Les services de renseignements, grands gagnants d’un arrêté sur la collecte des données personnelles en Europe?

Dans un récent arrêté, la Cour de justice de l’Union européenne confirme son opposition à la collecte indiscriminée des données personnelles. Toutefois, la CJUE autorise au nom de la sécurité nationale le recours à la collecte et à l’analyse automatisée des données des citoyens par les services de renseignements. Avec assez de garde-fous?
Sputnik

Une «défaite victorieuse», tel est le qualificatif employé par l’association la Quadrature du Net concernant deux arrêts rendus le 6 octobre par la Cour de justice de l’Union européenne (CJUE).

​Confirmant une première jurisprudence en 2016, via l’arrêt baptisé «Tele2», les juges suprêmes ont estimé que la collecte et la conservation «généralisée et indifférenciée» des données de connexion auprès des opérateurs étaient contraires aux textes européens. Ainsi, les obligations imposées législativement par certains États aux fournisseurs d’accès Internet et opérateurs téléphoniques vont, selon les magistrats, à l’encontre de la directive vie privée et communications électroniques de 2002 et constituent à leurs yeux des «ingérences particulièrement graves dans les droits fondamentaux» garantis par la Charte des droits fondamentaux de l’Union européenne. Toutefois, gare aux interprétations hâtives:

«Le juge n’a pas complètement interdit l’utilisation de ces données, loin de là, elle est en revanche beaucoup plus placée sous le contrôle d’une autorité, d’un juge», nuance auprès de Sputnik l’avocat d’affaires Olivier de Maison Rouge, prenant le contrepied d’une partie de la presse.

En effet, si la CJUE va dans le sens de la Quadrature du Net sur la durée de conservation des données et leur recueil indiscriminé, «pour des raisons de danger grave et de sécurité publique évidentes, elle a néanmoins laissé la faculté aux services de renseignement de procéder à la collecte de ces données, tout en limitant la durée de conservation», souligne l’avocat.

Un arrêté qui «conduira inévitablement à des abus»?

Big data: en renouvelant son contrat avec Palantir, la DGSI «lance un cri d’alarme»
Dans son communiqué de presse, la Cour souligne qu’elle «ne s’oppose pas à des mesures législatives permettant le recours à une conservation ciblée, temporellement limitée au strict nécessaire» des données de connexion. Ainsi, «dans des situations où l’État membre concerné fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible», la fameuse directive, lue à la lumière de la Charte, «ne s’oppose pas au fait d’enjoindre aux fournisseurs de services de communications électroniques de conserver de manière généralisée et indifférenciée des données relatives au trafic et à la localisation», estiment les juges.

Une injonction possible, pour une «période temporellement limitée au strict nécessaire», sous réserve qu’elle fasse l’objet d’un «contrôle effectif, soit par une juridiction, soit par une entité administrative indépendante».

La Cour «laisse une certaine latitude» aux États-membres en matière de délimitation du temps de conservation et d’exploitation des données, synthétise Me de Maison Rouge.

Des dérogations, qui sont loin de plaire à la Quadrature du Net, qui avait saisi la CJUE, estimant que «cette décision est une défaite au sens où ces exceptions réduisent la protection de la vie privée et conduiront inévitablement à des abus», estime l’association dans son communiqué de presse.

«Cela permet de clarifier, cela ne va pas bousculer la législation applicable en la matière» juge pour sa part l’avocat qui estime que l’Union européenne est «en train de stabiliser davantage et d’affiner sa doctrine» par cet arrêté.

Ce dernier évoque notamment les deux textes de loi de juillet et novembre 2015, qui encadrent les agissements des services de renseignement français en la matière, le premier ayant d’ailleurs fait l’objet d’un retoquage du Conseil constitutionnel:

«Précisément sur les questions de renseignement électronique [...] Ce n’est pas que l’accès aux données qui pose véritablement problème, c’est leur analyse et les outils d’analyse: on n’en dispose pas de manière souveraine» précise l’homme de loi.

Pour l’heure en effet, l’analyse du «Big data» en France par les services de renseignement repose sur l’emploi de solutions développées par Palantir, société américaine réputée pour collaborer étroitement avec la CIA.

Le flou des garde-fous

Droit à l’oubli: comment l’Union européenne a capitulé à moitié devant Google
Revenant à l’arrêté de la CJUE, l’avocat fait le distinguo entre deux pratiques: celle de l’analyse en temps réel des données et celle de la collecte et du stockage de ces mêmes données à des fins d’analyse ultérieure. Deux points sur lesquels les juges européens lâchent la bride aux États membres.

Si, d’une part, les juges ne s’opposent pas à une «réglementation nationale imposant aux fournisseurs de communications électroniques de recourir au recueil en temps réel, notamment des données relatives au trafic et à la localisation» de personnes pour lesquelles «il existe une raison valable» de soupçonner qu’elles sont impliquées dans des activités terroristes, d’autre part,

«la Cour autorise l’analyse automatisée des données, notamment celles relatives au trafic et à la localisation de l’ensemble des utilisateurs de moyens de communications électroniques», note la CJUE.

Une autorisation accordée, là encore, dans la mesure où des contrôles ont été mis en place et qu’une conservation «temporellement limitée au strict nécessaire» de ces données est de vigueur. Une notion suffisamment floue pour ne pas lever toutes les inquiétudes.

Discuter