Loi européenne sur les données personnelles invalidée

La Cour de justice européenne a publié un communiquée de presse le 8 avril déclarant la directive sur la conservation des données invalide.

Elle indique en introduction :

    « La directive comporte un ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel sans que cette ingérence soit limitée au strict nécessaire. »

Elle rappelle l’objectif de la directive qui doit harmoniser les dispositions des États membres sur la conservation de certaines données traitées par les fournisseurs et les réseaux publics de communication (ex : Bouygues télécoms, France Télécoms Orange, Free…). La loi vise à garantir la disposition de ces données à des fins de prévention, de recherche, de détection et de poursuites des infractions graves comme la criminalité organisée et le terrorisme.

Elle prévoit que les fournisseurs doivent conserver les données relatives au trafic, les données de localisation et d’identification des clients. En revanche elle n’autorise pas la conservation des données consultées.

La Haute Cour d’Irlande et la Cour constitutionnelle d’Autriche ont demandé à la cour de justice européenne d’examiner la validité de la directive surtout en ce qui concerne deux droits fondamentaux à savoir le droit au respect de la vie privée et le droit à la protection des données à caractères personnels garantis par la charte des droits fondamentaux de l’Union européenne.

En Irlande et au Pays-Bas, plusieurs organismes et requérants individuels ont déposé des recours visant à obtenir l’annulation de la transposition de la directive en droits autrichiens ou hollandais.

La cour déclare donc la directive invalide.

Elle constate que les données conserver permettent de savoir avec quelle personne et par quel moyen un abonné ou un utilisateur a communiqué. Mais aussi de déterminer le temps et la fréquence ce communication ainsi que l’endroit à partir duquel celle-ci a eu lieu.

Ces données prises dans leur ensemble sont susceptibles de fournir des indications très précises sur la vie privée des personnes comme les habitudes de la vie quotidienne, les lieux de séjours, les déplacements, les activités exercées, les relations sociales et les milieux sociaux fréquentés.

La cour estime que la directive s’immisce de façon particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel.

Puis la cour examine si une telle ingérence est justifiée et constate que la conservation des données n’est pas de nature à porter atteinte au contenu essentiel des deux droits fondamentaux car elle ne permet pas de consulter le contenu des communications électroniques en tant que tel et prévoit que les fournisseurs doivent respecter certains principes de protection et sécurité des données.

La conservation des données répond à un objectif d’intérêt général à savoir la lutte contre la criminalité grave et la sécurité publique.

Toutefois, la cour juge que le législateur de l’Union dépasse les limites imposés par le respect du principe de proportionnalité.

L’ingérence vaste et grave de cette directive dans les droits fondamentaux en cause n’est pas suffisamment encadrée afin de garantir que cette ingérence soit limitée au strict nécessaire.

La directive couvre tout les individus sans qu’il n’y est d’exception, de différenciation ou de limitation ne soit opérée en fonction de la lutte contre les infractions graves.

La cour explique ensuite que les États n’ont aucunes limites pour disposer et utiliser les données et que chaque pays peut définir les » infractions graves » comme il le souhaite. L’accès au données n’est pas même subordonné au contrôle préalable d’une juridiction ou d’une administration indépendante.

La cour reproche à la directive que rien ne soit cadré concernant la durée de conservation des données par rapport à l’objectif poursuivi. Toutes les données sont conservés de 6 à 24 mois sans qu’aucun critères d’objectifs ne soient précisés.

Pour finir constate aussi que la directive ne garantie pas de protection contre les risques d’abus ainsi que contre l’accès et l’utilisation illicite des données.

l’Article a été lu [post_view time= »day »] fois aujourd’hui et lu [post_view] fois au total.