Jugements d'interception / conservation de données en masse de la CJUE – Une victoire et une défaite pour la vie privée – Blog de droit européen

Jugements d'interception / conservation de données en masse de la CJUE – Une victoire et une défaite pour la vie privée – Blog de droit européen

26 octobre 2020 0 Par Village FSE

introduction

Le 6 octobre 2020, la Cour de justice de l'Union européenne (CJUE, la Cour) a rendu ses arrêts dans l'affaire C-623/17, Confidentialité internationale, et dans les affaires jointes C-511/18, La Quadrature du Net et autres, C-512/18, Réseau de données français et autres, et C-520/18, Ordre des barreaux francophones et germanophone et autres (appelé La Quadrature du Net et autres). Les deux arrêts poursuivent la longue lignée de la jurisprudence sur l'utilisation secondaire des données à caractère personnel par les services de renseignement et les services répressifs, en particulier les données de trafic et de localisation initialement collectées par les prestataires de services à des fins commerciales (voir notamment les affaires jointes C-293/12 et C-594/12 Droits numériques Irlande, Affaires jointes C-203/15 et C-698/15 Télé 2, Avis 1/15 de la Cour sur le projet Accord PNR UE-Canada, Affaire C-207/16 Ministerio Fiscal).

Si la Cour, dans les deux arrêts, se prononce sur des affaires marquantes, qui présentent un certain nombre de points communs, et qui ont été entendues lors d'une audience conjointe en 2019, leur nature et leur issue sont assez différentes. D'une part, Confidentialité internationale est une victoire facile pour le droit à la vie privée et à la protection des données. La Cour confirme sans équivoque que les autorités de l'État ne sont pas autorisées à intercepter données personnelles, provenant d'opérateurs commerciaux, en vrac. La Quadrature du Net et autres d’autre part, c’est une victoire complexe pour les forces de l’ordre et un retour en arrière majeur dans les données de la Cour rétention jurisprudence.

Le conflit de deux décennies entre les forces de l'ordre et les communautés de la protection de la vie privée est toujours en cours (1). Dans ce qui suit, j'ai donc décidé de présenter brièvement les faits de l'affaire puis de diviser les principaux résultats des deux arrêts en trois victoires pour l'un ou l'autre camp, sans prétendre être exhaustif sur chacun des points des arrêts.

Les faits

L'affaire de Confidentialité internationale est une référence préliminaire du UK Investigatory Powers Tribunal. Privacy International, une ONG basée à Londres, a intenté une action devant ce tribunal en 2015 contre les agences de sécurité et de renseignement britanniques et leurs secrétaires d'État respectifs. Ils ont remis en question la légalité de l'acquisition et de l'utilisation de données de communication en masse par des agences comme le GCHQ, le MI5 ou le MI6. La juridiction de renvoi avait des doutes sur le point de savoir si le droit de l'Union, et en particulier la directive relative à la vie privée en ligne, était applicable en l'espèce, étant donné que la sécurité nationale n'entre pas dans le champ d'application du droit de l'Union, comme le confirme l'article 4 du traité sur l'Union européenne (TUE).

Les affaires jointes en La Quadrature du Net et autres sont des références préliminaires du français Conseil d’Etat (Conseil d'État) et belge Cour constitutionnelle (Cour constitutionnelle, analysée précédemment sur ce blog ici) dans des litiges entre respectivement les gouvernements français et belge et un certain nombre d'organisations dans les deux pays. Ces derniers remettaient en cause la légalité des régimes respectifs de conservation des données, et en France la légalité de certaines des techniques de surveillance introduites en 2015 et 2016, après la Charlie Hebdo et Bataclan Attaques terroristes. Les deux Conseil d’Etat et le Cour constitutionnelle a donc demandé si la conservation générale et aveugle des données de communication par les fournisseurs de services de télécommunication pouvait être justifiée en tant que mesure imposée au titre de l'article 15, paragraphe 1, de la directive sur la vie privée en ligne. A titre de justification, les hautes juridictions suggèrent de sauvegarder la sécurité nationale ou de lutter contre la criminalité et les menaces à la sécurité publique. En outre, une telle conservation des données pourrait être nécessaire pour satisfaire aux obligations positives de l'État au titre de l'article 6 de la Charte des droits fondamentaux de l'Union européenne (Charte) (droit à la liberté et à la sécurité), mais également en vertu des articles 4 (interdiction de la torture et les peines et traitements inhumains ou dégradants) et 7 (respect de la vie privée et familiale) de la Charte. Dans le cadre des obligations positives, le Cour constitutionnelle s'est concentré sur le rôle préventif des autorités nationales chargées de l'application de la loi, et en particulier sur la lutte contre les abus sexuels sur mineurs.

