Les points clefs des décisions de la CJUE “*Privacy International*” et “*La Quadrature du Net, French Data Network et a.*” pour Data Rights

La plus haute cour de l’Union Européenne pose les fondations pour des réformes majeures des lois Européennes sur la surveillance. Quelles sont les implications des décisions “Privacy International” et “La Quadrature, French Data Network et autres”?

Le 6 octobre 2020, la grande chambre de la Cour de justice (CJEU) – la plus haute juridiction de l’Union européenne – a décidé que les mesures suivantes sont contraires au droit européen :

Les lois générales imposant la conservation généralisée de données pendant un an en Belgique et en France ;
La collecte en temps réel et l’analyse automatisée des données relatives à l’ensemble du trafic et à la géolocalisation en application de la loi française sur le renseignement (Loi Renseignement 2015) ;
La transmission généralisée des données de trafic et de géolocalisation aux agences de sécurité et de renseignement prévue par la loi britannique sur les pouvoirs d’investigation (Investigatory Powers Act 2016).

Lire également : notre communiqué de presse sur les décisions
Texte complet des arrêts : Affaire La Quadrature, French Data Network et a. - Affaire Privacy International

Qu’est-ce qui est en jeu ?

Lorsque vous communiquez par téléphone ou via Internet et que vous naviguez en ligne, des quantités considérables de données sont générées automatiquement. Ces informations sont souvent appelées « métadonnées ». Elles indiquent « où », « quand » et « qui » communique avec qui, et peuvent également inclure des détails sur la nature des informations que vous consultez en ligne (par exemple, les adresses URL, qui en disent long). Ces métadonnées sont prêtes à être analysées à grande échelle par des ordinateurs et permettent de dresser un profil précis des individus. Elles peuvent notamment révéler des informations sensibles, parfois davantage que le contenu lui-même. En particulier, les métadonnées « facilitent le catalogage quasi instantané de populations entières, ce que ne fait pas le contenu des communications »^[1].

En vertu des droits belge, français et britannique, les fournisseurs de services de communication sont tenus de conserver ces métadonnées pendant un an, ou de les transmettre « en vrac » à des fins de renseignement et d’enquête pour des finalités choisies par l’État.

Même si les contextes juridiques nationaux diffèrent, ces systèmes de conservation et de transmission de données couvrent tous les utilisateurs de communications électroniques (individus, entreprises, juges, avocats, lanceurs d’alerte, etc. ) et s’appliquent en permanence. Il n’est pas nécessaire d’avoir une quelconque suspicion, ni aucun indice ou critère objectif lié à une enquête. Il n’est pas nécessaire d’obtenir l’approbation d’un tribunal. Les mesures sont systématiques et préventives, c’est-à-dire qu’elles ont lieu « au cas où » les enquêteurs ou les services de renseignement en auraient un jour besoin.

Quel était l’objectif des actions en justice ?

Les actions en justice, qui ont conduit aux arrêts du 6 octobre 2020, visent à invalider les lois sur la conservation généralisée ainsi que la logique de surveillance qui les sous-tend, car ces lois sont profondément intrusives pour la vie privée et susceptibles de faire l’objet d’abus de la part des États.

Alors pourquoi ces lois existent-elles ? La logique européenne depuis 2006^[2], et, particulièrement en France depuis 2001^[3], est la suivante : « Puisqu’il est impossible de savoir à l’avance qui est susceptible de constituer une menace ou d’être un criminel, nous devons conserver des données pour suivre les comportements et les communications de chacun. »

Cependant, cette façon de penser est loin d’être inoffensive, et les catégories de données en jeu sont loin d’être anodines. D’après les termes de la CJUE :

