webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

La CJUE s’oppose à la conservation généralisée et indifférenciée des données de connexion

Affaires C-623/17, C-511/18, C-512/18 et C-520/18

La CJUE s’oppose à une réglementation nationale prévoyant la conservation généralisée et indifférenciée des données de connexion à des fins de sauvegarde de la sécurité nationale et de lutte contre la criminalité.



Aux termes de plusieurs arrêts du 6 octobre 2020, la Cour de Justice de l’Union Européenne (ci-après la « CJUE ») s’oppose à la conservation généralisée et indifférenciée des données de connexion par les fournisseurs de services de communications électroniques et à leur transmission aux autorités nationales de sécurité et de renseignement. 
 
Il est à noter que ces arrêts se positionnent dans la lignée d’un arrêt remarqué du 21 décembre 2016, l’arrêt « Tel2 Sverige et Watson », aux termes duquel la CJUE avait estimé que les Etats membres ne pouvaient imposer aux fournisseurs de services de communications électroniques une obligation de conservation généralisée et indifférenciée des données dites de connexion. 
 
A titre liminaire, il convient de préciser que les données visées recouvrent « celles qui sont nécessaires pour retrouver la source d’une communication et la destination de celle-ci, déterminer la date, l’heure, la durée et le type de la communication, identifier le matériel de communication utilisé ainsi que localiser les équipements terminaux et les communications, données au nombre desquelles figurent, notamment, le nom et l’adresse de l’utilisateur, les numéros de téléphone de l’appelant et de l’appelé ainsi que l’adresse IP pour les services Internet ». La CJUE rappelle dans ce contexte que sont exclus les contenus desdites communications.  
 
La CJUE se fonde ainsi sur la directive 2002/58/CE du 12 juillet 2002 dite « Vie privée et communications électroniques » ou « e-Privacy » (ci-après la « Directive ») et rappelle que ce texte a pour dessein d’assurer un niveau de protection suffisant des droits fondamentaux dans le secteur des communications électroniques notamment eu égard « à la capacité accrue de stockage et de traitement automatisés de données relatives aux abonnés et aux utilisateurs. »
 
L’article 5 de la Directive consacre en effet le principe de confidentialité tant des communications électroniques que des données relatives au trafic y afférentes, et l’interdiction à toute autre personne autre que les utilisateurs de stocker ces communications et données, sans leur consentement. 
 
Toutefois, cette même Directive offre par son article 15 la possibilité aux Etats membres de limiter la portée de cette interdiction sous certaines conditions. En effet, est consacrée une exception au principe lorsque la mesure législative poursuivie par l’Etat membre constitue une mesure « nécessaire, appropriée et proportionnée, au sein d'une société démocratique, pour sauvegarder la sécurité nationale - c'est-à-dire la sûreté de l'État - la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d'infractions pénales ou d'utilisations non autorisées du système de communications électroniques ». 
 
Dans ce contexte, la CJUE réaffirme le caractère disproportionné d’une conservation généralisée et indifférenciée de données relatives au trafic et à la localisation et précise que ces opérations ne peuvent être effectuées que dans certaines hypothèses définies strictement, aux fins notamment de sauvegarde de la sécurité nationale et de lutte contre la criminalité.  
 
Dans une démarche pédagogique, la CJUE rappelle que la Directive s’oppose aux mesures législatives imposant aux fournisseurs de services de communications électroniques, tant la conservation généralisée et indifférenciée des données relatives au trafic et à la localisation à titre préventif, que la transmission généralisée et indifférenciée de ces données aux autorités compétentes. 
 
La Haute juridiction précise cependant que dans des situations où l’Etat membre fait face à une menace grave, réelle, actuelle ou prévisible, pour la sécurité nationale, une mesure législative peut prévoir une injonction de conservation généralisée et indifférenciée des données de connexion aux fournisseurs de services de communication électroniques. 
 
Dès lors, de telles mesures législatives sont envisageables sous réserve de soumettre la décision d’injonction à un contrôle effectif (juridictionnel notamment ou par une autorité indépendante dont la décision est dotée d’un effet contraignant) et de la circonscrire à une période temporellement limitée au strict nécessaire. Dans ces mêmes conditions, la CJUE estime qu’une analyse automatisée des données en cause de l’ensemble des utilisateurs est possible. 
 
En outre, la CJUE estime que des mesures législatives peuvent permettre la conservation ciblée, temporellement limitée au strict nécessaire, des données de connexion, sous réserve que cette conservation soit délimitée sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique.  
 
La CJUE ajoute que des mesures législatives peuvent prévoir le recueil en temps réel des données de connexion limitées au strict nécessaire et à la condition que ces opérations soient limitées aux personnes à l’égard desquelles il existe une raison valable de soupçonner qu’elles sont impliquées dans des activités de terrorisme et sous réserve de les encadrer par un contrôle effectif. 
 
Enfin, il semble opportun de relever que la CJUE ne s’oppose pas à une mesure législative permettant la conservation rapide des données de connexion au-delà des délais légaux de conservation aux fins d’élucidation d’infractions pénales graves ou d’atteintes à la sécurité nationale, lorsque lesdites infractions ou atteintes ont déjà été constatées ou que leur existence peut être raisonnablement soupçonnée.  
 
En illustrant ainsi les exceptions prévues par l’article 15 de la Directive, la CJUE met ainsi un frein aux incertitudes liées à son interprétation.

 
VOIR AUSSI

La CNIL et la protection des données à caractère personnel face à la crise sanitaire du Covid-19

Délibération n°2020-056 du 25 mai 2020 portant avis sur un projet de décret relatif à l’application mobile dénommée «StopCovid».

- Vu : 2028
Face au contrecoup de la crise sanitaire, la CNIL a publié de nombreuses fiches et recommandations pour orienter les professionnels et les personnes concernées sur les enjeux relatifs à la protection des données à caractère personnel. > Lire la suite

La commercialisation des données personnelles dans la ligne de mire de la CNIL !

- Vu : 1159

Le 12 mai 2016, la CNIL a dévoilé son programme des contrôles de l’année et annonce réaliser entre 400 et 450 contrôles sur place, sur audition, sur pièces et en ligne.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 7483
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 6650
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 5214
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Action en contrefaçon de droit d’auteur et preuve de la qualité d’auteur
16 novembre 2018 - Vu : 4699
La recevabilité de l’action en contrefaçon de droit d’auteur est subordonnée à la preuve de la qualité d’auteur ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©