(Questions/Réponses) La plus haute Cour de justice de l’UE a jugé que les régimes de surveillance de masse du Royaume-Uni, de la France et de la Belgique doivent respecter la vie privée

Le 6 octobre 2020, la Cour de justice de l’Union européenne (CJUE) a rendu ses décisions dans trois affaires concernant le Royaume-Uni (Privacy International), la France (La Quadrature du Net et Autres) et la Belgique (Ordre des barreaux francophones et germanophone et Autres).

Après notre première réaction, nous répondons ci-dessous à quelques questions importantes qui concernent plus spécifiquement le Royaume-Uni et la France.

Note : Cet article exprime notre première réaction au jugement et pourra être mis à jour.

Quelle est la finalité de cette décision ?

La CJUE a jugé que la conservation des données en masse et les pratiques de collecte mises en œuvre par les Etats membres à des fins de sécurité nationale doivent être conformes au droit de l’UE, et doivent donc appliquer des garanties en matière de vie privée.

Cette décision est particulièrement importante parce qu’elle montre que le droit de l’UE s’applique, même dans le contexte de sécurité nationale actuel, lorsqu’une une loi sur la surveillance d’un Etat membre exige d’un fournisseur de communications électroniques de traiter des données personnelles.

Les lois sur la surveillance nationales au Royaume-Uni, en France et ailleurs en Europe, imposent aux opérateurs de communications électroniques et aux fournisseurs de services de garder énormément de données personnelles, , pour une future collecte ou mise à disposition pour les services de renseignements de l’Etat. La décision rendue aujourd’hui confirme, une fois encore, qu’une conservation généralisée et indifférenciée des données et la collecte des données de communications sont incompatibles avec les droits fondamentaux de respect de la vie privée, de la protection des données et de la liberté d’expression.

Les gouvernements des pays de l’UE ont une obligation légale de s’assurer que la conservation, l’accès et l’utilisation de certaines données répondent à des exigences précises. Ces exigences, également appelées « garanties », sont indispensables pour assurer un équilibre entre le droit à la vie privée de la personne et la protection des citoyens.

Vous pouvez lire plus d’informations sur cette affaire ici.

De quelles données parlons-nous exactement ?

Ces affaires portent seulement sur différents types de données de communications. Les données de communications concernent les données relatives au trafic, à la localisation, aux abonnés et utilisateurs, et toutes autres données qui entourent la communication A L’EXCEPTION du contenu réel des communications. Les données de communications peuvent donner des renseignements sur les contacts, et toutes les informations en termes de qui, quoi, quand, et où de nos communications. Par exemple, les données de communication peuvent révéler les recherches d’itinéraire, les sites visités, et les informations concernant aussi bien la géolocalisation que les appareils connectés au réseau.

Quand les données de communications sont collectées de façon globale pour un individu ou un groupe, les risques engendrés sont aussi importants que l’accès au contenu réel de ces communications. Ces données permettent de connaître l’identité des personnes avec lesquelles un utilisateur communique et avec quel type d’appareil, l’heure et l’endroit d’où sont émises ces communications. Particulièrement grave, les données de communications indiquent la fréquence des contacts d’un utilisateur avec certaines personnes pendant une période donnée.

Dans ces trois affaires, la CJUE a rappelé que la conservation ou la collecte des données relatives au trafic et à la localisation constituent une ingérence « très grave » dans la vie privée.

Comment les services de renseignements obtiennent-ils des données en masse ?

Que ce soit votre supermarché, votre opérateur de téléphonie, ou une appli de transport, toutes ces entreprises détiennent aujourd’hui une énorme quantité de données sur vous. Le droit de l’UE exige de toutes les sociétés de protéger votre vie privée. Parmi leurs obligations, les sociétés doivent conserver les données pendant une durée réduite au strict minimum légal. C’est une protection avisée. En effet, plus les données sont conservées longtemps, plus elles sont susceptibles d’abus, de perte, de vol, de partage, et utilisées pour établir votre profil et même vous tracer. Or même si cette disposition figure dans le droit de l’UE, certains gouvernements ont (imprudemment) contraint des sociétés à conserver leurs données bien plus longtemps. C’est ce qu’on appelle l’obligation de conservation des données.

Quand cette conservation des données est généralisée et indifférenciée, cela signifie que des données sensibles vont être gardées alors même que vous n’êtes suspecté d’aucun crime. Fondamentalement, c’est une forme de surveillance de masse. Comme pour toute surveillance de masse, cela implique que nous sommes tous considérés comme suspects. Le principe qui sous-tend une démocratie est « pas de soupçon, pas de surveillance ». La police et d’autres organismes d’Etat disposent déjà de pouvoirs énormes. La conservation des données généralisée et indifférenciée va trop loin et constitue une menace disproportionnée pour notre vie privée.

La conservation des données généralisée et indifférenciée était en cause dans les affaires française et belge.

Dans l’affaire du Royaume-Uni, une autre forme de surveillance était en jeu, la collecte généralisée et indifférenciée des données.
Les sociétés de télécommunications pourraient être obligées de transmettre l’essentiel des données de communications directement aux services de renseignements britanniques. Cela implique que les services de renseignements du Royaume-Uni conserveraient eux-mêmes les données.

En quoi la conservation généralisée et indifférenciée des données, ou la collecte des données, sont-elles liées à la vie privée ?

