La CJUE pose des limites à la surveillance de masse

27/10/20
La CJUE pose des limites à la surveillance de masse

Le 6 octobre 2020, la Cour de justice de l’Union européenne (CJUE) a rendu deux décisions très attendues en matière de conservation des données, de renseignement et de surveillance étatique.[1]

 

Il s’agissait d’examiner la conformité au droit de l’Union Européenne de certaines règlementations des Etats membres (France, Belgique et Royaume-Uni, notamment) prévoyant une obligation pour les fournisseurs de services de communication téléphoniques et électroniques de conserver les données des utilisateurs, et de les transmettre aux autorités publiques à des fins de lutte contre la criminalité, ou de sauvegarde de la sécurité nationale.

 

Dans ces deux arrêts, la cour de justice de l’UE s’est opposée, au nom de la protection des droits et libertés fondamentaux, à la collecte massive des données de connexion Internet et téléphoniques par les Etats. Ces décisions étaient attendues avec inquiétude par les magistrats et les policiers.

 

 

I. Etat des lieux dans l’UE et en France : quelles données de connexion disponibles, pour qui, pendant combien de temps ?

 

En Europe, la directive européenne 2006/24/CE sur la conservation des données aux fins de facilitation des enquêtes pénales[2], avait été déclarée invalide par la CJUE dans un arrêt du 8 août 2014[3]. Le motif en était qu’elle constituait une ingérence particulièrement grave dans les droits garantis par la Charte des droits fondamentaux de l’Union européenne.[4]

 

Dans un arrêt de 2016 baptisé « Tele2 », la Cour avait ensuite jugé que les Etats membres ne pouvaient pas imposer aux fournisseurs une « obligation généralisée et indifférenciée » de collecte et de conservation des données relatives au trafic et données de localisation.

 

Concrètement, au regard de la jurisprudence européenne, les données des connexions Internet et des conversations téléphoniques ne pouvaient donc théoriquement plus être gardées par les opérateurs. Mais plusieurs Etats membres de l’Union européenne ont cependant continué d’exiger une telle collecte de données afin que policiers, magistrats ou services de renseignement puissent y accéder.

 

C’est le cas en France, où les opérateurs des services de communication ont l’obligation de conserver pendant un an, certaines données de connexion et de navigation des utilisateurs, conformément au Décret n° 2011-219 du 25 février 2011.[5]

 

Quelles données de connexion ?

 

En France, les données à conserver sont définies par l’article R. 10-13 du Code des Postes et des Communications Electroniques (CPCE).

 

Il s’agit de toutes les données qui se rattachent aux « qui, quand, quoi, où, comment » d’une activité électronique. Toutes, sauf le contenu du message en tant que tel (par exemple d’un courriel), dont l’accès suppose une interception.

 

Il s’agit des données relatives au trafic – parfois appelées métadonnées – et des données de localisation.[6]

Les données de connexion permettent d’identifier quiconque a contribué à la création d’un contenu, notamment par son adresse IP, sa géolocalisation mais également ses relevés téléphoniques ou encore le numéro de ses contacts fréquemment appelés.

L’on voit à quel point ces informations personnelles peuvent être utiles lors d’une enquête pour identifier l’auteur de l’infraction ou récolter des preuves.

 

En tant qu’intermédiaires techniques, Twitter ou Facebook par exemple, ont l’obligation de conserver les « données de connexion » de leurs activités en ligne. Il en va de même des e-commerçants s’agissant des identifiants de connexion des acheteurs, des données transactionnelles financières, des adresses électroniques, des numéros de téléphone et, le cas échéant, de la contribution à une création de contenu tel qu’un avis consommateur.

 

Quelles sont les autorités susceptibles de demander les données de connexion ?

 

Conformément à l’article 34-1 du CPCE, les données sont conservées « à des fins de recherche, de détection et de poursuite d’infractions pénales », de sorte que seules les autorités agissant à cette fin sont autorisées à demander l’accès aux données.

