Données personnelles - rgpd
Lecture Article Avocat
Temps de lecture :
#
min.

CJUE : Coup d’arrêt à la collecte généralisée des données de connexion

Publié le
15/10/2020
CJUE : Coup d’arrêt à la collecte généralisée des données de connexion
Auteur de l'article
Maître Saul CAL
L'équipe de Call A Lawyer

Saul de Call A Lawyer

Maître Saul CAL

Avocat partenaire de Call A Lawyer
Article rédigé par l'équipe de Call A Lawyer
Volume Appel par Avocat
Appels réalisés
Nouveau
Moyenne Note Appel Avocat
(
avis )
Appelez immédiatement un avocat
Démarrer un appel maintenant
Sommaire
Heading 2

Dans un arrêt du 6 octobre 2020, la Cour de justice de l’Union Européenne (CJUE) s’oppose à la collecte généralisée des données de connexion par les États membres.

La Cour persiste ainsi à encadrer la collecte des données au niveau étatique en dépit des craintes exprimées par les États, comme la France, de se voir privés d’outils majeurs de surveillance.

Les États concernés avançaient que la surveillance de masse est utilisée seulement en cas de danger pour la sécurité nationale mais selon la Cour de justice de l’UE, les États européens ne peuvent pas réclamer aux opérateurs une collecte massive des données de connexions à des fins judiciaires et de renseignement.

Dès lors, les États membres sont autorisés à transmettre et détenir des données de communication seulement en cas de présence d’un « grave danger pour la sécurité nationale », a statué la CJUE.

Ces pratiques doivent donc être limitées au « strict nécessaire » par les services de sécurité des pays européens. De plus, ces pratiques doivent être soumises à un examen effectué par une juridiction d’une autorité administrative indépendante, comme la CNIL.

 

Une collecte des données « nécessaire, appropriée et proportionnée »

En l’espèce, plusieurs associations de protection de la vie privée avaient porté à l’attention de la Belgique, la France (la Quadrature du Net) et le Royaume-Uni (Privacy International) les pratiques que ces mêmes États utilisaient pour récupérer les données auprès des prestataires de services.

C’est finalement « Privacy International », association caritative britannique, qui plaide auprès de la CJUE sur la question. Pour eux les services de sécurité et de renseignement du pays avaient utilisé à tort l’exception à la directive e-Privacy de 2002 et ainsi récolté en masse les fichiers de données personnelles et les données de communication.

C’est l’article 15 – 1 de cette Directive de 2002 (e-Privacy) qui était le sujet ici.

En effet, l’article 15 prévoit la possibilité d’adopter des « mesures législatives visant à limiter la portée des droits et des obligations » de la directive « lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique » notamment pour « sauvegarder la sécurité nationale ». Les États membres pouvant, entre autres, « adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée. »

Dès lors, selon « Privacy International » n’était justement pas constituée « une mesure nécessaire, appropriée et proportionnée ». Donc, conformément aux conditions générales, les méthodes des États membres obligeant les prestataires de services à éplucher les données de communication transgressaient cette directive de 2002 sur la protection de la vie privée dans le secteur des communications électroniques (e-Privacy).

 

Le refus d’une obligation généralisée et indifférenciée de collecte des données

Mais quelle est la position de la CJUE sur la question ?

En 2016 la CJUE rendait un arrêt intitulé Télé 2. Arrêt dans lequel la Cour avait déjà jugé que les États membres ne pouvaient pas imposer aux fournisseurs une obligation généralisée et indifférenciée » de collecte et de conservation des données (de trafic et de localisation notamment).

La juridiction européenne décide ici de suivre cette décision et confirmer sa position. Les États ayant pour la plupart décidé de continuer la collecte afin que policiers, magistrats ou services de renseignement puissent accéder à ces données. Les données étant celles de connexions Internet et de conversations téléphoniques, permettant notamment de récupérer non pas le contenu des messages mais l’identité des messagers, la localisation, la date, la durée etc.

Le droit européen s’oppose donc à une réglementation imposant à un opérateur, à des fins de lutte contre les infractions en général ou de sauvegarde sécurité nationale, la transmission ou la conservation « généralisée et indifférenciée » de données de connexion.

