mardi 29 août 2017

Accord PNR UE-Canada : validation par la CJUE du système PNR, des modalités à revoir ! ( réflexions sur l’avis 1/15 de la CJUE, 26 juillet 2017)









La messe est dite ! Le très attendu avis 1/15 de la Cour de Justice de l’Union européenne relatif à l’accord PNR UE-Canada conclut enfin la très longue polémique suscitée par les accords PNR et la directive éponyme 2016/681 de l’UE du 27 avril 2016.
Après plusieurs arrêts historiques mettant au premier plan le droit fondamental à la protection des données (arrêts Digital Rights Ireland Ltd, C-293/12 & C-594/12, 8 avril 2014 et Schrems, C-362/14, 6 octobre 2015), la Cour de Justice, dans un contexte européen marqué par le terrorisme, a choisi la voie du juste milieu et valide ainsi le très controversé système PNR dans son principe – ce qui n’allait pas de soi – tout en censurant un certain nombre de ses modalités de mise en œuvre. C’est ainsi une décision équilibrée qu’elle rend aujourd’hui, dans la logique des conclusions de l’Avocat général Mengozzi (Conclusions du 8 septembre 2016, commentées ici-même). Dans la mesure où l’articulation de l’argumentation de la Cour ainsi que son contenu sont pour l’essentiel le reflet de ces conclusions, nous nous arrêterons ici sur quelques réflexions spécifiques sans souci d’exhaustivité, à savoir la validation du système PNR (I) et son encadrement par le juge (II).

mardi 27 juin 2017

Un coup de parapluie riche de conséquences : l’interdiction réitérée par le juge européen d’un fichage généralisé et indifférencié. Réflexions à propos de l’arrêt de la Cour EDH du 22 juin 2017, Ayçaguer c. France




Les faits à l’origine de l’affaire Ayçaguer c. France (Req. 8806/12) pourraient prêter à sourire s’ils ne révélaient pas un exemple de plus de législations sécuritaires qui érodent lentement mais sûrement les libertés individuelles. La Cour européenne des droits de l’homme (CEDH) qui en a été saisie en profite opportunément pour rappeler, avec constance et clarté, la place éminente qu’occupe le droit à la protection des données personnelles aujourd’hui. Elle formule ce faisant, de façon réitérée, l’interdiction d’un fichage généralisé et indifférencié des personnes, rappel plus que nécessaire semble t-il à l’heure où de nombreuses lois antiterroristes, notamment, mettent en danger partout en Europe ce nouveau droit fondamental.
Le requérant, Jean-Michel Ayçaguer, participait le 17 janvier 2008 à un rassemblement organisé dans les Pyrénées atlantiques, par un syndicat agricole basque. Dans un contexte politique difficile, une bousculade s’ensuivit entre manifestants et forces de l’ordre. Le requérant, lors d’une procédure de comparution immédiate le 13 mars 2008 devant le tribunal correctionnel de Bayonne, fut condamné à deux mois d’emprisonnement avec sursis pour avoir donné des coups de parapluie aux gendarmes, sans entraîner d’incapacité de travail chez ces derniers (qui n’ont même pas été identifiés), ce qui fut analysé comme violences sur personnes dépositaires de l’autorité publique avec usage ou menace d’une arme, en l’occurrence le susdit parapluie…Convoqué le 24 décembre 2008, à la demande du Parquet de Bayonne, afin d’effectuer un prélèvement ADN aux fins de conservation dans le fichier FNAEG, sur la base des articles 706-55 et 706-56 du code de procédure pénale (CPP), le requérant, refusant de se soumettre à ce prélèvement, fut alors convoqué puis condamné par le tribunal de grande instance de Bayonne le 27 octobre 2009 à une amende de cinq cents euros. Ce jugement fut confirmé par la Cour d’Appel de Pau le 3 février 2011 et le pourvoi en cassation du requérant rejeté le 3 septembre 2011. Le requérant a alors dénoncé devant la Cour EDH une atteinte à son droit au respect de la vie privée, garanti par l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, en raison de l’ordre reçu de se soumettre à un prélèvement biologique en vue de son inscription au FNAEG, son refus d’obtempérer lui ayant valu une condamnation pénale.
A l’heure où les nécessités sécuritaires, notamment de lutte contre le terrorisme, poussent les Etats européens à se doter d’arsenaux législatifs liberticides, s’appuyant pour bon nombre d’entre eux sur des fichages d’ampleur de délinquants, réels ou supposés, la Cour EDH vient rappeler une fois encore l’indispensable respect du droit fondamental à la protection des données à caractère personnel. Si cette dernière est nécessairement mise en balance avec les exigences de la sécurité publique, cet équilibre reste toutefois sous le contrôle du juge (I). Celui-ci réaffirme ainsi ici, et avec à propos, sa jurisprudence antérieure, interdisant le fichage généralisé et indifférencié (II).

