Dans le « petit » monde du numérique, comment échapper au bouleversement jurisprudentiel de la semaine suite à l’arrêt rendu par la Cour de Justice de l’Union européenne le 8 avril dernier et invalidant la directive sur la conservation des données1 ?
Pour un énième rappel, cette directive imposait aux fournisseurs de services de communications électroniques de conserver les données aux fins de faciliter la prévention, la détection et la poursuite d’infractions graves par les autorités de justice pénale. La Cour de justice a considéré que de tels traitements de données constituaient une ingérence d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données personnelles. Or, si cette ingérence est valablement justifiée par un motif d’intérêt général, elle ne résiste pas au contrôle de proportionnalité lato sensu effectué par la Cour qui estime que d’autres mesures, plus appropriées, affecteraient de façon moins préjudiciable les personnes et les droits en cause.
Opérant son contrôle de proportionnalité, la Cour critique le fait que cette directive puisse cibler la quasi-totalité des données personnelles européennes sans qu’aucune menace n’ait été préalablement détectée. Autrement dit, il faudrait détecter une menace préalable pour pouvoir mettre en œuvre un système de conservation et de traitement des données susceptible de permettre aux autorités d’intervenir.
Rappelant l’adage du reptile se mordant l’appendice, cela semble peu réalisable. D’une part, la conservation des données ne surviendrait plus au stade de la prévention et de l’identification des menaces mais seulement aux fins d’enquête et de répression. Cela supposerait, d’autre part, de faire des fournisseurs de services de communications électroniques des auxiliaires de justice diligents à mettre en place un système de conservation des données au cas par cas, menace par menace. Terriblement chronophage, une telle cohésion semble peu probable en pratique.
La Cour critique également l’absence d’obligation d’une conservation de ces données sur le territoire de l’Union européenne afin d’en permettre l’accès aux autorités indépendantes. Cela comporte deux limites évidentes :
Là encore, il semble y avoir un fossé entre la décision de la Cour et la réalité numérique. En effet, exiger une présence territoriale pour des données numériques est évidemment compréhensible mais infiniment peu commode à réaliser et contraire à la vocation intrinsèque du réseau Internet.
Argument infiniment plus pertinent, l’absence de contrôle préalable effectué par une juridiction ou une autorité administrative sur les personnes et autorités qui accèdent aux traitements de ces données.
Sans aucune précision ni encadrement de la directive sur ce point, la voie des abus et des atteintes aux droits fondamentaux semblait effectivement pavée. La critique de la Cour se révèle donc avisée car la viabilité de tels instruments réside dans la sécurisation du traitement et de l’accès aux données, que ce soit en Union européenne ou ailleurs.
Cette solution de la Cour – trop laconique sur les instruments et méthodes plus appropriés à adopter – laisse donc apparaître un enjeu majeur des données personnelles: celui d’élaborer de nouveaux instruments juridiques susceptibles de concilier les droits fondamentaux au respect de la vie privée, la lutte contre les infractions graves et les réalités pratiques du numérique.
1 Directive 2006/24/CE du Parlement européen et du Conseil ; du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de fournitures de service de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (JO L105, p.54).