Conservation : La conservation généralisée et indifférenciée des données menace votre vie privée de plusieurs façons. Elle contourne le droit de l’UE sur la vie privée qui prévoit que les données doivent être gardées par les sociétés pendant une durée réduite au strict nécessaire. Quand les données sont conservées au-delà du strict nécessaire, cela crée des risques d’abus, de perte, de vol, de partage et d’utilisation pour établir votre profil et vous tracer. Et quand cette conservation est généralisée et indifférenciée, cela signifie que le gouvernement n’est même pas obligé de justifier la raison pour laquelle les sociétés sont obligées de garder ces données. En fait, il leur demande de les garder pour une future et éventuelle utilisation.

La conservation des données facilite l’accès des gouvernements à ces données. Si cet accès n’est pas régi par des garanties solides, cela va créer une grave atteinte à la vie privée.

Collecte : La collecte généralisée et indifférenciée des données porte atteinte à la vie privée en permettant à un gouvernement de se faire transmettre directement des données par une société. C’est une intrusion importante, comme indiqué précédemment, parce que les données de communications peuvent révéler tellement de choses sur nos vies personnelles. La CJUE a estimé que la collecte généralisée et indifférenciée, telle que pratiquée au Royaume-Uni, équivaut à un accès total et non-ciblé. Cela contourne toutes les protections établies pour réguler l’accès aux données. Pour cette raison, cette collecte déroge au droit de l’UE.

Rien que des bonnes nouvelles ?

Les décisions sont encourageantes, à la fois pour faire appliquer le droit de l’UE à ces situations de sécurité nationale et parce qu’elles condamnent la conservation ou la collecte de données de façon préventive, généralisée et indifférenciée.

Les décisions instaurent une nouvelle approche de la conservation des données (et de leur collecte) dans des contextes de sécurité nationale. Cependant, des exceptions ont été prévues pour la conservation si une menace sérieuse à la sécurité nationale est réelle et actuelle ou prévisible, pour autant que cette conservation reste temporaire dans ce contexte. Les décisions française et belge ont aussi établi des critères différents pour certains types de données, comme les adresses IP ou les données des abonnés.

De nouvelles garanties sont listées pour le traitement et la collecte en temps réel des données de communications.

Nous devons attendre que ces affaires reviennent devant leurs juridictions nationales afin d’évaluer comment ces nouvelles mesures s’exercent dans la pratique.

Comment y sommes-nous parvenus ? Et pourquoi les trois affaires ont-elles été traitées ensemble ?

La Cour de justice de l’Union européenne (CJUE) est la plus haute autorité judiciaire de l’UE qui statue sur le respect des Etats membres avec les traités de l’UE. Toutes les décisions de la CJUE s’imposent aux Etats membres et à leurs juridictions nationales.

Le 6 octobre 2020, la CJUE a rendu deux avis séparés pour trois affaires, un avis pour l’affaire du Royaume-Uni (Privacy International) et un autre pour les affaires jointes française (La Quadrature du Net et Autres) et belge (Ordre des barreaux francophones et germanophone et Autres).

Chaque affaire a été adressée à la CJUE par chacune des juridictions nationales. Par exemple, au Royaume-Uni, c’est le Investigatory Powers Tribunal (IPT), l’instance judiciaire britannique qui instruit les plaintes sur les pratiques de surveillance, qui a renvoyé l’affaire à la CJUE.

Comme les trois affaires soulevaient des questions semblables liées aux systèmes de conservation et de collecte des données en masse dans chacun de ces pays, la CJUE a tenu une audience conjointe en 2019. Bien que les trois affaires traitent de questions similaires, les réalités diffèrent suffisamment pour que la CJUE rende deux avis séparés mais étroitement liés.

Quel avenir pour les affaires ?

Comme déjà évoqué, la Cour de l’UE a entendu les affaires britannique, française et belge sur les demandes respectives (appelées aussi renvois) de chaque juridiction nationale, afin d’interpréter l’application du droit de l’UE à ces affaires. Par exemple, dans l’affaire britannique, c’est le IPT qui a renvoyé l’affaire devant la CJUE.

La CJUE ayant donné à présent sa décision sur l’application du droit de l’UE à ces conservations et collectes de données en masse, les affaires vont retourner devant leurs juridictions nationales pour le verdict final. L’affaire du Royaume-Uni va retourner devant le IPT et de même, l’affaire française devant le Conseil d’Etat (la plus haute juridiction française) qui avait été saisi de l’affaire. De même, l’affaire belge va revenir devant la Cour constitutionnelle de Belgique.

Les décisions de ces juridictions nationales seront guidées par les conclusions de la CJUE.

Super. Comment vous aider ?

Avoir des lois efficaces et des technologies pour protéger la vie privée est extrêmement important mais l’essentiel, c’est que les gens soient informés de ces questions et puissent influencer les grandes entreprises et les gouvernements. Vous pouvez lire plus d’informations sur cette affaire, comprendre comment fonctionne cette surveillance et les questions que cela pose ici.

Pour rester informés sur cette affaire et l’ensemble de notre travail, vous pouvez vous inscrire sur notre liste d’envoi ici - pas d’inquiétude, vous pouvez choisir les sujets qui vous intéressent le plus… et nous protégeons vos données personnelles !

Comme nous sommes une association avec des fonds limités, votre soutien par le biais d’une donation sera le bienvenu – vous pouvez le faire ici.

Mais si nous voulons nous assurer vraiment que nous ne marchons pas comme des somnambules dans un monde où la surveillance de l’Etat et des entreprises est omniprésente, il est essentiel que les gens fassent pression sur les gouvernements et les entreprises. Alors il y a une chose que vous pouvez faire : faites entendre vos voix !

Traduction en allemand, avec quelques modifications, à lire ici.

Le texte originale en anglais est disponible ici.