Données de connexion : la CJUE veut ramener la France dans le giron européen
C’était une décision attendue avec impatience par le monde des télécommunication : la cour de justice européenne a publié ce matin un jugement confirmant l’arrêt Tele2 de 2016, qui interdit la collecte massive des métadonnées de communication téléphoniques et internet par les fournisseurs d’accès. Dans deux arrêts rendus aujourd’hui, la cour de justice européenne confirme que cet que l’arrêt Tele2 « s’oppose à une réglementation nationale, imposant aux fournisseurs de services de communications électroniques, en vue de la sauvegarde de la sécurité nationale, la transmission généralisée et indifférenciée aux services de sécurité et de renseignement des données relatives au trafic et à la localisation. » Pour la justice européenne, l’arrêt Tele2 interdit bien à un état membre de sanctifier dans la loi la collecte massive et indifférenciée des métadonnées de connexion.
Parce que trop général, le régime 🇫🇷 de conservation des données tombe. Les opérateurs sont donc invités à suspendre le traitement des demandes ne respectant pas les prescriptions formulées
Arrêt consultable ici ⤵️https://t.co/VIhH7xsyjtpublicité— Alec ن Archambault (@AlexArchambault) October 6, 2020
En France, cette collecte des données par les opérateurs est prévue par la loi sur la sécurité quotidienne de 2001 et son décret d’application de 2006, qui prévoit que les FAI doivent conserver les données de connexion des utilisateurs pendant une période d’un an afin de pouvoir les communiquer aux autorités judiciaires, conforté par une directive européenne similaire la même année. Ces dispositions ont été remises en cause par l’arrêt Digital Rights Ireland de 2014, suivi par l’arrêt Tele2 de 2016. C’était sur la base de ces décisions que plusieurs organisations de défenses des libertés numériques avaient attaqué en justice les décrets permettant la collecte des données de connexion par les fournisseurs d’accès.
Mais l’arrêt de la CJUE ménage des exceptions, qui s’appliquent « dans des situations dans lesquelles un État membre fait face à une menace grave pour la sécurité nationale ». Dans ces cas de figure, les États membres peuvent demander à mettre en œuvre une conservation généralisée des données. La justice européenne conditionne cette exception à plusieurs critères : « une telle ingérence dans les droits fondamentaux doit être assortie de garanties effectives et contrôlée par un juge ou une autorité administrative indépendante. » La cour précise également que ces mesures doivent être appliquées « pour une période temporellement limitée ». La loi de 2001 qui régit en France la conservation des données de connexion par les FAI ne pose pas de limite temporelle ou de nécessité d’une menace grave pour la sécurité nationale.
Dans les faits, la cour de justice européenne ne ferme donc pas complètement la porte à la collecte des données par les FAI en France mais exige un encadrement conforme au droit européen : le cadre légal français devra donc mettre en œuvre de nouveaux garde fous suffisant pour répondre aux exigences européennes en la matière.
Une « défaite victorieuse » pour la Quadrature
L’affaire était arrivée devant la CJUE suite à plusieurs plaintes déposées devant les autorités nationales par des organisations de défense des libertés numériques. La Quadrature du net et la fédération FDN avaient ainsi attaqué l’article R10-13 du CPCE mis en place par la loi sur la sécurité quotidienne de 2001 et le décret de 2011 issu de son coté de la LCEN. L’organisation britannique Privacy international avait également attaqué en 2015 la collecte des données par les services de renseignement britannique devant l’ Investigatory Powers Tribunal, le tribunal chargé de traiter les affaires liées aux services de renseignement. Privacy International était également intervenu dans l’affaire française. Les affaires ont été remontées à la CJUE en 2018, qui a décidé de tenir une audience conjointe sur ces sujets.
Suite à la décision de la CJUE, la prochaine étape se jouera devant les autorités nationales des différents états membres : l’ITR en Grande Bretagne et le Conseil d’État en France. s. Celles ci devront se prononcer sur les décrets attaqués en prenant en compte l’avis de la CJUE.
Pour Hugo Roy, avocat qui représente Privacy International dans le cas français : « Cet arrêt est une étape importante qui intervient après six ans d’actions devant les tribunaux français pour restaurer le droit à la vie privée en ce qui concerne nos communications électroniques. Nous espérons maintenant que le Conseil d’État français appliquera enfin les exigences européennes en matière de droit de l’homme à l’État français. » La Quadrature du net a publié un premier communiqué « à chaud » : l’association assimile l’arrêt de la CJUE à une « défaite victorieuse ». « Cette décision est une défaite au sens où ces exceptions réduisent la protection de la vie privée et conduiront inévitablement à des abus, que nous détaillerons plus tard » analyse la Quadrature, qui indique que l’analyse de la décision est encore en cour
