Informatique

Conservation des données de connexion : la justice

La Cour de justice de l’Union européenne (CJUE) a rendu un nouvel arrêt concernant la conservation des métadonnées de connexion. Derrière ce terme, on retrouve l’ensemble des données relatives aux activités en ligne des internautes : liste des appels et des messages échangés sur un téléphone, géolocalisation, adresses IP, liste des sites internet consultés, etc.

La Cour de justice de l’Union européenne était appelée à se prononcer sur ce point dans le cadre d’une affaire d’assassinat en Irlande. Un homme condamné pour le meurtre d’une femme en 2015 avait ainsi contesté la manière dont les données de connexions avaient été utilisées contre lui dans cette affaire, et les autorités judiciaires avaient renvoyé la question devant la Cour de justice européenne pour avoir son opinion sur le sujet.

L’arrêt de la CJUE a donc tranché et affirme que, conformément à une décision antérieure de 2020, la conservation généralisée et indifférenciée des données de connexion à des fins de lutte contre la criminalité grave est opposée au droit de l’Union européenne.

La CJUE s’oppose aux mesures préventives de conservation des données

Pour la Cour de justice européenne, en effet, le droit européen n’autorise ce type de conservation des données que pour les cas relevant de la sécurité nationale du pays. Les autorités judiciaires irlandaises estimaient que la lutte contre la criminalité grave pouvait être assimilée à une menace pour la sécurité nationale, mais la CJUE n’a pas retenu cet argument.

La Cour rappelle ainsi sa jurisprudence constante en la matière et « s’oppose à des mesures législatives nationales prévoyant, à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et à la localisation afférents aux communications électroniques, aux fins de la lutte contre les infractions graves ».

Ce n’est pas la première fois que la CJUE s’exprime sur le sujet : la justice européenne a publié depuis 2014 plusieurs arrêts, qu’elle rappelle dans sa dernière décision et qui défendent tous le principe d’une interdiction de conservation généralisée des données.

Des exceptions à ce principe sont néanmoins rappelées par la Cour : une conservation ciblée sur une catégorie de personne ou dans une aire géographique définie, la conservation des adresses IP liée à la source d’une connexion, ou encore une « conservation rapide » déployée « dès le premier stade d’une enquête portant sur une menace grave pour la sécurité publique ou sur un éventuel acte de criminalité grave » et visant les suspects.

Décision irlandaise, embarras français

En France, la question est épineuse. Depuis 2014, des associations parmi lesquelles French Data Network et la Quadrature du Net contestent les dispositions légales qui forcent les opérateurs et fournisseurs d’accès à internet à conserver les métadonnées de connexion de leurs utilisateurs pendant une période d’au moins un an. Ces données ne sont pas uniquement accessibles aux autorités dans les affaires ayant trait à la sécurité nationale, mais également aux autorités judiciaires dans le cadre d’une enquête pénale.

Cette possibilité a été mise en place suite à un arrêt du Conseil d’Etat d’avril 2021, qui posait le principe que « la conservation généralisée des données est aujourd’hui justifiée par la menace existante pour la sécurité nationale » et que « la possibilité d’accéder à ces données pour la lutte contre la criminalité grave permet, à ce jour, de garantir les exigences constitutionnelles de prévention des atteintes à l’ordre public et de recherche des auteurs d’infractions pénales ».

Comme le relèvent sur Twitter l’avocat Alexandre Archambault et l’officier de gendarmerie Matthieu Audibert, cette nouvelle décision de la CJUE vient « remettre en cause la position d’équilibre du Conseil d’Etat », cette solution étant « désavouée » par la décision de la CJUE. Outre la question de la finalité, la CJUE rappelle également que l’accès à ces données de connexion doit également « être subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante, la décision de cette juridiction ou de cette entité devant intervenir à la suite d’une demande motivée de ces autorités ». Là aussi, cette mention fait écho au cas français : en France, dans les enquêtes pénales, c’est le juge d’instruction seul qui formule les demandes d’accès aux données de connexion sans que ces demandes ne soient contrôlées par un tiers.

La portée de cet arrêt dépasse donc les seules frontières irlandaises, et vient donner du grain à moudre aux associations qui contestent la position française en matière de conservation des métadonnées de connexion.




Source link

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page