Ann-Sophie De Graeve
La législation européenne sur la conservation de données invalidée: quelles en sont les conséquences pour les fournisseurs de service Internet en Belgique?
La Cour de Justice Européenne a jugé dans un arrêt du 8 avril 2014 que la législation européenne, controversée, relative à la conservation de données de connexion déterminée (la directive “conservation de données”) était “invalide”.
La Cour de Justice Européenne a jugé dans un arrêt du 8 avril 2014 que la législation européenne, controversée, relative à la conservation de données de connexion déterminée (la directive “conservation de données”) était “invalide”.
Qu’est-ce que cela signifie en pratique pour les fournisseurs de services Internet en Belgique, vu qu’ils doivent, selon la législation belge, disposer des infrastructures nécessaires pour conserver telles données, au plus tard, pour le 8 octobre 2014?
L’adaptation des dispositions nationales pertinentes au contenu de l’arrêt de la Cour de Justice est en cours dans plusieurs Etats membres de l’Union. Qu’en est-il en Belgique? La législation belge sera-t-elle adaptée endéans le délai imposé par l’arrêt de la Cour de Justice ou la Belgique risque-t-elle de mettre en danger la compétitivité de ses opérateurs Internet sur le marché européen? La présente contribution contient une ébauche de réponse à cette question.
Une construction européenne complexe La directive “Conservation de données” obligeait les fournisseurs Internet à conserver des données Internet multiples et variées, telles l’identité de leurs abonnés ou utilisateurs, les données de localisation (c’est-à-dire l’indication de la localisation physique de votre ordinateur), et ce que l’on nomme communément les “données de circulation” (quel utilisateur envoie un e-mail à qui, quand, et sur quel réseau?). Les fournisseurs Internet devaient mettre ces données à disposition des autorités nationales si celles-ci en faisaient la demande. Pourquoi? Parce que, selon le législateur européen, ceci est absolument nécessaire dans le cadre de la lutte contre la criminalité et le terrorisme.
Vu que de nombreux doutes quant à la protection de la vie privée ont été soulevés, la directive a été portée devant la Cour de Justice de l’Union Européenne. La Cour n’avait pas de critiques de principe à formuler quant au but de la directive. Elle mettait cependant en exergue d’épineux problèmes dans sa mise en pratique: la directive allait, en effet, bien au-delà de ce qui était permissible en droit européen et offrait des garanties incomplètes quant à la protection de la vie privée des citoyens européens. La Cour a donc, à bon droit, remis en question le fait que les autorités peuvent avoir accès à toutes ces données concernant tout abonné ou utilisateur (sans faire de distinction), la raison pour laquelle ces données doivent, en principe, être conservées pendant 12 mois (sans faire de distinction) et le fait que l’accès à certaines de ces données ne devait pas être subordonné à une visite préalable au tribunal. Par conséquent, la directive a été déclarée invalide.
Quel est le problème? Nous souscrivons entièrement à cet arrêt de la Cour de Justice. Il s’agit là d’une victoire pour l’Etat de droit et cela prouve que nous disposons de structures adéquates en Europe pour garantir la protection des droits fondamentaux.
Il y a cependant un problème: la directive peut bien avoir disparu au niveau européen, la législation – adoptée en exécution de cette directive – subsiste, quant à elle, au niveau de chacun Etat membre. L’invalidité de la directive n’entraîne pas, et c’est là que le bât blesse, automatiquement l’invalidité de la législation nationale pertinente.
Cela peut générer des situations indésirables. Prenez l’exemple suivant: Tinternet, fournisseur Internet, prend ses obligations légales au sérieux et conserve toutes les données identifiant ses clients et leurs activités e-mail. Un jour, un client, Monsieur X, lui demande quelles données le concernant Tinternet conserve. Tinternet fait suite à cette demande – il y est, de toute façon, obligé par la loi – et lui fait savoir que tous ses faits et gestes relatifs à son activité e-mail (tout sauf le contenu de ceux-ci) sont enregistrés dans les bases de données de Tinternet. Monsieur X ne peut accepter cela et dépose plainte auprès de la Commission belge de la protection de la vie privée. La Commission examine l’affaire mais n’émet qu’une recommandation à l’égard de Tinternet. Monsieur X n’est pas du tout satisfait et se rend devant le tribunal compétent pour obtenir des dommages et intérêts. Tinternet se trouve face un dilemme: d’une part, il devait conserver ces données mais, de l’autre, il risque d’être condamné pour violation des règles sur la protection de la vie privée. Tinternet se trouve pris entre le marteau et l’enclume.