De plus, d'une part, le Conseil d’Etat s'est demandé si la conservation des données d'identification (telles que les adresses IP et les informations sur les abonnés) et la collecte en temps réel des données de trafic et de localisation d'individus spécifiés seraient autorisées en vertu de la directive sur la confidentialité en ligne, et dans quelle mesure il est important d'en informer les personnes soumis à une certaine mesure de surveillance. D'autre part, le Cour constitutionnelle souhaitait savoir si, au cas où les lois nationales sur la conservation des données seraient jugées incompatibles avec le droit de l'UE, ces données conservées pourraient être utilisées comme preuves dans les procédures pénales nationales.

Trois victoires pour la confidentialité et la protection des données

À commencer par les victoires pour la vie privée, sa plus grande victoire est la déclaration claire de la Cour aux paragraphes 78 à 81 de Confidentialité internationale. Au départ, il ne s’agit que d’une réitération de la position de la Cour déjà exprimée dans les deux Télé 2 (analysé précédemment sur ce blog ici) et Accord PNR UE-Canada opinion (analysée précédemment sur ce blog ici), interdisant interception en masse par les autorités étatiques de toutes les données des individus. La législation nationale permettant l’interception par les autorités des données à caractère personnel collectées par les prestataires de services doit définir des critères objectifs tant pour l’acquisition d’un ensemble de données particulier auprès d’un prestataire de services que pour son utilisation effective par ces autorités. Cependant, l’importance de la confirmation de la Cour dans Confidentialité internationale ne peut être surestimée pour deux raisons. Premièrement, si les agences de renseignement, qui obtiennent normalement la plus grande marge d'appréciation des tribunaux européens, ne peuvent pas acquérir et utiliser des données à caractère personnel en masse, aucune autorité publique ne le peut. Deuxièmement, la chambre de la Cour européenne des droits de l'homme (CEDH) a conclu dans une affaire très similaire, Big Brother Watch et autres vs Royaume-Uni (analysé précédemment par moi ici et sur ce blog ici), cette interception massive de communications par des agences de renseignement est en soi acceptable (paragraphe 314). Cependant, l'affaire est actuellement réexaminée par la Grande Chambre, et si le message du Luxembourg parvient à Strasbourg, les plus hautes juridictions européennes pourraient convenir de simplement déclarer illégale en tant que telle l'interception massive de données à caractère personnel par les autorités étatiques.

La deuxième victoire pour la vie privée se retrouve dans les deux jugements. Ils clarifient de manière transparente que tout traitement des données personnelles par les prestataires, qu'il s'agisse de la simple divulgation ou de la transmission de données à caractère personnel aux autorités étatiques, relève du champ d'application du règlement général sur la protection des données (RGPD) et, dans le cas particulier des données de communications électroniques, de la directive sur la confidentialité en ligne. Par extension, les protections accordées à un tel traitement dans la Charte s'appliquent pleinement. Et d'une manière générale, le droit de l'UE s'applique – à la grande déception des juridictions de renvoi, à en juger par la manière dont elles ont formulé leurs questions. Cette conclusion (voir en particulier le paragraphe 46 de Confidentialité internationale et le paragraphe 101 de La Quadrature du Net et autres) devrait contribuer à clore un long débat sur les limites du droit de l'UE dans le domaine de la sécurité nationale. L'article 4 du TUE exclut la sécurité nationale du champ d'application du droit de l'Union. Cependant, cette exemption est strictement applicable aux activités des agences de renseignement aux fins de la sauvegarde de la sécurité nationale. Article 4 TUE ne fait pas couvrent les activités des prestataires de services lorsque les lois nationales adoptées dans le cadre de la mise en œuvre de l’article 23 du RGPD et / ou de l’article 15 de la directive relative à la vie privée en ligne le demandent ou l’obligent, à restreindre un certain nombre de droits des individus à des fins de protection de la sécurité nationale.

