La Belgique tient-elle (enfin) sa loi sur la conservation des données de communication ?

Sujet hyper-sensible qui traine depuis des années : comment atteindre l’équilibre entre, d’une part la nécessité de protéger la vie privée des millions de citoyens respectueux des lois, et d’autre part permettre aux autorités, quand elles en ont absolument besoin, d’utiliser les données de communication et de localisation qui sont en possession des opérateurs.

Dialogue fictif :

  • Le suspect : « Monsieur le juge, je vous jure que je n’étais pas au centre-ville samedi passé à 23 heures, j’étais dans mon lit ».
  • Le juge d’instruction : « Dans ce cas, pourriez-vous m’expliquer comment il se fait que votre GSM a borné à cet endroit-là et à ce moment-là ? Votre GSM se promène tout seul en rue pendant que vous dormez ? »

La géolocalisation, les relevés d’appel, les adresses IP et toutes les informations issues des communications électroniques représentent une formidable source d’informations pour les autorités chargées des enquêtes pénales. Savoir qui est en communication avec qui, ou pouvoir suivre les déplacements d’un suspect grâce au bornage de son téléphone, établir la liste des personnes qui étaient dans un périmètre donné à un moment précis etc. peuvent être des informations déterminantes dans une enquête.

Il est donc normal que les autorités, dans le cadre de leur mission légale, cherchent à accéder à ces informations. On leur demande de protéger la pupulation, c’est ce qu’elles font et elles doivent avoir le soutils adéquats.

Il est par contre tout aussi normal de préserver la vie privée des millions de citoyens respectueux des lois : ils ne devraient pas craindre que leurs relevés d’appel soient conservés indéfiniment, ni que leur fournisseur d’accès garde une trace des sites visités, ni qu’il puisse retracer leurs déplacements légitimes. L’excuse du « si vous n’avez à cacher vous pouvez dormir tranquille » étant parfaitement insuffisante : la loi doit organiser cette protection et la garantir.

C’est cet équilibre que les pays européens recherchent depuis plusieurs années.

2014 : la CJUE annule la directive

La directive de 2006 sur la conservation des données avait pour objectif principal d’harmoniser les dispositions des États membres. Elle visait ainsi à garantir la disponibilité de ces données à des fins de prévention, de recherche, de détection et de poursuite des infractions graves, comme notamment les infractions liées à la criminalité organisée et au terrorisme.

Ainsi, la directive prévoyait que les fournisseurs précités doivent conserver les données relatives au trafic, les données de localisation ainsi que les données connexes nécessaires pour identifier l’abonné ou l’utilisateur. En revanche, elle n’autorise pas la conservation du contenu de la communication et des informations consultées.

Dans un arrêt sensationnel, la CJUE avait annulé la directive.

Elle constatait que la conservation des données imposée par la directive n’est pas de nature à porter atteinte au contenu essentiel des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. En effet, la directive ne permet pas de prendre connaissance du contenu des communications électroniques en tant que tel et prévoit que les fournisseurs de services ou de réseaux doivent respecter certains principes de protection et de sécurité des données.

De plus, la conservation des données en vue de leur transmission éventuelle aux autorités nationales compétentes répondait effectivement à un objectif d’intérêt général, à savoir la lutte contre la criminalité grave ainsi que, en définitive, la sécurité publique.

Toutefois, la Cour estimait qu’en adoptant la directive sur la conservation des données, le législateur de l’Union a excédé les limites qu’impose le respect du principe de proportionnalité.

À cet égard, la Cour observait que, compte tenu, d’une part, du rôle important que joue la protection des données à caractère personnel au regard du droit fondamental au respect de la vie privée et, d’autre part, de l’ampleur et de la gravité de l’ingérence dans ce droit que comporte la directive, le pouvoir d’appréciation du législateur de l’Union s’avère réduit, de sorte qu’il convient de procéder à un contrôle strict.

