La conservation des données et la loi sur la télécommunication allemande
L’Allemagne a décidé d’écarter sa loi de conservation des données de connexion en faveur de la protection des droits fondamentaux, et notamment en faveur de la protection de la vie privée. Elle applique ainsi la jurisprudence de la Cour de Justice de l’Union européenne. La France, quant à elle, voit dans la conservation des données un outil important dans la lutte contre la criminalité. Entre sécurité et liberté, chaque Etat membre de l’Union a sa priorité et les législations sur la conservation des données ne sont en conséquence pas uniformes.
Dans son histoire, l’Allemagne a déjà été confrontée, avec le Ministère de la Sécurité d’Etat (Stasi), à la surveillance de masse de ses citoyens. De ce fait, la protection des libertés fondamentales, et notamment de la vie privée, est particulièrement protégée par la Constitution allemande (la Loi fondamentale). C’est pour cette raison que l’Allemagne peine à appliquer une législation sur la conservation des données. Il s’agit d’un sujet à la fois politique, car il divise les partis politiques allemands, et économique, car la rétention des données présente un coût important pour les entreprises de télécommunication[1].
La conservation des données porte sur les données de connexion, aussi appelées données de trafic ou métadonnées. Il s’agit de données à caractère personnel qui sont collectées et conservées durablement. Elles doivent pouvoir être mises à disposition des autorités à des fins de recherche, lorsque pèse sur une personne le soupçon de la commission d’une infraction grave. Le paragraphe 113b de la loi sur la télécommunication allemande (Telekommunikationsgesetz), modifié par une loi de 2015, dispose que doivent être collectées et conservées les données de localisation lors d’une conversation par téléphone portable (pour l’appelant et l’appelé), les données de localisation au début de l’utilisation d’internet sur un téléphone portable ou sur d’autres appareils de télécommunication, les numéros, la date et l’heure, et la durée précise des conversations téléphoniques, les numéros, la date et l’heure de l’envoi et de la réception de SMS et de MMS, et enfin les adresses IP des utilisateurs d’internet, ainsi que la durée et la date et l’heure de l’utilisation. Les contenus ne doivent cependant pas être conservés. La conservation des données est un outil de lutte contre les infractions pénales graves, telles que le terrorisme ou la criminalité organisée, mais un outil dont la mise en œuvre constitue une atteinte à la vie privée.
En conséquence, s’agit-il d’une mesure de sécurité publique ou de surveillance de masse ? Comment justifier la nécessité de conservation des données, alors qu’il ne fait aucun doute qu’elle constitue une ingérence dans les droits fondamentaux ?
La conservation des données pose une question morale car il s’agit d’une mesure de surveillance qui oppose la sécurité et la liberté. Chaque Etat membre de l’Union européenne a donc sa priorité. Il existe certes un impératif de sécurité à cette intrusion, mais la jurisprudence de la Cour de justice de l’Union européenne ainsi que les normes de l’Union ont entraîné des législations disparates en matière de conservation des données (I). Si la France semble privilégier la sécurité face au terrorisme, l’Allemagne, elle, écarte l’application de sa législation en matière de conservation des données, en ce que cela représente une véritable intrusion dans la vie privée (II).
I. La prévalence de la protection de la vie privée au détriment d’un impératif de sécurité
La conservation des données peut être rendue nécessaire par la volonté de lutter contre la criminalité grave. La Cour de Justice de l’Union européenne a certes admis cette justification en faveur de la conservation des données de trafic, mais elle a aussi interdit la conservation des données de façon généralisée et invalidé la directive 2006/24/CE (A). De plus, la dernière disposition de droit européen en matière de protection des données, le Règlement n°2016/679/UE ne permet pas l’uniformisation des législations (B).
A. L’opposition de la Cour de Justice de l’Union européenne à une conservation généralisée des données
La conservation des données de connexion s’inscrit surtout dans la recherche et la poursuite d’infractions pénales graves et plus particulièrement les actes de terrorisme. La Convention sur la cybercriminalité du 23 novembre 2001 invite notamment les Etat à adopter « les mesures législatives et autres qui se révèlent nécessaires pour veiller à ce que, lorsque ses autorités perquisitionnent ou accèdent d'une façon similaire à un système informatique spécifique ou à une partie de celui-ci et ont des raisons de penser que les données recherchées sont stockées dans un autre système informatique ou dans une partie de celui-ci située sur son territoire, et que ces données sont légalement accessibles à partir du système initial ou disponibles pour ce système initial, lesdites autorités soient en mesure d'étendre rapidement la perquisition ou un accès d'une façon similaire à l'autre système ». En effet, en réponse aux attentats de Londres en 2005, l’Union européenne a considéré qu’il y avait nécessité de créer des mesures communes plus permissives en matière de conservation de données de télécommunication pour tenter de prévenir de nouvelles attaques.
