Hier, le tribunal de première instance de l'Union européenne a estimé que les gouvernements européens ne doivent pas obliger les opérateurs de télécommunications à conserver la totalité des données de communication des utilisateurs. Mais ils peuvent, à titre préventif et pour lutter contre la criminalité grave, prévoir une « conservation ciblée » de ces données, à condition que de la limiter au strict nécessaire. L'arrêt de la Cour de Justice de l'UE répond à une question de la Cour d'appel du Royaume-Uni, qui examine actuellement la légalité de la loi britannique de 2014 sur la conservation des données et des pouvoirs d'investigation, la Data Retention and Investigatory Powers Act, et à une question similaire du régulateur des télécommunications suédois. Mais la décision remet également en question la validité de la récente loi sur les pouvoirs d'enquête (ou Investigatory Powers Act). Celle-ci oblige outre-Manche les entreprises de télécommunications à conserver les données de communication, y compris les listes d’appels et des sites visités, et à les mettre à la disposition de dizaines de milliers de fonctionnaires, notamment les inspecteurs des impôts et les organismes chargés de la sécurité sanitaire des aliments.

En France, après l'adoption de la loi sur le Renseignement en juin 2015, les fournisseurs d'accès Internet étaient montés au créneau dans la foulée en regrettant la décision du Conseil Constitutionnel de valider le recours à des techniques de renseignement longue durée. Plus récemment, les Sages ont de nouveau été saisis sur cette loi, par la Quadrature du Net et d'autres organisations, sur un article portant cette fois sur la surveillance des communications hertziennes qui a été, de fait, jugé non conforme à la constitution. L'arrêt communiqué le 21 décembre par la Cour de Justice de l'Union européenne devrait donc être également examiné de près dans l'Hexagone.

La loi autorise toutefois une conservation ciblée de certaines données

La décision prise hier par la CJUE vient effectivement rappeler que la législation de l'UE interdit la conservation globale et aveugle des données de trafic et des données de localisation. En cela, elle remet en question les lois britanniques de 2014 et de 2016. La CJUE a cependant laissé une certaine marge de manœuvre au gouvernement anglais, estimant par ailleurs que « la loi autorise la conservation ciblée de certaines données dans le but de lutter contre les crimes graves, à condition que les gouvernements limitent cette conservation aux données strictement nécessaires ». « Dans tous les cas, les données conservées doivent rester dans l'UE et une autorité indépendante doit examiner toutes les demandes d'accès à ces données », a encore précisé la Cour de Justice de l’UE.

Outre-Manche, Camilla Graham Wood, juriste pour le groupe de pression International Privacy, estime pour sa part que, tout comme la loi précédente, la nouvelle loi Powers Act sur les pouvoirs d'enquête n’offre pas les garanties nécessaires et elle a demandé au gouvernement britannique de résoudre cette question sans délai afin que l'accès aux données soit dûment autorisé. « Le tribunal a reconnu à juste titre que nos données de communication ne sont pas moins sensibles que le contenu de nos communications. C'est quelque chose que le gouvernement britannique a délibérément ignoré, permettant à un grand nombre d'organismes publics d'accéder à nos données personnelles sans mandat », a-t-elle déclaré. Cette position de la CJUE sur la conservation des données est relativement récente. La législation de l'UE autorisait - et même exigeait - une conservation beaucoup plus large des données de communication. Mais, suite à la plainte déposée en 2014 par le groupe de défense irlandais Digital Rights Ireland, la CJUE a invalidé la directive de 2006 sur la conservation des données en raison de son incompatibilité avec les droits fondamentaux relatifs au respect de la vie privée et de la protection des données à caractère personnel.