La Cour de justice de l'Union européenne a confirmé, dans un arrêt très attendu rendu mardi 6 octobre, qu'un État membre ne pouvait pas exiger des services de communication en ligne que ceux-ci collectent systématiquement les métadonnées de leurs utilisateurs. Elle a toutefois clarifié plusieurs dérogations à ce principe, notamment en cas de menace grave pour la sécurité nationale ou d'activité terroriste.
« L’arrêt d’aujourd’hui porte un coup dur aux lois en vigueur en France, au Royaume-Uni et en Belgique et aux autres pratiques actuelles de conservation des données des États membres », s'est félicité Diego Naranjo, responsable de la politique chez European Digital Rights (EDRi). Au Parlement européen, Patrick Breyer (Verts/ALE, allemand) s'est montré moins enthousiaste, au regard des dérogations permises par la Cour notamment en matière de conservation générale autorisées des données IP.
La décision de la Cour répond aux questions préjudicielles posées par des juridictions de France, de Belgique et du Royaume-Uni (affaires C-623/17, C-511/18 et C-512/18 ainsi que C-520/18). Preuve de l'intérêt que ces affaires suscitent, onze autres États membres ainsi que la Norvège y participaient en tant qu'observateurs.
Des retombées importantes
Cet arrêt constitue un jalon important des discussions sur la protection en ligne, et en particulier le projet de règlement relatif à la protection des communications électroniques et la récente dérogation aux fins de la lutte contre la pédopornographie. La Commission a en outre déjà fait savoir qu'en fonction de la décision des juges, elle pourrait proposer une nouvelle législation sur la conservation des données.
Mais cet arrêt pose aussi et surtout la question du transfert des données personnelles entre l'UE et le Royaume-Uni après la période de transition post-Brexit. La Cour considère en effet la réglementation britannique autorisant l’acquisition et l’utilisation par les services de sécurité et de renseignement illégale au regard du droit de l'UE. Or, c'est cette même logique qui l'avait conduite, en juillet, à invalider le bouclier de protection des données entre l'UE et les États-Unis (EUROPE 12529/2).
« La réglementation britannique semble à peine mieux que celle des États-Unis, de sorte que je me demande comment la Commission européenne rendra une décision d'adéquation pour le Royaume-Uni sur cette base », s'est interrogée Birgit Sippel (S&D, allemande).
La Charte et la directive 'e-Privacy' pertinents
Dans son arrêt, la Cour estime que les trois affaires relèvent bien de la directive (2002/58) dite 'e-Privacy', même si le Traité souligne que la sécurité nationale est une compétence des États membres.
L'article 5 de cette directive, en cours de révision, instaure l’obligation de garantir la confidentialité des communications et des données relatives au trafic, tandis que des dérogations sont permises à l'article 15 à condition que cela constitue « une mesure nécessaire, appropriée et proportionnée pour sauvegarder la sécurité nationale, la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ».
Selon la Cour, ces dérogations ne peuvent toutefois devenir la règle.
Des dérogations bien encadrées
Cependant, le juge européen souligne que le droit européen permet aux gouvernements nationaux d'enjoindre les prestataires de services comme Gmail de procéder, temporairement et sous contrôle, à une conservation généralisée et indifférenciée en cas de menace grave - réelle et actuelle ou prévisible - pour sa sécurité nationale. Une même dérogation existe pour les adresses IP attribuées à la source d'une connexion et aux données relatives à l'identité civile des utilisateurs, aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité grave et de la sauvegarde de la sécurité publique.
La Cour se positionne, par ailleurs, sur le recours à l'analyse automatisée ainsi que sur le recueil en temps réel, notamment des données relatives au trafic et des données de localisation. Elle estime que le droit de l'Union ne s'oppose pas à une réglementation nationale imposant aux fournisseurs de services de recueillir en temps réel les données relatives au trafic et les données de localisation en cas de soupçons avérés qu'une personne est impliquée dans une activité de terrorisme.
Concernant l'utilisation de ces informations comme élément de preuve, la Cour précise que la directive 'e-Privacy' exige que le juge pénal national écarte des éléments de preuve qui ont été obtenus par une conservation généralisée et indifférenciée des données relatives au trafic et à la localisation incompatible avec le droit de l’Union, « si les personnes soupçonnées d’actes de criminalité ne sont pas en mesure de prendre efficacement position sur ces éléments de preuve ».
Liens vers les arrêts : https://bit.ly/2GuK5sR et https://bit.ly/30BsKoM (Sophie Petitjean)