Données de connexion : la loi est déclarée anticonstitutionnelle
Publié le 11/06/2015 par Etienne Wery
La cour constitutionnelle belge annule la loi du 30 juillet 2013 qui prévoyait l’obligation de conservation des données de connexion. Ce n’est pas une surprise puisque la directive dont la loi est issue avait été invalidée préalablement. Seule l’ampleur de l’annulation restait à déterminer : c’est bien toute la loi qui est annulée.
La conservation des données de connexion
En 2006, dans la foulée des attentats de Madrid, l’union européenne a décidé de se doter d’une directive ayant pour objectif principal d’harmoniser les dispositions des États membres sur la conservation de certaines données générées ou traitées par les fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communication.
Le but est de faire en sorte que ces données dites « de connexion » soient disponibles à des fins de prévention, de recherche, de détection et de poursuite des infractions graves, comme notamment les infractions liées à la criminalité organisée et au terrorisme.
Ainsi, la directive prévoit que les fournisseurs précités doivent conserver les données relatives au trafic, les données de localisation ainsi que les données connexes nécessaires pour identifier l’abonné ou l’utilisateur. En revanche, elle n’autorise pas la conservation du contenu de la communication et des informations consultées.
L’annulation de la directive
La directive a été critiquée et attaquée par plusieurs mouvements de défense des droits civiques.
Le 8 avril 2014, la Cour européenne de justice déclarait la directive invalide.
Après avoir constaté que la directive constituait belle et bien une ingérence dans la vie privée, la Cour a examiné ensuite si une telle ingérence dans les droits fondamentaux était justifiée.
Elle a constaté que la conservation des données imposée par la directive n’est pas de nature à porter atteinte au contenu essentiel des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. En effet, la directive ne permet pas de prendre connaissance du contenu des communications électroniques en tant que tel et prévoit que les fournisseurs de services ou de réseaux doivent respecter certains principes de protection et de sécurité des données.
De plus relevait la Cour, la conservation des données en vue de leur transmission éventuelle aux autorités nationales compétentes répond effectivement à un objectif d’intérêt général, à savoir la lutte contre la criminalité grave ainsi que, en définitive, la sécurité publique.
Toutefois, la Cour estimait qu’en adoptant la directive sur la conservation des données, le législateur de l’Union a excédé les limites qu’impose le respect du principe de proportionnalité.
C’est plus la mise en œuvre du système que son principe que la cour remettait ainsi en cause, pointant les principaux griefs suivants :
- Toute infraction n’est pas nécessairement grave. La directive couvre de manière généralisée l’ensemble des individus, des moyens de communication électronique et des données relatives au trafic sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif de lutte contre les infractions graves.
- Pas assez de protection contre l’accès aux données conservées. La directive ne prévoit aucun critère objectif qui permettrait de garantir que les autorités nationales compétentes n’aient accès aux données et ne puissent les utiliser qu’aux seules fins de prévenir, détecter ou poursuivre pénalement des infractions susceptibles d’être considérées, au regard de l’ampleur et de la gravité de l’ingérence dans les droits fondamentaux en question, comme suffisamment graves pour justifier une telle ingérence.
- Une durée trop rigide. La directive impose une durée d’au moins six mois sans opérer une quelconque distinction entre les catégories de données en fonction des personnes concernées ou de l’utilité éventuelle des données par rapport à l’objectif poursuivi.
- Des abus possibles. La directive ne prévoit pas de garanties suffisantes permettant d’assurer une protection efficace des données contre les risques d’abus ainsi que contre l’accès et l’utilisation illicites des données
- Un lieu de conservation qui prête le flanc à la critique. La directive n’impose pas une conservation des données sur le territoire de l’Union.
L’arrêt de la cour constitutionnelle
La loi du 13 juin 2005 « portant modification des articles 2, 126 et 145 de la loi relative aux communications électroniques et de l’article 90decies du Code d’instruction criminelle » a transposé en droit belge la directive européenne.
À l’occasion de son adoption, plusieurs voix se sont élevées pour critiquer la loi, sans qu’aucune autorité belge ne l’entende. En gros, les autorités estimaient à l’époque que la loi était proportionnée à l’objectif poursuivi, lequel était particulièrement important puisqu’il vise à assurer la sûreté de tous.
Par la magie de la hiérarchie des juridictions, la cour constitutionnelle belge n’avait plus beaucoup de latitude : la directive qui constitue le socle de la loi Belge ayant été annulée, l’issue de la demande d’annulation de la loi Belge ne faisait plus beaucoup de doutes.
Il restait toutefois une discussion concernant l’ampleur de l’annulation.
L’État belge estimait en effet que l’arrêt précité de la Cour de justice n’a d’incidence que sur les articles 2 et 3 de la loi attaquée dans lesquels il est annoncé que la loi transpose partiellement en droit belge la directive.
Pour ce qui concerne l’article 5 de la loi attaquée, il y aurait, en revanche, lieu de considérer que celui-ci n’est pas affecté par l’arrêt de la Cour de justice et que les Etats membres sont compétents pour régler la matière de la conservation des données, en l’absence de mesures d’harmonisation en la matière.
En résumé, l’article 5 est celui qui fait obligation aux fournisseurs au public de services de téléphonie fixe, de téléphonie mobile, d’accès à l’internet, de courrier électronique par internet et de téléphonie par internet, ainsi que les fournisseurs des réseaux publics de communications électroniques sous-jacents, de conserver les données de trafic, les données de localisation, les données d’identification d’utilisateurs finals, les données d’identification du service de communications électroniques utilisé et les données d’identification de l’équipement terminal qui est présumé avoir été utilisé, qui sont générées ou traitées par eux dans le cadre de la fourniture des services de communications concernés.
La cour constitutionnelle ne l’a pas entendu de cette oreille. Elle a en effet estimé que « Par identité de motifs avec ceux qui ont amené la Cour de justice de l’Union européenne à juger la directive « conservation des données » invalide, il y a lieu de constater que par l’adoption de l’article 5 de la loi attaquée, le législateur a excédé les limites qu’impose le respect du principe de proportionnalité au regard des articles 7, 8 et 52.1 de la Charte des droits fondamentaux de l’Union européenne. »
Plus d’infos ?
En lisant l’arrêt de la cour constitutionnelle, en annexe à la présente.
En lisant notre précédente analyse de l’annulation de la directive.