Selon le Cour de justice de l’UE, les Etats européens ne peuvent pas réclamer aux opérateurs une collecte massive des données de connexions à des fins judiciaires et de renseignement.
Les Etats européens peuvent-ils réclamer aux opérateurs une collecte massive des données de connexion à des fins judiciaires et de renseignement ? La justice de l’UE a rendu mardi 6 octobre sa décision, s’opposant à la collecte massive par les Etats des données de connexions Internet et téléphoniques. Cette décision était attendue avec inquiétude par les magistrats et les policiers.
Sollicitée par les juridictions en France, Belgique et au Royaume-Uni, la Cour de justice de l’Union européenne (CJUE), basée au Luxembourg, s’est prononcée à 9 heures sur l’illégalité de ces pratiques. La question était de savoir si elle confirmait un arrêt de 2016 baptisé «Tele2» : la Cour avait alors jugé que les Etats membres ne pouvaient pas imposer aux fournisseurs une «obligation généralisée et indifférenciée» de collecte et de conservation des données relatives au trafic et données de localisation. La juridiction européenne a donc suivi cet avis.
Concrètement, les métadonnées des connexions Internet et des conversations téléphoniques – qui ne portent pas sur le contenu des messages mais les conditions dans lesquelles elles ont été échangées (identité, localisation, date, durée…) – ne pouvaient pas être gardées par les opérateurs. Mais plusieurs Etats de l’Union européenne continuaient d’exiger une telle collecte afin que policiers, magistrats ou services de renseignement puissent accéder à ces données.
L’avocat général de la cour, Manuel Campos Sanchez-Bordona, avait estimé à la mi-janvier que les règles françaises, belges et britanniques imposant aux opérateurs de conserver ou transmettre de façon «indifférenciée» les données d’utilisateurs, notamment à des fins de lutte antiterroriste, étaient contraires au droit européen.
«Surveillance de masse» ?
Tout en «reconnaissant l’utilité d’une obligation de conservation des données pour sauvegarder la sécurité nationale et lutter contre la criminalité», l’avocat général avait « plaidé en faveur d’un accès limité à ces données». Son avis ne lie pas la cour.
Pour leur défense, les Etats concernés s’appuyaient sur le traité de l’UE, selon lequel la sécurité nationale «reste de la seule responsabilité de chaque Etat membre». La cour a examiné plusieurs décrets d’application du code français de la sécurité intérieure, de 2015 et 2016, attaqués par La Quadrature du Net, le fournisseur d’accès French Data Network et la Fédération des fournisseurs d’accès à Internet associatifs.
Pour l’avocat général, la réglementation française s’inscrit certes «dans un contexte marqué par des menaces graves et persistantes pour la sécurité nationale», mais elle «n’instaure pas l’obligation d’informer les personnes concernées du traitement de leurs données à caractère personnel» et contredit la directive sur la vie privée et les communications électroniques de 2002.
«Qu’il puisse y avoir une surveillance ciblée de personnes dangereuses ou soupçonnées de l’être, c’est une chose», concédait au début de 2020 Alexis Fitzjean, avocat de La Quadrature du Net, association de défense des droits des internautes. «Mais conserver toutes les traces de connexion de manière indifférenciée pendant des périodes aussi longues, c’est de la surveillance de masse, contraire à l’Etat de droit», insistait-il.
Juges inquiets
Les réglementations belge et britannique qui imposent aux opérateurs le même type de collecte massive sont également incompatibles avec le droit européen, selon l’avocat général.
L’ONG de protection des droits de l’homme Privacy International avait engagé des recours au Royaume-Uni. Des organisations représentatives des avocats, des comptables et des professions juridiques en Belgique avaient, de leur côté, estimé que le secret professionnel n’était plus garanti.
Cette confirmation par la CJUE de son arrêt «Tele2» donne des sueurs froides aux services de renseignement français, qui évoquent «un désastre» susceptible d’«entraver très sérieusement» leurs enquêtes. Dans de nombreuses affaires, comme celle des attentats de 2015, ces données «constituent une “matière première” essentielle pour les magistrats et enquêteurs», observait l’an dernier François Molins, procureur général près la Cour de cassation. «Nombre d’enquêtes pénales en cours» pourraient être arrêtées net ou leurs actes frappés de nullité, avertissait-il.