path: root/Conservation_gnralise_des_donnes__un_coup_port__la_surveillance_de_masse_.txt

Titre: Conservation généralisée des données : un coup porté à la surveillance de masse !
Auteur: neurone648
Date: Thu 22 Dec 2016 12:01:44 +0100
Lien: https://www.laquadrature.net/fr/allo-conseil-detat

Paris, 22 décembre 2016 — La Cour de justice de l'Union européenne a rendu un 
arrêt très important[1] le 21 décembre dernier, en condamnant le principe de 
conservation généralisée des données par les opérateurs, y compris lorsque ce 
sont les États qui souhaitent instaurer ce principe notamment pour des 
questions liées à la sécurité et à la lutte contre la criminalité. La 
conservation de données doit rester l'exception et non la règle, et ne peut 
être pratiquée qu'avec de sérieux garde-fous, à cause de la violation très 
sérieuse du droit au respect de la vie privée que constitue cette conservation.
La Quadrature du Net salue cette décision extrêmement positive et demande au 
gouvernement français de prendre enfin acte des décisions européennes, en 
abrogeant l'ensemble des législations touchant à la conservation et à 
l'exploitation des données de connexion des internautes. 

L'arrêt du 21 décembre fait suite à une autre décision très importante de la 
CJUE, l'arrêt Digital Rights Ireland. En avril 2014, la CJUE avait invalidé la 
directive européenne de 2006 faisant obligation aux États membres d'organiser 
la collecte et la conservation générale des données de connexion des 
internautes européens. Déjà, la CJUE considérait que cette conservation 
systématique des données de connexion portait atteinte de façon trop importante
au droit au respect de la vie privée : même sans se pencher sur l'utilisation 
ultérieure de cette conservation de données, le fait même de les conserver par 
défaut instaure une intrusion systématique dans la vie et l'intimité des 
citoyens. 

Ce nouvel arrêt de la CJUE est une conséquence de celui de 2014[2] : à la suite
de Digital Rights Ireland, une grande partie des pays européens ont abrogé leur
législation, et La Quadrature du Net s'en était félicitée[3]. Mais plusieurs 
autres pays ne l'ont pas fait, dont le Royaume-Uni, la Suède et la France. 

Concernant la France, les Exégètes amateurs[4], regroupant FDN, FFDN et La 
Quadrature du Net, ont attaqué[5] la législation française devant le Conseil 
d'État, mais celui-ci a considéré que la France n'était pas concernée par 
l'arrêt Digital Rights et a omis de poser la question officiellement à la CJUE,
malgré la demande explicite des Exégètes. La décision d'hier de la CJUE met le 
Conseil d'État devant ses propres contradictions et marquera sans aucun doute 
une étape importante dans les affaires qui opposent les Exégètes amateurs à 
l'État français et dans la lutte contre la surveillance de masse.

En ce qui concerne la Suède et le Royaume-Uni, deux contestations nationales 
ont été transférées à la CJUE, et sont donc à l'origine de cet arrêt. La Cour 
de justice de l'Union européenne a décidé le 21 décembre que les États 
n'avaient pas à imposer aux opérateurs cette conservation générale des données,
sous peine de porter atteinte de façon disproportionnée à la vie privée de 
leurs administrés. Une conservation de données par les fournisseurs de services
ne devrait être que limitée, et en aucun cas généralisée. Il en va, pour la 
CJUE, du respect de la Charte des droits fondamentaux de l'Union européenne, et
notamment des droits fondamentaux au respect de la vie privée, à la protection 
des données personnelles mais également à la liberté d'expression. La Cour 
réaffirme que les données de connexion occupent une place primordiale dans nos 
vies, et que toute collecte systématique de ces données de connexion et de 
localisation est une forme de surveillance : 

« Prises dans leur ensemble, ces données sont susceptibles de permettre de 
tirer des conclusions très précises concernant la vie privée des personnes dont
les données ont été conservées, telles que les habitudes de la vie quotidienne,
les lieux de séjour permanents ou temporaires, les déplacements journaliers ou 
autres, les activités exercées, les relations sociales de ces personnes et les 
milieux sociaux fréquentés par celles-ci ».

« L’ingérence que comporte une telle réglementation dans les droits 
fondamentaux [...] s’avère d’une vaste ampleur et doit être considérée comme 
particulièrement grave. La circonstance que la conservation des données est 
effectuée sans que les utilisateurs des services de communications 
électroniques en soient informés est susceptible de générer dans l’esprit des 
personnes concernées le sentiment que leur vie privée fait l’objet d’une 
surveillance constante. »

« Même si une telle réglementation n’autorise pas la conservation du contenu 
d’une communication et, partant, n’est pas de nature à porter atteinte au 
contenu essentiel desdits droits (voir, par analogie, en ce qui concerne la 
directive 2006/24, arrêt Digital Rights, point 39), la conservation des données
relatives au trafic et des données de localisation pourrait toutefois avoir une
incidence sur l’utilisation des moyens de communication électronique et, en 
conséquence, sur l’exercice par les utilisateurs de ces moyens de leur liberté 
d’expression, garantie à l’article 11 de la Charte. »

Cette décision est extrêmement positive. Elle renforce ce qui commence à 
devenir une position ferme de la CJUE concernant l'impact de la collecte 
systématique de données : la collecte de données est une forme de surveillance 
en tant que telle, avant même toute exploitation. En tant qu'outil de 
surveillance, la collecte de données doit être très strictement encadrée et 
utilisée uniquement lors de cas précis, ciblés, graves et proportionnés.

