Justice en ligne
 

Envoyez-nous remarques, questions et points de vues sur la justice.

Certains termes du vocabulaire judiciaire vous paraissent compliqués ?

Notre rubrique Lexique vous aidera à mieux les comprendre.

Accéder au site Questions-justice.be
Nouveaux épisodes dans la saga de l’obligation controversée de conservation des données de communications électroniques
par Cécile de Terwangne, le 20 septembre 2021

Jusqu’où et combien de temps les États peuvent-ils prévoir la conservation de données personnelles recueillies à l’occasion d’échanges par voie de télécommunications ?

Même au titre de la sécurité nationale, il y a des limites à ne pas dépasser, fondées notamment sur le droit au respect de la vie privée.

Des arrêts de la Cour de justice de l’Union européenne et de la Cour constitutionnelle de Belgique viennent de le rappeler.

Ils sont commentés ci-dessous par Cécile de Terwangne, professeure à la Faculté de droit de l’Université de Namur et directrice de recherches au Centre de Recherche Information, Droit et Société de la même Université (CRIDS).

1. On a déjà eu l’occasion en 2015 d’évoquer pour les lecteurs de Justice-en-ligne la question de la conservation généralisée des données relatives aux communications électroniques par les opérateurs télécoms en vue de transmettre ces données aux autorités policières et autres services de sécurité (Cécile de Terwangne, « Il y a des limites à la conservation des données dites ‘de connexion’, ou quand la Cour constitutionnelle et la Cour de justice de l’Union européenne se donnent la main pour protéger la vie privée »).

La Cour de Justice a rendu deux nouveaux arrêts importants sur le même sujet le 6 octobre 2020, se prononçant sur pas moins de quatre affaires : l’affaire Privacy International , tranchée dans le premier arrêt, et les affaires La Quadrature du Net, French Data Network, et Ordre des barreaux francophones et germanophone , tranchées dans le deuxième.

2. La dernière de ces affaires concernait des questions posées par la Cour constitutionnelle belge. Le 22 avril 2021, par son arrêt n° 57/2021, cette juridiction, éclairée par la réponse obtenue quelques mois auparavant, s’est à son tour prononcée définitivement sur les recours en annulation de la loi du 29 mai 2016 ‘relative à la collecte et à la conservation des données dans le secteur des communications électroniques’, qui avaient été introduits devant elle (par l’Ordre des barreaux francophones et germanophone et par la Ligue des Droits de l’Homme, entre autres).

La loi de 2016 avait été adoptée à la suite de l’annulation par la Cour constitutionnelle de la loi du 30 juillet 2013 il s’agit de l’arrêt n° 84/2015 du 11 juin 2015 de cette Cour, commenté dans l’article précité sur Justice-en-ligne. Cette loi transposait en Belgique la directive européenne 2006/24 sur la conservation de données relatives aux communications électroniques. Or cette directive a elle-même été invalidée par la Cour de justice dans son retentissant arrêt Digital Rights Ireland neuf mois après l’adoption de la loi belge de transposition (arrêt du 8 avril 2014 )…
La succession de ces épisodes judiciaires illustre combien il est difficile de trouver le juste équilibre entre efficacité des services de sécurité et préservation d’une société démocratique qui ne sombre pas dans la surveillance généralisée !

3. Les arrêts du 6 octobre 2020, prononcés par la Cour de justice de l’Union européenne en Grande Chambre, sont l’occasion pour la Cour de réitérer que le droit de l’Union européenne s’oppose à ce qu’une législation nationale fasse peser sur les fournisseurs de services de communications électroniques (comme par exemple Proximus, Base ou Orange), à des fins de lutte contre les infractions ou de sauvegarde de la sécurité nationale, une obligation de conservation et de transmission généralisée et indifférenciée des données relatives au trafic et à la localisation.

Ces données correspondent à ce qu’on appelle des « données de communication ».

Elles indiquent qui utilise le téléphone ou navigue sur internet, quand, où, comment et avec qui.

Selon la Cour, si elles ne portent pas sur le contenu des communications, ces données prises dans leur ensemble, permettent tout de même de tirer des conclusions très précises sur la vie privée des personnes concernées, « telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci » (arrêt La Quadrature du Net, § 117). Prévoir leur conservation généralisée et indifférenciée réalise une ingérence particulièrement grave dans les droits fondamentaux des utilisateurs, sans que ces derniers soient nécessairement liés à une menace pour la sécurité nationale qui pourrait justifier pareille ingérence.

