Journal d'investigation en ligne et d'information‑hacking
par Jet Lambda

Les petits bras de la justice européenne face à l'aspiration en masse des données

Comme pressenti par Reflets la veille de la décision, la plus haute administration judiciaire de l'Union européenne vient d'infliger une méchante claque aux apprentis-sorciers de l'antiterrorisme. La directive de 2006 sur l'obligation de conserver des masses énormes de données sur chaque personne a donc été "invalidée". C'est le terme choisi par la Cour dans son arrêt du 8 avril.

Comme pressenti par Reflets la veille de la décision, la plus haute administration judiciaire de l'Union européenne vient d'infliger une méchante claque aux apprentis-sorciers de l'antiterrorisme. La directive de 2006 sur l'obligation de conserver des masses énormes de données sur chaque personne a donc été "invalidée". C'est le terme choisi par la Cour dans son arrêt du 8 avril.

Pour résumer un brin les enjeux, disons qu'un des textes fondateurs du dogme policier contemporain — opérer une capture préventive d'éléments personnels sans motifs "graves et concordants" — a donc été jugé contraire à la Charte des droits fondamentaux de l'UE, la version tiède de la déclaration des droits de l'homme.

Rappelons que cette directive, je vous la fais court, c'est la justification légale des interceptions policières issus des "Big Data", l'assurance-vie des gouvernements de l'UE quand ils doivent commenter les documents d'Edward Snowden.

Autre rappel: les méta-données amassées ainsi sur notre dos peuvent nous trahir bien davantage qu'une écoute des conversations. Le "contenu" des messages est préservé, mais c'est un leurre: il est bien plus intrusif de savoir tout sur quelqu'un en analysant comment il s'exprime — plutôt de savoir ce qu'il exprime. L'arrêt résume ainsi le préjudice:

"Ces données, prises dans leur ensemble, sont susceptibles de fournir des indications très précises sur la vie privée des personnes dont les données sont conservées, comme les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales et les milieux sociaux fréquentés".

OK, directive à la trappe. "Invalide".

Mais que veut donc dire "invalide"? Pourquoi pas "illégale"? Qu'est-ce que ça va changer pour les millions d'individus, qui ont du accepter — depuis 2001 la plupart du temps — d'être placé sous surveillance préventive pour complaire à la guerre contre le terrorisme et le crime organisée?

Et bien dans un premier temps, pas grand chose. Cet arrêt de la Cour de justice européenne (CJUE) est certes tranché et tranchant, ne laissant aucune place au doute sur la violation irrévocable des droits individuels que ce texte a institué et légitimé.

Mais la Cour du Luxembourg n'a pas exigé des États qu'ils stoppent immédiatement la violation constatée (en avait-elle le pouvoir?)

Dans d'autres types d'affaires, on parlerait de "trouble manifeste à l'ordre public" — c'est pourtant ce que la directive de 2006 a immanquablement entraîné pour les individus — qui obligerait le juge à prendre des mesures conservatoires. Mais en l'espèce, il n'en sera jamais question dans les conclusions prononcées. "Invalide" sous-entend que le texte attaqué peut être modifié dans des termes moins flous ou plus restrictifs. Pas qu'il annule ou gèle tous les actes et procédures qui s'y rattachent. Nuance.

Résumons: huit ans après les faits, la Justice européenne arrive à la conclusion que des droits sont violés, que les mesures attaquées sont jugées disproportionnées au regard du but poursuivi, mais elle n'a aucune compétence pour exiger la réparation du préjudice. Huit ans que le droit de millions d'individus est violé. Pourtant, aucune "urgence" dans cette affaire (le "référé" ou la "procédure accélérée" sont pourtant prévues par les statuts de a CJUE). Le principe de la "comparution immédiate" — symbole de la justice d’abatage — ne s'applique bien évidemment jamais lorsque des États sont à la barre.

Non, cet arrêt n'a aucun pouvoir répressif. A l'origine de la procédure, deux organisations non-gouvernementales, elles-même en conflit avec leur droit national (en Irlande et en Autriche), qui ont lancé des recours contre le principe de conservation devant leurs juridictions nationales; ces juridictions ont alors demandé à la CJUE de trancher ce litige, ce qui est donc fait, sans que cet arrêt ne puisse induire auprès de chaque juridiction la moindre mesure coercitive.

Dans plusieurs autres pays de l'Union — notamment des pays de l'ex-bloc de l'Est, encore sensible aux sirènes des polices politiques — le principe de la surveillance préventive a été aussi déclarée "invalide" par des cours constitutionnelles (déjà jugé en Roumanie, Bulgarie, Rep. Tchèque comme Reflets en parlait ici il y a 3 ans; plaintes en cours en Pologne et en Hongrie). En Allemagne, c'est ubuesque: la cour constit' a annulé la loi sur la rétention des données en 2010, et a donc suspendu la collecte obligatoire; et en 2012, Bruxelles a attaqué Berlin devant la CJUE pour ne plus respecter la directive de 2006. Qui vient donc d'être déclaré invalide. Kakfa t'es où?

Les principaux griefs retenus par les juges sont les suivants:

  • les données à conserver « prises dans leur ensemble sont susceptibles de fournir des indications très précises sur la vie privée des personnes »; en cela le texte « s’immisce de manière particulièrement grave dans les droits fondamentaux » car il a « excédé les limites qu’impose le respect du principe de proportionnalité »;
  • le fait que cela s’opère « sans que l’abonné ... en soit informé est susceptible de générer dans l’esprit des personnes concernées le sentiment que leur vie privée fait l’objet d’une surveillance constante »; « ingérence vaste et particulièrement grave » car elle « n’est pas suffisamment encadrée » pour être « effectivement limitée au strict nécessaire ».

La disproportion est prononcé au regard de ces 3 éléments:

  • « aucune différenciation, limitation ou exception » n’est opéré « en fonction de l’objectif poursuivi »;
  • « la directive ne prévoit aucun critère objectif » pour « garantir que les autorités nationales compétentes n’aient accès aux données qu’aux seules fins » du but poursuivi; elle « se borne à renvoyer de manière générale aux “infractions graves” définies par chaque État membre; bref, les « conditions matérielles et procédurales » ne sont pas suffisantes et l’accès aux données n’est pas non plus « subordonné au contrôle préalable d’une juridiction ou d’une entité administrative indépendante ».
  • le texte impose une durée de stockage de 6 à 24 mois « sans que la directive ne précise les critères objectifs sur la base desquels » cette durée doit être déterminée « afin de garantir sa limitation au strict nécessaire ». _ P.S. _ — Il faut rappeler que les tenants liberticides de cette directive sont connus et dénoncés depuis longtemps. Outre le fait que certains pays l'ont déjà censuré depuis cinq ans, le "superviseur" européen à la protection des données (EDPS) avait déjà jugé ce texte comme incompatible avec les "valeurs" affichées par l'UE. C'était en décembre 2010, juste après la décision allemande.

Le groupe dit de l'Article 29, qui rassemble les experts des autorités de contrôle comme la CNIL (dont la présidence est actuellement assurée par la CNIL), a rendu un avis tout aussi tranchant mais  tout aussi impuissant relatif aux conséquences de l'affaire Snowden (ici en anglais / PDF): c'est pas bien du tout d'espionner n'importe qui de manière générale et "indifférenciée", mais là aussi aucune sanction n'a été réclamée pour que le préjudice cesse immédiatement.

 

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée