La justice européenne a imposé mardi une révision de la législation européenne sur la conservation des données personnelles (communications téléphoniques et électroniques) utilisée pour lutter contre le crime organisé et le terrorisme, jugée nécessaire mais disproportionnée et trop intrusive.
La Cour de justice de l’Union européenne a déclaré la directive sur la conservation des données « invalide », car « elle comporte une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel sans que cette ingérence soit limitée au strict nécessaire ».
Mais elle a considéré que « la conservation des données en vue de leur transmission éventuelle aux autorités nationales compétentes répond effectivement à un objectif d’intérêt général, à savoir la lutte contre la criminalité grave ainsi que, en définitive, la sécurité publique ».
La Commissaire aux Affaires intérieures, Cecilia Malmström, travaille sur une réforme de cette législation, mais elle attendait de connaître la décision de la Cour pour orienter ses propositions. « Je salue la clarté apportée par la Cour de justice (...), en ligne avec l’évaluation critique faite par la Commission », a réagi Mme Malmström sur son compte Twitter.
La Cour a pointé trois problèmes dans son arrêt
L’arrêt pointe trois problèmes : la durée de conservation des données, jugée « disproportionnée », le manque de protection contre les risques d’abus et l’absence de mesures pour « limiter au strict nécessaire » l’ingérence dans la vie privée des individus.
La législation votée en 2006 oblige les fournisseurs de communications téléphoniques ou électroniques ou de réseaux publics de communications à conserver les données de leurs clients à des fins de recherche et de poursuite d’infractions graves.
La Cour avait été saisie par la Haute Cour irlandaise et la Cour Constitutionnelle autrichienne afin qu’elle dise si cette législation viole ou non les droits fondamentaux protégés par les traités de l’UE.
Dans ses conclusions, l’avocat général de la Cour, Pedro Cruz Villalon, avait jugé la législation invalide. Il avait invité les États de l’UE à prendre les mesures nécessaires pour remédier à cette situation.
La Cour a suivi ces conclusions. Les juges ont considéré que « la loi couvre de manière généralisée l’ensemble des individus, des moyens de communication électronique et des données relatives au trafic sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif de lutte contre les infractions graves ».
Ils ont en outre déploré qu’aucune disposition « ne permet de garantir que les autorités nationales compétentes n’aient accès aux données et ne puissent les utiliser qu’aux seules fins de prévenir, détecter ou poursuivre pénalement des infractions susceptibles d’être considérées, au regard de l’ampleur et de la gravité de l’ingérence dans les droits fondamentaux en question, comme suffisamment graves pour justifier une telle ingérence ».
Ils ont enfin jugé disproportionnée la durée de conservation des données pendant au moins six mois et jusqu’à 24 mois au maximum et dangereux le fait que la législation n’impose pas de conserver les données sur le territoire de l’UE et ne prévoit aucune garantie pour prévenir les risque d’abus ou d’utilisation illicite de ces données.