« [L]es données relatives au trafic et les données de localisation sont susceptibles de révéler des informations sur un nombre important d’aspects de la vie privée des personnes concernées, y compris des informations sensibles, telles que l’orientation sexuelle, les opinions politiques, les convictions religieuses, philosophiques, sociétales ou autres ainsi que l’état de santé […]. Prises dans leur ensemble, lesdites données peuvent permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci. En particulier, ces données fournissent les moyens d’établir le profil des personnes concernées, information tout aussi sensible, au regard du droit au respect de la vie privée, que le contenu même des communications. » (§117 des affaires jointes C-511/18, C-512/18 et C-520/18)

D’un point de vue politique, nos actions en justice contestent la logique de « suspicion généralisée » ou de « paranoïa d’État » qui a conduit au développement de techniques de « surveillance de masse ». À l’opposé de cela, notre position est simple : les mesures intrusives de surveillance ne devraient pas être la norme, elles devraient être l’exception. Les mesures de surveillance ne devraient être prises qu’en cas de stricte nécessité, sous réserve de garanties et de manière à ce que les autorités soient tenues responsables de leurs actions.

D’un point de vue juridique, les décisions de la CJUE portent essentiellement sur (1) la question de savoir si les objectifs de sécurité nationale sont exemptés du droit européen et (2) dans quelle mesure le droit européen interdit ou autorise la conservation, l’analyse et/ou la collecte automatisée en temps réel et/ou la transmission de données de communications électroniques pour le compte des autorités publiques.

Est-ce une victoire pour la vie privée ou pour la sécurité ?

C’est une victoire pour les deux.

Le droit à la vie privée et à la confidentialité des communications, ainsi que le droit à la sécurité, contribuent à l’équilibre de toute société démocratique. C’est pourquoi, en vertu de la législation européenne portant sur les droits de l’Homme, les États ont l’obligation de protéger les individus contre les ingérences dans leur domicile et leurs communications, ainsi que de maintenir la sécurité publique.

Toutefois, un objectif ne saurait complètement supplanter l’autre. Les mesures de surveillance sont autorisées, mais uniquement dans la mesure où elles sont « nécessaires dans une société démocratique » et restent proportionnées. C’est pourquoi la Cour établit un équilibre entre, d’une part, le droit à la vie privée et à la confidentialité des communications, le droit à un recours effectif et la liberté d’expression en ligne et, d’autre part, l’intérêt public à préserver la sécurité nationale, la sécurité publique et la lutte contre la criminalité.

Les arrêts du 6 octobre 2020 sont une victoire pour le droit à la vie privée et à la confidentialité des communications, dans le sens où ces arrêts :

Confirment que les services de sécurité nationale ne sont pas au-dessus de la loi - en particulier, cela signifie que les mesures de sécurité nationale ayant une incidence sur les fournisseurs de services de communication sont soumises au droit de l’UE. En d’autres termes, les mesures de surveillance et d’enquête n’échappent pas au champ d’application du droit de l’UE au seul motif qu’elles poursuivent des intérêts de sécurité nationale ;
Interdisent la conservation générale et indiscriminée des données relatives au trafic et à la localisation en mesures préventives. Ainsi, le principe selon lequel les données doivent être conservées pour le compte de l’État “au cas où” est jugé incompatible avec une société démocratique.

Ceci, n’est pas moins qu’une victoire majeure.

Ces décisions sont-elles une surprise ?

Non. Les arrêts du 6 octobre 2020 ne constituent pas un changement de jurisprudence. Ils s’inscrivent dans la continuité directe des affaires précédentes où la grande chambre de la CJUE – la plus haute juridiction de droit européen – avait déjà jugé que la logique sécuritaire des États européens était en contradiction avec la protection des valeurs européennes, dont nos droits fondamentaux.

2014 : dans Digital Rights (affaires provenant d’Irlande et d’Autriche), la CJUE a annulé la directive 2006/24 qui prévoyait des règles de conservation des données de communication au niveau européen.

