(Ce billet est une reprise d’une chronique publiée sur le blogue de la professeure Letteron)

Dans une décision du 8 avril 2014, la Cour de justice de l’Union européenne a déclaré « invalide »  la directive du 15 mars 2006 sur la rétention des données. Le choix du terme n’a rien de surprenant car la Cour était saisie d’une question préjudicielle posée par deux juridictions suprêmes de deux Etats membres, d’un côté la Haute Cour irlandaise, de l’autre le Tribunal constitutionnel autrichien. Dans les deux cas, les juges internes étaient saisis de recours contestant la mise en oeuvre de la directive par ces Etats.

La « surveillance de masse »

Cette directive, on le sait, était très contestée, accusée de mettre en oeuvre cette « surveillance de masse » dénoncée notamment par Edward Snowden. La notion renvoie certes à l’espionnage des citoyens par des moyens électroniques, pratique développée en particulier par les autorités américaines et la NSA. Mais elle désigne aussi la captation en masse des données privées figurant sur internet (Big Data) et spécialement les réseaux sociaux. Il s’agit cette fois d’effectuer un profilage des individus, au profit des entreprises privées actives sur le net, par exemple pour mieux connaître leurs habitudes de consommations et davantage cibler les actions de promotion. La surveillance de masse s’exerce donc à la fois au profit des Etats et des entreprises, avec des moyens qui peuvent d’ailleurs être plus ou moins identiques.

Jusqu’à présent, cette notion de « surveillance de masse » était surtout utilisée dans un but de dénonciation de ces pratiques, le plus souvent pour constater que le droit positif n’était guère en mesure de les empêcher. Au contraire, la directive du 15 mars 2006 semblait les légitimer en leur offrant un cadre juridique, alors même qu’elle est bien antérieur au scandale causé par la pratiques de la NSA. Le texte européen obligeait ainsi les opérateurs de télécommunication et les fournisseurs d’accès à internet (FAI) à conserver les données relatives aux communications de leurs abonnées pour une « durée minimale de six mois et maximale de deux ans, (…) afin de garantir « la disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions graves« .  On le voit, la directive de 2006 était au nombre des nombreux textes sécuritaires intervenus après le 11 Septembre 2001. La finalité de lutte contre le terrorisme et la grande criminalité était utilisée comme justification à des programmes de conservation des données de l’ensemble d’une population.

Repérage et profilage

Par la réponse qu’elle apporte à cette question préjudicielle, la Cour de Justice pose des limites au stockage des données à des fins de sécurité publique. Elle commence par affirmer que cette pratique constitue effectivement une ingérence dans la vie privée et familiale. Sur le plan des données stockées, la Cour observe que, en raison du caractère massif de la collecte, elles sont susceptibles de donner des informations précises sur les habitudes de vie d’une personne, ses lieux de séjour et ses déplacements, ses activités et ses relations internationales. Bref, la Cour consacre ainsi la spécificité de cette notion de surveillance de masse, définie comme permettant à la fois le repérage permanent et le profilage d’une personne.

Big Brother is watching you. Sheppard Fairey. 2006

Le contrôle de proportionnalité

La Cour estime que l’ingérence dans la vie privée des personnes est excessive par rapport aux objectifs de sécurité poursuivis. La directive de 2006 offre ainsi une dérogation très importante aux principes posés par les directives du 24 octobre 1995 95/46 sur la protection des données et 2002/58 du 12 juillet 2002 sur la vie privée et les communications électroniques. La Cour vise également la Charte européenne des droits fondamentaux (art 7) et surtout l’article 8 de la Convention européenne des droits de l’homme. La Cour de Justice ne se borne d’ailleurs pas à se référer à la Convention européenne. Elle exerce aussi le contrôle de proportionnalité exactement de la même manière que la Cour européenne.

Elle rappelle ainsi que la surveillance ne concerne pas seulement les personnes mêlées directement ou indirectement à une affaire pénale, mais aussi et même surtout des citoyens sur lesquels ne pèse aucun soupçon. Elle fait observer que la directive ne prévoit aucune règle relative aux mesures de protection des données personnelles que les opérateurs doivent mettre en oeuvre. Elle ne les contraint même pas à conserver ces données dans l’espace juridique européen, ce qui peut conduire à les placer sous le contrôle d’un système juridique plus laxiste, par exemple sous la compétence du droit américain. D’une manière générale, la Cour considère que la garantie ne comporte pas de garanties suffisantes du respect des principes fondamentaux gouvernant le droit de la protection des données.

Par cette décision, la Cour de justice n’interdit pas la collecte et la conservation massives de données. Elle se borne, et c’est déjà beaucoup, à affirmer qu’une telle pratique impose des précautions et des garanties particulières en matière de protection des données personnelles, et que les juges doivent en contrôler le respect.

Recours devant la Cour européenne

La décision de la Cour de justice s’inscrit dans un mouvement général de contestation de la surveillance de masse. Trois ONG britanniques et une universitaire allemande ont ainsi déposé un recours devant la Cour européenne des droits de l’homme, dirigé contre la mise en Grande Bretagne des programmes PRISM et Tempora. Le premier est le programme par lequel la NSA a accès à l’ensemble des métadonnées circulant sur internet. Le second est sorte de mémoire géante pour l’ensemble des communications transitant par la Grande-Bretagne. Dans les deux cas, il s’agit évidemment de surveillance de masse, et les requérants invoquent une violation de l’article 8 de la Convention européenne garantissant le droit à la vie privée et familiale.

Nul ne peut dire aujourd’hui quel sera l’avenir de cette requête, notamment au regard de sa recevabilité. Il n’empêche que la décision de la Cour de Justice du 8 avril 2014 lui offre un soutien de poids, avec un contrôle de proportionnalité qui va dans le sens de la protection des données.

Entre la décision de la Cour de Justice et la requête déposée devant la Cour européenne, force est de constater que la contestation de la surveillance de masse entre aujourd’hui dans une phrase juridictionnelle. Certes, la Cour de Justice a été saisie par les tribunaux suprêmes irlandais et autrichiens et la Cour européenne par des requérants britanniques et allemandes, mais il n’en demeure pas moins que ces jurisprudences auront un impact sur le droit français qui devra, à son tour, s’interroger sur les moyens juridiques d’encadrer la surveillance de masse.