VIDÉO - Numérique / Nouvelles technologies
Sous-traitant et responsable de traitement : clarifications du CEPD
Pourquoi la CJUE a été saisie de cette problématique ?
Plusieurs Etats membres, dont la France, imposent aux fournisseurs de services de communications électroniques des traitements « massifs » des données relatives au trafic, et à la localisation de personnes physiques, ce à des fins judiciaires et de renseignement. La balance entre la protection de la vie privée d’un côté, et la lutte contre la criminalité, de l’autre, est épineuse ! Ce n’est d’ailleurs pas la première fois que la Cour a été interrogée sur le sujet pour savoir où placer « justement » le curseur.
Quelle est la récente position de la CJUE ?
Dans plusieurs arrêts « fleuves » rendus le 6 octobre dernier, la CJUE s’est plus particulièrement, prononcée sur la validité de ces règlementations nationales au regard du droit de l’Union. Non sans surprise, les juges européens ont considéré, par principe, qu’imposer une transmission ou une conservation généralisée et indifférenciée de données de connexion, à des fins de lutte contre les infractions en général ou de sauvegarde de la sécurité nationale, n’est pas compatible avec le droit de l’Union. La Cour a toutefois tempéré ce principe, en précisant des situations particulières dans lesquelles ce type de traitements pourrait être mis en place.
Prenons un exemple : les mesures visant à enjoindre aux fournisseurs de services une conservation généralisée et indifférenciée des données de connexion sont admises mais, sous réserve :
- d’être prises dans les situations de menace grave pour la sécurité nationale réelle et actuelle ou prévisible,
- d’être soumises à un contrôle effectif (par une juridiction ou une entité administrative indépendante – par exemple la CNIL) ;
- d’être limitées dans le temps au strict nécessaire
Dans ces mêmes conditions, une analyse automatisée des données des utilisateurs de moyens de communications électroniques est possible. Autre illustration : le recours à une conservation ciblée des données de connexion est autorisé :
- si elle est temporellement réduite au strict nécessaire
- et délimitée, sur la base d’éléments objectifs, non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique
Dernier exemple : le recueil en temps réel des données de connexion est permis, sous conditions :
- d’être limité aux personnes pour lesquelles il existe une raison valable de soupçonner qu’elles sont impliquées dans des activités terroristes ;
- d’un contrôle préalable pour s’assurer que cela est, là encore, limité à ce qui est nécessaire
Quelles sont les conséquences ?
La France doit revoir sa règlementation sur le sujet. En attendant, la France va devoir gérer le sort d’actes, de procédures pénales basés sur une règlementation considérée désormais comme contraires au droit de l’Union et dont la nullité pourrait être envisagée.
Gaétan Dufoulon, Avocat du Cabinet Derriennic & Associés
Découvrir aussi dans cette catégorie