Ce blogpost n’exprime que les opinions de son auteur et ne reflète pas nécessairement la position du bureau ‘lesJuristes’.

[hr]Cela a fait l’effet d’une bombe. La CJUE a rendu hier matin un arrêt cinglant qui fera date, puisqu’elle vient en effet de déclarer invalide la directive européenne sur la rétention des données personnelles, jugée nécessaire mais disproportionnée et trop intrusive.

Certains disent que cette nouvelle jurisprudence représente une étape importante dans la reconquête de notre droit fondamental à la vie privée et à la protection de nos données personnelles, mais qu’en est-il réellement?

Sur le fond, la décision prise ce mardi par la CJUE marque, il est vrai, un moment-clé pour la protection des données personnelles à l’ère du numérique, surtout après cette année agitée par le scandale des écoutes de la NSA. Mais il reste que sur la forme, cette décision ne va pas changer grand-chose, au moins à court terme.

[hr]Sur le fond: un arrêt qui fera date

Pour mémoire, la directive européenne 2006/24/CE sur la conservation des données téléphoniques et numérique obligeait les opérateurs de télécommunication à conserver sur leurs serveurs les informations de connexion de leurs clients et à mettre celles-ci à disposition des autorités, pendant une durée pouvant aller de six mois à deux ans au choix des Etats membres.

Adopté en 2006, ce texte avait pour but de renforcer la lutte contre le crime organisé et le terrorisme après les attentats meurtriers de Madrid et de Londres. Il a fait l’objet, dès son adoption, de nombreuses critiques, qui, toutes, soulignaient une violation du droit au respect de la vie privée et du droit à la protection des données à caractère personnel. Deux saisines initiées par la Cour suprême irlandaise et par la Cour constitutionnelle autrichienne ont finalement permis à la CJUE d’examiner la validité de la directive au regard des ces deux droits fondamentaux.

La CJUE a finalement suivi l’avis de l’avocat général et a conclu à l’invalidité de la directive, considérant qu’“en adoptant la directive 2006/24/CE, le législateur européen a excédé les limites qu’impose le respect du principe de proportionnalité”.

L’arrêt rendu par la CJUE relève deux problèmes majeurs: le manque de protection contre les risques d’abus et contre l’accès et l’utilisation illicites des données, et l’absence de mesures pour limiter au strict nécessaire l’ingérence dans la vie privée des individu.

La CJUE est en premier lieu contrariée par l’absence de contrôle, par un organisme indépendant, des finalités pour lesquelles les données conservées sont accessibles aux autorités publiques en charge de la lutte contre le terrorisme ou les crimes les plus graves. Le fait que la directive s’applique à l’ensemble des personnes faisant usage de services de communications téléphoniques, en ce compris les personnes qui ne se trouvent pas dans une situation susceptible de donner lieu à des poursuites pénales, la dérange également. Cet argument est quelque peu bancal, dès lors que la prévention et la détection d agissements terroristes requiert par nature d’identifier des populations à risque, avant la commission d’un crime, et donc d’exercer un contrôle des personnes présumées innocentes.

Cette absence générale de limites pose problème à la Cour, qui relève par ailleurs que cartographier les informations de connexion d’une personne permet en réalité de tout savoir sur elle, jusqu’aux lieux qu’elle fréquente, aux activités qu’elle exerce et aux relations sociales qu’elle entretient. La Cour estime qu’“en imposant la conservation de ces données et en en permettant l’accès aux autorités nationales compétentes, la directive s’immisce de manière particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel“. Cette ingérence vaste et particulièrement grave répond certes à un objectif d’intérêt général, celui de lutter contre la criminalité grave, mais elle n’est pas suffisamment encadrée, aux yeux de la Cour, que pour être effectivement limitée au strict nécessaire. La directe offre aux Etats un chèque en blanc pour espionner massivement les communications de leurs citoyens.

[hr]Sur la forme: quelles conséquences en Belgique?

La directive européenne sur la rétention des données, transposée l’année passée en droit belge, dans la hâte et sans une sérieuse réflexion parlementaire préalable, n’est pas annulée, mais déclarée inapplicable avec effet rétroactif. Le résultat est le même: cette législation n’a plus vocation à s’appliquer.

Certes, l’arrêt de la CJUE ayant un effet erga omnes, sa portée dépasse les dossiers des instances irlandaise et autrichienne en cause. Il faut cependant relativiser la portée de cette déclaration d’invalidité dans notre pays, dès lors que les lois nationales existantes restent provisoirement applicables. Il appartient en fait aux tribunaux et aux parlements des États membres de l’UE de décider de leur avenir.

La loi transposant la directive en droit belge reste donc pour le moment d’actualité, mais se trouve en porte-à-faux puisqu’il ne peut être exclu que le gouvernement entreprenne des actions à court terme à son encontre. Le parti Ecolo a ainsi d’ores et déjà réagi et demandé au gouvernement de suspendre immédiatement l’application de la législation belge transposant la  directive. Les fondements de cette législation pourraient par ailleurs se voir contestés devant les juges nationaux dans le cadre de procédures individuelles. On pourrait par exemple imaginer qu’une personne condamnée sur base d’informations de connexion fournies par les opérateurs télécoms conteste cette décision et invoque l’invalidité de la loi belge en s’appuyant sur l’arrêt de la CJUE de ce 8 avril.

La loi belge du 30 juillet 2013 portant modification de la loi du 13 juin 2005 relative aux communications électroniques et du Code d’instruction criminelle se trouve d’autant plus en danger qu’un recours en annulation a récemment été introduit à son encontre devant la Cour constitutionnelle belge par la Ligue des Droits de l’Homme et la Liga voor Mensenrechten.

[hr]Conclusion

Par son arrêt, la CJUE a soulevé un problème de protection des droits fondamentaux et imposé une révision de la législation européenne sur la conservation des données personnelles, sans préciser clairement le sens que devra prendre cette révision.

Bref, tout reste à définir. Quoi qu’il en soit, l’arrêt de la Cour ne permet plus aujourd’hui de faire l’économie d’un débat, qui s’invitera donc sans aucun doute dans les prochaines élections!