CNCIS – 23e rapport d’activité 2014-2015
l’Union européenne qui consacre la protection des données à caractère
personnel (articles 7 et 8). Des limitations de l’exercice d’un droit fondamental peuvent certes être admises par le droit de l’Union mais uniquement « dans le respect du principe de proportionnalité » et « si elles sont
nécessaires et répondent objectivement à des objectifs d’intérêt général
reconnus par l’Union ou au besoin de protection des droits et libertés
d’autrui » (article 52.1) 1. De plus, pour collecter ces renseignements, les
autorités françaises peuvent s’adresser à des opérateurs privés, soumis
au droit de l’Union en matière de conservation de données.
Dans l’arrêt Digital Rights Ireland 2, la CJUE a remis en cause le
cadre européen de la conservation des données de communication électronique à la suite de l’invalidation de la directive n° 2006/24/C relative à
la conservation des données qui prévoit que les durées de conservation
fixées par les États pour la conservation des données sur lesquelles elle
porte (métadonnées) doivent être comprises entre six mois et deux ans.
La Cour a ainsi montré la sensibilité des métadonnées et l’ampleur de
l’ingérence dans les droits à la vie privée et à la protection des données
personnelles que représente leur conservation systématique. L’arrêt a
aussi soulevé la question de la conformité des législations nationales
sur les données à la Charte des droits fondamentaux – plus précisément, de tout système national de conservation générale des métadonnées 3. La CJUE a reconnu que la lutte contre le terrorisme et contre la
criminalité organisée sont des buts d’intérêt général qui justifient des
limitations de l’exercice d’un droit fondamental, mais elle a estimé qu’il
fallait exercer un contrôle strict de proportionnalité et qu’en l’espèce,
les articles 7 et 8 de la Charte avaient été méconnus car la directive ne
prévoyait pas de garanties suffisantes quant à la sécurité des données
conservées et n’imposait pas la conservation sur le territoire de l’Union,
ce qui ne permettait pas de garantir le contrôle par une autorité indépendante de protection des données personnelles, prévu par l’article 8.3
de la Charte.
Déjà, certains États membres ont réformé leurs lois. Un régime
européen de protection des données personnelles se forme, que le
1) Sur cette question v. Le numérique et les droits fondamentaux, préc., p. 199 s.
2) C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger e. a.
3) Voir sur cette discussion, Le numérique et les droits fondamentaux, préc., p. 199 s., sp.
p. 210.
Cf. l’art. L 34-1-1 du Code des postes et des communications électroniques qui prévoit que
l’ensemble des métadonnées sont conservées pendant une durée d’un an par les opérateurs de communications électroniques, en vue de répondre aux besoins de l’autorité
judiciaire, de la HADOPI, de l’ANSSI ou de la lutte contre le terrorisme ; ou encore l’article 6
de la loi pour la confiance dans l’économie numérique qui impose la même obligation aux
hébergeurs.
52
CNCIS 2015 IV.indd 52
26/06/2015 11:17:37