AEDH

L’invalidation en 2014 de la directive sur la conservation des données favoriserait les droits de l’Homme mais selon Eurojust menacerait la lutte contre les crimes graves

This post is also available in: enEnglish (Anglais)

En 2006, une directive de l’Union européenne a été adoptée obligeant les télécoms et les fournisseurs de services Internet à conserver les données de trafic, de localisation et d’autres informations pour une période allant de six mois à deux ans, des informations qui pourraient être utilisées dans la lutte contre les crimes particulièrement graves dans l’UE[1]. L’objectif principal de cette directive était d’harmoniser les différentes réglementations de l’UE. S’agissant d’une directive, cette dernière devait être transposée dans chaque État membre, conduisant l’organisation de défense des droits civiques, Digital Rights Ireland, à déclarer que les mesures adoptées par les pays pour appliquer la directive servaient de base à la surveillance de masse des citoyens en violation des droits fondamentaux[2]. Par conséquent, à la suite de l’affaire impliquant Digital Rights Ireland, la CJUE a invalidé la directive en avril 2014[3]. Suite à cela, Eurojust, l’agence de l’Union européenne (UE) chargée de la coopération judiciaire en matière pénale, a réalisé une analyse de la législation des états membres et des challenges actuels que rencontre la conservation des données. Par la suite, la CJUE a de nouveau été saisie d’une affaire, Tele2 et Watson[4], relative à la conservation des données par les fournisseurs de services de communications électroniques. Dans ce contexte, Eurojust a réalisé une analyse du jugement de la CJUE et de son impact sur la coopération judiciaire en matière pénale au sein de l’UE, avec l’aide du réseau européen de la cybercriminalité judiciaire.

Le jugement de la CJEU

Selon la CJUE, une telle directive a permis de conserver les données et a notamment permis de : connaître l’identité de la personne avec laquelle un abonné ou un utilisateur enregistré a communiqué et par quels moyens, identifier l’heure de la communication ainsi que le lieu d’où cette communication a eu lieu et connaître la fréquence des communications de l’abonné ou de l’utilisateur enregistré avec certaines personnes pendant une période donnée[5]. Ces données fournissent des informations très précises sur la vie privée des personnes dont les données sont conservées, telles que les habitudes de la vie quotidienne, les lieux de résidence permanents ou temporaires, les mouvements quotidiens, les activités menées, les relations sociales et les environnements sociaux fréquentés. Selon la Cour, en exigeant la conservation de ces données et en permettant aux autorités nationales compétentes d’accéder à ces données, la directive interfère de manière particulièrement grave avec le droit au respect de la vie privée et à la protection des données personnelles. Ainsi, en invalidant la directive sur la conservation des données, le tribunal a statué en faveur de la protection des données personnelles[6].

Dans son jugement, la CJUE préconise une conservation générale et non discriminatoire des données de trafic et des données de localisation. Cependant, le tribunal prévoit que les États membres sont libres de réglementer la conservation des données de manière ciblée dans le but de lutter contre les crimes graves. Cette rétention doit être limitée à ce qui est strictement nécessaire pour cette finalité[7].

Défis et préoccupations

L’invalidation de la directive soulève de nouvelles préoccupations, notamment en matière d’enquêtes criminelles, de poursuites et de coopération judiciaire. En effet, selon Eurojust, le paysage européen en matière de régimes de conservation des données n’est pas harmonieux et l’absence d’un cadre commun d’exigences peut constituer une menace réelle pour la lutte contre les crimes graves ; « La réglementation en place fragmentée ébranle les enquêtes et les poursuites pénales ainsi que la coopération judiciaire dans la lutte contre les crimes graves. […] il y a eu un nombre important de contestations concernant l’admissibilité de certaines preuves dans des procédures pénales en l’espace d’un an à compter du jugement […]. En outre, plusieurs États ne disposent actuellement d’aucun cadre légal défini de conservation des données sur lequel les autorités chargées de l’application des lois et de la justice peuvent opérer efficacement et rapidement »[8]. Plus précisément, l’analyse d’Eurojust démontre l’absence d’un cadre commun au sein des États membres de l’UE en ce qui concerne la conservation des données. En effet, la grande majorité des pays disposent d’une législation spécifique sur la conservation obligatoire des données à des fins répressives, mais certains pays n’en ont pas. Aucun pays ne semble disposer de la législation contenant des critères de ciblage spécifiques stipulés par la CJUE (c’est-à-dire que la conservation des données est autorisée de manière ciblée aux fins de la lutte contre les crimes graves). La plupart des pays ayant des règles obligatoires de conservation des données à des fins répressives ont défini des limites de temps dans lesquelles les données peuvent être conservées, variant de plusieurs semaines à trois ans[9].

