Le Groupe 29 très critique sur le projet de décision-cadre sur les données de trafic
Publié le 19/12/2004 par Thibault Verbiest
La question de la conservation des données de trafic générées par les réseaux de communications électroniques (Internet, téléphonie mobile, etc.) est particulièrement d’actualité depuis le 11 septembre 2001 et les attentats de Madrid de 2004. Certains Etats membres ont clairement démontré leur souhait d’accéder à un large volume d’informations au nom de lutte contre le…
La question de la conservation des données de trafic générées par les réseaux de communications électroniques (Internet, téléphonie mobile, etc.) est particulièrement d’actualité depuis le 11 septembre 2001 et les attentats de Madrid de 2004.
Certains Etats membres ont clairement démontré leur souhait d’accéder à un large volume d’informations au nom de lutte contre le terrorisme. Dans cet ordre d’idée, la France, l’Irlande, la Suède et le Royaume-Uni ont soumis au Conseil de l’Union européenne, en avril de cette année, un projet de décision cadre relatif à la rétention de données traitées et stockées en rapport avec la fourniture de services de communications électroniques accessibles au public ou de données transmises via des réseaux de communications publics, aux fins de la prévention, la recherche, la détection, la poursuite de délits et d’infractions pénales, y compris du terrorisme.
Ce projet de décision cadre a fait l’objet d’un avis de la part du groupe de travail de l’article 29 sur la protection des données (appellé « groupe 29 »), rendu le 9 novembre 2004. Cet avis a pour objectif d’examiner dans quelle mesure le projet de décision cadre est conforme aux normes de l’article 8 de la Convention européenne des Droits de l’Homme.
Le groupe 29 met en évidence dans cet avis le fait que les données engendrées par les communications électroniques se passant sur le réseau, appelées « données de trafic », reflètent un “éventail de détails concernant la façon dont ces citoyens mènent leur vie quotidienne”. Ces données de trafic comportent éventuellement des détails concernant le temps, le lieu et les numéros utilisés pour des services de téléphonies fixes et mobiles, des télécopies, des courriels, des textos et autres utilisations de l’Internet.
Conditions permettant de rendre acceptable la conservation des données de trafic ?
Dans sa recommandation 2/99 concernant le respect de la vie privée dans le contexte de l’interception des télécommunications, adoptée le 3 mai 1999, le groupe 29 a considéré que chaque interception de télécommunications (y compris la surveillance et l’exploration des données de trafic) constitue une violation du droit à la vie privée des individus et du secret de la correspondance. De ce fait, le groupe 29 avait considéré de telles interceptions de données de trafic inacceptables à moins qu’elles répondent à trois critères fondamentaux conformément à l’article 8, paragraphe 2, de la Convention européenne et à l’interprétation de cette disposition donnée par la Cour européenne des Droits de l’Homme: une base légale, la nécessité de la mesure dans une société démocratique et la conformité à l’un des buts légitimes énumérés dans la Convention. Le groupe 29 estime que les mêmes critères fondamentaux s’appliquent à la conservation des données de trafic.
Manque de base légale et de conformité à un des buts légitimes énumérés
Le groupe 29 se montre fort critique vis-à-vis du projet de décision cadre en ce qui concerne la première et troisième conditions énoncées. D’une part, en ce qui concerne le premier critère, il semble que la base légale ne soit pas établie. D’autre part, considérant le troisième critère (conformité à un des buts légitimes énumérés), le groupe 29 conteste l’objectif même du projet et considère qu’il existe véritablement un manque de clarté sur le but poursuivi. S’agit-il uniquement de prévention, de recherche, de détection et de poursuite des actes criminels comme indiqué dans le projet (motif 7) ?
Nécessité dans une société démocratique
Le groupe 29 se base sur la jurisprudence de la Cour européenne des Droits de l’Homme pour avancer que l’ingérence doit répondre à un « besoin social pressant » pour être admissible. Selon la Cour des Droits de l’Homme, les États contractants peuvent procéder à une surveillance secrète de la correspondance personnelle et des télécommunications dans des cas exceptionnels et dans des conditions spécifiques.
A contrario, le projet de décision cadre suggère un stockage global de routine de l’ensemble des données de trafic, des données sur les utilisateurs et sur les participants. Ceci permet d’ériger en règle générale la surveillance qui devrait être autorisée dans ces circonstances exceptionnelles. Le projet de décision cadre est gênant dans la mesure où il s’appliquerait, non seulement à certaines personnes qui seraient surveillées en application de lois spécifiques, mais à tous les particuliers qui utilisent les communications électroniques. De plus, toutes les communications envoyées ou reçues seraient couvertes.
Le groupe 29 met particulièrement en évidence le fait que la décision cadre ne fourni aucun argument de nature à persuader que la conservation des données de trafic à grande échelle constitue l’unique option viable pour lutter contre la criminalité ou protéger la sécurité nationale. Par ailleurs, il semble que les représentants des forces de l’ordre n’ont pas réussi à fournir une preuve de la nécessité de mesures d’une telle ampleur.
Compatibilité avec les textes existants ?
Deux textes principaux permettent d’encadrer l’accès et la conservation des données de trafic. Il s’agit, d’une part, de la Convention sur la cybercriminalité du Conseil de l’Europe et plus particulièrement ses articles 14 et suivants, et d’autre part de la directive 2002/58/CE « vie privée et communication électronique ».
Le groupe 29 considère que le système établi par la convention sur la cybercriminalité est tout à fait approprié pour la prévention et la poursuite des actes criminels, dans la mesure où elle ne prévoit qu’un stockage individuel au cas par cas sur le modèle “fast-freeze – quick thaw“.
La directive 2002/58/CE détermine un principe directeur selon lequel, en ce qui concerne spécifiquement les données de trafic, l’effacement de ces données par l’opérateur de communication est requis dès que le stockage n’est plus nécessaire. Selon l’article 15-1, les dérogations à ce principe de base prises par les Etats doivent être nécessaires, appropriées et proportionnées au sein d’une société démocratique et ne devraient s’appliquer que pour une durée limitée.
Le groupe 29 rappelle dans son avis que la conservation de données de trafic pour le respect de la loi devrait respecter des conditions strictes visées à l’article 15, paragraphe 1, de la directive 2002/58/CE. Il faut donc considérer que la conservation systématique de toutes sortes de données de trafic pendant une période d’une année ou plus serait manifestement démesurée et par voie de conséquence inacceptable.
En conclusion, Le groupe de travail de l’article 29 est d’avis que la conservation obligatoire de tous types de données sur toute utilisation des services de télécommunications à des fins d’ordre public, dans les conditions prévues par le projet de décision cadre, n’est pas acceptable dans le cadre juridique établi à l’article 8 de la Convention européenne des Droits de l’Homme.
Plus d’info ?