 

Exception : la menace grave pour la sécurité nationale

L’arrêt de la CJUE ménage des exceptions, lorsqu’un État fait face à une « menace grave pour la sécurité nationale, réelle et actuelle ou prévisible ». Dans ce cas, il peut imposer par « des mesures législatives » une conservation « généralisée et indifférenciée » des données « pour une durée limitée au strict nécessaire ». Cette concession laissée par la Cour, dont l’interprétation doit encore être précisée, va certainement susciter à l’avenir des « batailles juridiques » entre avocats et magistrats qui ne cachent pas leurs inquiétudes.

La justice européenne conditionne cette exception à plusieurs critères : « une telle ingérence dans les droits fondamentaux doit être assortie de garanties effectives et contrôlées par un juge ou une autorité administrative indépendante ».

La cour précise également que ces mesures doivent être appliquées « pour une période temporellement limitée ». Pour l’instant, la loi de 2001 (loi sur la sécurité quotidienne), qui régit en France la conservation des données de connexion par les fournisseurs d’accès à Internet (FAI), ne pose aucune limite temporelle ou nécessité d’une menace grave pour la sécurité nationale.

Dans les faits, la Cour de justice européenne ne ferme donc pas complètement la porte à la conservation des données par les FAI en France, mais exige un encadrement conforme au droit européen : le cadre légal français devra donc mettre en œuvre de nouveaux garde-fous suffisants pour répondre aux exigences européennes en la matière. 

  

Les États ne sont pas au-dessus des lois

Si dans cette affaire la défense des États membres s’appuyait notamment sur le traité de l’Union qui prévoit que la sécurité nationale « reste de la seule responsabilité de chaque État membre » ce fut finalement l’occasion pour la Cour de justice de l’UE de montrer que même les États ne sont pas au-dessus des lois.

D’autant que la CJUE a également averti que des données de la sorte, collectées dans le cadre de procédures pénales d’une manière qui enfreint le droit européen, ne seraient pas admises lors de procès. Cette décision a provoqué auprès des magistrats et services concernés une vive réaction considérant que leur travail sera rendu beaucoup plus compliqué.

Cependant, l’arrêt rendu hier clarifie également le fait qu’il en va de la responsabilité des États membres de définir quelles activités constituent un danger à la sécurité nationale. De plus, le recours aux outils de surveillance pourrait être autorisé au-delà d’un délai donné, si le danger persiste. Pas sûr donc que les récoltes massives de données ne continuent pas. 

Partager cet article

Ce que vous devriez lire ensuite

Comment obtenir le Passeport Talent - Chercheur en France ?
Droit des étrangers
Droit des étrangers
Publié le
26/12/2023

Comment obtenir le Passeport Talent - Chercheur en France ?

Les étapes pour obtenir un Passeport talent en tant qu'investisseur en France
Droit des étrangers
Droit des étrangers
Publié le
10/12/2023

Les étapes pour obtenir un Passeport talent en tant qu'investisseur en France

Mettre son logement sur Airbnb : conseils et réglementations
Droit immobilier
Droit immobilier
Publié le
30/10/2023

Mettre son logement sur Airbnb : conseils et réglementations

Call A Lawyer
Blog
Maître Saul CAL
CJUE : Coup d’arrêt à la collecte généralisée des données de connexion

Call A Lawyer est une société spécialisée dans la mise en relation entre avocats et justiciables pour du conseil juridique. Respectueuse du RGPD et signataire de la Charte Éthique pour un marché du droit en ligne et ses acteurs (OpenLaw). Tous nos avocats sont tenus par le secret professionnel. Les échanges sont protégés et ne feront l’objet d’aucune divulgation.

Lien de Call A Lawyer sur FacebookLien de Call A Lawyer sur YouTubeLien de Call A Lawyer sur InstagramLien de Call A Lawyer sur LinkedIn
À propos
Découvrir nos engagements
Nos tarifs
Blog
Vous êtes avocat ?
Découvrir Call A lawyer
Créer mon profil CAL
Contact

36 Rue Charcot
75013 PARIS
+33 1 76 44 03 06

Mentions légales
CGUV (Client)
CGU (Avocat)
Confidentialité
Cookies
Référencement
Consommateurs