C'est un véritable camouflet pour les politiques de surveillances qui se 
multiplient au sein de l'Union européenne. Notamment pour la France, qui 
multiplie depuis des années les législations allant dans ce sens, et refuse de 
se sentir concernée par les signaux de plus en plus clairs envoyés par la plus 
haute juridiction européenne.

Cependant la décision de la CJUE laisse quelques points d'obscurité ou 
d'insécurité qu'il faudra préciser dans le cadre des nouvelles législations qui
ne manqueront pas de devoir être votées dans le futur, y compris en France : 

  * la CJUE demande un contrôle préalable par une autorité indépendante. La 
    Quadrature du Net et les organisations de défense des droits fondamentaux 
    ont toujours demandé à ce que ce contrôle soit effectué sous l'autorité 
    d'une justice indépendante. À défaut, et concernant les accès 
    administratifs aux données de connexion, il faudra donc veiller, au 
    minimum, à renforcer l'indépendance des membres des autorités de contrôle, 
    et en particulier de la CNCTR (notamment s'agissant de la qualité et du 
    processus de nomination des membres, du caractère contraignant des avis, du
    respect du principe de contradictoire et de l'article 6 de la CEDH, du 
    principe de notification aux personnes surveillées).
  * au delà de la question de la surveillance des citoyens par le biais de la 
    conservation des données de connexion, il faudra également se pencher sur 
    les pratiques de l'institution judiciaire, qui recourt de façon extrêmement
    massive à l'utilisation de ces données de connexion et de localisation, y 
    compris dans le cadre d'enquêtes n'appartenant pas au régime de criminalité
    grave ou du terrorisme1[6].

Plus généralement, cet arrêt de la CJUE va devoir poser les questions 
politiques indispensables à notre temps, après deux décennies de course à la 
surveillance via la conservation des données de connexion : comment 
reconstruire un système où l'équilibre des droits est respecté ? La plus haute 
juridiction européenne demande de stopper l'usage massif des données de 
connexion, y compris pour des motifs affichés de sécurité. Il y a donc de 
nouvelles méthodes à inventer, un nouvel équilibre à trouver, des choix 
politiques à faire sur la nécessité absolue du respect des droits fondamentaux,
y compris lors de périodes troublées où les décideurs politiques ont tôt fait 
de sacrifier ces droits fondamentaux au profit de politiques sécuritaires dont 
il n'a pas non plus été prouvé qu'elles étaient plus efficaces grâce à la 
surveillance. La Quadrature du Net espère que cette décision de la CJUE fera 
avancer le droit français dans le bon sens, et influera notamment sur les 
divers recours suivis par les Éxégètes amateurs devant les juridictions 
françaises et européennes : « Alors que nous avons vécu 15 ans pendant lesquels
l'invocation - souvent trompeuse - de la sécurité semblait suffire à justifier 
une érosion permanente de l'État de droit, jusqu'à permettre que tous soient 
surveillés partout et tout le temps, la Cour de Justice envoie aux États un 
rappel aux droits. Nous nous efforcerons par toutes nos actions - juridiques 
avec les Exégètes amateurs, comme politiques - de faire en sorte que nul ne 
l'oublie » déclare Philippe Aigrain, co-fondateur de La Quadrature du Net.

Lire également le communiqué de presse des Éxégètes amateurs[7]

  * 1.[8]Rapport de la délégation parlementaire au renseignement 2014, p. 77[9]
    qui donne le chiffre de 650 000 réquisitions en 2012 dont 35 000 
    interceptions judiciaires


Liens:
[1]: http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d2dc30d52719d5fbc6b54cd0a9bea76fe611b947.e34KaxiLc3qMb40Rch0SaxyKbx10?text=&docid=186492&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=570156 (lien)
[2]: http://curia.europa.eu/jcms/upload/docs/application/pdf/2014-04/cp140054fr.pdf (lien)
[3]: https://www.laquadrature.net/fr/retention-des-donnees-la-cjue-denonce-le-fichage-systematique-des-communications (lien)
[4]: https://exegetes.eu.org/ (lien)
[5]: https://exegetes.eu.org/dossiers/lpm.html (lien)
[6]: https://www.laquadrature.net/fr/rss.xml#footnote1_4zzktl7 (lien)
[7]: https://exegetes.eu.org/tele2/ (lien)
[8]: https://www.laquadrature.net/fr/rss.xml#footnoteref1_4zzktl7 (lien)
[9]: http://www.assemblee-nationale.fr/14/pdf/rap-off/i2482.pdf (lien)