Invoquer la sécurité nationale ne justifie pas tout. Ainsi, en imposant aux opérateurs télécoms le stockage et la collecte «généralisée et indifférenciée» des données, la France et d'autres Etats membres de l'UE ont enfreint le droit européen.
La Cour de justice de l'UE (CJUE), basée au Luxembourg, a confirmé ce 6 octobre que le droit de l'UE s'opposait aux réglementations nationales imposant aux fournisseurs d'accès «la transmission ou la conservation généralisée et indifférenciée» des données des connexions internet et de conversations téléphoniques.
La CJUE admet des dérogations encadrées dans le cas où un Etat ferait face «à une menace grave pour la sécurité nationale, réelle et actuelle ou prévisible», ce qui peut l'amener à imposer, par des mesures législatives, cette conservation généralisée et indifférenciée des données, mais seulement «pour une durée temporellement limitée au strict nécessaire».
De même, à des fins de «lutte contre la criminalité grave» ou de «prévention des menaces graves contre la sécurité publique», un Etat membre peut également «prévoir la conservation ciblée des données ainsi que leur conservation rapide».
Pour autant, la CJUE considère qu'«une telle ingérence dans les droits fondamentaux doit être assortie de garanties effectives et contrôlée par un juge ou une autorité administrative indépendante».
Dans son arrêt rendu en 2016 et baptisé «Tele2», la CJUE avait jugé que les Etats membres ne pouvaient pas imposer aux fournisseurs une «obligation généralisée et indifférenciée» de collecte et de conservation des données relatives au trafic et données de localisation.
Mais plusieurs Etats de l'UE ont continué d'exiger une telle collecte afin que policiers, magistrats ou services de renseignement puissent accéder à ces données. Ils s'appuyaient sur le Traité sur l'UE, selon lequel la sécurité nationale relevait de la seule responsabilité de chaque Etat membre. Mais cet argument n'a pas convaincu la CJUE, pour laquelle ces pratiques contreviennent bel et bien à la directive européenne Vie privée et communications électroniques.
La CJUE examinait notamment plusieurs décrets d'application du code français de la sécurité intérieure, de 2015 et 2016, attaqués par les organisations la Quadrature du Net, le fournisseur d'accès French Data Network et la Fédération des fournisseurs d'accès à internet associatifs. Elle était également sollicitée sur des réglementations belge et britannique, qui imposaient aux opérateurs le même type de collecte massive des données.
Lire aussi Bruxelles envisage une procédure contre l'Allemagne, en réponse à son jugement sur la BCE