L’avocat général de la Cour de justice de l’Union européenne (CJUE) a jeté un pavé dans la mare de la législation européenne au mois de décembre dernier, ce qui a logiquement fait quelques remous dans le petit monde du droit sur Internet.
Un rapide rappel du contexte législatif européen est nécessaire pour comprendre la situation
Une directive sur la protection de la vie privée sur Internet…
La directive 2002/58/CE du 12 juillet 2002, dite "vie privée et communications électroniques" avait aménagé les conditions du traitement des données à caractère personnel et de la protection de la vie privée dans le secteur des communications électroniques.
… Tempérée pour les besoins de la lutte anti-terroriste
À la suite des mobilisations pour la lutte anti-terroriste, ce texte a été renforcé par la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications et modifiant la directive 2002/58/CE vie privée et communications électroniques. Comme son intitulé l’indique, ce texte pose les principes de conservation des données de connexion sur Internet par les opérateurs de réseau et hébergeurs.
Parmi ces règles de base figurent notamment :
- Les types de données pouvant être conservées ;
- Leur durée de conservation (entre 6 mois minimum et 2 ans maximum) ;
- Leurs conditions de conservation ;
- Les personnes habilitées à y accéder (autorités judiciaires en général).
Entre renforcement de la sécurité et libertés fondamentales : un difficile équilibre
Tout comme les évènements du 11 septembre 2001 ont justifié une emprise plus grande des pouvoirs publics sur le citoyen américain (le fameux Patriot Act aux États-Unis), on a vendu au citoyen européen, sous couvert de sa plus grande protection, une plus grande emprise sur sa vie privée, une plus grande intrusion dans son intimité. Question de juste milieu entre les impératifs de sécurité et ceux du respect du citoyen, la question étant de savoir qui est habilité à déterminer avec certitude où se trouve ce juste milieu.
Depuis 2006 donc, la directive sévit par voie de transposition dans tous les pays de l’Union européenne, dont bien sûr en France, qui a choisi une durée maximale d’un an pour la conservation de ces données.
L’avis de l’avocat général de la CJUE
Dans le cadre de deux affaires jointes (C-293/12 et C-594/12 Digital Rights Ireland Seitlinger), l’avocat général Pedro Cruz Villalón a considéré que la directive sur la conservation des données était "incompatible avec la Charte des droits fondamentaux".
Dans ses conclusions présentées le 12 décembre 2013, l’avocat général, estime que la directive sur la conservation des données est dans son ensemble incompatible avec l’exigence, consacrée par la charte des droits fondamentaux de l’Union européenne, selon laquelle toute limitation de l’exercice d’un droit fondamental doit être prévue par la loi.
Selon lui, la directive constitue une ingérence caractérisée dans le droit fondamental des citoyens au respect de la vie privée, en établissant une obligation pour les fournisseurs de services de communications téléphoniques ou électroniques de collecter et de conserver les données de trafic et de localisation de ces communications.
L’avocat général souligne, à cet égard, que l’exploitation de ces données peut permettre l’établissement d’une cartographie aussi fidèle qu’exhaustive d’une fraction importante des comportements d’une personne relevant strictement de sa vie privée, voire d’un portrait complet et précis de son identité privée. Il existe, par ailleurs, un risque accru que les données conservées ne soient utilisées à des fins illicites, potentiellement attentatoires à la vie privée ou, plus largement, frauduleuses, voire malveillantes. En effet, les données ne sont pas conservées par les autorités publiques, ni même sous leur contrôle direct, mais par les fournisseurs de services de communications électroniques eux-mêmes. De plus, la directive ne prévoit pas que les données doivent être conservées sur le territoire d’un État membre. Ces données, peuvent, par conséquent, être accumulées dans des lieux indéterminés du cyberespace.
L’avocat général, M. Cruz Villalón, estime ensuite que la directive sur la conservation des données est incompatible avec le principe de proportionnalité en ce qu’elle impose aux États membres de garantir qu’elles soient conservées pendant une durée dont la limite supérieure est fixée à deux ans.
Source : communiqué de presse de la CJUE du 12 décembre 2013.
À propos des erreurs du législateur
Nous signalions il y a peu (à propos de la condamnation de l’Inist et du CFC pour contrefaçon : notre actualité du 24 décembre 2013), la capacité de nos sociétés de vivre sur des illusions juridiques et la tendance à camper sur des législations qui ne tiennent pas debout. En voici un bel exemple : qu’on veuille bien se rendre compte qu’on a vécu depuis 2006 avec des règles de droit européennes qui violent les droits que l’Union a elle-même édictées pour la protection de ses citoyens...
En attendant une réforme du texte fautif…
Une fois mis au jour une telle énormité — saluons l’honnêteté intellectuelle du magistrat —, il faut sortir d’une sacrée impasse. L’avocat général, après avoir beaucoup hésité, propose "de tenir en suspens les effets du constat d’invalidité pour que le législateur de l’Union puisse prendre, dans un délai raisonnable, les mesures nécessaires pour remédier à l’invalidité constatée" (communiqué précité).
Il faut donc s’attendre à une rapide réforme de cette directive fautive "dans un délai raisonnable", ce qui, dans la logique de la machine législative européenne, peut correspondre à un délai certain !
En savoir plus
Charte des droits fondamentaux de l’Union européenne (publiée le 26 octobre 2012, reprend et modifie la précédente charte adoptée le 7 décembre 2000) :
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:12012P/TXT:FR:NOT
Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) :
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:FR:NOT
Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE :
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32006L0024:fr:NOT
Communiqué complet de la CJUE du 12 décembre 2013 (pdf, 223 Ko) :
http://curia.europa.eu/jcms/upload/docs/application/pdf/2013-12/cp130157fr.pdf
Conclusions intégrales de l’avocat général dans les deux affaires jointes citées sur Curia, le site de la CJUE, accessibles sur cette page :
http://curia.europa.eu/juris/documents.jsf?num=C-293/12
ou sur Eur-Lex :
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62012CC0293:FR:NOT