En substance, la cour relevait les manquements suivants :

  • toute infraction n’est pas nécessairement grave : la directive couvrait de manière généralisée l’ensemble des individus, des moyens de communication électronique et des données relatives au trafic sans qu’aucune différenciation, limitation ou exception, soit opérée en fonction de l’objectif de lutte contre les infractions graves.
  • Insuffisance de la protection contre l’accès aux données conservées : il n’est pas question que quiconque porte un uniforme puisse accéder aux données.
  • Durée de conservation indifférenciée : la cour exige une gestion de la durée de conservation qui prend en compte les catégories de données, leur utilité éventuelle et l’objectif poursuivi. Consulter une vidéo vieille de 2 ans n’a pas la même portée selon qu’on cherche à identifier l’auteur d’un excès de vitesse ou un terroriste fuyant la gare dans laquelle il vient de déposer une bombe.
  • Insuffisance des garde-fous contre les usages abusifs

Depuis lors, les Etats membres naviguent en plein brouillard. Le texte d’harmonisation ayant disparu, chaque pays tire dans son coin en tentant d’intégrer malgré tout la jurisprudence de la CJUE, laquelle est régulièrement saisie de questions préjudicielles destinées à vérifier la conformité des législations nationales avec les textes protégeant les droits fondamentaux. Par ailleurs, il n’a pas été possible aux Etats européens de s’entendre sur un texte de compromis en remplacement de la directive annulée.

Un florilège de décisions

Depuis lors, la CJUE a rendu de nombreuses décisions :

  • Arrêt du 8 avril 2014, Digital Rights Ireland e.a., C-293/12 et C-594/12 (voir le CP no 54/14), dans lequel la Cour a déclaré l’invalidité de la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (JO 2006, L 105, p. 54) ;
  • arrêt du 21 décembre 2016, Tele2 Sverige et Watson e.a., C-203/15 et C-698/15 (voir le CP no 145/16), dans lequel la Cour a jugé que l’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 (JO 2009, L 337, p. 11), s’opposait à une réglementation nationale prévoyant la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation aux fins de la lutte contre la criminalité grave ;
  • arrêt du 2 octobre 2018, Ministerio Fiscal, C-207/16 (voir le CP no 141/18), dans lequel la Cour a confirmé l’interprétation de l’article 15, paragraphe 1, de la directive 2002/58, en précisant l’importance du principe de proportionnalité à cet égard
  • Arrêts du 6 octobre 2020, Privacy International, C-623/17, et La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18 (voir le CP no 123/20).

Enfin, last but not least, elle a rendu le 5 avril 2022 en grande chambre, un arrêt de principe (voir ci-dessous).

2021 : la cour constitutionnelle annule la loi belge

Conséquence des arrêts de la cour de justice, et dans le contexte particulier de l’entrée en vigueur entre-temps du RGPD, la cour constitutionnelle belge a annulé en 2021 la loi de 2016 qui transposait en droit belge la directive précitée.

Depuis lors, c’est le flou le plus complet. Cela porte préjudice à tout le monde : la police, le parquet, les juges d’instruction et les avocats chargés de défendre leurs clients … Tout le monde s’interroge quant à la base légale qui permet de solliciter de la part des opérateurs, des informations qui sont de toute évidence des données à caractère personnel.

La nouvelle loi est-elle « blindée » ?

L’objectif de la nouvelle loi du 20 juillet 2022, « relative à la collecte et à la conservation des données d’identification et des métadonnées dans le secteur des communications électroniques et à la fourniture de ces données aux autorités », publiée au moniteur belge du 8 août, a pour but de ramener de la sérénité dans ce dossier ultrasensible.

Y réussit-elle ?

Avec un peu de cynisme, on dira que les réactions mécontentes de toutes les parties intéressées est un signe plutôt positif. Le parquet, la police, les avocats et les opérateurs se plaignent tous : pour les uns la loi ne va pas assez loin, pour les autres elle est excessive, et pour les troisièmes elle coûte trop cher. Voir tout le monde mécontent est, d’une certaine façon, le signe qu’un équilibre a été atteint.

