Encore plus de grèves contre la conservation générale et aveugle des données dans l’UE : le plus haut tribunal du bloc a rendu aujourd’hui quelques décisions sur des affaires jointes – l’une liée à une loi allemande sur la conservation des données de télécommunications qui avait été contestée par Deutsche Telekom et le FAI SpaceNet ; et une autre conclusion à redire sur la conservation générale des données de télécommunications par l’État français, qui avait été contestée après avoir été utilisée par un régulateur des services financiers dans une affaire de délit d’initié.
« La Cour de justice confirme que le droit de l’UE exclut la conservation générale et indiscriminée des données de trafic et de localisation, sauf en cas de menace grave pour la sécurité nationale », écrit la Cour dans un communiqué de presse sur son arrêt sur le renvoi de l’affaire allemande – qui constate que la loi nationale sur la conservation des données porte gravement atteinte aux droits fondamentaux des personnes dont les données sont conservées, confirmant sa jurisprudence antérieure.
« La conservation généralisée et indiscriminée des données de trafic par les opérateurs fournissant des services de communications électroniques pendant un an à compter de leur enregistrement n’est pas autorisée, à titre préventif, aux fins de la lutte contre les délits d’abus de marché dont le délit d’initié », a déclaré la CJUE. écrit dans un second communiqué, sur la saisine française.
Sa décision confirme également la jurisprudence existante qui signifie essentiellement que les États membres de l’UE ne peuvent pas (ou, eh bien, ne devraient pas) déployer des solutions de contournement créatives pour (essayer d’éviter) une déclaration de la CJUE selon laquelle une loi nationale exigeant la conservation générale et aveugle des données de télécommunications n’est pas valide en vertu du droit de l’UE.
Nous sommes déjà venus ici plusieurs fois – donc le déjà-vu est réel. Mais il en va de même pour l’appétit des États membres de l’UE pour saisir et conserver des données à des fins de « lutte contre la criminalité » de grande envergure, bien que la collecte en masse aveugle soit manifestement incompatible avec les lois fondamentales de l’UE en matière de droits de l’homme. Ainsi, les contestations judiciaires et les arrêts de la CJUE continuent d’affluer.
Pourquoi les tribunaux nationaux continuent de renvoyer des questions à la CJUE alors qu’il existe une jurisprudence abondante sur l’incompatibilité de la conservation générale et aveugle des données avec le droit de l’UE – cependant, la stratégie sous-jacente (des États membres) ressemble à une guerre d’usure, les législateurs nationaux prenant chacun La CJUE frappe comme une opportunité de se regrouper et de redoubler d’efforts avec une nouvelle loi sur la collecte en vrac, à la manière d’un bélier, dans l’espoir d’exploiter les failles de la protection juridique contre la rétention générale.
Et ces fissures peuvent s’élargir.
Plus tôt cette année, la CJUE a affiné ses orientations concernant les exceptions ciblées – lorsqu’elle a déclaré qu’il pourrait être permis de collecter des preuves numériques en masse pour lutter contre la criminalité grave, par exemple en ciblant des lieux à forte criminalité ou à grand nombre de visiteurs. (tels que les aéroports) ou d’autres emplacements qui hébergent des infrastructures critiques.
Sa décision d’aujourd’hui sur la saisine allemande réitère une liste croissante d’exceptions pour lesquelles la Cour a déclaré qu’une législation sur la conservation massive de données peut être autorisée – dans des contextes et des circonstances spécifiques (par exemple, des menaces graves pour la sécurité nationale) – et avec un examen approprié (par exemple, par un tribunal) — et tant qu’il y a un certain ciblage impliqué (par exemple, vers un emplacement géographique spécifique) et/ou d’autres limites (par exemple, une période de temps).
Cela inclut une exception pour « la conservation générale et indiscriminée des adresses IP attribuées à la source d’une connexion Internet pendant une période limitée dans le temps au strict nécessaire » – ce qui est une allocation assez généreuse, compte tenu de la quantité de données personnelles remonter à une adresse IP et à quel point une chronologie de stricte nécessité peut être malléable, en fonction de l’objectif déclaré.
Ainsi, le fait que les régimes nationaux de conservation des données ne parviennent toujours pas à se situer dans ces limites suggère qu’il y a beaucoup de législation de mauvaise foi en cours.
Dans l’arrêt de la CJUE contre la loi allemande, le tribunal s’est opposé à ce qu’il établisse ce que le communiqué de presse décrit comme des exigences de conservation « d’un ensemble très large de données de trafic et de localisation » – conservées pendant 10 semaines et quatre semaines respectivement – qu’il prévient « peut permettent de tirer des conclusions très précises concernant la vie privée des personnes dont les données sont conservées, telles que les habitudes de vie quotidienne, les lieux de résidence permanents ou temporaires, les déplacements quotidiens ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux qu’ils fréquentent et permettent notamment d’établir un profil de ces personnes.
Les défenseurs des droits numériques exhortent la Commission européenne à ne pas ignorer une nouvelle grève de la CJUE contre la conservation excessive des données – après qu’un document divulgué obtenu par le blog en langue allemande netzpolitik l’année dernière a suggéré que l’exécutif de l’UE envisage plusieurs voies à suivre en matière de conservation des données, ce qui comprend, potentiellement , proposant une nouvelle loi européenne sur la conservation des données.
Ce dernier risquerait d’être un pari cynique pour lancer la boîte sur la route en invitant une autre série de longues saisines de la CJUE. La dernière directive de l’UE sur la conservation des données a été déposée par la Cour il y a près d’une décennie – alias la décision Digital Rights Ireland de 2014 – et tout ce qui est proposé par l’UE qui tente de légiférer pour une conservation des données plus large qui a été autorisée dans le cadre limité et exceptionnel circonstances que la CJUE a déclarées possibles seraient mises en place pour un échec futur.
Mais peut-être que les tentatives répétées de la Commission de redémarrer les transferts de données entre l’UE et les États-Unis malgré les multiples arrêts de la CJUE depuis 2015 (voir : Safe Harbor, Privacy Shield) lui fournissent également un modèle pour ignorer la volonté de la Cour en matière de conservation des données.
Dans une déclaration faisant suite aux décisions d’aujourd’hui de la CJUE, l’eurodéputé Patrick Breyer, du Parti pirate allemand, exhorte le bloc à tracer une voie alternative, en écrivant : « Le jugement d’aujourd’hui ne décrit que les limites les plus extrêmes de ce qui est légalement possible et ne doit pas être considéré comme un Manuel d’instructions. J’avertis la Commission européenne de ne pas ignorer le manque d’efficacité et les effets néfastes de la conservation générale des données sur la société en faisant une nouvelle proposition visant à placer 450 millions de citoyens européens sous suspicion générale ! Au lieu de cela, nous devons nous concentrer sur la préservation des traces numériques des suspects rapidement et au-delà des frontières (gel rapide). »