Quelle est la solution? La solution à cette situation épineuse ne se trouve pas auprès des fournisseurs Internet tels que Tinternet dans notre exemple. Celle-ci doit venir des autorités nationales de chaque Etat membre. Celles-ci doivent modifier leur législation et souscrire à la jurisprudence de la Cour de Justice, de préférence, le plus tôt possible.
Certains Etats membres de l’Union ont déjà franchi le pas. L’Autriche a montré l’exemple en déclarant les dispositions nationales pertinentes inconstitutionnelles. L’autorité suédoise pour les Postes et Télécommunications a décidé temporairement de ne pas poursuivre les fournisseurs Internet qui ont effacé les métadonnées qu’ils ont collectées. En Slovénie, la cour constitutionnelle a étiqueté la conservation de données comme “inconstitutionnelle” et a ordonné que toutes les données collectées sur base de cette législation soient effacées. Une nouvelle loi a été adoptée en vitesse en Angleterre en juillet 2014, modifiant les dispositions pertinentes dans la législation anglaise. Enfin, l’Allemagne, meilleur élève de la classe, a une longueur d’avance sur les autres Etats membres. La législation allemande relative à la conservation de certaines données de connexion avait déjà été déclarée invalide avant même l’arrêt de la Cour de Justice.
En attendant, le Groupe 29 (un organe de conseil européen indépendant ayant pour mission la protection des données et de la vie privée) a publié une déclaration par laquelle il enjoint les Etats membres à tirer les conclusions nécessaires de l’arrêt de la Cour de Justice et à adapter leur législation nationale en conséquence. Le Groupe 29 souligne également le caractère urgent de l’exercice et exhorte les Etats membres à se mettre immédiatement au travail.
Les autorités belges se sont, jusqu’à présent, contentées de prendre en considération l’arrêt de la Cour de Justice. Elles n’ont pas fait d’autres démarches pour modifier la législation belge. Elles n’y voient pas la nécessité.
Il s’agit là d’une position curieuse. Bien entendu, elle peut s’expliquer au vu des similitudes entre la législation pertinente belge et la directive, entretemps déclarée invalide. En effet, tous les problèmes que la Cour pointait dans la directive se trouvent également dans la législation belge. Les fournisseurs Internet sont donc toujours tenus de conserver les données pendant 12 mois, l’accès à ces données n’est pas subordonné à un contrôle a priori par un tribunal et la loi vise la conservation de données de quiconque recourt à des services e-mail, etc. Si l’on extrapole la jurisprudence de la Cour de Justice, toutes ces règles de droit belge doivent être invalidées. Expliquer pourquoi cela n’a pas encore été fait est une toute autre histoire.
Conclusion Il règne une insécurité en Belgique quant à la question de savoir quelles données doivent être conservées ou non par les fournisseurs Internet.
Les autorités belges doivent intervenir. L’ inertie n’est pas une option, ceci d’autant moins lorsque d’autres Etats membres ont déjà pris position et que le Groupe 29 appelle à une révision des dispositions nationales pertinentes. Si ce n’est pas fait, la Belgique entravera la compétitivité de ses entreprises sur le marché européen. En outre, si les autorités belges n’agissent pas, l’on pourrait très bien prendre la décision à leur place. Ainsi, l’Association des Fournisseurs Internet en Belgique a annoncé qu’une procédure a été initiée et est pendante devant notre Cour Constitutionnelle. Dans cette procédure, se présentent les mêmes questions que devant la Cour de Justice en avril 2014. Et tout comme les autres cours constitutionnelles nationales, notre Cour Constitutionnelle peut déclarer cette législation “invalide”.
Les autorités belges n’ont d’autre choix que de revoir les dispositions belges en profondeur. Elles doivent, d’urgence, adapter celles-ci au contenu de l’arrêt de la Cour de Justice et à la législation sur la protection de la vie privée.
De surcroît- et dans l’attente de cette nouvelle législation -, une solution temporaire doit être également prévue. Nous renvoyons, à cet égard, à l’exemple suédois où il a été décidé temporairement de ne plus poursuivre les fournisseurs Internet qui ne conservent pas les données de circulation, localisation et identification.
Ann-Sophie De Graeve est avocate chez Osborne Clarke. Elle est l’auteure de cette Opinion en collaboration avec Paul De Hert, professeur à la Vrije Universiteit Brussel.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici