[box style=”5″]
Avec les arrêts Digital Rights du 8 avril 2014 et Tele2 du 21 décembre 2016, la Cour de Justice de l’Union Européenne réaffirme l’invalidité de toute obligation de conservation indiscriminée de données personnelles et précise plus généralement les conditions de validité de leur conservation. Au regard de ces décisions, la législation française, et notamment l’obligation de conservation de données pour une durée d’un an imposée aux FAI, risque d’être déclarée non conforme au droit de l’Union européenne.
[/box]
Les conditions posées par la Cour pour l’encadrement d’une obligation de conservation des données
Dans l’arrêt Digital Rights[1], la Cour de Justice a invalidé la directive 2006/24/CE du 15 mars 2006 sur la conservation de données traitées dans le cadre de la fourniture de services de communications électroniques car celle-ci imposait une obligation de conservation de données aux fournisseurs de ces services qui n’était pas limitée au strict nécessaire.
Suite à cette décision, la Cour a été saisie de deux questions posées par les juridictions britanniques et suédoises au sujet d’obligations nationales de conservation générale de données imposées aux fournisseurs de communications électroniques, qui découlaient de la directive annulée. Les deux affaires, traitées conjointement, posaient la question de la conformité de ces obligations à la directive vie privée et communications électroniques[2], qui pose le principe de la confidentialité des communications électroniques.
Dans l’arrêt Tele2[3], la Cour répond par la négative, détaillant que le droit de l’Union s’oppose à toute législation nationale imposant une obligation de conservation généralisée et indifférenciée de données. La Cour précise que, si cette directive autorise des dérogations au principe de confidentialité des communications électroniques, celles-ci doivent répondre à des finalités suffisamment impérieuses et être réduites à des moyens strictement nécessaires pour remplir ces finalités.
Au regard de la sensibilité des données concernées en l’espèce (données de trafic et de localisation), qui permettent d’obtenir des informations très précises sur les individus, seule la finalité de lutte contre la criminalité grave est susceptible de justifier des exceptions au principe de confidentialité, à condition que cette conservation soit limitée au strict nécessaire et présente des garanties suffisantes.
Cela s’entend par un certain nombre de conditions. Tout d’abord, le caractère « strict[ement] nécessaire » implique une législation claire et précise sur la teneur et les modalités de l’obligation de conservation ; elle doit prévoir les circonstances et conditions autorisant la mise en place d’une telle obligation, et se fonder sur des critères objectifs pour viser les personnes dont les données sont susceptibles de révéler un lien avec des activités criminelles graves.
Ensuite, les garanties des droits des personnes impliquent des procédures réglementées dans l’accès aux données conservées et des conditions tenant à la localisation des données.
Ainsi, l’accès aux données par les autorités compétentes ne doit pouvoir être autorisé que pour les données de personnes soupçonnées de projeter, de commettre, d’avoir commis ou d’être impliquée dans une infraction grave. Des accès aux données utiles à la lutte contre ces infractions peuvent également être autorisés en cas de menace terroriste aux intérêts vitaux de la sécurité nationale. Ces accès doivent également être soumis à l’examen préalable d’une juridiction ou d’une autorité indépendante, et les personnes concernées doivent être informées de ces accès, dans la mesure où cela ne compromet pas les enquêtes menées. Enfin, ces données doivent être conservées sur le territoire de l’Union.
Les conséquences en droit français
Compte tenu du nombre important de conditions posées par la Cour et de leur précision, il convient de se demander si la législation française serait à l’abri d’une question préjudicielle semblable à celles posées dans l’arrêt Tele2.
La question se pose notamment pour l’article 34-1 du Code des postes et des communications électroniques. Cet article impose en effet aux fournisseurs de services de communications électroniques une conservation des données de communications d’une durée d’un an, pour les besoins, notamment, de la poursuite des infractions pénales. Cette obligation instaure une conservation généralisée et indifférenciée des données, semble-t-il contraire au droit de l’Union. En outre, elle est précisée servir à la poursuite d’objectifs variés, qui ne se limitent pas à la lutte contre la criminalité grave. Enfin, le contrôle de l’accès à ces données ne parait pas respecter pas les conditions posées par le droit de l’Union.
Cette difficulté a précisément été relevée par le député LR M. Lionel Tardy. Il est à l’origine d’une question écrite au Ministère de la Justice, publiée le 17 janvier 2017[4], au sujet précisément de la conformité du droit de l’Union européenne avec cet article au regard de la jurisprudence Tele2. Le député demande au Garde des Sceaux de l’éclairer sur les mesures qu’il compte prendre pour prévenir une telle invalidité.
On pourrait relever, pour les mêmes motifs, la question de la validité de l’article 6 de la Loi pour la Confiance dans l’Economie Numérique (LCEN). Celui-ci impose la conservation des données d’identification des utilisateurs créateurs de contenus pour une durée fixée à un an par le décret n° 2011-219 du 25 février 2011.
De même, la stratégie gouvernementale en matière de lutte contre le terrorisme ou même contre la contrefaçon en ligne pourrait également être sujette à révision. On pense par exemple à la loi Renseignement[5] et au rôle qu’elle réserve à la Commission nationale de contrôle des techniques de renseignement. Une difficulté risque également d’apparaître avec le droit des personnes d’être informées du traitement à ces fins de leurs données.
[1] Arrêt de la Cour du 8 avril 2014, Digital Rights Ireland et Seitlinger e.a. (affaires jointes C-293/12 et C-594/12).
[2] Directive 2002/58/CE du 12 juillet 2002 sur le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.
[3] Arrêt de la Cour du 21 décembre 2016, Tele2 Sverige (affaires jointes C‑203/15 et C‑698/15).
[4] http://questions.assemblee-nationale.fr/q14/14-102017QE.htm
[5] Loi no 2015-912 du 24 juillet 2015 relative au renseignement