07 février 2017

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#074 Tempête sur les métadonnées (CJUE 21 décembre 2016 « Tele2 »)

#074 Tempête sur les métadonnées (CJUE 21 décembre 2016 « Tele2 »)

[mis à jour le 31 aout 2017] Il m’aura fallu quelques jours pour analyser en détail la jurisprudence du 21 décembre 2016 « Tele2 Sverige » de la CJUE sur les métadonnées. C’était nécessaire vu l’importance des conséquences de cet arrêt pour les pays de l’Union Européenne. Car c’est vraiment une « tempête sur les [méta]données » qui s’annonce. Comme l’arrêt « Schrems » annulant le Safe Harbor le 6 octobre 2015. Un truc majeur.

C’est toute la mécanique de collecte et de conservation obligatoire des [méta] données par les FAI et les opérateurs télécom qui est aujourd’hui impactée par cet arrêt « Tele2 Sverige ».

Avec cet arrêt de principe, la CJUE pose toute la doctrine d’interprétation de l’accès à ces [méta] données (et donc de leur exploitation) par les Etats membres de l’Union Européenne. Et encadre par avance la transposition (avant le 6 mai 2018) de la Directive n°2016/680 du 27 avril 2016 sur la collecte des métadonnées à des fins de politique pénale (recherche, détection et prévention des infractions pénales).

Surtout ? l’affirmation que l’ensemble des [méta]données sont « aussi sensibles » que le « contenu des correspondances » en terme de risque pour la vie privée. Et si ça vaut pour les Etats membres, cela vaut logiquement, et a fortiori, pour les prestataires opérant des collectes massives de [méta]données à titre commercial. Des collectes vraiment massives. Des collectes de quoi ? De « métadonnées » ?

Pour bien saisir la portée de cet arrêt historique – n’ayons pas peur de mots -, un petit flash back est nécessaire pour rappeler les principes de la Charte des droits fondamentaux de l’Union Européenne, adoptée en 2000.

[mis à jour le 31 aout 2017] La portée pratique de cet arrêt n’en finit pas d’interroger les législateurs nationaux qui, jusqu’à présent, faisaient franchement n’importe quoi, sous couvert de leur législation « anti-terroriste »… C’est apparemment au tours de l’Espagne d’interroger la Cour de Luxembourg à propos d’un litige fiscal pour déterminer le critère de la « criminalité grave » en prenant en compte la seule « peine dont peut être punie l’infraction faisant l’objet d’une enquête » (à lire dans Next INpact du 28 aout 2017).

Pendant ce temps ? La révolution qui s’annonce pour les professionnels de la collecte des métadonnées de communication électroniques s’appelle « Règlement e-Privacy » (projet v1 du 10 janvier 2017) et doit remplacer la Directive « vie privée et communications électroniques » 2002/58. En juin 2017, le projet était en cours de discussion par 2 commissions du Parlement UE pour adoption prévue « en automne » selon les Echos de ce 26 juin 2017. Je suis en train d’éplucher le projet. C’est gratiné… A suivre (bientôt) sur ce blog…

[mise à jour du 26 juin 2017] Et PAF le chien ! La justice allemande applique l’arrêt « Tele2 Sverige » pour suspendre l’application de la loi (allemande toujours). C’est sur Next INpact (par l’excellent Marc Rees) depuis le 26 juin 2017.

[wonderplugin_gallery id= »6″]


C’est quoi les métadonnées ?

Au début, moi aussi, j’ai eu du mal à comprendre l’intérêt de ces données associées aux communications électroniques. Pourquoi protéger ces [méta]données ? Ce ne sont jamais que de banales informations relatives à chaque communication électronique (depuis où ? vers où ? combien de temps ? via quel opérateur télécom / F.A.I. ? quel terminal ? avec quel OS ? depuis quelle adresse IP ? etc.). C’est dans ce « etc. » que ça fait peur.

Soyez honnête, sauf si votre métier gravite autours des nouvelles technologies, vous ne savez pas ce que sont les [méta]données.

Voici la liste qu’en fait la CJUE dans son arrêt « Tele2 Sverige » du 21 décembre 2016 :

« Les données que doivent ainsi conserver les fournisseurs de services de communications électroniques permettent de retrouver et d’identifier la source d’une communication et la destination de celle-ci, de déterminer la date, l’heure, la durée et le type d’une communication, le matériel de communication des utilisateurs, ainsi que de localiser le matériel de communication mobile. Au nombre de ces données figurent, notamment, le nom et l’adresse de l’abonné ou de l’utilisateur inscrit, le numéro de téléphone de l’appelant et le numéro appelé ainsi qu’une adresse IP pour les services Internet.

