La Cour de justice de l’Union européenne (CJUE) a tranché : les États et leurs services de renseignement en Europe ne peuvent avoir un accès illimité aux données de connexion par téléphone et par Internet des particuliers.
La CJUE « confirme que le droit de l’Union s’oppose à une réglementation nationale imposant à un fournisseur de services de communications électroniques, à des fins de lutte contre les infractions en général ou de sauvegarde de la sécurité nationale, la transmission ou la conservation généralisée et indifférenciée de données relatives au trafic et à la localisation », écrit-elle dans un communiqué.
Concrètement, les métadonnées des connexions Internet et conversations téléphoniques — qui ne portent pas sur le contenu des messages, mais les conditions dans lesquelles elles ont été échangées (identité, localisation, date, durée) — ne peuvent pas être gardées indéfiniment et uniformément par les opérateurs.
La justice européenne estime que la conservation généralisée et indifférenciée des données de connexion ne peut être autorisée que lorsqu’un « État membre fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible ».
De même, dans la « lutte contre la criminalité grave » et « la prévention des menaces graves contre la sécurité publique », un État membre peut également « prévoir la conservation ciblée des données ainsi que leur conservation rapide ». Pour autant, « une telle ingérence dans les droits fondamentaux doit être assortie de garanties effectives et contrôlée par un juge ou une autorité administrative indépendante », insiste la Cour.
L’enquête la justice en Europe lancée après une demande en France
La décision de la CJUE fait suite à l’examen de plusieurs décrets d’application du code français de la sécurité intérieure et des réglementations belge et britannique qui imposaient aux opérateurs télécoms la collecte massive des données des utilisateurs dans le cadre de mesures destinées à assurer la protection des populations de leur pays. En France spécifiquement, les décrets d’application examinés étaient ceux de 2015 et 2016, qui avaient été attaqués par les organisations la Quadrature du Net, le fournisseur d’accès French Data Network et la Fédération des fournisseurs d’accès à internet associatifs.
Un commentaire pour cet article :