VENT DE TEMPETE SUR LES METADONNEES !
[mis à jour le 7 février 2017] Si vous cliquez sur l’image ou ce post, vous allez être redirigé automatiquement sur mon analyse détaillée de cet arrêt fondamental.
STOP ! ON ARRETE TOUT !
La Commission européenne annonce officiellement le 10 janvier 2017 la réforme de la Directive 2002/58 du 12 juillet 2002 « vie privée et communication électronique » (modifiée en 2009) par un… Règlement UE (d’application directe dans les Etats membres de l’UE, sans loi nationale d’adoption). Dans 24 à 36 mois ? Les lobbys viennent de se placer dans les starting-blocks…
La presse en ligne fait mention de la future règlementation devenue (nouvellement baptisée) « E-Privacy« , avec parfois quelques approximations (normal, c’est somme toute assez technique…) :
Next INpact du 13 janvier 2017
L’arrêt CJUE « Tele2 Sverige » du 21 décembre 2016
[mis à jour le 25 décembre 2016] Décidément, quand ce n’est pas la Commission européenne, c’est la Cour de Justice de l’UE qui sort (enfin) les griffes. La CJUE, seule véritable autorité protectrice des libertés numériques en Europe, vient de rendre le 21 décembre 2016 un très important arrêt de principe (Aff. C‑203/15 « Tele2 Sverige » du 21 décembre 2016).
1er étage de la fusée :
« La directive 2002/58 du 12 juillet 2002… s’oppose à [toute] réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ».
2ème étage de la fusée :
« La directive 2002/58 s’oppose à l’accès des autorités nationales aux [métadonnées]
[i] sans limiter… cet accès aux seules fins de lutte contre la criminalité grave,
[ii] sans soumettre ledit accès à un contrôle préalable par une juridiction / autorité administrative indépendante, et
[iii] sans exiger que [ces métadonnées] soient conservées sur le territoire de l’UE ».
Entre temps, l’UE avait adopté le 27 avril 2016 la Directive n°2016/680 « prévention et détection des infractions pénales ». Vous étiez passé à coté de ce texte ? Normal, le même jour, l’UE a adopté le règlement 2016/679 sur la protection des données personnelles. Vous savez, la fameuse GRDP !
La directive 2006/24 du 15 mars 2006 sur le sujet avait déjà été annulée par un arrêt de la CJUE du 8 avril 2014 « Digital Right Ireland », qui ne concernait pas directement la France, dont la législation en la matière (loi n°2006-64 du 23 janvier 2006) était antérieure à la Directive 2006/24 (tiens ? on s’y était pris à l’avance ? C’est suspect…).
C’est aujourd’hui le principe même des législations nationales imposant la conservation indifférenciée des métadonnées qui est remis en question.
Mais justement, c’est bien cette loi n°2006-64 du 23 janvier 2006 « relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers » qui est aujourd’hui directement impactée par l’arrêt « Tele2 Sverige ». Celle dont l’Exécutif annonçait il y a à peine six mois qu’elle ne posait aucun problème pour les libertés numériques des français (voir Next INpact 8 juin 2016).
TOUS les détails sur ce blog en cliquant sur ce lien.
La presse en ligne s’est aussitôt faire l’écho de la publication de cet arrêt :
Conservation généralisée des données : la France doit faire machine arrière – Numerama 24 décembre 2016
La CJUE bannit la conservation « généralisée et indifférenciée » des données de trafic et de localisation dans l’UE – ZDNet 22 décembre 2016
La CJUE s’oppose à l’obligation généralisée de conservation des données de connexion – Next INpact 21 décembre 2016
et pour un excellent rappel de la jurisprudence de 2011 jusqu’à l’arrêt « Schrems » du 6 octobre 2015 de la CJUE sur les droits des internautes, lisez l’article de Numerama du 1er décembre 2015.