Ces données permettent, en particulier, de savoir quelle est la personne avec laquelle un abonné ou un utilisateur inscrit a communiqué et par quel moyen, tout comme de déterminer le temps de la communication ainsi que l’endroit à partir duquel celle-ci a eu lieu. En outre, elles permettent de connaître la fréquence des communications de l’abonné ou de l’utilisateur inscrit avec certaines personnes pendant une période donnée ».

Savoir qui vous êtes seulement à partir de vos [méta]données ?

Le problème est que, prises ensemble, ces métadonnées permettent d’en savoir plus sur une personne que la lecture de ses correspondances privées ou que l’analyse des contenus qu’elle consulte sur le web. C’est ce qu’on appelle un changement de paradigme.

Vous pouvez ne pas me croire, ou feindre de l’ignorer, et trouver que, finalement, tout cela, c’est bien compliqué.

Que dit la CJUE sur ce point dans l’arrêt « Tele2 Sverige » ? Allez, en un unique paragraphe…

« Prises dans leur ensemble, ces données sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci… En particulier, ces données fournissent les moyens d’établir, … le profil des personnes concernées, information tout aussi sensible, au regard du droit au respect de la vie privée, que le contenu même des communications. « 

Voila, aujourd’hui, officiellement pour la CJUE, la traditionnelle distinction métadonnées / données de « contenu » et secret des correspondances, est abolie.

ça concerne l’obligation de conservation des [méta]données (dont certaines à caractère personnel) imposée aux opérateurs télécom par l’Etat.

Et le droit pour l’Etat d’accéder et d’utiliser ces [méta]données.

—> Pour aller plus loin sur l’arrêt « Tele2 Sverige »

[mis à jour le 7 avril 2017]

« Tirer les conséquences de l’arrêt Sverige Télé2

Alors que la CNIL n’en finit pas de réfléchir au contenu de l’arrêt Sverige Télé2, la DPR s’inquiète ouvertement de ses conséquences. Pour mémoire, en décembre 2016, la justice européenne s’est opposée à ce que les États membres imposent aux acteurs du Net « une conservation généralisée et indifférenciée » des données de connexion de leurs abonnés ou utilisateurs.

La DPR remarque que dans le droit français, « l’article L. 34-1 du code des postes et des communications électroniques fixe la durée de conservation à un an » de ces données de connexion, de manière généralisée et indifférenciée. « C’est à partir de cette base que les juges judiciaires demandent aux opérateurs les données de connexion concernant un prévenu ou que les services de renseignement demandent à ces mêmes opérateurs l’identification de numéros de téléphone à partir d’un dossier initial concernant une personne suspecte, puis les données de connexion liées à ce numéro (48 000 demandes en 2015, y compris identification initiale des numéros d’abonnés) ».

Selon sa grille de lecture, « l’arrêt ne remet pas en cause l’accès des juges ou des services de renseignement aux « fadettes », mais il censure leur conservation, en tout cas sur une période dépassant un délai très bref. Il n’autorise plus, au fond, que les récupérations de données de connexion effectuées en temps réel ».

Pour pallier ses conséquences douloureuses (voir le cas de la Hadopi), la DPR suggère au gouvernement  d’ « exiger au plus vite auprès du Conseil la révision de la directive européenne 2002/58/CE » sur la protection de la vie privée, afin de sécuriser juridiquement ces opérations. Ou dit autrement, court-circuiter cet arrêt emblématique. »

La DPR semble ignorer qu’une directive a été adoptée le 27 avril 2016 sur le sujet (le même jour que celui de l’adoption de la GDPR) et qu’une révision (par voie de Règlement) de la directive 2002/58 a été annoncé début janvier 2017… Ils sont trop forts, nos parlementaires bleu-blanc-rouge…


Je remercie l’équipe des éditions Soleil / Delcourt, pour leur confiance et leur aide, merci à Sébastien Le Foll et Lucie Massena. Bon, évidemment, merci surtout à « Maître » Eric Corbeyran, l’homme aux 300 scenarii, génie de l’intrigue. Si vous aimez la BD, ne dites pas que vous ne connaissez pas son nom, personne ne vous croira. Un merci aussi chaleureux à Piotr Kowalski pour ses superbes dessins du Far West et des esprits Anasazis. Voila un autre Maître devant lequel je m’incline de bonne grâce. PS : on attend grave le tome 3 !!!


tempête sur les métadonnées

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ

NOS ARTICLES SUR LE MÊME SUJET

Les derniers articles du blog​