Contre toute attente, la Cour de justice de l’Union européenne (CJUE) a invalidé, mardi 8 avril, la directive européenne de 2006 sur la rétention de données personnelles par les opérateurs et autres prestataires de services de communications électroniques. Mise en place dans le cadre de la lutte antiterroriste suite aux attentats de Madrid (mars 2004) et de Londres (juillet 2005), cette directive impose la conservation des données de connexion sur une période pouvant aller jusqu’à deux ans. La cour européenne a jugé que la directive violait plusieurs droits fondamentaux en matière de vie privée.
La décision rendue par la CJUE fait suite à une saisine de la Haute Cour irlandaise (« High Court ») et la Cour constitutionnelle autrichienne (Verfassungsgerichtshof »), qui redoutaient une éventuelle incompatibilité de telles pratiques avec la Charte des droits fondamentaux de l’Union, indique ITespresso.fr. La High Court avait sollicité des éclaircissements dans le cadre d’un litige avec la société irlandaise Digital Rights, qui contestait la légalité de cette conservation de données. Son homologue autrichien était sous le coup d’un recours lancé par le gouvernement du land de Carinthie… et d’une class action regroupant 11 128 plaignants qui cherchaient à obtenir l’annulation de la disposition nationale transposant la directive en droit national.
Les juges ont considéré que le texte n’offre effectivement aucune garantie quant à la protection des données à caractère personnel. Ils s’inquiètent tout particulièrement des risques liés au recoupage de tous ces éléments, qui pourrait aboutir à un profilage très précis des individus : déplacements et lieux de séjour, activités, relations sociales, etc.
La pratique en elle-même n’est pas remise en cause. Le CJUE estime en l’occurrence que le législateur a introduit suffisamment de garde-fous, notamment l’interdiction formelle de dévoiler le contenu des communications électroniques en tant que tel. C’est sur l’ingérence des Etats que le bât blesse, « [excédant] les limites qu’impose le respect du principe de proportionnalité ». En couvrant de manière généralisée l’ensemble des individus, des moyens de communication électroniques et des données relatives au trafic, la directive ne permet « aucune différenciation, limitation ou exception […] en fonction de l’objectif de lutte contre les infractions graves ».
La Cour constate par ailleurs que le texte ne prévoit pas de garanties suffisantes permettant d’assurer une protection efficace des données contre les risques d’abus et l’utilisation illicite. Les fournisseurs de services sont par exemple autorisés à tenir compte des considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent. Autre constat : rien n’impose une conservation des données sur le territoire de l’Union… alors même que le contrôle du respect des exigences de protection et de sécurité par une autorité indépendante est explicitement exigé par la charte.
Une analyse saluée par plusieurs associations de défense des libertés individuelles, dont la Quadrature du Net, qui évoque « une victoire pour tous les défenseurs de la vie privée […] contre le fichage généralisé des communications ». L’European Digital Rigths Group souligne pour sa part la fin de « huit années d’abus sur les données personnelles ».
La plupart des États de l’Union qui ont transposée en droit national la directive sont donc tenus de réviser leur législation.
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…