Les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne ont l’obligation de conserver 1 an certaines données de connexion et de navigation des internautes intervenant sur leur site internet, conformément au Décret n° 2011-219 du 25 février 2011.
A titre d’exemple, les e-commerçants devront conserver 1 an l’identifiant de la connexion d’un acheteur, les données transactionnelles financières, les emails, les numéros de téléphone et, le cas échéant, la contribution à une création de contenu tel qu’un avis consommateur.
Alors que les fournisseurs de services de communication au public en ligne ont fini par accepter cette obligation et ont mis en place les procédures nécessaires à la conservation de ces données, l’essence même de l’obligation de conservation pourrait bien être remise en cause.
En effet, cette obligation est issue de la directive européenne 2006/24/CE, directive qui est montrée du doigt comme portant atteinte aux droits fondamentaux défendus par l’Union Européenne elle-même.
Une atteinte disproportionnée à la vie privée
Les articles 7 et 8 de la Charte des droits fondamentaux de l’Union Européenne protègent le droit à la vie privée des personnes et à la protection de leurs données à caractère personnel.
Ces droits fondamentaux peuvent être légalement limités sous réserve de proportionnalité. C’est ce que prévoit l’article 52 §1 de la charte des droits fondamentaux de l’Union Européenne qui prévoit que :
- « Toute limitation de l’exercice des droits et libertés reconnus par la présente Charte doit être prévue par la loi et respecter le contenu essentiel desdits droits et libertés. Dans le respect du principe de proportionnalité, des limitations ne peuvent être apportées que si elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui. »
Dans ce contexte légal et arguant de l’atteinte disproportionnée à leur vie privée, des actions ont été menées en Irlande et en Autriche.
Le recours devant les juridictions Irlandaises concerne une société propriétaire d’un téléphone portable qui fait valoir que les autorités irlandaises auraient illégalement traité, conservé et contrôlé les données afférentes à ses communications. Elle demande alors :
- l’annulation des différents actes de droit interne habilitant les autorités irlandaises à adopter des mesures imposant aux fournisseurs de services de télécommunication la conservation de données de télécommunication, les estimant incompatibles avec la Constitution irlandaise et le droit de l’Union,
- la remise en cause de la validité de la directive du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications au regard de la Charte et/ou de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.
Devant les juridictions Autrichiennes l’action est exercée par près de 11 130 requérants dénonçant l’inconstitutionnalité de la loi fédérale autrichienne qui instaure l’obligation précitée de conservation des données.
Vers un aménagement de l’obligation de conservation des données
Dans le cadre de ces deux litiges, les Etats Irlandais et Autrichien ont saisi la Cour de justice de l’Union européenne (CJUE) de questions préjudicielles en appréciation de la validité de la directive 2006/24/CE (qui fixe l’obligation de conservation des données) au regard des droits fondamentaux.
Concrètement, la question posée à la CJUE revient à s’interroger sur :
- la suppression ou l’aménagement de l’obligation imposant à des opérateurs économiques la conservation d’un nombre important de données liées aux communications électroniques des citoyens, pendant un temps déterminé, sur l’ensemble de l’Union Européenne, et
- les modalités d’accès aux données par des autorités compétentes dans le cadre de la lutte contre le terrorisme.
La CJUE n’a pas encore rendu son arrêt, mais l’avocat général Monsieur Cruz Villalon s’est positionné et défend la thèse que « La directive sur la conservation des données est incompatible avec la Charte des droits fondamentaux. » Selon lui, la directive constitue « une ingérence caractérisée dans le droit fondamental des citoyens au respect de leur vie privée ».
L’invalidité de la directive ainsi constatée devra être tenue en suspens, en attendant que la CJUE se prononce et que le législateur européen apporte des précisions nécessaires à l’obligation de conservation des données telles que :
- la proportionnalité de la collecte et de la durée de conservation des données : pour répondre à une définition de l’obligation de conservation des données ;
- la sécurisation des lieux de stockage des données : pour répondre à la crainte de l’accumulation de données dans des lieux indéterminés du cyberespace.
- les conditions d’accessibilité aux données par les autorités : pour répondre à un contrôle des garanties nécessaires à la communication de telles données.
Si les conclusions de l’avocat général sont suivies et que les dispositions sont adoptées au niveau européen, elles seront répercutées en France….
En attendant la décision de la CJUE, il est ainsi recommandé aux acteurs d’internet et notamment aux e-commerçants de :
- héberger les données collectées dans un espace sécurisé, et si possible intra-Union Européenne ;
- mettre en place une politique interne de gestion des données conservées dans le cadre du décret de 2011 ;
- auditer le système de collecte, traitement et conservation des données ;
- mettre en place des procédures d’accessibilité des données aux autorités qui en font la demande, par un système de main courante pour conserver la traçabilité des échanges.