2015 : dans Schrems I, la CJUE a déclaré l’accord Safe Harbor de transferts invalide parce que les lois américaines sur l’accès aux données de communication, comme l’ont montré les révélations de Snowden, étaient incompatibles avec le niveau de protection des droits prévu par le droit européen (ce qu’a confirmé dans Schrems II en juillet 2020 avec l’invalidation du Privacy Shield).
2016 : dans Tele2/Watson, la CJUE a jugé que les lois suédoises et britanniques sur la conservation et l’accès aux données étaient incompatibles avec la directive 2002/58 relative à la protection de la vie privée dans le secteur des communications électroniques, lue à la lumière de la Charte des droits fondamentaux. Dans cet arrêt, la Cour avait déjà jugé que les objectifs de sécurité nationale n’étaient pas exemptés de conformité avec le droit européen.
2017 : dans l’avis Canada PNR, la CJUE a déclaré incompatible avec le droit de l’UE l’accord envisagé entre le Canada et la Commission européenne portant sur les transferts de données de passagers aériens dans le cadre de la lutte contre le terrorisme et la grande criminalité internationale.

Depuis 2014 et plus encore depuis 2016, il est devenu indéniable que les lois sur la conservation des données de la Belgique, de la France et de nombreux autres États membres de l’UE ne sont pas compatibles avec le droit européen. C’est également le cas de la Loi Renseignement française de 2015 et de l’Investigatory Powers Act de 2016 du Royaume Uni.

Autrement dit, ces arrêts ne sont guère surprenants. La nécessité de modifier les lois de surveillance des États européens relève de l’évidence depuis 2014.

Cependant, comme déjà mentionné, si la CJUE a été constante dans son interprétation du cadre juridique de l’UE – la plupart des États européens ont été persistants dans leur incapacité à engager des réformes substantielles, que ce soit au niveau de l’UE ou au niveau national. De nombreux représentants ont justifié l’absence de réforme par des arguments juridiques fallacieux, leur principal étant que la sécurité nationale était hors de portée du droit européen. Les arrêts du 6 octobre 2020 mettent enfin un terme, une fois pour toutes espérons-le, à cet argument creux – et ce sans équivoque.

Les juges mènent-ils une croisade politique pour la défense de la vie privée ?

Les juges appliquent le droit.

Ils n’écrivent pas les lois. Plus important encore, les États membres de l’Union européenne ont choisi de s’en tenir à des droits fondamentaux stricts qu’ils se sont eux-mêmes fixés, via la Charte des droits fondamentaux de l’UE. La CJUE a fondé ses arrêts sur des dispositions spécifiques du droit européen, lues à la lumière de la Charte.

Le clivage entre le niveau de protection de certaines lois européennes votées au Parlement et la volonté des autorités nationales de faire passer la sécurité nationale avant le respect des droits humains n’est pas aligné avec le droit et les traités qui ont été négociés et convenus au niveau européen.

Plus préoccupant encore, depuis 2014, de nombreux services de renseignement ou organismes d’enquête ont constamment critiqué les arrêts de la Cour, affirmant qu’ils se retrouvaient privés des outils nécessaires à la lutte contre la criminalité.

Après six ans de décisions successives claires par la plus haute cour de l’UE, il est grand temps que les autorités nationales écoutent enfin et agissent en conséquence. En faire autrement serait une violation grave de l’état de droit en Europe.

Le non-respect de l’état de droit – voté au Parlement et appliqué par les juges – est un grave problème politique.

Qu’a décidé la Cour exactement ?

En quelques mots, la CJUE a conclu que les lois actuelles en Belgique, en France et au Royaume-Uni sont incompatibles avec le droit européen. Des réformes sont nécessaires.

La Cour a apporté des clarifications :

La loi relative à la réglementation de la confidentialité dans le secteur des communications (Directive “Vie privée et communications électroniques”, dite ePrivacy) interdit la conservation générale et indiscriminée de données de trafic et de localisation par les fournisseurs de communications électroniques à titre de mesures préventives ;
Cette même Directive interdit également la transmission générale et indiscriminée de données de trafic et de localisation aux agences de sécurité et de renseignement dans le but de préserver la sécurité nationale ;
Le Règlement Général sur la Protection des Données (RGPD) interdit la conservation générale et indiscriminée de données à caractère personnel par les hébergeurs, en lien avec nos activités en ligne.

