D’après les arrêts de la Cour de justice de l’Union européenne du 6 octobre 2020
L’articulation des droits et libertés fondamentales dans une société démocratique est un équilibre fragile. Les innovations technologiques le remettent chaque jour en cause, à charge pour les juges et les états de les concilier le mieux possible.
Récemment, un arrêt de la Cour de justice de l’Union européenne a semblé donner une place importante à la vie privée et aux données personnelles, en confirmant l’interdiction de l’obligation de conservation indifférenciée et généralisée des données faite par un état, dans la continuité de la position protectrice de l’Union européenne sur les données personnelles. De nombreux professionnels se sont inquiétés de l’impossibilité pratique de mener des instructions judiciaires et de rechercher des preuves pour les infractions faites par internet, dont les infractions pénales les plus graves, la sauvegarde de la sécurité nationale et la défense de la sécurité publique.
Depuis de nombreuses années et dans un contexte d’état d’urgence et de risque terroriste important en France, le législateur avait souhaité donner de plus en plus de moyens légaux aux services de renseignement et à la justice pour déceler et éviter de nouveaux attentats. Internet étant un moyen omniprésent et au cœur des rapports humains, la question de sa surveillance s’est naturellement posée, alimentée par les révélations d’Edward Snowden et les craintes d’une surveillance de masse.
En 2014, la CJUE avait déjà annulé la directive 2006/24 qui imposait aux fournisseurs de services de communication électroniques de conserver des données et de les mettre à la disposition des autorités nationales dans le cadre de la lutte contre la criminalité organisée et le terrorisme. Elle avait considéré que l’ingérence dans la vie privée et dans la protection des données personnelles des internautes était justifiée par un motif d’intérêt général, mais qu’il était disproportionné en raison de l’entièreté de la population européenne concernée, des données complètes recueillies, de l’absence de contrôle préalable par un juge ou une autorité administrative indépendante, et de la durée de conservation de 6 à 24 mois.
En 2016, la Cour avait ensuite considéré que la directive « Vie privée et communication électronique » s’opposait à une réglementation nationale prévoyant une conservation généralisée et indifférenciée de l’ensemble des données de trafic et de localisation de tous les utilisateurs pour la lutte contre la criminalité, tout en condamnant la possibilité d’un accès aux données par les autorités qui ne soit pas limité aux crimes graves.
C’est dans ce contexte que la CJUE a rendu son dernier arrêt en la matière. Dans les faits, une association de défense de la vie privée, « la quadrature du net » ainsi que des fournisseurs d’accès à internet regroupés derrière la « Fédération des fournisseurs d’accès à internet associatif » ont saisi le Conseil d’état en annulation de décrets d’application de plusieurs dispositions du Code de la sécurité intérieure. Le Conseil d’état a ensuite posé plusieurs questions préjudicielles à la CJUE, laquelle a joint différentes affaires nationales pour répondre à la question. Il lui était demandé si le droit de l’Union européenne permettait à une législation nationale d’imposer à des prestataires techniques la conservation indifférenciée et généralisée des données de tous les internautes sur le territoire de l’union européenne, ainsi que de connaître dans l’affirmative à quelles conditions sa communication aux autorités nationales était possible.
La CJUE confirme que le droit de l’Union interdit à un état membre d’imposer une obligation de conservation générale et indifférenciée des données, tout en exigeant des garanties supplémentaires, avec le contrôle effectif par un juge ou une autorité administrative indépendante dans les cas particuliers où la conservation est autorisée, pour permettre une communication licite aux autorités nationales. La lutte contre les infractions et la criminalité parait donc mise en difficulté, dans la recherche de preuves ou de leur commission même. Une inquiétude pèse ainsi sur les instructions des procès, la protection de la propriété intellectuelle, les incitations à la haine et la prévention du terrorisme sur internet. La sanction des infractions de droit commun dont la contrefaçon, déjà rare et compliquée sur internet, deviendrait alors techniquement impossible.
Il est cependant possible de remarquer que les juges ont ajouté une nuance à leur décision, en admettant également la nécessité de concilier ces droits avec celui à la sûreté, et en prévoyant un moyen théorique d’y parvenir. Ainsi, ils ont établi une gradation entre les objectifs poursuivis et les atteintes aux libertés acceptables, qui pourrait s’imposer à l’avenir selon le principe de proportionnalité. La conservation des données est possible par exception en cas de menace grave, réelle, et actuelle ou prévisible pour la sécurité nationale, pour un temps limité au strict nécessaire, ou pour les crimes graves avec une conservation ciblée.
La portée des droits à la vie privée et à la protection des données personnelles pourrait alors être réduite dans les cas les plus graves. Cependant, en attendant une mise en conformité avec le droit européen, la conservation générale et indifférenciée des données reste prohibée et les textes nationaux voient leur fondement juridique et leur validité remis en cause. La décision que le conseil d’état rendra à la suite de ces questions préjudicielles reste donc tant attendue que redoutée par les professionnels.
Johan Friedberg
Sources :
Droit européen de l’internet, francis Donnat, LGDJ 2018
Charte des droits fondamentaux de l’union européenne du 7 décembre 2000
CJUE, grande chambre, 6 octobre 2020, C-511-18 et affaires liées
Recueil Lebon – Recueil des décisions du conseil d’Etat
Questions préjudicielles à la CJUE sur la conservation des données de connexion – Conseil d’Etat 26 juillet 2018 – Lebon 2018
Directive n° 2002/58/CE du 12-07-2002
CJUE : Un équilibre – trop ? – rigoureux entre droit au respect de la vie privée et conservation des données – Cour de justice de l’Union européenne 6 octobre 2020 – AJ pénal 2020. 531
Droit du numérique – Jacques Larrieu – Christian Le Stanc – Pascale Tréfigny – D. 2020. 226
Protection des données : la CJUE infléchit sa jurisprudence – Cour de justice de l’Union européenne 6 octobre 2020 – AJDA 2020. 1880
La Cour de justice revient sur l’interdiction absolue des mesures générales de conservation et de traitement des données à caractère personnel, pour finalement en dresser le régime dérogatoire, Dominique Berlin professeur émérite, université Panthéon-Assas, La semaine juridique, 48, 23 novembre 2020
La protection des données personnelles résiste à la surveillance générale qu’imposerait la lutte contre le terrorisme, Anne DANIS-FATÔME, com. com élec. 4, avril 2020, comm. 36
Le monde, La justice de l’UE s’oppose à la collecte massive des données de connexions Internet et téléphoniques par les Etats, 6 octobre 2020