Coup de théâtre : la Cour de justice de l’Union européenne (CJUE) a invalidé, ce mardi 8 avril, la directive européenne 2006/24/CE sur la conservation des données personnelles, jugée trop intrusive. Dans un arrêt cinglant, l’institution estime « qu’en imposant la conservation de ces données et en en permettant l’accès aux autorités nationales compétentes, la directive s’immisce de manière particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel » et que cette ingérence « n’est pas suffisamment encadrée » pour garantir qu’elle soit effectivement limitée au strict nécessaire.
Créée pour lutter contre le terrorisme et le crime organisé, cette directive oblige les fournisseurs d’accès à Internet à conserver des données relatives au trafic, des données de localisation, ainsi que des données connexes nécessaires pour identifier l’abonné ou l’utilisateur. La durée de conservation peut aller de six mois à deux ans. La CJUE constate que ces données « sont susceptibles de fournir des indications très précises sur la vie privée des personnes » : habitudes de la vie quotidienne, lieux de séjour permanents ou temporaires, déplacements journaliers, activités exercées, relations sociales, milieux sociaux fréquentés…
Un cadre disproportionné
Cette captation est jugée excessive et sans contrôle par le CJUE. En effet, elle est faite « sans qu’aucune différentiation, limitation ou exception soit opérée en fonction de l’objectif de lutte contre les infractions graves ». Par ailleurs, rien n’est fait pour éviter les abus et garantir que les autorités nationales compétentes – gouvernements, polices… – ne peuvent utiliser ces données à d’autres fins. La notion d’infraction grave est relativement floue, et varie d’un pays à l’autre. De plus, l’accès aux données n’est pas subordonné au contrôle préalable d’une juridiction ou d’une entité administrative indépendante. Cette décision fait suite aux plaintes déposées par l’Irlande et l’Autriche.
Dans un communiqué, la députée européenne Françoise Castex s’est félicitée de cette décision, qui marque « un coup d’arrêt à la rétention de données ». « Cette directive, qui a été votée dans le cadre des accords UE/États-Unis après les attentats du 11 septembre, ne répondait pas aux exigences imposées par les droits fondamentaux à la vie privée et à la protection des données. Cet arrêt confirme ma conviction qu’il est urgent de doter l’Europe d’un habeas corpus numérique, et de suspendre, une fois pour toutes, les accords Safe Harbour et Swift/TFTP qui autorisent le transfert des données personnelles des Européens aux autorités américaines », explique-t-elle.
La commissaire européenne Viviane Reding se montre également satisfaite. Selon elle, cet arrêt confirme qu’il faut « avoir des autorités indépendantes dédiées à la protection des données pour garantir les droits fondamentaux ».
Glad #CJEU confirmed: we need independent #DataProtection authorities to uphold fundamental right to #EUDataP http://t.co/XJbAwvq3dJ
— Viviane Reding (@VivianeRedingEU) April 8, 2014
De son côté, la Commissaire aux Affaires intérieures Cecilia Malmström travaille déjà sur une réforme de cette législation européenne, mais elle attendait de connaître la décision de la CJUE pour orienter ses propositions.
Lire aussi:
Une entreprise française sur deux dépasse la durée légale de conservation des données, le 04/09/2013
La loi de conservation des données de connexion censurée outre-Rhin, le 05/003/2010
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.