La problématique de la conservation et de l’accès aux données de connexion est à nouveau au cœur des débats. En effet, les juridictions britannique, belge et française ont saisi la Cour de justice de l’Union européenne (dite « CJUE ») dans le cadre de renvois préjudiciels portant sur cette thématique. Si la CJUE ne s’est pas encore prononcée, les conclusions de l’avocat général ont été rendues dans chacune de ces affaires.
Les données de connexion : qu’est-ce que c’est ?
Pour mémoire, la notion de données de connexion est une notion qui, de manière générale, recouvre diverses typologies de données, telles que :
- les données relatives au trafic, pouvant être définies comme toutes les données traitées en vue de l’acheminement ou de la transmission d’une communication par un réseau de communications électroniques (ex : données concernant le routage, la durée, le moment ou le volume d’une communication, le protocole de référence, l’emplacement des équipements terminaux de l’expéditeur ou du destinataire, le réseau de départ ou d’arrivée de la communication, ou encore le début, la fin ou la durée d’une connexion, mais également le format dans lequel la communication a été acheminée par le réseau) ;
- les données de localisation, pouvant être définies comme toutes les données traitées dans un réseau de communications électroniques indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communications électroniques accessible au public (ex: la latitude, la longitude et l’altitude du lieu où se trouve l’équipement terminal de l’utilisateur, la direction du mouvement, l’identification de la cellule du réseau où se situe, à un moment donné, l’équipement terminal, ou encore le moment auquel l’information sur la localisation a été enregistrée) ;
- mais également toutes données de nature à permettre l’identification de quiconque a contribué à la création d’un contenu (données relatives à la connexion d’un abonné à internet, à la création d’un compte ou à la souscription d’un contrat en ligne, à la création d’un contenu sur internet,…).
Les données de connexion peuvent notamment permettre « de retrouver et d’identifier la source d’une communication et la destination de celle-ci, de déterminer la date, l’heure, la durée et le type d’une communication, le matériel de communication des utilisateurs, ainsi que de localiser le matériel de communication mobile […]. Ces données permettent, en particulier, de savoir quelle est la personne avec laquelle un abonné ou un utilisateur inscrit a communiqué et par quel moyen, tout comme de déterminer le temps de la communication ainsi que l’endroit à partir duquel celle-ci a eu lieu. En outre, elles permettent de connaître la fréquence des communications de l’abonné ou de l’utilisateur inscrit avec certaines personnes pendant une période donnée » (CJUE, C-203/15, 21 décembre 2016, Tele2 Sveridge AB).
En pratique, il peut par exemple s’agir d’identifiants de connexion (adresse IP, numéro IMSI,…), d’informations relatives à une opération / à une communication (nature, horodatage,…), de données de localisation (lieu où se trouve l’équipement terminal de l’utilisateur, direction du mouvement, …) ou encore d’éléments d’identification de l’auteur d’une opération (identité, coordonnées, …). Sont en revanche exclues les données relatives au contenu des communications.
La conservation des données de connexion : pourquoi est-ce sujet à débats ?
La question de la conservation généralisée des données de connexion est au cœur des préoccupations depuis quelques années.
Ainsi que l’a souligné le Groupe de travail de l’article 29 sur la protection des données (dit « G29 ») en 2010, « la simple disponibilité des données relatives au trafic […] permet de reconstituer divers éléments d’information à caractère personnel (y compris des informations sensibles) à partir du tableau général (par exemple, le profil comportemental d’un utilisateur) pouvant être déduit de ses interactions sociales. Ces informations peuvent être replacées dans un contexte spatial et temporel et classées de manière très précise à l’aide d’outils d’extraction des données exploitant toute la puissance informatique qu’offrent à l’heure actuelle les serveurs et les ordinateurs personnels ».
En effet, « ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci » (CJUE, C-293/12, 8 avril 2014, Digital Rights Ireland Ltd).
C’est pour cette raison par exemple que la directive dite « Vie privée et communications électroniques » interdit par principe aux opérateurs de communications électroniques, aux fournisseurs d’accès à internet et aux hébergeurs la conservation des données de trafic et de localisation, sauf exceptions (cf. Directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques).
Néanmoins, le droit français, pour des raisons tenant à la sécurité nationale, à la défense et à la sécurité publique mais également en vue de la prévention, la recherche, la détection et la poursuite d’infractions pénales, impose, dans certaines hypothèses et selon des modalités spécifiques (par exemple, art.L.34-1 du Code des postes et des communications électroniques, art.L.851-1 du Code de la sécurité intérieure ou encore article 6.II de la loi 2004-575 pour la confiance dans l’économie numérique), respectivement aux opérateurs de communications électroniques, aux fournisseurs d’accès à internet et aux hébergeurs de conserver de telles données de connexion pendant une durée limitée, étant précisé que chacun de ces prestataires techniques est soumis à un régime spécifique.
La conservation des données de connexion : comment y procéder dans le respect du droit européen ?
