soit l’Allemagne, le Royaume-Uni ou la Suède.

Aujourd’hui, il est temps de passer à l’action, jugent les participants à cette fronde : « nous avons envoyé des plaintes à la Commission afin de l’inviter à enquêter sur l’affaire et saisir, à terme, la Cour pour sanctionner directement chacun des États violant le droit européen », parce qu’une « telle conservation généralisée et indifférenciée des données est contraire au droit à la vie privée, à la protection des données personnelles et la liberté d’expression et d’information ».

Partager sur les réseaux sociaux