4. Les services nationaux de sécurité et de renseignement, tant britanniques que français et belges, avaient plaidé que les empêcher de recueillir toutes ces données impacterait très négativement l’efficacité de leur travail et risquerait de les mettre hors course dans un contexte marqué par des menaces graves et persistantes pour la sécurité, tenant en particulier au risque terroriste, à l’espionnage et à la prolifération nucléaire. Selon eux, la capacité d’acquérir et d’utiliser de telles données présente une utilité opérationnelle sans équivalent, et « les ensembles de métadonnées ainsi constitués devraient être aussi complets que possible, afin de pouvoir disposer d’une ‘botte de foin’ pour trouver ‘l’aiguille’ qui s’y dissimule » (arrêt Privacy International, § 25).

5. La Cour n’est pas insensible à ces arguments mais elle le dit sans ambages : si l’obligation de garantir la confidentialité des communications et des données électroniques n’est pas absolue et si des dérogations sont bien sûr admissibles, « il ne peut être question que la dérogation à la règle du secret devienne la règle » (arrêts Privacy International, § 59, et La Quadrature du Net, § 111).

Pour la Cour, mettre en place une surveillance systématique d’une telle portée des données de communication porte atteinte non seulement au droit à la vie privée et à la protection des données des individus mais aussi à la liberté d’expression à partir du moment où toutes les traces des activités de diffusion, de recherche et de partage d’informations sur internet sont enregistrées et analysées. La liberté de presse est également impactée dès lors que les communications des journalistes tombent dans le champ de la surveillance. Et il en est de même pour le secret professionnel, notamment celui couvrant les échanges entre les avocats et leurs clients. La Cour relève enfin l’effet dissuasif qui peut affecter les lanceurs d’alerte.

6. Inébranlable donc dans son rôle de rempart contre les attaques insistantes contre les droits fondamentaux au nom de l’efficacité de l’action policière et des services de renseignement, la Cour refuse que les États mettent en place une surveillance technologique qui deviendrait la règle. Consciente des défis actuels en termes de sécurité, elle va toutefois apporter dans son arrêt La Quadrature du Net des nuances à l’exigence de confidentialité, offrant des perspectives d’action aux services d’enquête.

Ainsi, dans des situations de menace grave pour la sécurité nationale, menace réelle ou prévisible, la Cour estime qu’un État peut déroger à l’obligation d’assurer la confidentialité des données de communication en imposant une conservation généralisée et indifférenciée de ces données pour une durée limitée au strict nécessaire. Cette durée peut être renouvelée en cas de persistance de la menace.

La Cour a reconnu que l’importance de la préservation de la sécurité nationale dépasse celle de la lutte contre la criminalité en général, même grave, et peut donc justifier une ingérence plus forte dans les droits fondamentaux.

S’agissant de la lutte contre la criminalité grave, un État peut prévoir la conservation ciblée des données de communication, délimitées en fonction de catégories de personnes visées ou de critères géographiques. Un État peut également procéder à une conservation généralisée et indifférenciée des adresses IP utilisées pour naviguer sur internet, pour une durée de conservation limitée au strict nécessaire.

Et enfin, afin de lutter contre la criminalité en général, un État peut procéder à une conservation généralisée et indifférenciée et sans délai des données relatives à l’identité civile des utilisateurs.

Dans toutes ces hypothèses, pour être admise, l’ingérence dans les droits fondamentaux doit être assortie de garanties effectives contre les abus et contrôlée par un juge ou une autorité administrative indépendante.

7. La Cour constitutionnelle belge reprendra très largement le raisonnement de la Cour de Justice dans son arrêt n° 57/2021 du 22 avril 2021 pour conclure que « [l]’arrêt de la Cour de justice du 6 octobre 2020 impose un changement de perspective par rapport au choix que le législateur a effectué : l’obligation de conservation des données relatives aux communications électroniques doit être l’exception, et non la règle » (pt. B.18).

Comme la loi belge impose une obligation de conservation généralisée et indifférenciée de l’ensemble des données de communication et qu’elle poursuit des objectifs plus larges que la lutte contre la criminalité grave ou contre le risque d’atteinte à la sécurité nationale, la Cour constitutionnelle annule les dispositions de cette loi et invite le législateur à réécrire un nouveau texte respectueux de la leçon démocratique donnée par la Cour de Justice.

8. On notera pour terminer que la Cour de Justice s’est encore prononcée sur le sujet le 2 mars 2021, dans l’affaire Prokuratuur , qui a été l’occasion de clamer une nouvelle fois la volonté farouche de cette Cour de protéger la règle de la confidentialité de principe des données de communication.

Qui êtes-vous ?
Ajoutez votre commentaire ici
  • Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.