En raison des risques que présente la conservation des données de connexion pour les droits et libertés des personnes concernées, plusieurs associations ont demandé au Conseil d’Etat d’annuler certaines dispositions de droit français, soutenant que de telles dispositions étaient contraires aux droits et libertés fondamentaux consacrés en droit européen (notamment au droit au respect de la vie privée, au droit à un recours effectif ou encore à la liberté d’expression). Le Conseil d’Etat a alors saisi la CJUE de questions préjudicielles afin d’obtenir des précisions sur l’interprétation des textes européens applicables en la matière et sur la conformité ou non des dispositions du droit français imposant le recueil et la conservation des données de connexion avec le droit européen. Bien que l’affaire soit toujours « pendante » devant la CJUE, c’est-à-dire qu’elle n’a pas encore été jugée, les conclusions de l’avocat général ont été publiées. Elles ne lient certes pas les magistrats européens mais ont vocation à les orienter. Elles peuvent donc donner des éléments de réflexion quant à l’interprétation qui pourrait être retenue en définitive par la CJUE (Conclusions de l’avocat général présentées le 14 janvier 2020, C-511/18 et C-512/1821, La Quadrature du Net, French Data Network, Fédération des fournisseurs d’accès à Internet associatifs et Igwan.net).
En particulier, dans ses conclusions, l’avocat général rappelle et soutient la position de la CJUE en la matière aux termes de laquelle il convient de considérer qu’à la lumière de la charte des droits fondamentaux de l’Union européenne, le droit européen (cf. notamment la directive dite « Vie privée et communications électroniques » précitée) s’oppose à ce que les Etats membres imposent une durée de conservation généralisée et indifférenciée des données de connexion à des fins de lutte contre la criminalité (cf. réglementation concernant de manière généralisée tous les abonnés et utilisateurs, visant tous les moyens de communication électronique ainsi que l’ensemble des données et ne prévoyant aucune différenciation, limitation ou exception en fonction de l’objectif poursuivi), des garanties particulières devant en tout état de cause être prévues, notamment en matière de confidentialité (CJUE, C-203/15, 21 décembre 2016, Tele2 Sveridge AB).
Aussi, pour protéger les droits et libertés fondamentaux susceptibles d’être “malmenés” par le recueil et la conservation des données de connexion, l’avocat général recommande (i) de prévoir une conservation des données qui comporte certaines limites et différences en fonction de l’objectif poursuivi (cf. critères objectifs pour déterminer les données à conserver ou la typologie des personnes concernées) et (ii) de prévoir l’accès à ces données uniquement dans la mesure strictement nécessaire à la finalité poursuivie et sous le contrôle d’une juridiction ou d’une autorité administrative indépendante (cf. détermination de règles procédurales et matérielles spécifiques), les règles gouvernant l’accès aux données devant s’appliquer en toute hypothèse, y compris au recueil en temps réel des données relatives au trafic et des données de localisation de personnes spécifiques.
Il semble donc que, dans certains cas spécifiques, l’obligation de conservation de certaines données de connexion relatives à certaines personnes, en lien avec une menace grave (par exemple, une menace terroriste), pourrait être considérée comme respectueuse des droits et libertés fondamentaux en ce qu’il n’y aurait pas d’ingérence disproportionnée. En tout état de cause, si la conservation de données en tant que telle n’est pas interdite par principe, un contrôle de proportionnalité entre la conservation des données et l’ingérence qui en résulte pour les droits et libertés fondamentaux des personnes concernées doit impérativement être mené (CJUE, C-293/12, 8 avril 2014, Digital Rights Ireland Ltd).
Enfin, l’avocat général relève que le droit européen requiert que soit instauré un mécanisme d’information des personnes concernées s’agissant du traitement de leurs données à caractère personnel par les autorités pouvant accéder à leurs données de connexion, sauf à ce que cette information compromette une enquête en cours.
Dans deux autres affaires dont les conclusions ont été publiées le même jour, l’une au regard du droit belge (Conclusions de l’avocat général présentées le 14 janvier 2020, C-520/18, Ordre des barreaux francophones et germanophone) et l’autre au regard du droit britannique (Conclusion de l’avocat général présentées le 14 janvier 2020, C-623/17, Privacy International), l’avocat général reprend en substance son analyse en la matière présentée ci-dessus. Par ailleurs, il soulève qu’une « juridiction nationale peut, si le droit interne le permet, maintenir exceptionnellement et provisoirement » l’obligation de conservation des données de connexion « même si elle est incompatible avec le droit de l’Union, si ce maintien est justifié par des considérations impérieuses liées à des menaces pour la sécurité publique ou nationale auxquelles d’autres moyens ou solutions de substitution ne permettraient pas de parer. Ce maintien ne peut durer que le temps strictement nécessaire pour remédier à l’incompatibilité susvisée avec le droit de l’Union ».
* *
*
AGIL’IT ne manquera bien entendu pas de vous tenir informés des évolutions en la matière, en particulier s’agissant des décisions qui seront prochainement rendues par la CJUE dans les affaires susvisées et des éventuelles modifications des dispositions de droit français qui pourraient en résulter.
A toutes fins utiles, il est précisé qu’en dépit des décisions susvisées de la CJUE et des conclusions de l’avocat général qui s’inscrivent dans cette tendance, les dispositions de droit français remises en cause demeurent en principe applicables car en vigueur à date dans notre droit national et leur violation pourrait entraîner des sanctions. Aussi, cette situation peut être source d’incertitude et d’insécurité juridique dans la mesure où les juges français peuvent néanmoins interpréter le droit national à la lueur des textes dits “supérieurs” dans la hiérarchie des normes, en ce incluant le droit de l’Union européenne…
Par AGIL’IT – Pôle IT, Telecoms & Data protection
Laure LANDES-GRONOWSKI, Avocate associée
Marie MILIOTIS, Avocate