La justice européenne vient de trancher : le droit de l’Union s’oppose à ce que les États membres imposent aux acteurs du Net « une conservation généralisée et indifférenciée » des données de connexion de leurs abonnés ou utilisateurs. Chaque législateur doit donc opter pour « conservation ciblée », sous conditions.

Saisie par un fournisseur d’accès à Internet suédois et des citoyens britanniques, la Cour de justice de l’Union européenne (CJUE) était invitée à dire si des législations nationales peuvent obliger les intermédiaires – opérateurs, hébergeurs... – à conserver l’ensemble des métadonnées entourant les faits et gestes de leurs utilisateurs : quel site a été consulté, à quelle heure, etc.

Dans l’affaire dite « Digital Rights Ireland », la justice européenne avait déjà invalidé la directive sur la conservation des données de 2006, compte tenu du manque de garanties imposées aux États membres. Cette fois-ci, il s’agissait de vérifier la compatibilité avec la directive « vie privée et communications électroniques », lue à la lumière de la Charte des droits fondamentaux de l’UE.

La conservation généralisée et indifférenciée contraire au droit de l'Union

Pour les juges, cela ne faisait aucun doute : les régimes de conservation des données de connexion relèvent bien de ce texte (contrairement à ce que s’est évertué à démontrer la France, notamment). « La protection de la confidentialité des communications électroniques et des données relatives au trafic, garantie par la directive, s’applique aux mesures prises par toute personne autre que les utilisateurs, qu’il s’agisse de personnes ou d’entités privées ou d’entités étatiques », souligne ainsi la CJUE.

Ce faisant, la Cour a considéré que sa jurisprudence constante, selon laquelle « la protection du droit fondamental au respect de la vie privée exige que les dérogations à la protection des données à caractère personnel s’opèrent dans les limites du strict nécessaire », devait également s’appliquer aux règles régissant la conservation des données de connexion (ainsi que leur accès par les autorités). Et pour cause. Les données de connexion « sont susceptibles de permettre de tirer des conclusions très précises sur la vie privée des personnes », rappelle l’arrêt.

Ainsi, poursuivent les magistrats, « seule la lutte contre la criminalité grave » est susceptible de justifier une conservation des données relatives au trafic et à la localisation des individus. Dès lors, tout régime prévoyant une collecte générale et indifférenciée (c’est-à-dire sans lien avec une potentielle menace, par exemple terroriste) « excède donc les limites du strict nécessaire et ne saurait être considéré comme étant justifié dans une société démocratique, ainsi que l’exige la directive lue à la lumière de la Charte ».

La Cour enfonce le clou : toute « réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique » est à proscrire.

Une conservation limitée au « strict nécessaire »

Pour respecter le droit européen, les États membres doivent donc instaurer « une conservation ciblée des données à des fins de lutte contre la criminalité grave, à condition qu’une telle conservation soit, en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue, limitée au strict nécessaire ». Cela signifie en pratique que les régimes devront notamment être fondés « sur des éléments objectifs permettant de viser les personnes dont les données sont susceptibles de présenter un lien avec des actes de criminalité grave, de contribuer à la lutte contre la criminalité grave ou de prévenir un risque grave pour la sécurité publique ».

La CJUE apporte en outre des précisions quant à l’encadrement nécessaire de l’accès des autorités à ces données de connexion. Il est à ses yeux « essentiel » que cet accès soit, « sauf en cas d’urgence, subordonné à un contrôle préalable effectué par une juridiction ou une entité indépendante ». Les personnes concernées ont par ailleurs vocation à en être informées, ajoutent les juges. Enfin, l’institution a jugé qu’au regard de la quantité de données conservées, du caractère sensible de ces données ainsi que du risque d’accès illicite à celles-ci, chaque réglementation nationale devait « prévoir que les données soient conservées sur le territoire de l’Union et qu’elles soient irrémédiablement détruites au terme de la durée de leur conservation ».

Il y a désormais fort à parier pour que cet arrêt contraigne plusieurs États membres à revoir leur législation, à commencer par la Suède et le Royaume-Uni, avec son IP Bill. La France, avec sa récente loi Renseignement, surveillait également de près cette décision. Nous y reviendrons prochainement.