En plus des interdictions générales ci-dessus, la Cour fixe les conditions, les limites et les garanties qui doivent être mises en place pour que les lois de surveillance et les mesures d’enquête ou de renseignement soient compatibles avec le droit de l’UE. La définition de ces exigences constitue une victoire majeure, puisque la Cour ouvre ainsi la voie à des réformes majeures des lois de surveillance en Europe.

En particulier, la Cour a estimé que :

La conservation générale et indiscriminée de données de trafic et de localisation par les fournisseurs de communications électroniques, ainsi que l’analyse automatisée en temps réel de ces données, sont autorisées sous réserve que toutes les conditions suivantes soient remplies :
- uniquement à des fins de sauvegarde de la sécurité nationale ;
- sur injonction aux fournisseurs (par opposition à la disponibilité par défaut en raison de la loi) ;
- uniquement si l’État membre est confronté à une menace grave pour la sécurité nationale, dont il est démontré qu’elle est réelle et présente ou prévisible (par opposition à une mesure préventive ou systématique “au cas où”) ;
- limitée dans le temps et renouvelable qu’en cas de stricte nécessité ;
- soumis à un contrôle effectif de l’injonction par un tribunal ou par une autorité administrative indépendante dont la décision est contraignante, l’objectif étant de vérifier que les conditions précitées sont intégrées dans la procédure.

La conservation ciblée ou accélérée (parfois appelée « gel rapide » ou “quick freeze”) des données de trafic et de localisation, ou la conservation générale de catégories limitées de données à caractère personnel (par exemple, les adresses IP et l’identité civile des abonnés) sont également autorisées dans des conditions, limites et garanties spécifiques, dans la mesure où cela est strictement nécessaire dans une société démocratique. Ici, la Cour développe les conditions et la justification exposées en décembre 2016, dans l’affaire Tele2/Watson.

La collecte en temps réel de données de trafic et de localisation est autorisée à condition qu’elle soit limitée aux personnes à l’égard desquelles il existe une raison valable de soupçonner qu’elles sont impliquées d’une manière ou d’une autre dans des activités terroristes. Ce type de collecte est soumis à un contrôle préalable effectué soit par un tribunal soit par un organe administratif indépendant dont la décision est contraignante, afin de garantir que cette collecte en temps réel n’est autorisée que dans les limites du strict nécessaire. En cas d’urgence dûment justifiée, le réexamen doit avoir lieu dans un bref délai.

En tout état de cause, les arrêts imposent des garanties minimales, afin que les personnes dont les données à caractère personnel sont concernées aient des garanties suffisantes que leurs données seront protégées efficacement contre le risque d’abus. La nécessité de telles garanties est encore plus grande lorsque les données à caractère personnel font l’objet d’un traitement automatisé.

Quels sont les impacts des arrêts pour les lois de surveillance française et britannique ?

En France

Les lois et décrets sur la conservation des données (Articles L34-1 et R10-13 du Code des postes et des communications électroniques et le décret 2011-219) devront être modifiés car la conservation des données ne peut être générale, indiscriminée et systématique à titre préventif.

Les lois sur le renseignement et la surveillance de 2015 (et les décrets connexes codifiés dans le livre 8 du code de la sécurité intérieure) devront être modifiés structurellement — en particulier :

Les « boîtes noires » (L851-3 et R851-5) sont considérées comme des outils d’espionnage du type de communications en ligne (URL) et créent des risques importants – elles doivent être soumises aux exigences les plus strictes applicables en matière de sécurité nationale. De plus, en raison des risques inhérents à ces mesures de surveillance algorithmique, la Cour exige davantage de transparence ;
La liste des finalités autorisant les mesures de renseignement devra être modifiée pour tenir compte des distinctions faites par la Cour en fonction du niveau de gravité des intrusions dans les communications.

