Prism – Les autorités européennes ont commencé à prendre des mesures suite à l’affaire Prism relative au programme de surveillance mis en place par les Etats-Unis permettant à la NSA (National Security Agency – l’agence nationale de sécurité américaine) de collecter les communications électroniques mondiales échangées sur les services en ligne comme Facebook, Google, Skype etc.
Ces activités de surveillance massive ont provoqué un débat international sur les conséquences de ces pratiques sur la vie privée des citoyens. En effet, si la lutte contre le terrorisme ou certaines menaces à l’ordre public peuvent justifier des atteintes ponctuelles et ciblées à la vie privée des personnes, cela ne pourrait justifier une surveillance généralisée et indifférenciée de la population.
Actes adoptés par le Parlement européen. Dans le cadre du projet de règlement européen pour la protection des données à caractère personnel, le Parlement européen a proposé, aux termes d’une résolution du 12 mars 2014, l’introduction d’un contrôle préalable des autorités de protection sur les demandes d’accès aux données relatives à des citoyens européens adressées à des entreprises par des autorités administratives et judiciaires de pays tiers (1).
Ainsi, avant de communiquer les données personnelles de citoyens européens à un pays tiers, toute entreprise (par exemple, un moteur de recherche, un réseau social ou un fournisseur de services d’informatique en nuage) serait tenue de demander une autorisation préalable à une autorité nationale de protection des données dans l’Union européenne. Les entreprises devraient également informer la personne concernée d’une telle demande.
Par ailleurs, dans le cadre du projet de partenariat transatlantique pour le commerce et l’investissement entre l’Union européenne et les Etats-Unis, le Parlement européen a adopté le 12 mars 2014 une résolution affirmant que son approbation de cet accord de libre-échange serait liée à l’arrêt par la NSA de ses activités de surveillance massive des citoyens européens (2).
Avis du Groupe de l’article 29. Le G29, groupe de travail réunissant les autorités européennes de protection des données, a rendu un avis le 10 avril 2014 relatif à la surveillance des communications électroniques, dans lequel il souligne l’illégalité de la surveillance massive, systématique et sans distinction des citoyens européens, qui ne saurait être justifiée par la seule lutte contre le terrorisme ou d’autres considérations de sécurité publique (3).
Arrêt de la Cour de Justice de l’Union Européenne. La Cour de Justice de l’Union Européenne (CJUE) a rendu un arrêt le 8 avril dernier dans lequel elle déclare la directive 2006/24/CE relative à la conservation des données de connexion contraire aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne. Cet arrêt repose sur le constat que la directive, en autorisant la surveillance d’ensemble des données de communications par les Etats, ne limite pas l’impact sur les droits fondamentaux à ce qui est strictement nécessaire.
La Cour ne conteste pas que la conservation des données aux fins de permettre aux autorités compétentes de disposer d’un accès éventuel à celles-ci réponde à un objectif d’intérêt général. Cependant, elle rappelle qu’une telle ingérence n’est possible qu’à la condition que les mesures prévues soient déterminées de manière proportionnée. Or, elle juge que le texte ne remplit pas les conditions posées par ce « test de proportionnalité » (4).
Les Etats membres de l’Union devront garantir plus de contrôle et de transparence dans les activités de surveillance de leurs services de renseignement.
Au niveau national, les dispositions du droit français en matière de conservation des données de connexion demeurent applicables (articles L. 34-1 du Code des postes et des communications électroniques concernant les enquêtes judiciaires et L. 34-1-1 concernant les enquêtes administratives). Pour autant, il appartient aujourd’hui à l’ensemble des autorités compétentes d’apprécier de manière circonstanciée l’impact de cette décision européenne sur le droit français.
Chloé Torres
Alexandra Coti
Lexing, Droit Informatique et libertés
(1) Projet de règlement européen, art. 43a
(2) Résolution du Parlement européen du 12-3-2014
(3) G29, Avis du 4/2014
(4) CJUE 8-4-2014, affaires jointes C-293/12 et C-594/12