En France, la loi du 24 juillet 2015 offre la possibilité aux services de renseignement de se voir transmettre en temps réel les données de connexion d’une personne identifiée comme une menace. Ce stock est également mis à la disposition des services de police ou de gendarmerie, des autorités judiciaires telles que les juges d’instruction « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales », d’Hadopi, de l’ANSSI[7], des Douanes ou de l’administration fiscale.

 

Une autre finalité de la consultation est de garantir la pérennité et la sécurité du réseau Internet.

Depuis peu, sous certaines conditions, les données de connexion peuvent également être mises à la disposition de l’Autorité de la concurrence à des fins de recherche de fraudes ou d’autres infractions aux règles du droit français de la concurrence[8].

 

Pendant combien de temps ?

 

Il appartient au fournisseur d’accès de conserver les données de connexion pendant une période d’un an, dans des conditions matérielles qui garantissent leur confidentialité et leur sécurité, afin de pouvoir les remettre aux autorités administratives et judiciaires compétentes qui en demandent la communication (art. L.34.1 du CPCE). La finalité est de répondre aux besoins de la recherche, de la constatation et de la poursuite des infractions pénales.

 

« Les conditions de stockage doivent permettre une extraction dans les meilleurs délais pour répondre à une demande des autorités judiciaires» (article 4 du décret n°2011 219 du 25 février 2011). Toute violation de cette obligation de conservation peut être sanctionnée pénalement.

 

II. Le contexte et le contenu des deux décisions de la CJUE

 

Plusieurs organisations non-gouvernementales et associations de protection de la vie privée au Royaume-Uni, en France et en Belgique, contestaient la collecte de ces données de connexion de citoyens à des fins de renseignement.

 

En France, quatre associations (La Quadrature du Net, French Data Network, Fédération des fournisseurs d’accès à internet associatifs, Igwan.net) ont saisi le Conseil d’Etat, en l’interrogeant sur la comptabilité du régime français avec la directive 2002/58/CE du 12 juillet 2002, dite « vie privée et communication électronique » ou « ePrivacy », lue à la lumière de la Charte de l’Union européenne. Ces associations estimaient que la législation française violait le droit européen.

Le Conseil d’Etat a donc saisi la CJUE d’une question préjudicielle concernant plusieurs décrets d’application du Code français de la sécurité intérieure, de 2015 et 2016.

Parallèlement, la CJUE était sollicitée au sujet de réglementations belge[9] et britannique[10], qui imposaient aux opérateurs le même type de collecte massive des données.

Les affaires ont donc été jointes et ont donné lieu au premier arrêt de la CJUE (aff. C-511/18, C-512/18 et C-520/18).

 

Au Royaume-Uni, l’ONG Privacy International a saisi le tribunal chargé des pouvoirs d’enquête en contestant la légalité de ces pratiques au regard du droit de l’Union, considérant qu’ elles portent atteinte au droit à la vie privée des citoyens. Le Gouvernement du Royaume-Uni, défendeur, contestait la compétence du droit de l’Union dans cette affaire. Selon lui, l’obligation de conservation des données ainsi que l’obligation de les transmettre relèvent de la compétence exclusive de chaque Etat membre car ayant trait à la sécurité nationale.

La juridiction britannique a elle aussi interrogé la CJUE afin de savoir si le droit de l’Union s’appliquait en l’espèce ou non.

Cette affaire a donné lieu au deuxième arrêt de la CJUE (aff. C-623/17).

 

La CJUE s’est prononcée sur l’illégalité des pratiques de conservation « généralisée et indifférenciée » des données de connexion.

 

Ce faisant, elle confirmait sa décision Tele2 Sverige et Watson rendue en 2016.