Lire la suite 

mercredi 21 décembre 2016

Bis repetita...Les États membres ne peuvent pas imposer une obligation générale de conservation de données aux fournisseurs de services de communications électroniques



Réflexions à propos de l’arrêt de la CJUE, 21 décembre 2016, Tele2 Sverige AB (C‑203/15) et Secretary of State for the Home Department (C‑698/15)


 



L’arrêt, très attendu,  rendu ce jour par la Cour de Justice de l’UE est un véritable coup de tonnerre par rapport aux conclusions contraires de l’Avocat général Saugmandsgaard Øe, commentées ici-même.
Les affaires jointes C-203/15, Tele2Sverige AB/Post-och telestyrelsen et C-698/15, Secretary of State for Home Department/Tom Watson e.a., se présentent comme une nouvelle péripétie de l’historique arrêt Digital Rights Ireland Ltd (C-293/12  et C-594/12, 8 avril 2014), où la Cour de justice de l’UE avait procédé à l’annulation, intégrale et rétroactive, de la directive 2006/24/CE, « rétention des données de communications électroniques ».
La directive annulée dans l’affaire Digital Rights Ireland (DRI), on s’en souvient, organisait la rétention des données de connexion par les opérateurs de télécommunications ou les fournisseurs d’accès à internet, permettant ainsi aux autorités nationales de les utiliser dans le cadre de la lutte contre le terrorisme ou la criminalité grave. La Cour avait jugé la rétention de telles métadonnées comme constituant une ingérence particulièrement grave dans le respect des droits consacrés aux articles 7 (protection de la vie privée) et 8 (protection des données à caractère personnel) de la Charte des droits fondamentaux de l’UE. C’est l’absence de garanties entourant la mise en œuvre de la directive qui l’avait conduite à l’invalidation de cette dernière, suite au contrôle de proportionnalité de l’ingérence dans les droits fondamentaux des individus par rapport à la nécessité de celle-ci, dans une société démocratique, pour assurer le respect d’un objectif d’intérêt général (à savoir ici la lutte contre le terrorisme et la criminalité grave).
Les deux affaires tranchées aujourd’hui par la Cour portaient sur l’obligation générale imposée aux fournisseurs de services de télécommunications, en Suède et au Royaume-Uni, de conserver les données relatives aux communications électroniques. Saisie par voie préjudicielle par des juridictions d’appel suédoise et britannique, la CJUE était invitée à répondre à la question de savoir si les régimes nationaux qui imposent aux fournisseurs une obligation générale de conservation des données sont compatibles avec le droit de l’Union. Elle est par la même appelée à préciser  l’interprétation à apporter dans un contexte national à l’arrêt DRI.


lundi 24 octobre 2016

Le nouveau règlement général européen relatif à la protection des données à caractère personnel : un texte à la hauteur de ses ambitions








 

L’essor que connaissent les technologies de l’information et de la communication (les « TIC ») participe de la mondialisation, louée ou décriée c’est selon, définie comme le processus d’intégration des marchés et de rapprochement des hommes à l’échelle du globe. Face au développement de l’internet et de ses divers usages, commerciaux ou sociaux, le législateur européen avait déjà en 1995 saisi la problématique et les enjeux des données à caractère personnel. La donnée personnelle est en effet devenue l’élément économique de base de l’univers numérique, disponible de façon instantanée et planétaire grâce aux progrès technologiques. Mais l’usage commercial, voire le mésusage, qui en a été fait par les grandes sociétés de l’internet (Google, Facebook etc.), sans compter la complicité active de ces dernières quant à la captation massive de données personnelles de citoyens européens par les services de renseignement américains, véritable scandale planétaire révélé par Edward Snowden en 2013, ont peu à peu fait prendre conscience à tout un chacun du danger que la circulation sans entraves de données personnelles peut faire courir au respect de la vie privée. 