La directive 2006/24/CE relative à la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications du 15 mars 2006 devait donc harmoniser les règlementations nationales des Etats membres en matière de conservation des données, afin de « garantir la disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions graves telles qu’elles sont définies par chaque État membre dans son droit interne »[2] . D’après les articles 3 et 5 de la directive, la conservation des données porte sur les données permettant de déterminer la source, la destination, la date, l'heure, la durée et le type d’une communication, ou encore le matériel utilisé et la localisation de ce matériel. Sont ainsi identifiés le nom et l'adresse de l'utilisateur, le numéro de téléphone de l'appelant et le numéro appelé ainsi qu'une adresse IP pour les services internet. Dès lors, il est possible de déduire à partir de ces informations les personnes qui ont communiqué ensemble et par quel moyen elles ont communiqué, l’endroit où a eu lieu leur conversation, ou encore la fréquence de leurs conversations. Il ne s’agit donc plus de simples données de trafic, mais de renseignements sur la vie d’une personne qui permettent d’établir précisément les activités, les déplacements, les séjours, ou les relations sociales, alors même que le contenu des télécommunications n’est pas à conserver. Ces données de trafic relèvent clairement de la vie privée des personnes concernées, et leur analyse peut donc être considérée comme une intrusion dans la vie privée qui contrevient à un droit fondamental.
En conséquence, le 8 avril 2014, la Cour de Justice de l’Union européenne a déclaré l’invalidité de la directive 2006/24/CE, dans un arrêt Digital Rights Ireland Ltd[3], au motif que l’obligation générale et indifférenciée de stockage des données de masse porte atteinte au respect de la vie privée et à la protection des données à caractère personnel non limité au strict nécessaire. Sa décision est fondée sur la violation des droits fondamentaux que la Charte des droits fondamentaux garantit à chaque citoyen de l’Union (article 7 et 8 de la Charte). La Cour établit bien que la directive répond à l’objectif d’intérêt général de lutte contre le terrorisme et la criminalité grave, mais elle effectue aussi un contrôle de proportionnalité des dispositions de la directive par rapport à l’objectif poursuivi. En résulte selon elle, que la conservation des données constitue une ingérence dans la vie privée des individus, certes justifiée, mais tout de même disproportionnée. La Cour confirme sa jurisprudence dans un arrêt en date du 21 décembre 2016[4]. Une nouvelle fois, elle réaffirme que les Etats membres ne peuvent imposer aux fournisseurs de services de communication électronique une obligation générale et indifférenciée de conservation des données, même à des fins de lutte contre la criminalité. La conservation des données doit être ciblée et réduite au strict nécessaire.
La jurisprudence de la Cour constitue une source d’insécurité juridique. Chaque Etat membre a interprété à sa manière la portée des arrêts de la CJUE, et certains se sont donc dispensés de la conservation des données de connexion, qu’elle soit généralisée ou non. Ce qui est le cas de l’Allemagne. La France, y voit de son côté la privation d’un outil précieux dans la lutte contre le terrorisme. La question de l’équilibre entre l’impératif de sécurité et l’impératif de la protection de la vie privée se pose donc. La CJUE préfère se concentrer sur l’impact que pourrait avoir une ingérence des autorités publiques sur la protection des données personnelles, plutôt que les règlementations pénales elles-mêmes. Elle n’exclut pas ces dernières, mais condamne fortement la violation des droits fondamentaux.
B. L’impossible uniformisation
Afin de répondre aux faiblesses des directives et aux disparités législatives nationales en matière de protection et de conservation des données, le recours à un règlement s’est imposé. Le règlement 2016/679/UE ou règlement général sur la protection des données (RGPD) a été promulgué le 27 avril 2016. Il comporte des dispositions relatives à la conservation des données à caractère personnel en matière civile et commerciale, et énonce dans son considérant 7 que la sécurité tant juridique que pratique devrait être renforcée pour les personnes physiques, les opérateurs économiques et les autorités publiques. Le règlement a en outre été complété par la directive 2016/680 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales.
