Pas de collecte indifférenciée des données de connexion
Les données de connexion permettent d’identifier quiconque ayant contribué à la création d’un contenu comme son adresse IP, sa géolocalisation, ses relevés téléphoniques ou encore le numéro de ses contacts fréquemment appelés. Très utiles lors d’une enquête, ces informations personnelles peuvent permettre d’identifier l’auteur d’une infraction ou récolter des preuves.
Mais voilà, la Cour de justice de l’Union européenne vient de juger que les États n’ont pas le droit d’imposer aux opérateurs une obligation de transmission et de conservation généralisée et indifférenciée des données de connexions des internautes.
La loi du 24 juillet 2015 offre la possibilité aux services de renseignement français de se voir transmettre en temps réel les données de connexion d’une personne identifiée comme une menace. Une obligation qui pèse sur les opérateurs et qui inquiète de nombreuses associations sur les pouvoirs conférés aux services de renseignement. C’est pourquoi la Quadrature du Net a saisi le Conseil d’État estimant que la législation française violait le droit européen.
Sollicité à la fois par le tribunal chargé des pouvoirs d’enquête au Royaume-Uni, le Conseil d’État et la Cour constitutionnelle belge, la Cour de justice de l’Union européenne s’est donc penchée sur la validité du régime de conservation des données au regard du droit européen.
Et cette nouvelle décision ne fait que confirmer les principes déjà posés en avril 2014 dans son arrêt Tele2 Sverige AB. « La directive du 12 juillet 2002 […] s’oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique », tranchait la cour de justice.
Ces obligations de transmission et de conservation généralisée et indifférenciée constituent « des ingérences particulièrement graves dans les droits fondamentaux garantis par la Charte » tels que le droit au respect de la vie privée.
En résumé, les autorités judiciaires et de renseignement ne peuvent plus demander la transmission des données de connexion aux fournisseurs de services de communications électroniques à quelques exceptions près. En effet, dans le cas d’une “menace grave pour la sécurité nationale” ou “d’activités de terrorisme”, les États peuvent enjoindre les opérateurs de conserver les données de connexion.
Néanmoins, deux conditions sont posées : « La décision prévoyant cette injonction, pour une période temporairement limitée au strict nécessaire, doit faire l’objet d’un contrôle effectif, soit par une juridiction, soit par une entité administrative indépendante », tranche la cour. L’organe chargé du contrôle devra vérifier « l’existence d’une de ces situations ainsi que le respect des conditions et des garanties prévues ».
Une décision avec des conséquences très importantes pour les services judiciaires et de renseignement, en particulier sur les procédures en cours qui pourraient être arrêtées net ou leurs actes frappés de nullité.
Source : L'Usine Digitale