Données de connexion : la justice européenne rappelle les règles à l'Irlande... et à la France
La justice européenne s'est de nouveau penchée sur la question des données de connexion, rappelant à l'Irlande, mais aussi à la France, le cadre très strict qui doit entourer leur collecte et leur usage.
La justice européenne s’est de nouveau penchée sur la question des données de connexion, rappelant à l’Irlande, mais aussi à la France, le cadre très strict qui doit entourer leur collecte et leur usage.
La Cour de justice de l’UE (CJUE) a confirmé mardi (5 avril), s’il le fallait encore, que les États membres ne peuvent pas imposer, à titre préventif, la « conservation généralisée et indifférenciée des données relatives au trafic et à la localisation afférentes aux communications électroniques » quand bien même il s’agirait de lutter contre des « infractions graves ».
Ces données de connexion regroupent les identifiants, adresses IP, noms et adresses associées, listes des antennes téléphones utilisées, etc., que certains opérateurs nationaux de télécommunications sont tenus de conserver au regard de plusieurs régimes nationaux.
C’est la Cour suprême irlandaise qui, cette fois, a demandé aux juges européens des « éclaircissements ».
Elle a été saisie par Dublin après que Graham Dwyer, condamné en 2015 à la perpétuité pour meurtre, a remporté en 2018 un recours devant une cour irlandaise qui avait estimé que l’utilisation des données mobiles de l’accusé dans son procès avait enfreint la loi européenne.
La Cour européenne a ainsi rappelé à l’Irlande qu’elle ne s’opposait pas aux dérogations à l’interdiction de ce stockage prévues par la directive vie privée et communications électroniques lorsqu’il s’agit de lutter contre « la criminalité grave et de la prévention des menaces graves contre la sécurité publique » mais que « l’objectif de lutte contre la criminalité grave […] ne saurait à lui seul justifier » une telle atteinte au respect de la vie privée.
La Cour suprême du pays devra désormais rendre sa décision finale à la lumière de ces clarifications.
Dans son arrêt, la Cour européenne souligne sa « jurisprudence constante » sur le sujet. « Alors que l’on aurait pu s’attendre à ce que le débat soit tranché, la Cour ayant pris soin d’expliquer en détail, dans le cadre d’un dialogue avec les juridictions de renvoi, les raisons qui, malgré tout, étayent les thèses qui y sont exposées, il semble que cela ne soit pas le cas », s’agaçait même l’avocat général dans ses conclusions datées de novembre 2021.
La ministre irlandaise de la Justice Helen McEntee a « pris acte du jugement de la CJUE », a indiqué un porte-parole du ministère à l’AFP qui se réjouit que cet arrêt « va apporter de la clarté dans ce domaine important afin de connaître la législation nécessaire, et donc aider dans la plus grande mesure possible le travail de la [police irlandaise] pour combattre le crime et mener des enquêtes concluantes ».
Revers pour la France ?
Si cette décision apporte plus de « clarté » à l’Irlande, elle adresse, en creux, des critiques à la France, confirmant que le régime français ne résisterait peut-être pas à un nouveau recours devant les juridictions européennes, selon l’avocat Alexandre Archambault, spécialisé dans le droit du numérique.
En somme, il s’agit d’un énième appel à mettre fin aux « interprétations créatives » opérées par certains États membres, dont la France, explique-t-il à EURACTIV.
En avril 2021, saisi par plusieurs associations à propos de la conformité du régime français à la jurisprudence européenne, le Conseil d’État a voulu « concilier » le respect du droit du droit communautaire et les exigences du gouvernement français en matière de lutte contre le terrorisme et la criminalité, tandis que Paris suggérait aux juges que cette question n’était pas du ressort de Bruxelles.
Il avait alors estimé que la conservation généralisée des métadonnées en France était justifiée par la menace existante et continue qui plane sur la sécurité nationale du pays depuis plusieurs années et que cette mesure permet de garantir les exigences constitutionnelles nationales de prévention des atteintes à l’ordre public.
La plus haute juridiction administrative du pays avait, en revanche, sommé le gouvernement de réévaluer régulièrement cette menace pour justifier le régime en place et de conditionner l’exploitation de ces données par les services de renseignement à l’autorisation d’une autorité indépendante.
En somme, le Conseil d’État a validé la « pierre philosophale » française, selon les mots de Théodore Christakis, professeur de droit à l’Université Grenoble Alpes, qui consiste à légitimer l’utilisation des données de connexion dans la lutte contre les crimes graves au motif qu’elles ont été collectées dans une situation plus large de menace à la sécurité nationale.
Dans sa décision récente, la Cour de Luxembourg a jugé bon de souligner qu’elle rejetait « encore l’argumentation selon laquelle les autorités nationales compétentes devraient pouvoir accéder, aux fins de la lutte contre la criminalité grave, aux données […] qui ont été conservées […] pour faire face à une menace grave pour la sécurité nationale. »
« La France ne pourra pas faire l’économie » d’une réforme de son système, estime M. Archambault, qui est « loin encore de cocher toutes les cases » rappelées par la CJUE, à savoir la définition des finalités, de la gravité des infractions et la modulation des effets dans le temps.