Les motifs de la première grande législation européenne en matière de données à caractère personnel sont tout entiers dans ces constats. Ainsi, la directive 95/46/CE du 24 octobre 1995[1] avait-elle pour ambition d’appréhender la donnée à caractère personnel sous ses deux angles : en tant qu’élément indispensable au développement du grand marché intérieur dans son volet numérique, et en tant que droit fondamental qu’il convient de protéger, afin d’assurer la confiance des utilisateurs envers l’économie numérique, dont la croissance n’en était alors qu’à ses prémices. 

Mais moins de vingt ans après son adoption, les évolutions aussi bien techniques que juridiques intervenues sont venues bouleverser la pertinence de ce grand texte européen, d’autant que la pratique a révélé des divergences au sein des Etats membres de l’Union européenne (UE) quant à la transposition de la directive, aboutissant à un paysage juridique relativement fragmenté et une dysharmonie dans l’application du droit communautaire. Les évolutions technologiques sont celles qui ont permis l’émergence de nouvelles pratiques, insoupçonnées en 1995, comme le cloud computing, l’internet des objets, le big data etc., qui interrogent sur la question de la protection des données. Quant à l’évolution juridique majeure en la matière, il s’agit de la promotion de la protection des données à caractère personnel, érigée en véritable droit fondamental par l’article 8 de la Charte des droits fondamentaux de l’UE (la Charte), désormais pleinement inscrite dans le droit positif depuis le Traité de Lisbonne. 

Les nouvelles opportunités dans l’utilisation des données à caractère personnel, assorties de nouvelles et fortes contraintes quant à leur protection, ont dès lors suscité un souci d’actualisation du texte fondateur. C’est pourquoi la Commission a présenté le 25 janvier 2012 un « paquet législatif »[2], composé d’une proposition de règlement afin de remplacer la directive, ainsi que d’une proposition de directive appelée à se substituer au texte spécifique existant (décision-cadre 2008/977/JAI[3]) dans le cadre de l’Espace de Liberté, de Sécurité et de Justice (ELSJ) de l’UE[4].
Ces textes, après quatre années d’un processus législatif ayant suscité un lobbying inégalé et d’âpres discussions entre Conseil et Parlement européen, viennent enfin d’être adoptés en avril dernier, et publiés au Journal officiel de l’UE[5].

Le nouveau texte remplaçant la directive de 1995, qui ne sera pleinement applicable qu’en 2018, témoigne d’abord, de par le choix de la norme juridique qu’est le règlement, de la volonté du législateur européen de poser un corpus de règles en la matière s’appliquant à l’avenir de façon totalement harmonisée et contraignante. Il s’est attaché, ensuite, à opérer une actualisation des règles existantes, selon une approche « technologiquement neutre », assurant l’efficacité des règles nouvelles sans entraver le développement technologique, condition indispensable à la croissance de l’économie numérique et ainsi du marché intérieur dans son volet numérique. Il constitue, enfin, et surtout, une remarquable avancée en matière de garantie du droit à la protection des données à caractère personnel, désormais fondamental grâce à la Charte. En effet, ce sont des droits renforcés (pour les personnes) et des obligations étendues (pour les responsables de traitement de données) qui sont inscrits dans ce texte (I), appelé à durer au moins une génération d’utilisateurs des outils numériques. Ces nouveaux droits et obligations sont par ailleurs assortis de contrôles plus performants (II), grâce notamment aux importants pouvoirs de sanction dont seront dotées les diverses autorités de protection des données.   

Pour lire la suite : Revue des Affaires Européennes : RAE 2016/1


[1] Directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOCE L 281, 23/11/1995, p. 31.
[2] Voir COM(2012) 11 final pour la proposition de règlement, et COM(2012) 10 final pour la proposition de directive.  Voir par exemple notre commentaire : « Un nouveau cadre juridique général pour la protection des données au sein de l’U.E. : une réforme législative ambitieuse »,  Revue des Affaires Européennes 2012/1, pp.149-162.
[3] Décision-cadre 2008/977/JAI du 27 novembre 2008, relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, JO L 350/60 du 30/12/2008.
[4] La directive de 1995 ne s’appliquait pas en effet par définition dans les domaines de l’ex troisième pilier de l’UE, aujourd’hui ELSJ.
[5] Règlement 2016/79 du Parlement européen et du Conseil du 27 avril 2016, JOUE L 119/1, 4 mai 2016.