Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa

La justice européenne va se prononcer sur la rétention de données par les telcos

Demain, mardi 8 avril à 9h30, la Cour du Justice européenne rendra un arrêt qui pourrait profondément modifier les législations sur la rétention de données par les fournisseurs de services de télécommunications.

Demain, mardi 8 avril à 9h30, la Cour du Justice européenne rendra un arrêt qui pourrait profondément modifier les législations sur la rétention de données par les fournisseurs de services de télécommunications. Petit rappel : "Les États membres doivent obliger les fournisseurs de services de télécommunication (comme les opérateurs de téléphonie ou les fournisseurs d’accès à Internet) à conserver les données de connexion de leurs clients afin de pouvoir identifier, le cas échéant, les auteurs d’infractions graves (terrorisme, pédopornographie ou harcèlement sexuel en ligne par exemple). Les données peuvent être conservées, selon le choix des pays, entre 6 mois et 2 ans. Les fournisseurs doivent notamment conserver les données qui permettent d’identifier la source, la destination, la date, l’heure et la durée des communications, le type de communication, la machine utilisée pour communiquer ainsi que la localisation des équipements de communication mobile [1]. En revanche, la directive n’autorise pas la conservation du contenu de la communication et des informations consultées".

Comme l'indique la Cour de Justice européenne, "La High Court (Cour suprême, Irlande) ainsi que le Verfassungsgerichtshof (Cour constitutionnelle, Autriche) demandent à la Cour de justice d’examiner la validité de la directive, notamment à la lumière de deux droits fondamentaux garantis par la charte des droits fondamentaux de l’Union européenne, à savoir le droit fondamental au respect de la vie privée et le droit fondamental à la protection des données à caractère personnel".

En clair, la question posée est :  cette conservation des données des utilisateurs ne contrevient-elle pas à leur droit fondamental au respect de leur vie privée ?

Heureuse surprise, l’avocat général, M. Pedro Cruz Villalón pense que c'est bien le cas. La Cour suivra-t-elle ses conclusions ? Si tel était le cas, les Etats pourraient être amenés à devoir revoir leurs législations. Et nous retrouverions un peu de "privacy". On imagine les cris d’orfraies des services de police et de renseignement qui auraient dès lors du mal à remonter le temps pour scruter l'activité des internautes. L'enregistrement pas à pas de la vie des internautes est devenu une banalité alors qu'il reste encore peu admis que l'on enregistre "au cas où" les faits et gestes des mêmes individus dans leur vie de tous les jours (qui a envoyé une lettre à qui, qui a dit quoi dans quel café, qui a vu tel ou tel film au cinéma, etc.).

Voici le communiqué de la Cour de Justice européenne :