Dans l’ensemble, la CJUE s’est prononcée en faveur de la protection des données personnelles en invalidant la directive sur la conservation des données. Mais il reste encore beaucoup à faire pour arriver à un cadre commun équilibré et harmonisé en matière de règles de conservation des données. L’indisponibilité des données, en particulier en ce qui concerne la collecte de preuves, est l’une des principales préoccupations exprimées par les répondants qui pourraient avoir un impact négatif sur les enquêtes et les poursuites en cours. Cela suscite des inquiétudes encore plus élevées en particulier dans le contexte actuel d’éventuelles attaques terroristes[10]. En effet, la directive invalidée sur la conservation des données a été adoptée dans un contexte d’attentats terroristes (Madrid en 2004 et Londres en 2005) ayant conduit les États membres à privilégier un haut niveau de sécurité et à adopter un processus législatif très rapide[11].

L’AEDH se réjouit donc que la CJUE ait invalidé une directive portant atteinte aux droits fondamentaux. Concernant les conclusions d’Eurojust appelant à la mise en place d’un cadre commun et harmonisé de conservation et d’accès aux données au niveau de l’UE, l’AEDH considère que le principal problème en matière de lutte contre le crime organisé et le terrorisme est la réticence des forces répressives et des services de renseignement à échanger leurs informations.


[1]Euractiv, EU Court slams Data Retention Directive, Avril 2014 – https://www.euractiv.com/section/justice-home-affairs/news/eu-court-slams-data-retention-directive/

[2]Global Freedom of Expression, Columbia University, Digital Rights Ireland, 2015 –https://globalfreedomofexpression.columbia.edu/cases/ecj-digital-rights-ireland-ltd-v-minister-for-communications-marine-and-natural-resources-c%E2%80%9129312-and-c%E2%80%9159412-2014/

[3] Conseil de l’Union européenne, Data retention regimes in Europe in light of the CJEU ruling of 21 December 2016 in Joined Cases C-203/15 and C-698/15, Novembre 2017 – http://www.statewatch.org/news/2017/nov/eu-eurojust-data-retention-MS-report-10098-17.pdf

[4]CJUE, Les États membres ne peuvent pas imposer une obligation générale de conservation de données aux fournisseurs de services de communications électroniques, décembre 2016 – https://curia.europa.eu/jcms/upload/docs/application/pdf/2016-12/cp160145fr.pdf

[5] CJUE, The Court of Justice declares the Data Retention Directive to be invalid, Avril 2014 – https://curia.europa.eu/jcms/upload/docs/application/pdf/2014-04/cp140054en.pdf

[6]CJUE, The Court of Justice declares the Data Retention Directive to be invalid, Avril 2014 –https://curia.europa.eu/jcms/upload/docs/application/pdf/2014-04/cp140054en.pdf

[7] Conseil de l’Union européenne, Data retention regimes in Europe in light of the CJEU ruling of 21 December 2016 in Joined Cases C-203/15 and C-698/15, Novembre 2017 – http://www.statewatch.org/news/2017/nov/eu-eurojust-data-retention-MS-report-10098-17.pdf

[8]Conseil de l’Union européenne, Data retention regimes in Europe in light of the CJEU ruling of 21 December 2016 in Joined Cases C-203/15 and C-698/15, Novembre 2017 – http://www.statewatch.org/news/2017/nov/eu-eurojust-data-retention-MS-report-10098-17.pdf

[9]Conseil de l’Union européenne, Data retention regimes in Europe in light of the CJEU ruling of 21 December 2016 in Joined Cases C-203/15 and C-698/15, Novembre 2017 http://www.statewatch.org/news/2017/nov/eu-eurojust-data-retention-MS-report-10098-17.pdf

[10]Conseil de l’Union européenne, Data retention regimes in Europe in light of the CJEU ruling of 21 December 2016 in Joined Cases C-203/15 and C-698/15, Novembre 2017 http://www.statewatch.org/news/2017/nov/eu-eurojust-data-retention-MS-report-10098-17.pdf

[11]Euractiv, EU Court slams Data Retention Directive, Avril 2014 –

https://www.euractiv.com/section/justice-home-affairs/news/eu-court-slams-data-retention-directive/

webmin