Interdiction de conserver en masse des données personnelles

La CJUE a rendu un arrêt très important concernant la surveillance de masse des citoyens par l’intermédiaire de leurs données personnelles.

La mise en place d’une réglementation nationale visant à la conservation généralisée et indifférenciée des données de localisation des citoyens a, en effet, été déclarée non conforme au droit de l’Union européenne.

A ce titre, les Etats membres ne peuvent pas imposer aux intermédiaires (hébergeurs, FAI) de collecter et de conserver toutes les données de connexion et de localisation des utilisateurs sans limite de temps et sans limiter cette obligation à certaines catégories et quantités de données.

Toutefois, les Etats membres ne sont pas démunis face au terrorisme puisqu’ils sont autorisés à mettre en place, à titre préventif, des règles de conservation ciblées des données dans le seul but de lutter contre la criminalité grave.

Une décision dans le prolongement de l’arrêt Digital Rights

En 2014, la CJUE a invalidé, par la décision Digital Rights du 8 avril 2014, la directive 2006/24/CE du 15 mars 2006 relative à la conservation des données personnelles au motif qu’elle ne garantissait pas suffisamment la protection des données au regard de la vie privée, alors même que la conservation des données permet de tirer des conclusions très précises sur la vie privée des individus.

Il n’en fallait pas plus pour remettre en cause les lois des Etats membres mettant en œuvre une surveillance de masse par l’intermédiaire d’une collecte et d’une conservation, sans limite, des données de connexion et de localisation, comme cela était le cas au Royaume-Uni et en Suède.

Une saisine par question préjudicielle

Des fournisseurs d’accès à internet et des hébergeurs ont, dès le lendemain du prononcé de la décision Digital Rights, demandé l’arrêt de l’obligation de conserver toutes les données de connexion, sans limite de temps et sans différenciation entre chacun des utilisateurs.

La directive de 2006 étant invalidée, les Etats membres se sont déportés sur la directive 2002/58/CE du 12 juillet 2002, dite « directive vie privée », pour justifier la collecte et la conservation des données. En effet, l’article 15 de cette directive permet aux Etats membres de déroger au respect de la vie privée et de la confidentialité des communications pour des raisons de sécurité nationale. Ainsi, la directive de 2002 permet à un Etat membre de fonder les interceptions de conservation et donc, de déroger au droit à la confidentialité dans certains cas.

Dès lors, il convenait de déterminer si ces réglementations nationales, qui imposaient une surveillance de masse en dérogeant au droit à la confidentialité des communications, étaient compatibles avec le droit de l’Union européenne et notamment avec la directive 2002/58/CE interprétée au regard des articles 7 8 de la Charte des droits fondamentaux du 7 décembre 2000 qui garantissent la vie privée et la protection des données personnelles.

La conservation autorisée dans les limites du strict nécessaire

De jurisprudence constante, la CJUE considère que les mesures nationales pouvant déroger à la protection des données personnelles ne sont admissibles que dans les limites du strict nécessaire.

Par conséquent, la collecte et la conservation des données ne sont autorisées que dans la limite d’un temps nécessaire et pour une quantité et pour une catégorie de données nécessaires.

Il est donc autorisé de conserver des données mais cette obligation ne peut jamais être généralisée ou indifférenciée ; elle doit être ciblée afin de respecter l’obligation de proportionnalité.

Ainsi, il faut que la réglementation nationale propose des éléments objectifs permettant de cibler une personne ou une catégorie de personnes pouvant être susceptibles d’être soumises à une telle surveillance.

A défaut, la Cour estime que cette ingérence résultant d’une réglementation nationale est particulièrement grave.

Un contrôle préalable du juge indispensable sauf urgence

La Cour précise enfin que ce type de réglementation nationale doit impérativement être soumis à un contrôle préalable effectué notamment par un juge ou une entité indépendante, sauf cas d’urgence (1).

Sur ce point, il n’est pas impossible qu’en France la loi renseignement du 24 juillet 2015 soit, un jour, invalidée puisqu’elle donne un pouvoir central au Premier ministre qui peut décider de prendre des mesures de renseignement concernant un individu, sans l’accord préalable d’un juge.

Toutefois, le Conseil d’Etat a considéré que la loi sur le renseignement n’était pas concernée par l’arrêt Digital Rights. Par conséquent, la loi sur le renseignement n’a pas fait, pour le moment, l’objet d’un renvoi préjudiciel devant la CJUE.

Alain Bensoussan Avocats
Lexing Droit des télécoms

(1) CJUE, Aff. jointes C‑203/15 et C‑698/15, 21-12-2016