La Cour de justice de l’Union européenne (CJUE) a invalidé, ce mardi, la directive 2006/24 du 15 mars 2006 sur la rétention de données personnelles par les prestataires de services de communications électroniques.
La plus haute juridiction communautaire affirme que la réglementation en question, adoptée dans le but de renforcer la lutte antiterroriste après les attentats de Madrid (mars 2004) et de Londres (juillet 2005), viole plusieurs droits fondamentaux en matière de vie privée. Les États qui l’ont déjà transposée en droit national – c’est le cas pour la plupart des membres de l’Union européenne – sont tenus de réviser leur législation.
En invoquant cette directive, les autorités compétentes peuvent obliger les opérateurs de services de communications électroniques accessibles au public ou de réseaux publics de communication à conserver, pendant un délai allant de 6 mois à 2 ans, des informations relatives au trafic ou encore à la localisation des utilisateurs. Des mesures adoptées à des fins de prévention, de détection et éventuellement de poursuite des infractions graves, liées notamment à la criminalité organisée.
La décision rendue par la CJUE fait suite à une saisine de la Haute Cour irlandaise (« High Court ») et la Cour constitutionnelle autrichienne (Verfassungsgerichtshof »), qui redoutaient une éventuelle incompatibilité de telles pratiques avec la Charte des droits fondamentaux de l’UE. La High Court avait sollicité des éclaircissements dans le cadre d’un litige avec la société irlandaise Digital Rights, qui contestait la légalité de cette conservation de données. Son homologue autrichien était sous le coup d’un recours lancé par le gouvernement du land de Carinthie… et d’une class action regroupant 11 128 plaignants qui cherchaient à obtenir l’annulation de la disposition nationale transposant la directive en droit national.
Les juges ont considéré que le texte n’offre effectivement aucune garantie quant à la protection des données à caractère personnel. Ils s’inquiètent tout particulièrement des risques liés au recoupage de tous ces éléments, qui pourrait aboutir à un profilage très précis des individus : déplacements et lieux de séjour, activités, relations sociales, etc.
Dans le communiqué émis pour l’occasion (document PDF, 3 pages), il est question d’une « ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée […] sans que cette ingérence soit limitée au strict nécessaire« . « En outre, le fait que la conservation et l’utilisation ultérieure des données soient effectuées sans que l’abonné ou l’utilisateur inscrit en soit informé est susceptible de générer dans l’esprit des personnes concernées le sentiment que leur vie privée fait l’objet d’une surveillance constante« .
La pratique en elle-même n’est pas remise en cause. Le CJUE estime en l’occurrence que le législateur a introduit suffisamment de garde-fous, notamment l’interdiction formelle de dévoiler le contenu des communications électroniques en tant que tel. C’est sur l’ingérence des Etats que le bât blesse, « [excédant] les limites qu’impose le respect du principe de proportionnalité« . En couvrant de manière généralisée l’ensemble des individus, des moyens de communication électroniques et des données relatives au trafic, la directive ne permet « aucune différenciation, limitation ou exception […] en fonction de l’objectif de lutte contre les infractions graves« .
La Cour constate par ailleurs que le texte ne prévoit pas de garanties suffisantes permettant d’assurer une protection efficace des données contre les risques d’abus et l’utilisation illicite. Les fournisseurs de services sont par exemple autorisés à tenir compte des considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent. Autre constat : rien n’impose une conservation des données sur le territoire de l’Union… alors même que le contrôle du respect des exigences de protection et de sécurité par une autorité indépendante est explicitement exigé par la charte.
Une analyse saluée par plusieurs associations de défense des libertés individuelles, dont la Quadrature du Net, qui évoque « une victoire pour tous les défenseurs de la vie privée […] contre le fichage généralisé des communications ». L’European Digital Rigths Group souligne pour sa part la fin de « huit années d’abus sur les données personnelles ».
—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos données personnelles sur Internet ?
Crédit photo : Lisa S. – Shutterstock.com
Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…
Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…