La rétention des données de connexion jugée invalide en Europe

Contre toute attente, la Cour de justice de l’Union européenne (CJUE) a invalidé, mardi 8 avril, la directive européenne de 2006 sur la rétention de données personnelles par les opérateurs et autres prestataires de services de communications électroniques. Mise en place dans le cadre de la lutte antiterroriste suite aux attentats de Madrid (mars 2004) et de Londres (juillet 2005), cette directive impose la conservation des données de connexion sur une période pouvant aller jusqu’à deux ans. La cour européenne a jugé que la directive violait plusieurs droits fondamentaux en matière de vie privée.

La décision rendue par la CJUE fait suite à une saisine de la Haute Cour irlandaise (« High Court ») et la Cour constitutionnelle autrichienne (Verfassungsgerichtshof »), qui redoutaient une éventuelle incompatibilité de telles pratiques avec la Charte des droits fondamentaux de l’Union, indique ITespresso.fr. La High Court avait sollicité des éclaircissements dans le cadre d’un litige avec la société irlandaise Digital Rights, qui contestait la légalité de cette conservation de données. Son homologue autrichien était sous le coup d’un recours lancé par le gouvernement du land de Carinthie… et d’une class action regroupant 11 128 plaignants qui cherchaient à obtenir l’annulation de la disposition nationale transposant la directive en droit national.

Pas de garanties suffisantes

Les juges ont considéré que le texte n’offre effectivement aucune garantie quant à la protection des données à caractère personnel. Ils s’inquiètent tout particulièrement des risques liés au recoupage de tous ces éléments, qui pourrait aboutir à un profilage très précis des individus : déplacements et lieux de séjour, activités, relations sociales, etc.

La pratique en elle-même n’est pas remise en cause. Le CJUE estime en l’occurrence que le législateur a introduit suffisamment de garde-fous, notamment l’interdiction formelle de dévoiler le contenu des communications électroniques en tant que tel. C’est sur l’ingérence des Etats que le bât blesse, « [excédant] les limites qu’impose le respect du principe de proportionnalité ». En couvrant de manière généralisée l’ensemble des individus, des moyens de communication électroniques et des données relatives au trafic, la directive ne permet « aucune différenciation, limitation ou exception […] en fonction de l’objectif de lutte contre les infractions graves ».

La Cour constate par ailleurs que le texte ne prévoit pas de garanties suffisantes permettant d’assurer une protection efficace des données contre les risques d’abus et l’utilisation illicite. Les fournisseurs de services sont par exemple autorisés à tenir compte des considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent. Autre constat : rien n’impose une conservation des données sur le territoire de l’Union… alors même que le contrôle du respect des exigences de protection et de sécurité par une autorité indépendante est explicitement exigé par la charte.

Réviser la législation

Une analyse saluée par plusieurs associations de défense des libertés individuelles, dont la Quadrature du Net, qui évoque « une victoire pour tous les défenseurs de la vie privée [...] contre le fichage généralisé des communications ». L’European Digital Rigths Group souligne pour sa part la fin de « huit années d’abus sur les données personnelles ».

La plupart des États de l'Union qui ont transposée en droit national la directive sont donc tenus de réviser leur législation.