La justice européenne interdit d’imposer aux opérateurs la conservation « généralisée » des données
La justice européenne interdit d’imposer aux opérateurs la conservation « généralisée » des données
La Cour de justice de l’Union européenne estime que les Etats ne peuvent pas imposer de « conservation généralisée et indifférenciée des données ». Elle autorise néanmoins une conservation « ciblée ».
Les Etats peuvent-ils imposer aux opérateurs de télécommunications, comme les fournisseurs d’accès à Internet, de conserver les données de connexion des utilisateurs ? Non, a répondu mercredi 21 décembre la Cour de justice de l’Union européenne (CJUE) dans un arrêt. En tout cas pas sans certaines conditions.
Le débat dure depuis plusieurs années. En 2014, la même cour avait invalidé une directive du Parlement européen qui imposait aux opérateurs d’archiver certaines données : elle avait été jugée disproportionnée et trop intrusive.
Dans la foulée, l’opérateur Tele2 Sverige avait fait savoir aux autorités suédoises qu’il cesserait de conserver les données de ses utilisateurs, comme elle le demandait ; l’affaire avait été envoyée à la Cour de justice de l’Union européenne. La Cour a été également saisie sur le sujet après le recours de trois parlementaires britanniques.
C’est à ces deux demandes qu’a répondu mercredi la juridiction, contre l’avis de l’avocat général, qui avait estimé en juillet qu’une « obligation générale de conservation de données imposée par un Etat membre aux fournisseurs de services de communication électroniques peut être compatible avec le droit de l’Union ».
La conservation « ciblée » autorisée
Pour la CJUE, « les Etats membres ne peuvent pas imposer une obligation générale de conservation de données aux fournisseurs de services de communications électroniques », a-t-elle indiqué dans un communiqué. Cette décision concerne « une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation », jugée « particulièrement grave ».
Mais la Cour précise que les Etats membres peuvent demander « une conservation ciblée de ces données », dans un seul but : « lutter contre la criminalité grave ». Cette conservation doit être « limitée au strict nécessaire ». Elle précise :
« Une telle réglementation doit être fondée sur des éléments objectifs permettant de viser les personnes dont les données sont susceptibles de présenter un lien avec des actes de criminalité grave, de contribuer à la lutte contre la criminalité grave ou de prévenir un risque grave pour la sécurité publique. »
L’institution souligne également que l’accès à ces données doit être, « sauf en cas d’urgence, subordonné à un contrôle préalable effectué par une juridiction ou une entité indépendante ».
Cette décision de la Cour risque d’obliger certains pays à revoir leurs règles, comme le Royaume-Uni, dont la nouvelle loi sur le renseignement très controversée impose aux opérateurs de conserver un an l’historique de navigation des internautes. En France, les fournisseurs d’accès à Internet doivent conserver douze mois les métadonnées des utilisateurs.