Des plaintes contre 17 Etats membres «pour non-respect de la législation de l’Union européenne» envoyées à Bruxelles, une lettre ouverte à la Commission, et un site web, stopdataretention.eu : ce lundi, une soixantaine d’organisations – des fournisseurs d’accès à Internet (FAI) associatifs et des associations de défense des droits et libertés en ligne, dont, en France, la Quadrature du Net et le «groupe d’action juridique» des Exégètes amateurs – ont décidé de remettre sur la place publique le dossier, particulièrement épineux, de la «rétention généralisée des données». De quoi s’agit-il ? Des obligations faites aux opérateurs de télécommunications (téléphonie et Internet) de conserver les données de connexion de leurs abonnés (adresses IP, numéros appelés, localisation…), données auxquelles peuvent accéder les services de police, de justice et de renseignement lors des enquêtes. L’affaire, hautement sensible, fait phosphorer les autorités nationales et européennes depuis un an et demi.

Deux décisions contre la «rétention généralisée»

A deux reprises en effet, la Cour de justice de l’Union européenne (CJUE) s’est prononcée contre la conservation généralisée des données de connexion par les opérateurs télécoms, en vigueur dans la majorité des pays de l’Union. En avril 2014, elle a invalidé une directive de 2006 sur la rétention des données, jugée contraire à la Charte européenne des droits fondamentaux, qui garantit le droit à la vie privée. Et le 21 décembre 2016, elle a rendu, dans une affaire opposant l’opérateur Tele2 au gouvernement suédois, un arrêt plus explicite encore : l’obligation de conservation généralisée, qui s’applique donc y compris à des personnes que rien ne permet de suspecter d’«infractions pénales graves», «excède […] les limites du strict nécessaire et ne saurait être considérée comme étant justifiée dans une société démocratique». Si une conservation «à titre préventif» des données de connexion peut être conforme au droit européen, c’est à plusieurs conditions : elle doit être «ciblée», «limitée au strict nécessaire», et viser la seule lutte «contre la criminalité grave».

«Le droit de l’Union européenne, censé prévaloir sur les lois nationales, est plus protecteur pour nos droits et libertés, expliquent dans leur communiqué les 62 organisations qui ont décidé de déposer des plaintes auprès de la Commission. Nous souhaitons le faire appliquer et que les régimes de conservation généralisée des données encore en vigueur dans 17 Etats membres soient abrogés.» En ligne de mire, notamment, l’Allemagne, l’Espagne, le Royaume-Uni ou la France – où les opérateurs télécoms sont tenus de conserver les données de connexion de leurs abonnés pendant un an.

A lire aussi : Tribune : «Données sur le Net : tous suspects»

«Intenses discussions» en France et en Europe

Le son de cloche est évidemment tout autre du côté des autorités policières et judiciaires et des gouvernements concernés, qui font valoir que la fin de cette conservation préventive généralisée handicaperait les enquêtes. En janvier, le procureur de Paris, François Molins, jugeait «désastreuses» les possibles conséquences de la jurisprudence européenne, notamment en matière de lutte antiterroriste, et plaidait pour un «équilibre subtil»… En France, selon le ministère de la Justice, l’arrêt Tele2 fait l’objet d’«intenses discussions interministérielles». Il est également au menu d’un groupe de travail dédié au sein du Conseil des ministres de l’Union européenne. Selon nos informations, la Commission planche sur une solution dite «matricielle», qui prévoirait des durées de conservation différenciées par types de données.