Le contrôle des mesures de renseignement devrait également faire l’objet de profondes réformes. A ce jour, l’organe français de contrôle des services de renseignement, la Commission nationale de contrôle des techniques de renseignement (CNCTR), fournit des avis non contraignants au Premier ministre. Nous espérons que les réformes nécessaires seront également l’occasion de discuter des moyens alloués à cette autorité administrative. Historiquement, la CNCTR (anciennement CNCIS) a connu des périodes où elle était sous-financée, de son propre aveu^[4]. Lui octroyer le pouvoir de prendre des décisions contraignantes pourrait à son tour mener à lui donner de meilleurs moyens, pouvant ainsi améliorer la qualité de ses enquêtes et la protection des droits des personnes concernées.

On peut également s’attendre à des réformes du code de procédure pénale pour les techniques connexes.

Plus généralement, pour se conformer à l’arrêt, le droit français devra prévoir une notification pour informer les personnes surveillées des mesures de surveillance ou d’enquête, dès lors que cette notification ne porte pas atteinte aux finalités de la mesure.

Cela doit devenir une exigence en ce qui concerne l’accès aux données de trafic et de localisation (qu’il s’agisse d’un accès en temps réel ou en différé), mais aussi en ce qui concerne l’analyse automatisée de ces données qui permet de distinguer les individus. Fournir des informations lorsque cela ne représente plus une menace pour l’enquête est fondamental, car le droit d’accéder à un juge et d’obtenir justice si l’on a été traité injustement (droit de recours effectif) est une pierre angulaire des droits fondamentaux européens.

Une partie de l’affaire a également des répercussions sur les obligations de conservation des données à caractère personnel imposées aux fournisseurs d’hébergement, en ce qui concerne les utilisateurs qui contribuent au contenu en ligne (LCEN Art 6 II). Si la légalité du décret 2011-219 est aujourd’hui sérieusement mise en cause, l’impact spécifique de l’arrêt dans ce domaine n’est pas tout à fait clair, et il reste à voir comment le Conseil d’État l’interprétera.

Spécifiquement pour le Royaume-Uni :

Lire l’analyse de Privacy International pour en apprendre plus sur les implications pour le Royaume-Uni.

Quel est l’impact ailleurs en Europe ?

De nombreux États membres de l’UE ont des lois exigeant la conservation générale des données : voir cette étude de Privacy International de 2017. Les arrêts du 6 octobre 2020 ont un impact dans toute l’Union européenne.

Quelle a été l’implication de Data Rights et quelles sont les prochaines étapes ?

Data Rights est une association fondée par des citoyens, dont certains activistes ayant porté en France l’action en justice qui a conduit à la décision du 6 octobre 2020, dans le cadre de leurs contributions au sein des Exégètes Amateurs.

Les affaires seront renvoyées aux juridictions nationales qui ont transmis les dossiers à la CJUE. En France, l’affaire est renvoyée devant le Conseil d’État. Au Royaume-Uni, l’affaire est renvoyée au Tribunal des pouvoirs d’investigation (Investigatory Powers Tribunal). Comme à l’accoutumée, Privacy International surveillera également le Royaume-Uni.

Outre ces affaires, ces arrêts pourront susciter des réformes et des discussions à Bruxelles et au sein de chaque pays de l’UE. Data Rights poursuivra le travail afin de s’assurer que la portée significative de ces arrêts sera prise en compte et que des réformes efficaces seront mises en œuvre.

Conclusions de l’avocat général Saugmandsgaard Øe du 19 juillet 2016 dans Tele2/Sverige, §259 ↩︎
En 2006, le Parlement européen et le Conseil de l’Union européenne ont adopté la directive sur la conservation des données ↩︎
En 2001, le Parlement français a adopté la loi sur la sécurité quotidienne désormais codifiée à l’article L34-1 du Code des postes et des communications électroniques ↩︎
Voir par exemple cet article. ↩︎