Dans un arrêt, la Cour de justice de l'Union européenne considère que les États ne peuvent pas imposer une « conservation généralisée et indifférenciée » des données de connexion. Celle-ci doit se faire de façon ciblée, limitée et avec des garde-fous.

L’accès aux données de connexion ne peut pas être « open bar ». Tel est, en somme, le sens de l’arrêt que la Cour de justice de l’Union européenne vient de rendre ce mercredi 21 décembre. Pour les magistrats, il n’est pas possible d’imposer aux fournisseurs d’accès à Internet une « conservation généralisée et indifférenciée » des données de connexion de leurs clients. Celle-ci doit être extrêmement ciblée et fortement délimitée pour éviter des dérives. Rappel des faits.

C’était le 8 avril 2014. Dans son mémorable arrêt Digital Rights Ireland, la Cour de justice de l’Union européenne manifestait sa volonté jurisprudentielle de protéger les droits des internautes, en invalidant la directive européenne de 2006. Celle-ci obligeait les États membres à exiger des opérateurs qu’ils conservent un journal des données de connexion de leurs clients pour que la police et la justice puissent y avoir accès.

S’appuyant sur la Charte des droits fondamentaux de l’Union européenne, la cour jugeait que cette obligation était disproportionnée et offrait un cadre insuffisant pour la protection de la vie privée et des données personnelles des citoyens européens. Grâce à cet arrêt, plusieurs États ont suspendu ou révisé leur législation pour intégrer l’avis de la cour suprême communautaire. D’autres nations ont en revanche choisi de ne pas bouger, à l’image de la France.

Sollicité dans le cadre de deux affaires jointes (C-203/15 Tele2 Sverige et C-698/15 Secretary of State for Home Department/Tom Watson e.a), l’avocat général de la Cour de justice de l’Union européenne, le Danois Henrik Saugmandsgaard Øe a considéré au mois de juillet que les États membres avaient bien le droit d’exiger la conservation de toutes les métadonnées mais uniquement s’ils se conforment aux impératifs fixés par l’arrêt Digital Rights Ireland.

Une analyse que la Cour de justice de l’Union européenne a refusé de suivre. Dans un arrêt rendu le 21 décembre, l’institution communautaire n’a en effet pas suivi l’avocat général. Elle déclare que les États ne peuvent pas imposer aux fournisseurs d’accès à Internet une obligation générale de conservation de données, que ces données soient relatives au trafic ou qu’elles concernent la localisation. Pour le dire autrement, l’accès aux données n’est plus « open bar ».

L’accès aux données n’est plus « open bar ».

Dans cet arrêt, la Cour de justice de l’Union européenne réagissait à deux affaires.

La première, venue de Suède, implique l’opérateur Tele2 qui a fait savoir aux autorités de son pays qu’il cessait de procéder à la conservation des données ainsi que son intention d’effacer les données déjà enregistrées. La seconde, britannique, concerne trois parlementaires qui ont lancé des recours contre le régime de conservation des données fixé par Londres. Leur action a été soutenue par trois organisations : Open Rights Group, Privacy International, et The Law Society of England and Wales.

Ainsi, « le droit de l’Union s’oppose à une réglementation nationale prévoyant une conservation généralisée et indifférenciée des données », déclare la Cour de justice dans son communiqué. Une exception est toutefois prévue, si cette conservation est « limitée au strict nécessaire » et « ciblée » : il s’agit de la lutte contre la criminalité grave, une notion vague mais qui couvre vraisemblablement le terrorisme et le grand banditisme.

Il faut des garanties

Analysant l’arrêt, l’avocat Alexandre Archambault, fin connaisseur du droit des télécoms, ajoute que l’arrêt de la Cour de justice laisse une porte entrouverte pour une possibilité de conservation des données à des fins de police administrative, quand il s’agit de « prévenir un risque grave pour la sécurité publique », à la condition que soient incluses des garanties très solides, à savoir le contrôle préalable par une autorité indépendante et l’information aux personnes concernées.

« L’accès des autorités nationales aux données conservées doit être soumis à des conditions, dont notamment un contrôle préalable par une autorité indépendante », écrit ainsi la Cour de justice, qui ajoute que « les autorités nationales compétentes auxquelles l’accès aux données conservées a été accordé doivent en informer les personnes concernées »ajoute-t-elle. Last but not least, les données doivent enfin être conservées sur le territoire de l’Union européenne.

Pour Alexandre Archambault, cet arrêt s’avère particulièrement important : « des pans entiers de procédure pénale et administrative françaises sont concernés ».