Le 6 octobre 2020, la CJUE a rendu une décision dans laquelle elle s’oppose à la collecte des données de connexions Internet et téléphoniques par les États membres de l’Union européenne à des fins judiciaires ou de renseignement.

La CJUE a confirmé l’arrêt “Tele2” datant de 2016 qui indique que les États de l’Union européenne ne peuvent pas imposer aux fournisseurs d’accès une « obligation généralisée et indifférenciée » de collecte et de conservation des données. Plus précisément, il est question de métadonnées qui ne sont pas les données d’un contenu, mais celles qui le caractérisent. Dans le cas d’un appel téléphonique, les métadonnées sont l’émetteur, le destinataire, la localisation d’émission de l’appel, la durée, la date et l’heure d’envoi, etc.

Un des changements majeurs apportés par l’arrêt du 6 octobre 2020 est le cadre d’utilisation des données. Les données peuvent être utilisées seulement dans le cadre d’enquêtes relevant de criminalité grave ou de la sécurité nationale, comme dans le cas du terrorisme. Autre changement qui a son importance : les hébergeurs de site web ne sont plus obligés de conserver les métadonnées des publications de leur site et de les rattacher à une adresse IP.

Selon le communiqué de La Quadrature du Net – association de défense des libertés dans l’environnement numérique -, « Le droit français se retrouve ainsi contradiction flagrante avec la décision de la CJUE ». Début 2020, Alexis Fitzjean, avocat de l’association a partagé son scepticisme face à ces lois : « Qu’il puisse y avoir une surveillance ciblée de personnes dangereuses ou soupçonnées de l’être, c’est une chose […] Mais conserver toutes les traces de connexion de manière indifférenciée pendant des périodes aussi longues, c’est de la surveillance de masse, contraire à l’État de droit ».

Alerte attentat, adieu la vie privée

Au nom de la lutte contre le terrorisme, des modifications de lois et des nouvelles lois se sont succédé afin de simplifier l’accès aux métadonnées aux policiers, magistrats ou aux services de renseignement :
• 2001 : La loi sur la sécurité quotidienne oblige les fournisseurs d’accès à garder leurs métadonnées pendant un an et celles-ci peuvent être consultées pour des raisons de sécurité nationale sans mandat judiciaire pendant cette durée.
• 2006 : La loi 2006-64 assouplit les conditions d’accès aux données de connexion et de géolocalisation dont disposent les fournisseurs d’accès par les services antiterroristes. La même année la vidéosurveillance est autorisée dans les lieux publics.
• 2013 : La loi sur la programmation militaire autorise l’accès aux données et aux documents présents sur internet sans l’intervention d’un juge en matière de renseignement.
• 2015 : La loi renseignement autorise l’installation de “boites noires” chez les opérateurs de télécommunication. Cette loi n’est pas utilisée seulement pour la lutte contre le terrorisme, mais aussi dans le cadre de la politique étrangère, de l’espionnage économique et de la criminalité organisée. La loi autorise également l’utilisation d’IMSI-catchers.

Cette liste non exhaustive témoigne de l’intérêt du gouvernement français pour l’accès aux données numériques. Avec sa législation, la France n’est pas en adéquation avec le droit européen, notamment sur la consultation des données personnelles.

Manuel Campos Sanchez-Bordona, l’avocat général de la CJUE, estime que les règles de la Belgique et du Royaume-Uni sont elles aussi contraires à la législation européenne. Pourtant, elles ne sont pas à proprement parler illégales. Un traité de l’Union européenne statue que la sécurité nationale relève « de la seule responsabilité de chaque État membre ». Sous cet angle, la France, le Royaume-Uni, et la Belgique peuvent légalement utiliser les métadonnées de leurs opérateurs téléphoniques.

Toutefois, la décision du 6 octobre 2020 pourrait symboliser le commencement d’une nouvelle ère plus protectrice des données. « Ce jugement marque une étape importante après presque six ans d’actions devant les tribunaux français pour rétablir le droit à la vie privée dans nos communications électroniques. Nous espérons maintenant que le Conseil d’État français appliquera enfin à l’État français les normes européennes en matière de droits de l’homme », explique Hugo Roy, membre de Privacy International dans un communiqué de presse.

La sécurité contre la vie privée, le dilemme du XXIème siècle

Grâce à la confirmation de l’arrêt “Tele2”, la revendication d’une responsabilité de chaque État membre sur sa sécurité intérieure n’aura plus la même portée. Les services de renseignement français s’en inquiètent déjà et ont déclaré que cette mesure « entrave très sérieusement » leur travail d’enquête.

Selon Caroline Wilson Palow de l’association Privacy International, l’argument des services de renseignement français ne devrait pas en être un : « Si la police et les services de renseignement jouent un rôle très important pour assurer notre sécurité, ils doivent le faire en respectant certaines normes pour éviter un abus de leur pouvoir influent. Ils doivent veiller à nous fournir des systèmes de surveillance efficaces et ciblés qui protègent à la fois notre sécurité et nos droits fondamentaux ».

De son côté, la Quadrature du Net nuance la décision de la CJUE et la qualifie de « défaite victorieuse ». Selon l’association, si la CJUE dénonce la conservation généralisée des données de connexion par les États membres de l’Union, sa décision comprend de nombreuses exceptions.