La troisième victoire pour la vie privée est le rejet par la Cour de la prétendue nécessité d’équilibrer le «droit à la sécurité» énoncé à l’article 6 de la Charte et les droits à la vie privée et à la protection des données des articles 7 et 8 de la Charte. Il est intéressant de noter que ce débat a été lancé il y a six ans par la Cour elle-même, avec une phrase plutôt malheureuse à la fin du paragraphe 42 (2) de la Droits numériques Irlande (analysé précédemment sur ce blog ici). Maintenant, les paragraphes 125-127 de La Quadrature du Net et autres préciser que l'article 6 de la Charte protège les individus contre les privations arbitraires de liberté par les autorités publiques et ne peut donc pas imposer à l'État une obligation positive de prévenir ou de punir certaines infractions pénales. Certes, de telles obligations positives pourraient découler des articles 4 ou 7 de la Charte, mais la Cour prévoit désormais une réfutation faisant autorité d'un argument erroné sur l'existence d'un «droit à la sécurité» collectif inscrit dans la Charte et la nécessité de réduire les protections prévues par les articles 7 et 8 afin de trouver un juste équilibre avec l'article 6.

Trois victoires pour la communauté des forces de l'ordre

À première vue, il peut sembler que le principe établi Télé 2, sur l'interdiction d'une action générale et aveugle rétention des données de trafic et de localisation aux fins de la lutte contre la criminalité grave et de la protection contre les menaces graves pour la sécurité publique, sont conservées dans La Quadrature du Net et autres. La première lecture de l'arrêt, en particulier le paragraphe 141, pourrait conduire à la conclusion que la conservation des données est toujours morte et que la Cour n'autorise toujours qu'une conservation ciblée (quoi que cela puisse signifier). Cependant, contrairement à la franchise et à la simplicité judiciaire bienvenues Confidentialité internationale, La Quadrature du Net et autres est un texte beaucoup plus compliqué, composé d'une série de compromis plutôt politiques que de décisions judiciaires et d'exercices pour sauver la face. Une lecture plus approfondie du jugement rend le Télé 2 principe en un mirage.

La plus grande victoire de la communauté des forces de l'ordre et l'exception la plus importante à la Télé 2 principe, peut être trouvée aux paragraphes 136-139 du La Quadrature du Net et autres. À mon avis, c'est là que la Cour annule implicitement sa jurisprudence antérieure. Tout à coup, la conservation générale et aveugle du trafic et des données de localisation est autorisée, en cas de «menace sérieuse pour la sécurité nationale». Bien que cette conservation doive être «limitée dans le temps au strict nécessaire», sous réserve de garanties et de conditions et «non de nature systématique», elle peut être renouvelée en raison du «caractère permanent de la menace». En conséquence, la Cour a ouvert la porte aux États membres pour réformer leur législation nationale sur la conservation des données, tout en préservant l'essence de ce qui était manifestement illégal après Télé 2. Par exemple, les États membres pourraient commencer à émettre des mandats de conservation de données généraux et sans discrimination à durée limitée, mais renouvelables, dans le but de sauvegarder la sécurité nationale, sous une menace spécifique permanente. Qui plus est, l'objectif justifiant le général et aveugle la conservation des données doit être distinguée des conditions imposées au accès à ces données conservées. En fait, la Cour garde le silence sur l'accès et ne le limite donc pas aux agences de renseignement aux fins de la sauvegarde de la sécurité nationale. À mon avis, les conditions d'accès aux données conservées que le droit national doit remplir, énoncées aux paragraphes 115-123 du Télé 2, reste valide. Par conséquent, en combinant les conditions de conservation générale et aveugle des données de La Quadrature du Net et autres et les conditions d'accès depuis Télé 2, Les États membres pourraient d'abord démontrer et spécifier une menace pour la sécurité nationale, puis ordonner la conservation générale et aveugle des données de trafic et de localisation, et enfin autoriser l'accès à ces données conservées à les autorités chargées de l'application de la loi dans le but de lutter contre la criminalité grave.

La deuxième victoire des services répressifs peut être trouvée après que la Cour a dépassé sa jurisprudence antérieure en matière de conservation des données et a ouvert une discussion sur d'autres types de données personnelles autres que les données de trafic et de localisation (par. 152-159). On découvre ainsi les types de données les moins sensibles, ne nécessitant qu'un seuil de protection plus bas. La Cour autorise donc la conservation générale et aveugle des adresses IP des sources d'une communication en relation avec le courrier électronique et la téléphonie sur Internet, dans le but de lutter contre la criminalité grave et de prévenir les menaces graves à la sécurité publique. Et, quelque peu conforme à Ministerio Fiscal, la conservation générale et aveugle des informations des abonnés (selon les termes de la Cour, des données sur «l’identité civile») peut se justifier même pour l’objectif de lutter contre tout crime et de prévenir toute menace pour la sécurité publique. Par conséquent, la Cour accepte la demande de la communauté des forces de l'ordre d'utiliser des outils plus efficaces dans une phase cruciale de toute enquête: l'identification d'un suspect inconnu ou d'un auteur d'une infraction pénale.

