La Cour de Justice de l'UE estime dans un arrêt que les Etats n'ont aps le droit d'imposer à leurs opérateurs de “transmettre ou conserver de manière indifférenciée” des données de connexion sur leurs abonnés. La CJUE admet néanmoins quelques exceptions à ce principe, comme en matière de lutte antiterroristes, mais ces mesures doivent désormais être limitées dans le temps ou remplacées par une collecte ciblée.

La Cour de Justice Européenne a décidé de limiter le pouvoir des Etats-membres en matière de surveillance de masse. L'instance suprême interdit ainsi désormais à la France, par exemple, de forcer ses opérateurs et FAI (Orange, SFR, Bouygues et Free / Free Mobile) à collecter et conserver des données telles que la localisation ou les métadonnées au nom de la lutte contre la criminalité ou de la sécurité nationale. Une pratique pourtant courante dans plusieurs pays d'Europe, y compris en France.

La décision de la CJUE vise surtout l'emploi “généralisé et massif” de ce type de collecte en l'absence de “menace sérieuse”. La cour était en fait saisie par plusieurs associations de défense des internautes dont la Quadrature du Net et Privacy International. Car depuis un arrêt Tele2 de 2016 (qui s'était une première fois prononcé contre la surveillance de masse) et les pratiques d'Etats-membres par la suite (qui ont continué à le faire), le sujet manquait de clarification.

L'Europe interdit aux Etats la collecte massive et généralisée de données

D'autant plus que le Traité de l'UE dispose que la sécurité nationale “reste de la seule responsabilité de chaque Etat-membre”. Or, comme le soulignent nos confrères de La Tribune, cette même disposition est contredite par la directive européenne de 2002 “vie privée et communications électroniques”. Le texte dispose en effet que toute dérogation permettant une collecte de masse ne peut devenir la règle. En se prononçant une nouvelle fois contre la collecte de masse, la CJUE prévoit tout de même quelques exceptions.

Dans son arrêt, la CJUE admet en effet que les Etats puissent opérer de telles collectes en cas de “menace grave pour la sécurité nationale”. Mais d'abord la menace doit bien être “réelle et actuelle ou prévisible” et la collecte validée par les parlementaires. Si elle est généralisée et indifférenciée, cette collecte doit être “temporellement limitée au strict nécessaire”. Les Etats peuvent également, néanmoins, pratiquer des collectes plus ciblées visant des “personnes à l'égard desquelles il existe une raison valable de soupçonner qu'elles sont impliquées dans des activités de terrorisme”.

Cette collecte peut avoir également lieu dans le cadre de la lutte contre la criminalité grave et la prévention des menaces contre la sécurité publique. Néanmoins, “une telle ingérence dans les droits fondamentaux doit être assortie de garanties effectives et contrôlée par un juge ou une autorité administrative indépendante“. Les juges nationaux sont par ailleurs sommés dès maintenant de ne plus s'appuyer sur des éléments de preuves issus d'une “conservation généralisée et indifférenciée des données” contrevenant à cette nouvelle jurisprudence.

La Grande-Bretagne victime collatérale

Pourtant, il devrait y avoir d'autres conséquences majeures. Comme le rappelle le Finantial Times, l'arrêt de la CJUE devrait encore amenuiser les chances du Royaume-Uni de nouer un traité sur le partage de renseignements avec l'Union Européenne. Le gouvernement britannique réclame en effet que le partage de données se poursuivre après la sortie de l'Union sans imposer de nouveaux garde-fous. Le problème, c'est que la loi au Royaume-Uni prévoit justement la collecte et rétention massive de données de connexion.

Ce qui contrevient désormais frontalement aux règles en vigueur sur le continent. Plus généralement Bruxelles va désormais devoir décider avec quels Etats l'Europe peut partager des données – par exemple dans le cadre de la lutte antiterroriste. Pour cela, les institutions vont évaluer plus durement les pratiques des Etats tiers en matière de vie privée et données personnelles pour les comparer avec les siennes. Seuls les Etats dotés du même type de protections pourront partager leurs données avec l'UE sans qu'il ne soit nécessaire de mettre en place de mécanismes de protection.

Lire également : Facebook – l'Europe exhorte le réseau social à s'adapter aux règles de l'UE

Pour l'heure les négociations entre la Grande-Bretagne et Bruxelles autour d'un accord de sortie de l'UE avancent très lentement, au point que la perspective d'une sortie de la Grande-Bretagne sans accord le 1er janvier 2020 semble de plus en plus probable. Le principal risque d'une sortie sans accord – sur ce seul versant – ce sont les coûts pour les entreprises qui dépendent de transferts de données entre l'Europe et la Grande-Bretagne. Le Finantial Times estime notamment que les entreprises du continent pourraient être découragées d'investir au Royaume-Uni par des audits juridiques très coûteux indispensables à la poursuite de leurs activités.