Nouveau rebondissement dans le feuilleton des données de connexion

Coup de théâtre pour l'obligation de conservation des données de connexion, à laquelle sont soumis tous les acteurs du numérique. La Cour de justice de l'Union européenne a invalidé le 8 avril la directive européenne de 2006 qui harmonisait cette conservation dans toute l'Union.
Coup de théâtre pour l’obligation de conservation des données de connexion, à laquelle sont soumis tous les acteurs du numérique : alors que le 20 novembre dernier, le Conseil d’Etat français confirmait la légalité du décret de 2011 détaillant la liste des données à conserver, la Cour de justice de l’Union européenne (CJUE) a invalidé le 8 avril 2014 la directive européenne de 2006 qui harmonisait cette conservation dans toute l’Union.
La situation juridique qui en résulte est confuse, car le décret français de 2011 vient en application de la loi pour la confiance dans l’économie numérique (LCEN) de 2004, qui, elle, n’est pas invalidée.
Une mise en place chaotique du dispositif
Au commencement était la protection des données personnelles. Comme le prescrivait en France la loi Informatique et Libertés de 1978, il est interdit de conserver une donnée concernant une personne (« donnée personnelle ») plus longtemps qu’il n’est indispensable de le faire pour l’exécution du service dont il s’agit. Concrètement, un opérateur téléphonique n’a pas à conserver en mémoire le numéro de téléphone que vous avez appelé, plus que le temps nécessaire pour établir la communication. Enfin, si, il peut le conserver pour établir la facture mensuelle, et même jusqu’à ce que le délai de contestation de cette facture soit atteint. Mais pas au-delà.
Ce principe a été étendu à toute l’Europe par la directive de 1995 sur la protection des données personnelles. Mais cet effacement des données constitue un handicap pour les enquêtes policières. Souvent, la justice a besoin de collecter les informations concernant non seulement les appels téléphoniques, mais aussi les connexions web ou les publications de contenu effectuées par un suspect, ainsi éventuellement que sa géolocalisation, bien après que la facture correspondante a été payée.
Afin que la justice puisse disposer de ces informations, il devient nécessaire que les prestataires techniques les conservent à son intention, sans pouvoir s’en servir eux-mêmes. L’Europe a donc décidé, dans la directive de 2002 concernant la vie privée et les communications électroniques, que les Etats membres pouvaient adopter des lois imposant la conservation de données pendant une durée limitée, pour assurer la détection et la prévention d’infractions pénales.
La France a transposé cette directive en adoptant en 2004 la loi pour la confiance dans l’économie numérique (LCEN), dont l’article 6 prévoit que les fournisseurs d’accès internet, les hébergeurs, les services web, les réseaux sociaux, etc., « conservent les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ». Mais cette loi ne précisait pas les données concernées, ni la durée de leur conservation, ces modalités devant être précisées par décret. Tant que ce décret n’était pas paru, la loi n’était pas applicable. Et il fallut attendre le décret du 25 février 2011 pour disposer de la liste des données à conserver : les heures de début et de fin de connexion, les protocoles utilisés sur le web, pour les services web les pseudos, adresse mail et mot du passe du compte, éventuellement le moyen de paiement utilisé… La durée de conservation est fixée à un an.
Or, pendant qu’en France on attendait le décret d’application de la LCEN, le législateur européen estimait que la directive de 2002 était beaucoup trop vague. Il publiait donc en 2006 une directive complémentaire qui précisait les données à conserver et fixait une plage de conservation allant de 6 mois à 2 ans. Le retard pris par le décret de 2011 permettait ainsi, paradoxalement, de prendre en compte cette nouvelle directive.
Des contestations multiples
Dès la parution du décret, celui-ci était attaqué par plusieurs organisations, dont Internet Sans Frontières et l’hébergeur OVH, qui estimaient excessive la liste des données à conserver. Il était également reproché au décret de ne pas prévoir une information des personnes dont les données étaient conservées, ni de demander leur consentement.
En novembre 2013, le Conseil d’Etat a rejeté les demandes d’annulation du décret. Selon lui, le décret dispose bien d’une base légale (la LCEN). Quant à l’information et au consentement des personnes concernées, ces notions n’ont pas de sens s’agissant d’un traitement destiné à la recherche des infractions pénales ; en outre la consultation par la police des données conservées s’effectue sous le contrôle de la Commission nationale de contrôle des interceptions de sécurité.
La situation semblait donc stabilisée, et les acteurs des communications électroniques (telcos, FAI, services web…) disposaient donc enfin d’un texte clair à appliquer. Or, pendant ce temps, les justices irlandaise et autrichienne avaient été saisies de contestations des lois transposant les directives de 2002 et de 2006. La question avait donc été posée à la Cour de justice européenne : la directive de 2006 n’est-elle pas excessive ?
La CJUE vient de répondre que c’est le cas. La Cour reconnaît que les nécessités de la détection et de la poursuite des infractions pénales peuvent justifier des atteintes au droit à la protection des données personnelles, mais seulement pour les infractions graves, et surtout seulement si des protections contre les abus et utilisations illicites de ces données sont prévues. Or la directive ne distingue pas selon la gravité des infractions poursuivies, et elle ne prévoit aucune limitation ni procédure dans l’accès aux données par les autorités. La Cour a donc tout simplement invalidé la directive.
Pour les acteurs français concernés (telcos, FAI, sites et services web…), la situation juridique est désormais confuse. La LCEN demeure en vigueur, ainsi que le décret de 2011. Ne pas les appliquer revient à s’exposer aux sanctions prévues par la loi, soit un an de prison et 75 000 € d’amende. Ces acteurs doivent donc continuer à conserver les données de connexion de leurs clients (ou de leurs membres). Mais la validité du dispositif légal français, au regard du droit européen énoncé par la CJUE, est dorénavant vacillante. De nouveaux rebondissements sont à attendre, mais ils peuvent porter aussi bien dans la direction d’une confirmation de la conservation des données, avec mise en place de limites et de garanties, que dans la direction d’un abandon de cette conservation. Le suspense continue !