 

A. Principe : La justice européenne rappelle que les Etats n’ont pas le droit d’effectuer une surveillance de masse

 

Dans le premier arrêt, qui concerne les affaires situées en France et en Belgique, la Cour précise que des mesures législatives imposant aux opérateurs d’accès Internet et de téléphonie, à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et à la localisation est contraire au droit de l’Union. Selon la CJUE, il s’agit en effet d’ingérences particulièrement graves dans les droits fondamentaux garantis par la Charte de l’Union, sauf en cas de « menace grave pour la sécurité nationale réelle et actuelle ou prévisible » avec une conservation des données « temporellement limitée au strict nécessaire ».

Dans le second arrêt, qui concernait plus particulièrement le Royaume-Uni, la CJUE a confirmé, que les réglementations nationales ne peuvent pas davantage imposer aux fournisseurs d’accès « la transmission ou la conservation généralisée et indifférenciée » des données de connexion des clients.

La CJUE précise que les pratiques dénoncées par Privacy International excèdent les limites du strict nécessaire et ne saurait être considérées comme étant justifiées, dans une société démocratique.

 

La CJUE procède ici à un contrôle de proportionnalité.

 

C’est bien l’obligation de transmission généralisée et indifférenciée des données aux services de sécurité qui est visée et non pas la transmission en tant que telle.

 

Contrairement à l’affaire anglaise C-623/17, la conservation des données « à la française » peut donc être autorisée à condition qu’elle soit proportionnée à l’objectif de sauvegarde de la sécurité nationale et qu’elle prévoie des garanties suffisantes.

 

En d’autres termes, la CJUE affirme que la France ne peut plus imposer cette conservation généralisée et indifférenciée des données de connexion que dans certains cas.

 

B. Exceptions : La conservation ciblée et temporaire des données en cas de menace grave pour la sécurité nationale

 

La Cour souligne qu’elle «ne s’oppose pas à des mesures législatives permettant le recours à une conservation ciblée, temporellement limitée au strict nécessaire » des données de connexion. Ainsi, « dans des situations où l’État membre concerné fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible», la fameuse directive ePrivacy, lue à la lumière de la Charte, «ne s’oppose pas au fait d’enjoindre aux fournisseurs de services de communications électroniques de conserver de manière généralisée et indifférenciée des données relatives au trafic et à la localisation», estiment les juges.

Une injonction est donc possible, pour une « période temporellement limitée au strict nécessaire », sous réserve qu’elle fasse l’objet d’un contrôle effectif, soit par une juridiction, soit par une entité administrative indépendante.

 

En d’autres termes, l’arrêt rend possible la surveillance en temps réel d’individus ciblés dans des affaires graves (par exemple de terrorisme), et l’obligation pour les fournisseurs d’accès Internet/téléphonie de conserver à cette fin les données collectées, à condition qu’il existe une raison valable de soupçonner l’implication de ces individus.

 

 

A retenir des deux décisions :

 

Objectif de sauvegarde de la sécurité nationale

Si un État fait face à une menace grave pour la sécurité nationale (notamment le terrorisme), réelle et actuelle, ou prévisible, les opérateurs peuvent être enjoints de conserver les données relatives au trafic et à la localisation de manière généralisée et indifférenciée. Cette possibilité doit faire l’objet d’un contrôle effectif par une juridiction ou autorité administrative indépendante.

 

Conservation ciblée

Les Etats membres peuvent également conserver des données de manière ciblée, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique.

 

Durée limitée au strict nécessaire

De telles mesures prévoyant une conservation généralisée et indifférenciée données, sont possibles dans ces circonstances, pour autant que la durée de conservation soit limitée au strict nécessaire.

 

 

 

 

III. Des arrêts dont la mise en œuvre concrète est encore sujette à interprétation

 

Les exceptions identifiées ont déçu les associations de défense des droits et libertés. En effet, même si les deux nouvelles décisions dessinent un cadre juridique, qui selon elles, est plus protecteur des libertés et de la vie privée, elles considèrent les régimes d’exception comme sujets à interprétation et pouvant conduire à des abus.

