Actualités juridiques et digitales

La collecte des données de connexion et la lutte contre le terrorisme

Rédigé par Gérard HAAS | Feb 4, 2020 1:59:17 PM

Par Gérard HAAS et Ambre BERNAT

Le 15 janvier 2020 l’avocat général de la Cour de Justice de l’Union Européenne (CJUE) a présenté ses conclusions concernant la transmission généralisée et indifférenciée de données de connexion aux services de sécurité nationaux.

La Cour a été interrogée dans le cadre de quatre questions préjudicielles posées par la France, le Royaume Uni et la Belgique. Privacy International, la Quadrature du Net, French Data Network ou encore l’Ordre des barreaux francophones et germanophones sont à l’origine de la question… La conservation généralisée des données de connexion et la collecte de masse par les services de renseignement sont-elles contraires au droit de l’Union Européenne ?

1. De quelles données parle-t-on ?

Les données concernées permettent d’identifier celui qui utilise le téléphone et/ou internet, quand, où, comment et avec qui. Le contenu des communications n’est normalement pas accessible dans le cadre des affaires menées devant la Cour.

En France, l’obligation de conservation pèse sur les opérateurs qui doivent enregistrer les informations permettant d’identifier l’utilisateur, les données relatives aux équipements terminaux de communication utilisés, les caractéristiques techniques, la date, l’horaire et la durée de chaque appel. Mais aussi les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs. Enfin les données qui permettent d’identifier le destinataire de la communication et, pour les activités de téléphonie, l’origine et la localisation de la communication sont également conservées.

Concernant les services d’accès à Internet, la législation française exige la conservation des adresses IP, des clefs d’accès et, en cas de souscription payante d’un contrat ou d’un compte, le type de paiement utilisé ainsi que sa référence du paiement, le montant, la date et l’heure de la transaction.

Ces données peuvent donc être particulièrement invasives et leur collecte contrevient directement au droit à la vie privée de tout individu.

2. L’applicabilité du droit de l’Union européenne

L’avocat général de la CJUE a d’abord affirmé l’applicabilité notamment de la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.

La CJUE avait déjà confirmé à plusieurs reprises[1] que les mesures nationales prévoyant une conservation généralisée et indifférenciée des données relevaient du champ d’application de la directive. Elle précisait que la protection des communications électroniques et des données relatives au trafic était une obligation de toutes entités, qu’elles soient privées ou étatiques.

Ce raisonnement est maintenu malgré les contestations des gouvernements qui défendent la position inverse en invoquant la nécessité d’écarter l’application de la directive pour préserver l’intérêt de la sécurité nationale. La Cour admet effectivement l’argument de la sécurité nationale pour exclure certaines mesures du champ d’application de la directive mais uniquement lorsque les pouvoirs publics mènent des actions pour leur propre compte et sans requérir la collaboration de particuliers ou leur imposer d’obligations dans leur gestion commerciale.

3. L’interdiction de la conservation généralisée et indifférenciée de données face à la lutte contre le terrorisme

La question principale était également de savoir si « dans un contexte marqué par des menaces graves et persistantes pour la sécurité nationale, et en particulier par le risque terroriste », la jurisprudence de la Cour ne devait pas être atténuée et permettre aux autorités compétentes, au moins dans ce cas précis, de telles collectes de données.  

L’avocat général plaide pour un maintien de position et considère que cette question avait déjà été spécifiquement traitée par la Cour, le contexte factuel ne devant pas être confondu avec un contexte réglementaire demeuré inchangé. Sans nier l’intérêt vital pour tout Etat de lutter contre le terrorisme, l’avocat général de la CJUE fait prévaloir « la barrière infranchissable des droits fondamentaux des citoyens » sur l’efficacité des pouvoirs publics qui ne peut être le seul critère justifiant les moyens déployés en l’espèce.  

Une conservation ciblée peut en revanche être envisagée lorsque des éléments objectifs permettent d’étayer les soupçons fondés de la préparation d’un attentat terroriste ou bien lorsqu’un attentat vient effectivement d’être commis.

4. L’obligation d’information des personnes concernées

L’information des personnes concernées est nécessaire à l’exercice de leur droit de recours. Les conclusions de M. Campos Sanchez-Bordona insistent sur le fait que les personnes concernées doivent être informées que leurs données font l’objet d’un traitement, sans quoi le droit de recours prévu par la législation française, n’a en pratique aucun effet.

Ainsi, lorsque cela ne compromet pas l’action des autorités, dûment justifiée, les personnes concernées doivent recevoir information du traitement de leurs données par les autorités.

5. Une continuité jurisprudentielle européenne

M. Campos Sanchez-Bordona inscrit son raisonnement et ses observations dans la droite continuité de la jurisprudence européenne, particulièrement frileuse sur le sujet. Les droits fondamentaux des individus étant préservés dans une balance où les autorités voudraient faire peser la sécurité et la lutte contre la criminalité et le terrorisme.

***

Vous souhaitez en savoir plus sur vos droits en tant que personne concernée par un traitement de données personnelles ? Le Cabinet HAAS Avocats est à votre disposition pour vous accompagner et vous conseiller dans la défense de vos droits. Pour nous contacter, cliquez-ici.

 

 

[1] Arrêt dans les affaires jointes C-203/15 Tele2 Sverige AB/ Post-och telestyrelsen et C-698/15 Secretary of State for the Home Department/Tom Watson e.a. et CJUE, n° C-399/11, Arrêt de la Cour, Stefano Melloni contre Ministerio Fiscal, 26 février 2013