La justice européenne interdit le recours à la cybersurveillance de masse

La Cour de justice de l’Union européenne juge que les données relatives au trafic web ne peuvent être conservées que dans le contexte d’enquêtes ciblées, contrecarrant l’un des aspects les plus controversés de la nouvelle loi britannique sur le renseignement.

Un gouvernement peut-il imposer aux entreprises de télécommunications de conserver les données sur l’historique en ligne de l’ensemble de ses citoyens? Pas selon la Cour de justice de l’Union européenne (CJUE) dans une décision rendue aujourd’hui.

Ce jugement tombe un peu plus d’un mois après que le Royaume-Uni ait adopté le Investigatory Powers Act, une loi sur la réglementation des pouvoirs d’enquêtes, qui oblige notamment les fournisseurs d’accès Internet à conserver l’historique de navigation des domaines de haut niveau de l’ensemble de leurs utilisateurs, en temps réel, pour une période d’un an.

«Une telle réglementation doit être fondée sur des éléments objectifs permettant de viser les personnes dont les données sont susceptibles de présenter un lien avec des actes de criminalité grave.»

Après avoir examiné deux demandes (l’une déposée par un opérateur suédois et l’autre par trois parlementaires britanniques), la CJUE a conclu qu’en vertu de la législation de l’Union européenne, les données relatives au trafic en ligne ne devraient être conservées que lorsque des opérations sont menées de manière ciblée dans le cadre de la lutte contre des crimes graves.

«Une telle réglementation doit être fondée sur des éléments objectifs permettant de viser les personnes dont les données sont susceptibles de présenter un lien avec des actes de criminalité grave, de contribuer à la lutte contre la criminalité grave ou de prévenir un risque grave pour la sécurité publique», précise la Cour.

Autrement dit, l’idée d’une cybersurveillance de masse – collecter en vrac l’ensemble des données d’un territoire pour en faire ensuite la dépouille par algorithmes dans le but d’identifier de potentiels criminels – contrevient aux règles de l’Union en vigueur.

Un porte-parole du Bureau de l’Intérieur du Royaume-Uni a déclaré que son gouvernement évaluerait l’impact potentiel de cette décision. Il va de soi qu’avec la récente décision du pays de quitter l’Union européenne, l’autorité de la décision rendue aujourd’hui par la CJUE pourrait être remise en question.

Au contraire de la France, qui selon toute vraisemblance devra revoir sa loi relative au renseignement, mise en place le 24 juillet 2015, selon laquelle son gouvernement a ordonné aux opérateurs de télécommunications la mise en place de «boîtes noires» lui permettant de surveiller le trafic Internet de l’ensemble de ses citoyens connectés.