Les pays européens sont autorisés à transmettre et sauvegarder des données de communication comme bon leur semble, en cas de présence d’un « grave danger pour la sécurité nationale », a statué la Cour de justice de l’Union européenne (CJUE).
La CJUE a déclaré que de telles pratiques entreprises par les services de sécurité devaient être « limitées au strict nécessaire » et sujettes à un examen effectué par une juridiction d’une autorité administrative indépendante.
Néanmoins, conformément aux conditions générales, les méthodes des États membres obligeant les prestataires de service à éplucher les données de communication transgressent la directive de 2002 sur la protection de la vie privée dans le secteur des communications électroniques (e-Privacy).
Pour la juridiction sise au Luxembourg, en l’absence de danger avéré à la sûreté de l’État, la surveillance de masse et injustifiée des réseaux de communication, est soumise à la législation européenne, mais elle n’entre pas dans les critères d’exemption de sécurité nationale, comme formulé dans l’article 15 (1) de la directive e-Privacy.
« Nul n’est au dessus des lois»
La décision de la CJUE est tombée à la suite de l’intervention de plusieurs associations de protection de la vie privée. Celles-ci avaient porté l’affaire à l’attention du Royaume-Uni, de la Belgique et de la France, arguant que ces pratiques enfreignaient le droit européen.
Les plaignants, une association caritative britannique intitulée « Privacy International » avaient initialement pris ombrage, lorsque les services de sécurité et de renseignements du pays avaient commencé à récolter des fichiers de données personnelles et des données de communication en masse.
Par conséquent, l’association a salué l’arrêt de la CJUE, en réaffirmant qu’il incombait aux services de police de mener des programmes de surveillance sous certaines conditions seulement.
« Le jugement d’aujourd’hui renforce l’état de droit au sein du navire européen. En ces temps quelque peu chamboulés, la décision de la CJUE sert de piqûre de rappel : nemo est supra legis. Nul n’est au-dessus de la loi. Les sociétés démocratiques doivent instaurer des limites et mener des contrôles relatifs aux compétences de surveillance de nos services de renseignements et de police », a indiqué Caroline Wilson Palow, directrice juridique de Privacy International.
« Les services de sécurité et de renseignements jouent certes un rôle primordial dans le maintien de la sûreté de l’État, mais leurs procédures doivent respecter un certain cadre afin d’éviter qu’ils n’abusent de leur pouvoir », a-t-elle ajouté.
Mardi (6 octobre), la CJUE a également averti que des données de la sorte, collectées dans le cadre de procédures pénales d’une manière qui enfreint le droit européen, ne seraient pas admises lors de procès.
Cependant, l’arrêt rendu hier clarifie également le fait qu’il en va de la responsabilité des États membres de définir quelles activités constituent un danger à la sécurité nationale. De plus, le recours aux outils de surveillance pourrait être autorisé au-delà d’un délai donné, si le danger persiste.
Inquiétudes face au transfert de données UE-GB
La décision de la Cour arrive à un moment éprouvant pour les transferts de données entre l’Union européenne et le Royaume-Uni, étant donné que Bruxelles continue d’évaluer l’adéquation de la protection britannique de données aux normes du bloc.
À l’heure actuelle, en vertu de la loi anglaise de 2016 régissant les pouvoirs d’investigation, les autorités britanniques de surveillance sont soumises au droit européen, tant que le Royaume-Uni demeure un État membre de l’UE. Autrement dit, les services anglais concernés ne sont donc pas conformes à la législation européenne en vigueur. Quelle est l’ampleur de l’écart de Londres conformément à la loi européenne sur la protection de données ? La question reste ouverte.
Si les acteurs européens chargés d’évaluer cette déviance la jugent trop importante, toutes les négociations relatives à la conclusion d’un accord entre l’UE et le Royaume-Uni sur le transfert de données seraient suspendues après le 31 décembre, date butoir de la période de transition.
« Voilà qui renforce les précédents arrêts de la CJUE selon lesquels les compétences des autorités britanniques de surveillance en matière de données personnelles tombent sous la législation européenne, et celles-ci ne la respectent pas », a soutenu Mark Taylor, avocat chez Osborne Clarke.
« Ce point sera très probablement un sujet de discorde entre Londres et Bruxelles, qui examine actuellement la possibilité d’octroyer au Royaume-Uni le statut d’adéquation sur le plan de la protection des données dans le cadre du Brexit. De ce fait, le jugement sur la sûreté de l’État présente bien plus de répercussions pour les entreprises britanniques qu’à première vue », a-t-il renchéri.
Si Londres ne conclut pas d’accord d’adéquation sur le transfert de données avec l’UE, les sociétés britanniques devraient revoir leurs dispositions contractuelles avec leurs clients, afin de faire perdurer la transmission de données en toute légalité, et ce, en y incluant des « clauses contractuelles types » pouvant assurer un niveau minimum de protection de données proportionnel aux normes européennes.
Dans ce contexte, l’exécutif européen soulève plusieurs inquiétudes relatives à certains aspects des systèmes britanniques en la matière. D’après le bloc, ces régimes de protection de données pourraient changer à l’avenir et avoir des répercussions négatives sur la sécurité des données personnelles européennes une fois transférées outre-Manche.
Par : Samuel Stolton | EURACTIV.com | translated by Nathanaël Herman
CJUE : la surveillance de masse, seulement en cas de danger pour la sécurité nationale