Un arrêt de la Cour de justice de l’Union européenne (CJUE) vient d’ajouter un nouvel épisode à la saga relative à la conservation des données de communications électroniques (CJUE, 2 octobre 2018, C‑207/16) en précisant les motifs pour lesquels les autorités publiques pourraient accéder aux données des utilisateurs des services.
Les dérogations à la confidentialité - On rappellera que la réglementation ePrivacy prévoit un principe de confidentialité des communications assorti de certaines exceptions européennes spécifiques. Elle permet par ailleurs aux Etats membres de prévoir des dérogations nationales supplémentaires, sous réserve que celles-ci présentent certaines garanties (article 15 de la directive 2002/58 du 12 juillet 2002).
Les exceptions doivent ainsi :
- résulter de mesures législatives ;
- viser à préserver la sécurité nationale, la défense ou la sécurité publique, ou à assurer la prévention, la recherche, la détection et la poursuite d'infractions pénales ;
- constituer une mesure nécessaire, appropriée et proportionnée dans une société démocratique.
En France, de telles dérogations nationales existent à l’article L.34-1 du Code des postes et des communications électroniques (lequel prévoit une obligation de conservation des données de connexion, pour une durée d’un an et pour la mise à disposition de l'autorité judiciaire, de la Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet ou de l’Agence nationale de la sécurité des systèmes d’information) complété par les articles R.10-12 et R.10-13 du même code, applicables aux opérateurs de communications électroniques. En outre, l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, dite "LCEN" prévoit que les fournisseurs d’accès et les hébergeurs "détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires".
L’encadrement de ces dérogations - La Cour s’est déjà prononcée sur la conformité de certaines dérogations nationales aux conditions de garantie précitées. Notamment, elle a indiqué qu’un Etat membre peut adopter une réglementation permettant, à titre préventif, la conservation ciblée des données relatives au trafic et des données de localisation, à des fins de lutte contre la criminalité grave, sous réserve que cette conservation soit, en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue, limitée au strict nécessaire (CJUE, 21 décembre 2016, C-203/15).
Une nouvelle question préjudicielle a été posée à la CJUE afin de clarifier sa position et notamment la notion de "criminalité grave".
L’avocat général de la Cour a, dans ses conclusions, considéré que la notion d’"infraction grave" n’est pas une notion autonome du droit de l’Union, de sorte qu’il revient à chaque Etat membre, d’en définir les caractéristiques, en tenant compte de facteurs objectifs comme le contexte ou encore "la nature et/ou de l’ampleur des préjudices ayant pu être subis par la victime", voire "l’échelle des peines applicables en général dans l’État membre concerné" (CJUE, 3 mai 2018, C-207/16, conclusions Saugmandsgaard Øe).
Il concluait toutefois que, compte tenu ici de la faible ingérence (mesure donnant accès aux données d’identification des utilisateurs des numéros de téléphone activés depuis un téléphone mobile spécifique et durant une période limitée), il n’est pas nécessaire de réserver le bénéfice de la dérogation aux cas dans lesquels l’infraction concernée revêt un caractère grave. C’est cette conclusion que la CJUE valide en précisant que "l’accès d’autorités publiques aux données visant à l’identification des titulaires des cartes SIM activées avec un téléphone mobile volé, telles que les nom, prénom et, le cas échéant, adresse de ces titulaires, comporte une ingérence dans les droits fondamentaux de ces derniers, consacrés à ces articles de la charte des droits fondamentaux, qui ne présente pas une gravité telle que cet accès devrait être limité, en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, à la lutte contre la criminalité grave".
Enseignements de la Cour - Que retenir de cette décision, lue à la lumière de la précédente ? Il semble que, dans le cadre du rapport de proportionnalité imposé par la directive entre l’ampleur de la dérogation au principe de confidentialité et l’importance de l’objectif poursuivi, les Etats membres doivent trouver un juste équilibre. Autrement dit, plus la dérogation présente des risques pour les personnes, plus l’objectif poursuivi doit être minutieusement circonscrit. A contrario, moins le risque est fort, moins l’objectif se doit d’être important. Cette logique rappelle celle de l’analyse d’impact du règlement général sur la protection des données selon laquelle plus le risque est élevé, plus il doit être limité par la mise en place de mesures appropriées telles que minimisation ou sécurités.
Ces enseignements n’ont pas vocation à être oubliés, dans la mesure où la proposition de règlement ePrivacy (proposition COM(2017) 10 final, art. 11) reprend en substance les dispositions de la directive 2002/58 rappelées ci-dessus. La proposition ajoute toutefois qu’il reviendra aux fournisseurs de services de communications électroniques, d’une part d’établir des procédures internes permettant de répondre aux demandes d’accès aux données des utilisateurs finaux qui seraient formulées sur la base d'une mesure législative nationale, d’autre part d’informer l’autorité de contrôle, à sa demande, des bases légales invoquées et suites données à de telles demandes. La version de ce texte adoptée par le Parlement en octobre 2017 restreint les conditions de telles dérogations mais ajoute en revanche aux obligations de suivi et de transparence des opérateurs. De manière pragmatique, se pose, encore et toujours, la question de l’indemnisation des opérateurs face à cette nouvelle charge.