La High Court (Cour suprême, Irlande) ainsi que le Verfassungsgerichtshof (Cour constitutionnelle, Autriche) demandent à la Cour de justice d’examiner la validité de la directive, notamment à la lumière de deux droits fondamentaux garantis par la charte des droits fondamentaux de l’Union européenne, à savoir le droit fondamental au respect de la vie privée et le droit fondamental à la protection des données à caractère personnel.La High Court doit trancher un litige qui oppose la société irlandaise Digital Rights aux autorités irlandaises au sujet de la légalité de mesures nationales portant sur la conservation de données relatives aux communications électroniques. Le Verfassungsgerichtshof est saisi de plusieurs recours en matière constitutionnelle introduits par la Kärntner Landesregierung (gouvernement du Land de Carinthie) ainsi que par MM. Seitlinger, Tschohl et 11 128 autres requérants. Ces recours visent à obtenir l’annulation de la disposition nationale qui transpose la directive en droit autrichien.Dans ses conclusions du 12 décembre dernier (voir également le communiqué de presse n° 157/13), l’avocat général, M. Pedro Cruz Villalón, a estimé que la directive sur la conservation des données est, dans son ensemble, incompatible avec l’exigence selon laquelle toute limitation de l’exercice d’un droit fondamental doit être prévue par la loi. Selon l’avocat général, la directive constitue une ingérence caractérisée dans le droit fondamental des citoyens au respect de la vie privée. L’avocat général souligne, à cet égard, que l’exploitation de ces données peut permettre l’établissement d’une cartographie aussi fidèle qu’exhaustive d’une fraction importante des comportements d’une personne relevant strictement de sa vie privée, voire d’un portrait complet et précis de son identité privée. Il existe, par ailleurs, un risque accru que les données conservées soient utilisées à des fins illicites et potentiellement attentatoires à la vie privée ou, plus largement, frauduleuses voire malveillantes. En effet, les données ne sont pas conservées par les autorités publiques ni même sous leur contrôle direct, mais par les fournisseurs de services de communications électroniques eux-mêmes. De plus, les données peuvent être accumulées dans des lieux indéterminés du cyberespace. Au regard de cette ingérence caractérisée, la directive aurait dû, selon l’avocat général, définir les garanties minimales encadrant l’accès aux données collectées et conservées ainsi que leur exploitation. En renvoyant aux États membres le soin de définir et d’établir ces garanties, la directive ne respecte pas l’exigence selon laquelle toute limitation de l’exercice d’un droit fondamental est prévue par la loi. L’avocat général estime également que la directive sur la conservation des données est incompatible avec le principe de proportionnalité, dans la mesure où elle impose aux États membres une garantie de conservation d’une durée maximale de deux ans. Dans ses conclusions, M. Villalón considère qu’aucune justification suffisante n’a été apportée pour que la durée de conservation des données soit fixée à plus d’une année.Que se passera-t-il si la Cour déclare la directive invalide dans son ensemble ? Tout d’abord, une déclaration en invalidité n’entraîne pas, à proprement parler, l’annulation de l’acte en cause. Contrairement à l’annulation qui provoque la disparition pure et simple de l’acte, un acte déclaré invalide continue à subsister dans l’ordre juridique, mais est inapplicable avec effet rétroactif. Toutefois, lorsqu’un acte est déclaré invalide dans son intégralité, la différence entre invalidité et annulation est de pure forme : l’acte dans son entier n’a plus vocation à s’appliquer à compter de sa date d’entrée en vigueur (étant entendu que la Cour peut limiter les effets dans le temps de l’arrêt en raison d’impérieuses considérations de sécurité juridique).Une déclaration en invalidité est irrévocable et produit un effet erga omnes dans le sens où, bien que l’arrêt ne s’adresse qu’au juge national qui a saisi la Cour, tout autre juge doit considérer l’acte comme invalide pour les besoins d’une décision qu’il doit rendre. Les juridictions nationales ne peuvent donc plus appliquer l’acte déclaré invalide.Quant aux effets de la déclaration en invalidité dans l’ordre juridique interne, il appartient aux autorités nationales de tirer les conséquences, dans leur ordre juridique, de ladite déclaration. Les juridictions nationales peuvent ainsi être conduites à déclarer inapplicables les mesures nationales adoptées sur la base de l’acte invalidé (exemples : loi nationale transposant la directive). Le législateur national peut également décider d’abroger les mesures prises en application de l’acte européen invalide. Lorsqu’une décision définitive a été rendue au niveau national et que cette décision est remise en cause postérieurement par un arrêt préjudiciel de la Cour, les autorités nationales ne peuvent revenir sur cette décision que si le droit national leur reconnaît un tel pouvoir dans le contentieux interne.Il appartient également aux institutions compétentes de l’Union de prendre les mesures nécessaires pour remédier à l'invalidité constatée. Lorsque l'adoption d’un nouvel acte ne permet pas de redresser le tort qui a pu être infligé par l’acte invalide, les institutions sont tenues de réparer le préjudice qui a résulté de l'illégalité commise, sous réserve de l'existence d'une faute, d'un préjudice et d'un lien de causalité.[1] Directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (JO L 105, p. 54). 


[1] Directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (JO L 105, p. 54).

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée