Bis repetita...Les États membres ne peuvent pas imposer une obligation générale de conservation de données aux fournisseurs de services de communications électroniques

Réflexions à propos de l’arrêt de la CJUE, 21 décembre 2016, Tele2 Sverige AB (C‑203/15) et Secretary of State for the Home Department (C‑698/15)

 

Crédit photo

L’arrêt, très attendu,  rendu ce jour par la Cour de Justice de l’UE est un véritable coup de tonnerre par rapport aux conclusions contraires de l’Avocat général Saugmandsgaard Øe, commentées ici-même.

Les affaires jointes C-203/15, Tele2Sverige AB/Post-och telestyrelsen et C-698/15, Secretary of State for Home Department/Tom Watson e.a., se présentent comme une nouvelle péripétie de l’historique arrêt Digital Rights Ireland Ltd (C-293/12  et C-594/12, 8 avril 2014), où la Cour de justice de l’UE avait procédé à l’annulation, intégrale et rétroactive, de la directive 2006/24/CE, « rétention des données de communications électroniques ».

La directive annulée dans l’affaire Digital Rights Ireland (DRI), on s’en souvient, organisait la rétention des données de connexion par les opérateurs de télécommunications ou les fournisseurs d’accès à internet, permettant ainsi aux autorités nationales de les utiliser dans le cadre de la lutte contre le terrorisme ou la criminalité grave. La Cour avait jugé la rétention de telles métadonnées comme constituant une ingérence particulièrement grave dans le respect des droits consacrés aux articles 7 (protection de la vie privée) et 8 (protection des données à caractère personnel) de la Charte des droits fondamentaux de l’UE. C’est l’absence de garanties entourant la mise en œuvre de la directive qui l’avait conduite à l’invalidation de cette dernière, suite au contrôle de proportionnalité de l’ingérence dans les droits fondamentaux des individus par rapport à la nécessité de celle-ci, dans une société démocratique, pour assurer le respect d’un objectif d’intérêt général (à savoir ici la lutte contre le terrorisme et la criminalité grave).

Les deux affaires tranchées aujourd’hui par la Cour portaient sur l’obligation générale imposée aux fournisseurs de services de télécommunications, en Suède et au Royaume-Uni, de conserver les données relatives aux communications électroniques. Saisie par voie préjudicielle par des juridictions d’appel suédoise et britannique, la CJUE était invitée à répondre à la question de savoir si les régimes nationaux qui imposent aux fournisseurs une obligation générale de conservation des données sont compatibles avec le droit de l’Union. Elle est par la même appelée à préciser  l’interprétation à apporter dans un contexte national à l’arrêt DRI.

 Lire la suite

Le nouveau règlement général européen relatif à la protection des données à caractère personnel : un texte à la hauteur de ses ambitions

 

L’essor que connaissent les technologies de l’information et de la communication (les « TIC ») participe de la mondialisation, louée ou décriée c’est selon, définie comme le processus d’intégration des marchés et de rapprochement des hommes à l’échelle du globe. Face au développement de l’internet et de ses divers usages, commerciaux ou sociaux, le législateur européen avait déjà en 1995 saisi la problématique et les enjeux des données à caractère personnel. La donnée personnelle est en effet devenue l’élément économique de base de l’univers numérique, disponible de façon instantanée et planétaire grâce aux progrès technologiques. Mais l’usage commercial, voire le mésusage, qui en a été fait par les grandes sociétés de l’internet (Google, Facebook etc.), sans compter la complicité active de ces dernières quant à la captation massive de données personnelles de citoyens européens par les services de renseignement américains, véritable scandale planétaire révélé par Edward Snowden en 2013, ont peu à peu fait prendre conscience à tout un chacun du danger que la circulation sans entraves de données personnelles peut faire courir au respect de la vie privée. 

Les motifs de la première grande législation européenne en matière de données à caractère personnel sont tout entiers dans ces constats. Ainsi, la directive 95/46/CE du 24 octobre 1995[1] avait-elle pour ambition d’appréhender la donnée à caractère personnel sous ses deux angles : en tant qu’élément indispensable au développement du grand marché intérieur dans son volet numérique, et en tant que droit fondamental qu’il convient de protéger, afin d’assurer la confiance des utilisateurs envers l’économie numérique, dont la croissance n’en était alors qu’à ses prémices. 

Mais moins de vingt ans après son adoption, les évolutions aussi bien techniques que juridiques intervenues sont venues bouleverser la pertinence de ce grand texte européen, d’autant que la pratique a révélé des divergences au sein des Etats membres de l’Union européenne (UE) quant à la transposition de la directive, aboutissant à un paysage juridique relativement fragmenté et une dysharmonie dans l’application du droit communautaire. Les évolutions technologiques sont celles qui ont permis l’émergence de nouvelles pratiques, insoupçonnées en 1995, comme le cloud computing, l’internet des objets, le big data etc., qui interrogent sur la question de la protection des données. Quant à l’évolution juridique majeure en la matière, il s’agit de la promotion de la protection des données à caractère personnel, érigée en véritable droit fondamental par l’article 8 de la Charte des droits fondamentaux de l’UE (la Charte), désormais pleinement inscrite dans le droit positif depuis le Traité de Lisbonne. 

Les nouvelles opportunités dans l’utilisation des données à caractère personnel, assorties de nouvelles et fortes contraintes quant à leur protection, ont dès lors suscité un souci d’actualisation du texte fondateur. C’est pourquoi la Commission a présenté le 25 janvier 2012 un « paquet législatif »[2], composé d’une proposition de règlement afin de remplacer la directive, ainsi que d’une proposition de directive appelée à se substituer au texte spécifique existant (décision-cadre 2008/977/JAI[3]) dans le cadre de l’Espace de Liberté, de Sécurité et de Justice (ELSJ) de l’UE[4].

Ces textes, après quatre années d’un processus législatif ayant suscité un lobbying inégalé et d’âpres discussions entre Conseil et Parlement européen, viennent enfin d’être adoptés en avril dernier, et publiés au Journal officiel de l’UE[5].

Le nouveau texte remplaçant la directive de 1995, qui ne sera pleinement applicable qu’en 2018, témoigne d’abord, de par le choix de la norme juridique qu’est le règlement, de la volonté du législateur européen de poser un corpus de règles en la matière s’appliquant à l’avenir de façon totalement harmonisée et contraignante. Il s’est attaché, ensuite, à opérer une actualisation des règles existantes, selon une approche « technologiquement neutre », assurant l’efficacité des règles nouvelles sans entraver le développement technologique, condition indispensable à la croissance de l’économie numérique et ainsi du marché intérieur dans son volet numérique. Il constitue, enfin, et surtout, une remarquable avancée en matière de garantie du droit à la protection des données à caractère personnel, désormais fondamental grâce à la Charte. En effet, ce sont des droits renforcés (pour les personnes) et des obligations étendues (pour les responsables de traitement de données) qui sont inscrits dans ce texte (I), appelé à durer au moins une génération d’utilisateurs des outils numériques. Ces nouveaux droits et obligations sont par ailleurs assortis de contrôles plus performants (II), grâce notamment aux importants pouvoirs de sanction dont seront dotées les diverses autorités de protection des données.   

Pour lire la suite : Revue des Affaires Européennes : RAE 2016/1

---

[1] Directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOCE L 281, 23/11/1995, p. 31.

[2] Voir COM(2012) 11 final pour la proposition de règlement, et COM(2012) 10 final pour la proposition de directive.  Voir par exemple notre commentaire : « Un nouveau cadre juridique général pour la protection des données au sein de l’U.E. : une réforme législative ambitieuse »,  Revue des Affaires Européennes 2012/1, pp.149-162.

[3] Décision-cadre 2008/977/JAI du 27 novembre 2008, relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, JO L 350/60 du 30/12/2008.

[4] La directive de 1995 ne s’appliquait pas en effet par définition dans les domaines de l’ex troisième pilier de l’UE, aujourd’hui ELSJ.

[5] Règlement 2016/79 du Parlement européen et du Conseil du 27 avril 2016, JOUE L 119/1, 4 mai 2016.

L’accord PNR entre l’Union et le Canada ne respecte pas, en l’état, la Charte des droits fondamentaux de l’UE, réflexions faisant suite aux conclusions de l’avocat général Mengozzi dans la demande d’avis 1/15

Crédit photo 

 

S’il est un outil, en matière de lutte contre le terrorisme, qui fait couler des flots d’encre depuis des années, et suscite des débats passionnés, c’est bien le système « PNR » (Passenger Name Record), décliné sous forme d’accord avec des Etats tiers (Canada, Etats-Unis, Australie) ou de directive européenne (adoptée enfin en avril dernier après des années de tergiversations).

Il permet aux autorités de recueillir et traiter les données des dossiers des passagers aériens, et ce dans une démarche proactive visant à détecter des profils à risque parmi les millions de passagers au moyen d’algorithmes élaborés, faisant ainsi de tous les voyageurs des « suspects potentiels » (§ 176 de l’avis).

Dans l’inépuisable débat entre sécurité et liberté, exacerbé par un contexte terroriste sans précédent et des législations nationales ou européennes de plus en plus nombreuses et potentiellement liberticides pour tenter d’y faire face, les conclusions de l’avocat général Mengozzi quant à la demande d’avis formulé par le Parlement européen à la Cour de justice s’agissant de l’accord PNR UE/Canada, revêtent une importance capitale. Ces conclusions, si elles condamnent en l’état la conclusion de l’accord PNR, le font au prix d’une argumentation extrêmement détaillée qui ne porte pas aux jugements à l’emporte pièce.

Lire la suite