 

Les services de renseignements notamment français considèrent, quant à eux, que la décision de la Cour de l’Union entrave sérieusement leur travail d’enquête. Dans de nombreuses affaires, comme celle des attentats de 2015, les données constituent une matière première essentielle pour les magistrats et enquêteurs. Nombre d’enquêtes pénales en cours pourraient être arrêtées net ou leurs actes frappés de nullité si l’Etat modifie la législation.

 

Ainsi, certaines questions restent ouvertes, notamment sur la façon dont les autorités pourront ou devront cibler les individus dont les données seront à conserver par les opérateurs (puisque les données pourraient justement permettre de les identifier a posteriori).

 

À la suite des décisions de la CJUE, la prochaine étape se jouera devant les autorités nationales des différents Etats membres : l’Investigatory Powers Tribunal en Grande-Bretagne et le Conseil d’Etat en France. Elles devront se prononcer sur les textes attaqués en tenant compte de l’avis de la CJUE.

S’il y a une nécessité de les adapter, alors il faudra déterminer comment concilier les normes de la CJUE avec la réalité du terrain et la gravité des menaces. Sachant que la Cour laisse une certaine latitude aux États-membres en matière de délimitation du temps de conservation et d’exploitation des données.

 

 

 

Retrouvez l’intégralité des articles sur le thème de l’économie digitale rédigés par nos avocats ici.

 

[1] Décision La Quadrature du Net e.a., affaires jointes C-511/18 et C-512/18 et Ordre des barreaux francophones et germanophone e.a., C-520/18 du 6 octobre 2020 ;

Décision Privacy International C-623/17 du 6 octobre 2020.

[2] Elle imposait notamment la conservation sur une période s’étendant de six mois à deux ans, des données nécessaires pour déterminer les source, destination, date, heure, durée, type et machine émettrice d’une communication ainsi que la localisation des équipements de communication mobile impliquée dans celle-ci.

[3]CJUE, Arrêt de la Cour (grande chambre) du 8 avril 2014, Digital Rights Ireland Ltd contre Minister for Communications, Marine and Natural Resources e.a. et Kärntner Landesregierung e.a. Affaires jointes C-293/12 et C-594/12.

Demandes de décision préjudicielle, introduites par la High Court (Irlande) et le Verfassungsgerichtshof.

[4] Articles 7 (respect de la vie privée et familiale) et 8 (protection des données à caractère personnel).

[5] La législation française sur le traitement des données de connexion est principalement basée sur les dispositions de la loi française n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (« LCEN »), transposant la directive européenne 2000/31/CE du 8 juin 2000 sur le commerce électronique, le Code des postes et des communications électroniques français (« CPCE »), le Code de commerce français (nouvel article L450-3-3, issu de la nouvelle loi PACTE n° 2019-486 du 22 mai 2019).

[6] La CJUE précise que ce sont, « en particulier, celles qui sont nécessaires pour retrouver la source d’une communication et la destination de celle-ci, déterminer la date, l’heure, la durée et le type de la communication, identifier le matériel de communication utilisé ainsi que localiser les équipements terminaux et les communications, données au nombre desquelles figurent, notamment, le nom et l’adresse de l’utilisateur, les numéros de téléphone de l’appelant et de l’appelé ainsi que l’adresse IP pour les services internet. »

[7] Agence nationale de la sécurité des systèmes d’information.

[8] Article 450-3-3 du Code de commerce, créé par la loi PACTE du 22 mai 2019.

[9] La Cour constitutionnelle belge a saisi la CJUE sur les mêmes interrogations.

[10] La CJUE a été saisie par le tribunal chargé des pouvoirs d’enquêtes au Royaume-Uni (Investigatory Powers Tribunal) d’une question similaire mais portant cette fois-ci, sur l’obligation imposée aux fournisseurs de services de communications électroniques de transmettre aux services de sécurité et de renseignement des données relatives au trafic et des données de localisation (aff. C-623/17). Contrairement au droit français qui prévoit la simple conservation, le droit anglais impose la transmission totale des données aux autorités.

To go further