Vie privée: la justice de l’UE dit stop aux données de connexions
Non, c’est non. La justice européenne a redit mardi son opposition à ce que les États membres imposent aux opérateurs télécoms de transmettre et de conserver de façon “généralisée et indifférenciée” des données de connexion et de localisation de leurs utilisateurs. La Cour de justice de l’Union (CJUE) admet cependant qu’un État membre puisse déroger, temporairement et sous conditions, à l’obligation d’assurer la confidentialité des données en cas de menace grave pour la sécurité nationale.
Les arrêts rendus mardi s’appuient sur un arrêt de 2016 baptisé “Tele2”. La Cour avait déjà jugé que les États membres ne pouvaient pas imposer aux fournisseurs une “obligation généralisée et indifférenciée” de collecte et de conservation des données relatives au trafic et données de localisation. Cependant, plusieurs pays défendaient la nécessité d’une telle collecte pour que la police, la justice ou les services de renseignement puissent accéder à ces données, arguant que selon le traité de l’UE, la sécurité nationale relève “de la seule responsabilité de chaque État membre”.
C’est dans ce contexte que la CJUE a été sollicitée par une juridiction britannique, française et belge qui avait chacune à trancher un litige sur la légalité de mesures législatives autorisant la collecte de données. En Belgique, la Cour constitutionnelle avait posé une question préjudicielle à la CJUE après que les ordres des barreaux francophone et germanophone ainsi que des ASBL, dont La Ligue des droits de l’homme et son pendant néerlandophone, ont introduit, en 2017, un recours en annulation de la loi du 29 mai 2016 relative à la collecte et à la conservation des données dans le secteur des communications
Vie privée et métadonnées
La Cour pointe que les pratiques mentionnées contreviennent bel et bien à la directive européenne “vie privée et communications électroniques” de 2002. Celle-ci “ne permet pas que la dérogation de l’obligation de principe de garantir la confidentialité des communications électroniques et des données afférentes [… ] devienne la règle”. Les juges de Luxembourg ont donc précisé que les opérateurs ne peuvent conserver indéfiniment les métadonnées des connexions Internet et des conversations téléphoniques – qui ne portent pas sur le contenu des messages mais les conditions dans lesquelles elles ont été échangées (identité, localisation, date, durée…).
La CJUE admet cependant des dérogations encadrées dans le cas où un État fait face “à une menace grave pour la sécurité nationale, réelle, actuelle ou imprévisible”. Mais cette ingérence dans les droits fondamentaux doit être assortie de garanties effectives et contrôlées par un juge ou une autorité administrative indépendante”, insiste la Cour.