Pourtant, il y a un risque réel d’annulation de la nouvelle loi.

Ce risque découle du pivot utilisé.

Explications …

Le dicton populaire dit qu’on ne tue pas une mouche avec un canon. Le juriste dit la même chose quand il exige des « mesures nécessaires et proportionnées à l’objectif poursuivi ». Traduction concrète : on ne traite pas de la même manière un suspect dans une enquête d’importance mineure et la personne suspectée d’avoir commis un attentat terroriste (on va admettre dans le 2e cas une ingérence bien plus grande dans sa vie privée, justifiée par la gravité du comportement qui lui est reproché).

Sur cette importante question, dans son récent arrêt du 5 avril 2022 rendu en grande chambre, la CJUE dit plusieurs choses :

Elle s’oppose « à des mesures législatives prévoyant, à titre préventif, aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation ».

En revanche, elle ne s’oppose pas « à des mesures législatives prévoyant, aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique,

  • une conservation ciblée des données relatives au trafic et des données de localisation qui soit délimitée, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique, pour une période temporellement limitée au strict nécessaire, mais renouvelable ;
  • une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion, pour une période temporellement limitée au strict nécessaire ;
  • une conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs de moyens de communications électroniques, et
  • le recours à une injonction faite aux fournisseurs de services de communications électroniques, au moyen d’une décision de l’autorité compétente soumise à un contrôle juridictionnel effectif, de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont disposent ces fournisseurs de services,

dès lors que ces mesures assurent, par des règles claires et précises, que la conservation des données en cause est subordonnée au respect des conditions matérielles et procédurales y afférentes et que les personnes concernées disposent de garanties effectives contre les risques d’abus. »

Il y a donc plusieurs conditions, la première étant d’atteindre un seuil de gravité que la Cour décrit comme « la lutte contre la criminalité grave et […] la prévention des menaces graves contre la sécurité publique ».

Ensuite, une fois que ce seuil est atteint, la cour fait encore une différence entre la conservation « ciblée » d’une part, ou « généralisée et indifférenciée » d’autre part, et là c’est la nature des données conservées qui sert de pivot ; par exemple, l’adresse IP n’est pas traitée de la même manière que la donnée de localisation.

Pour s’assurer une parfaite conformité au droit européen (et partant à la protection des droits fondamentaux des citoyens), il eût probablement été plus simple que la loi belge adopte les mêmes pivots et colle aussi étroitement que possible au phrasé de la CJUE.

Le législateur a fait un autre choix : il crée un mécanisme complexe dans lequel la ligne de démarcation créée par la CJUE n’est plus respectée (ou risque de ne pas l’être). Exemples :

  • dans les arrondissements frappés par un taux élevé d’infractions graves, une conservation plus souple devient possible, avec un double risque : que la plupart du territoire soit petit à petit soumis à ce régime en principe exceptionnel, et que le comptage des « infractions graves » englobe des infractions qui sont graves au sens belge mais pas au regard de la jurisprudence européenne ;
  • la loi autorise la conservation généralisée de l’adresse IP mais aussi d’autres informations. Est-on certain que celles-ci passeraient la rampe en cas de recours ? ;
  • l’accès aux informations qui sont conservées sous couvert de criminalité grave et de menaces graves contre la sécurité publique, pourrait être possible dans d’autres hypothèses moins cruciales, ce qui revient en réalité à les avoir conservées pour des finalités plus larges qu’autorisé ; etc.

Il est donc probable qu’un recours en annulation soit intenté et/ou qu’une nouvelle question préjudicielle soit posée. La saga devrait donc continuer.

Plus d’infos?

Suivez notre fil relatif aux #données de connexion

Lisez l’arrêt du 5 avril 2022 de la CJUE, disponible en téléchargement ci-dessous.

Source : Droit & Technologies

Mots clés

Articles recommandés

Dirigeants en télétravail : évitez les pièges cachés !

Sept employés belges sur dix apprécient la flexibilité

Fisconetplus - Mise à jour de la farde documentaire : protection des données et de la vie privée