Une nouvelle fois la Cour de justice de l’UE juge contraire au droit européen une législation organisant la conservation généralisée de données de connexion même dans le cadre de la lutte contre la criminalité grave. L’arrêt, qui concerne un meurtre commis en Irlande, contient plusieurs points qui questionnent le régime français.
L’affaire, tranchée aujourd’hui par la CJUE, concerne un individu condamné en 2015 en Irlande à une peine de réclusion à perpétuité pour le meurtre d’une femme disparue en août 2012.
L’individu avait contrattaqué en reprochant à la justice « d’avoir, à tort, admis comme éléments de preuve des données relatives au trafic et des données de localisation afférentes à des appels téléphoniques ». Il mettait en cause la compatibilité avec le droit de l’UE, la loi irlandaise qui organise la conservation de ces précieuses métadonnées, soit les qui, quand, comment, où des communications, notamment téléphoniques.
Après plusieurs étapes procédurales, la Haute cour irlandaise a interrogé la Cour de justice de l’UE, avec à l’index la solidité juridique de la conservation des données de connexion ici justifiée par un objectif de lutte contre la criminalité grave.
Autre problème soulevé : l’accès à ces données par la police nationale irlandaise. Dans ce pays, c’est en effet un commissaire divisionnaire, chef de la section de la sécurité et du renseignement, qui s’occupe de filtrer les demandes. S’il estime que les données se raccrochent au haut du panier de la criminalité, alors il prend contact avec les opérateurs.
Dans son arrêt, la CJUE a rappelé que la conservation des données de connexion était une dérogation à une interdiction de principe reposant sur le fondement de la protection de la vie privée, de la protection des données à caractère personnel, ou encore de la liberté d’expression. La Cour explique les fondements de ce régime, en recopiant un passage qu’on retrouve notamment dans son arrêt d’octobre 2020 dit « La Quadrature du Net » :
« Les données relatives au trafic et les données de localisation sont susceptibles de révéler des informations sur un nombre important d’aspects de la vie privée des personnes concernées, y compris des informations sensibles, telles que l’orientation sexuelle, les opinions politiques, les convictions religieuses, philosophiques, sociétales ou autres ainsi que l’état de santé »
Ainsi, lorsqu’on les prend dans leur ensemble, de telles données…
« peuvent permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ».
Il existe donc un principe, qui souffre d’exceptions et donc exige une analyse proportionnalité. Une confrontation entre deux plaques tectoniques, celle de la lutte contre les infractions, celle du respect des droits et libertés fondamentaux.
Le règlement DORA : un tournant majeur pour la cybersécurité des institutions financières Le 17…
L’Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié un rapport sur les…
Directive NIS 2 : Comprendre les nouvelles obligations en cybersécurité pour les entreprises européennes La…
Alors que la directive européenne NIS 2 s’apprête à transformer en profondeur la gouvernance de…
L'intelligence artificielle (IA) révolutionne le paysage de la cybersécurité, mais pas toujours dans le bon…
Des chercheurs en cybersécurité ont détecté une intensification des activités du groupe APT36, affilié au…
This website uses cookies.