Sollicitée par les juridictions en France, Belgique et au Royaume-Uni à la suite des plaintes respectives des associations de protection de la vie privée, la Cour de justice de l’Union européenne (CJUE) s’est prononcée le 6 octobre 2020 [1]sur l’illégalité du recueil en temps réel et la conservation par les opérateurs de communications électroniques des données de connexion relatives à des personnes pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales.

 

Le dispositif mis en cause est prévu par les articles 851-1 à -6 du Code de la sécurité intérieure, les articles L. 34-1 et R. 10-13 du Code des postes et des communications électroniques, ainsi que l’article 6 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique.

 

De quelles informations s’agit-il ?

Il s’agit de tout sauf le contenu du message lui-même, dont l’accès suppose une interception. Sont concernées les informations :

  • Permettant d’identifier l’utilisateur ;
  • Les données relatives aux équipements terminaux de communication utilisés ;
  • Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
  • Les données permettant d’identifier le ou les destinataires de la communication ;
  • Les données permettant d’identifier l’origine et la localisation de la communication.

 

Qui a accès à ces données ?

Les textes actuels permettent aux opérateurs de communications électroniques de collecter et conserver les données de connexion s dans le but de « répondre aux besoins des autorités compétentes ». Par la largesse des besoins visés, une multitude d’autorités peuvent ainsi avoir accès à ces données : la Hadopi, les services du renseignement, du fisc, l’ANSSI.

 

Quel est le cadre légal applicable ?

La directive 2002/58, dite « vie privée et communications électroniques », a pour finalité de protéger les utilisateurs des services de communications électroniques contre les dangers pour leurs données à caractère personnel et leur vie privée résultant des nouvelles technologies et, notamment, de la capacité accrue de stockage et de traitement automatisés de données. En particulier, l’article 5 de la présente directive prévoit le principe de confidentialité des communications.

L’argumentaire présenté par les Etats membres dans la présente affaire consistait à faire valoir l’inapplicabilité de la directive « vie privée et communications électroniques »[2] dans la mesure ou les réglementations en cause ont pour finalité la sauvegarde de la sécurité nationale, qui relèverait de la seule compétence des Etats au titre de l’article 4§2 du TUE.

La Cour rappelle cependant que cette directive n’autorise les États membres à adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus par cette directive, que dans le respect des principes généraux du droit de l’Union, parmi lesquels figure le principe de proportionnalité, et des droits fondamentaux garantis par la Charte[3].

Par conséquent, la CJUE conclut que toute réglementation nationale imposant aux opérateurs, en vue de la sauvegarde de la sécurité nationale, la transmission généralisée et indifférenciée aux services de sécurité et de renseignement, des données relatives au trafic et à la localisation serait contraire au droit de l’Union.

 

Des dérogations limitées dans le temps ou autorisées par un juge

Néanmoins le juge européen admet des exceptions notamment dans le cas d’une “menace grave pour la sécurité nationale” ou “d’activités de terrorisme“, les Etats peuvent enjoindre les opérateurs de conserver les données de connexion.

La CJUE pose néanmoins deux conditions, à la fois temporelle et procédurale : “La décision prévoyant cette injonction, pour une période temporairement limitée au strict nécessaire, doit faire l’objet d’un contrôle effectif, soit par une juridiction, soit par une entité administrative indépendante“. L’organe chargé du contrôle devra alors vérifier “l’existence d’une de ces situations ainsi que le respect des conditions et des garanties prévues“.

Si l’équilibre entre sécurité et liberté reste toujours difficile à trouver, cette décision va obliger les Etats membres à revoir leurs législations en encadrant précisément les modes de collecte et de conversation de données en provenance des opérateurs.

 

Claudia Weber, avocat fondateur du Cabinet ITLAW Avocats et Céline Dogan, juriste

 

ITLAW Avocat mobilise ses talents et son expertise en matière de contrats, d’innovation, de projets informatiques complexes, de protection des données personnelles et de propriété intellectuelle   ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets, y compris complexes.

 

[1] CJUE, 6 octobre 2020, affaires jointes C-623/17 Privacy International ; C-5 11/18 La Quadrature du Net e.a. ; C-512/18, French Data Network e.a., ainsi que C-520/18 Ordre des barreaux francophones et germanophone e.a

[2] Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002

[3] Les articles 7, 8 et 11 ainsi que l’article 52, paragraphe 1, de la Charte

Nous contacter