Enfin, les forces de l'ordre peuvent être assurées que, même si les lois nationales sur la conservation des données enfreignaient le droit de l'UE, les juridictions nationales n'auraient pas beaucoup de difficultés à accepter ces données conservées comme preuves dans des procédures pénales. Des paragraphes 223 à 228, il ressort que l'admissibilité des preuves dépendra largement des règles de procédure nationales. Dans certains États membres, un certain nombre de condamnations ont déjà été réexaminées et les détenus ont été libérés après que la fiabilité des données de localisation ait été sérieusement remise en question. Mais cela reste une question nationale et, selon la Cour, il n'y a rien dans le droit de l'UE qui déclencherait une violation du droit à un procès équitable dans le cadre d'une procédure pénale en tant que conséquence directe et automatique de la violation du droit à la vie privée et aux données protection.

Conclusion

Alors que les deux jugements, et en particulier La Quadrature du Net et autres, contiennent de nombreux points plus importants (3) qui mériteraient un débat académique et sociétal plus poussé, les victoires présentées pour les deux camps sont des conclusions marquantes de la Cour, avec des répercussions majeures au-delà du conflit sous-jacent «sécurité contre vie privée».

Confidentialité internationale ne fait pas que faire pression sur la Cour européenne des droits de l’homme et sur toute loi nationale de surveillance prévoyant la «récupération des données» par les agences de renseignement. Lire conjointement avec l'arrêt de la Cour dans Schrems II (analysé précédemment sur ce blog ici, ici et ici), l'arrêt prépare le terrain pour la décision à venir de la Commission européenne sur l '(in) adéquation du Royaume-Uni en tant que pays tiers en ce qui concerne les transferts de données à caractère personnel depuis l'UE dans le cadre du RGPD. Cela renforce également les exigences auxquelles doit répondre tout futur successeur du bouclier de protection des données annulé.

Dans le même temps, le jugement de compromis La Quadrature du Net et autres non seulement réanime les «morts-vivants» (conservation générale et aveugle des données), il met également l’anonymat en ligne dans un coma semblable à un zombie. De plus, le jugement réduit les espoirs des organisations combattant un autre système dans lequel les données à caractère personnel sont initialement collectées à des fins commerciales et ensuite traitées à des fins répressives – les enregistrements des noms des passagers (4). Et enfin, cela renforcera certainement les arguments de la communauté des services répressifs dans la réforme en cours de la Convention de Budapest sur la cybercriminalité et dans les discussions sur le paquet de preuves électroniques de la Commission européenne (analysé précédemment sur ce blog ici, ici et ici).

(1) Pour un aperçu des origines de cet affrontement, voir plus dans La vie privée cède au patriotisme: l'acte PATRIOT (2001). (2018). Dans Gray House Publishing (Ed.), Opinions à travers l'histoire: sécurité nationale vs droits civils et à la vie privée. Éditions Grey House. Disponible auprès de: Grey House (consulté le 20 octobre 2020).

(2) «  Il ressort de la jurisprudence de la Cour que la lutte contre le terrorisme international pour maintenir la paix et la sécurité internationales constitue un objectif d'intérêt général (voir, en ce sens, les affaires C-402/05 P et C ‑ 415/05 P Fondation internationale Kadi et Al Barakaat v Conseil et Commission EU: C: 2008: 461, point 363, et affaires C ‑ 539/10 P et C ‑ 550/10 P Al-Aqsa v Conseil EU: C: 2012: 711, point 130). Il en va de même de la lutte contre la criminalité grave afin d'assurer la sécurité publique (voir, en ce sens, affaire C-145/09 Tsakouridis EU: C: 2010: 708, points 46 et 47). En outre, il convient de noter, à cet égard, que l’article 6 de la Charte consacre le droit de toute personne non seulement à la liberté, mais aussi à la sécurité. » (Je souligne.)

(3) Par exemple, sur la rétention ciblée, la rétention accélérée, la collecte de données en temps réel et l'analyse automatisée des données, et les types de services couverts par la directive sur la confidentialité en ligne.

(4) Des affaires actuellement pendantes devant la CJUE sont des affaires dans lesquelles les régimes PNR de la Belgique et de l'Allemagne, introduits par la transposition de la directive PNR 2016/681 de l'UE, ont été contestés. Voir https://eucrim.eu/news/german-court-asks-cjeu-about-compatibility-pnr-legislation/ et https://www.statewatch.org/media/documents/news/2019/nov/belgium- cour-constitutionnelle-PNR.pdf