Recevez chaque jour toute l'actualité du numérique

x

L'Europe réaffirme l'interdiction de la conservation généralisée des données dans une affaire de meurtre

La CJUE rappelle dans un arrêt qu'une législation nationale autorisant la conservation généralisée et indifférenciée des données est contraire au droit européen. Cette affaire oppose l'Irlande à Graham Dwyer, condamné pour le meurtre d'une femme. 
Twitter Facebook Linkedin Flipboard Email
×

L'Europe réaffirme l'interdiction de la conservation généralisée des données dans une affaire de meurtre
L'Europe réaffirme l'interdiction de la conservation généralisée des données dans une affaire de meurtre © DGSI (Linkedin)

La Cour de justice de l'Union européenne (CJUE)  a rendu ce 5 avril une nouvelle décision dans laquelle elle réaffirme fermement l'interdiction de la conservation généralisée et indifférenciée des données.

Utilisation des données de localisation
La procédure concernait une affaire de meurtre dans laquelle Graham Dwyer a été condamné à une peine de réclusion à perpétuité pour le meurtre d'Elaine O'Hara en Irlande.

Pour contester sa condamnation, il avait déposé plusieurs recours arguant que les forces de l'ordre avaient illégalement utilisé comme preuve des données relatives au trafic et des données de localisation afférentes à des appels téléphoniques. En décembre 2018, la Haute Cour d'Irlande a validé cette argumentation. L'Irlande a interjeté appel devant la Cour suprême qui, ne sachant pas trancher, à envoyer une question préjudicielle à la CJUE.

Dans sa décision, la grande chambre – sa formation la plus solennelle – rappelle sa jurisprudence constante qui s'oppose à "une législation nationale prévoyant une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation à des fins de lutte contre la criminalité grave". Elle précise que "la criminalité particulièrement grave" ne peut pas être assimilée à "une menace pour la sécurité nationale" car elle se distingue par "sa gravité et le caractère spécifique des circonstances qui la constituent".

Dans certains cas, il est possible de conserver les données
En revanche, la Cour ne s'oppose pas à des lois nationales prévoyant une conservation ciblée des données relatives au trafic et des données de localisation en fonction de catégories de personnes concernées ou au moyen d’un critère géographique. Le même sort est réservé aux données concernant les adresses IP attribuées à la source d’une connexion, celles relatives à l’identité civile des utilisateurs de moyens de communications électroniques, au trafic et à la localisation.

Des conditions bien précises doivent être respectées dans ces cas-là. Les juges réaffirment par exemple l'exigence d'un contrôle préalable indépendant. La Cour renvoie la problématique de l'admissibilité des preuves recueillies aux Etats "sous réserve du respect notamment des principes d'équivalence et d'effectivité".

L'histoire houleuse de la conservation des données
L'histoire de la conservation des données de connexion a fait l'objet de nombreux rebondissements. Depuis 2014, date de la première décision, le juge européen a petit à petit restreint le champ de conservation des métadonnées au nom de la protection de la vie privée.

L'un des derniers arrêts date du 6 octobre 2020. La Cour de justice de l'Union européenne a déclaré le droit européen s'opposait à une réglementation nationale imposant à un fournisseur de services de communications électroniques "la transmission ou la conservation généralisée et indifférenciée" des données de trafic et de localisation.

Elle précisait néanmoins que dans le cas d'une "menace grave pour la sécurité nationale" ou "d'activités de terrorisme", les Etats pouvaient enjoindre les opérateurs de conserver les données de connexion de manière généralisée et indifférenciée. Il posait néanmoins deux conditions, de temps et procédurale, à cette conservation exceptionnelle.

Mais le gouvernement français a longtemps refusé de se plier à ces règles. En mars 2021, il a remis au Conseil d'Etat un mémoire lui demandant de contourner les arrêts de la Cour de justice car ils seraient contraires à "l'identité constitutionnelle française". Problème : le droit européen prévaut sur le droit français dans la hiérarchie des normes. Autrement dit, la France a l'obligation de se plier, en modifiant sa législation par exemple, aux exigences de la jurisprudence européenne même si elle n'est pas d'accord.

La France modifie sa législation
C'est le Conseil d'Etat qui a partiellement mis fin à cette saga dans une décision rendue le 21 avril 2021. Il a jugé que la conservation généralisée des données est justifiée par la menace existante pour la sécurité nationale. En revanche, en dehors de ce cas, cette obligation n'est plus justifiée. Le gouvernement avait six mois pour modifier sa loi. C'est chose faite avec le nouvel article L.34-1 du code des postes et des communications électroniques.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.