En dépit du choix du règlement, une marge de manœuvre substantielle a été laissée aux Etats membres qui ne souhaitaient pas se voir imposer une règlementation trop précise. Ainsi, l’article 5 paragraphe 1 e) du RGPD dispose que les données doivent être conservées pendant le plus court délai possible, mais que cette période doit tenir compte de la raison et des obligations juridiques pour lesquelles les données sont conservées. Le RGPD renvoie donc directement la détermination de la période de conservation des données à caractère personnelle aux législations nationales spécifiques des Etats membres, plutôt que d’uniformiser le délai de conservation des données. L’article 5 paragraphe 1 e) du RGPD prévoit aussi que les données à caractère personnel peuvent être conservées exceptionnellement plus longtemps, à des fins d’archivage dans l’intérêt public ou à des fins de recherche scientifique ou historique, à condition que des mesures techniques et organisationnelles appropriées soient mises en place (telles que l’anonymisation, ou le chiffrement)[5]. Concernant la directive 2016/680, elle laisse aussi une grande marge de manœuvre aux Etats membres, puisqu’elle énonce dans son article 5 que ces derniers prévoient que des délais appropriés sont fixés pour l'effacement des données à caractère personnel ou pour la vérification régulière de la nécessité de conserver les données à caractère personnel. Les Etats membres ayant des impératifs différents, les délais de conservation des données de trafic divergent d’un Etat à un autre, empêchant l’uniformisation des législations.
La marge de manœuvre laissée par les textes européens aux Etats membres fait apparaitre des approches disparates en matière de conservation des données. Les Etats membres ont assurément légiféré en la matière, mais les disparités sont d’autant plus flagrantes lorsqu’il s’agit d’appliquer la jurisprudence le Cour de Justice de l’Union européenne.
II. La disparité des approches française et allemande
Les législations allemande et française se sont conformées aux directives et règlements européens relatifs à la conservation des données de trafics (A). Cependant, les juges ont des approches différentes concernant l’application de la jurisprudence de la CJUE en la matière (B).
A. Des lois en conformité avec les normes européennes
En 2007, la loi allemande redéfinissant la surveillance des télécommunications et de transposition de la directive 2006/24/CE, (Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG) est promulguée. Elle entre en vigueur le 1er janvier 2008. Cette loi prévoit que les données de trafic doivent être conservées pendant six mois par les opérateurs de télécommunication. Cependant, la Cour constitutionnelle fédérale allemande (Bundesverfassungsgericht), dans une décision en date du 2 mars 2010[6], déclare cette loi inconstitutionnelle, au motif qu’elle ne prévoyait pas de mesures relatives à la sécurité des données et de ce fait, contrevenait à l’article 10 de la Loi fondamentale garantissant le secret de la correspondance, de la poste et de la télécommunication. La conservation des données pendant six mois constitue une atteinte grave au secret de la correspondance, de la poste et de la télécommunication et ne respecte pas le principe de proportionnalité. La Cour fait donc prévaloir la protection des droits fondamentaux. Elle détaille ainsi dans sa décision les exigences attendues pour que de nouvelles dispositions soient compatibles avec la Loi fondamentale : la sécurité des données enregistrées, la transparence, la protection juridictionnelle, et les sanctions en cas d’une violation du secret des télécommunications. Elle demande par exemple au législateur allemand d’établir une liste exhaustive des crimes pour lesquels les données conservées devraient être rendues accessibles aux autorités.
Une nouvelle loi relative à la conservation des données est alors adoptée en 2015 (Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten). Elle apporte des modifications dans le Code pénal allemand (Strafgesetzbuch), dans le Code de procédure pénale (Strafprozessordnung) et dans sa loi relative à la télécommunication (Telekommunikationsgesetz), afin de mieux lutter contre les infractions les plus graves. Elle apporte notamment dans les paragraphes 100a et 100g du Code de procédure pénale allemand une liste exhaustive des infractions pour lesquelles les métadonnées doivent être transmises aux autorités : la liste comprend par exemple la haute trahison, le meurtre, ou encore les agressions sexuelles sur mineurs. Elle prévoit aussi une durée maximale de conservation des données de dix semaines pour la date, le début et la fin de la communication, les numéros de téléphone et les adresses IP. Les informations relatives à la localisation des terminaux devront, elles, être conservées pendant quatre semaines. Les données doivent ensuite être effacées.
Concernant le droit français, l’article L. 34-1 du Code des postes et communications électroniques dispose en premier lieu que « les opérateurs de communications électroniques et notamment les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne, effacent ou rendent anonyme toute donnée relative au trafic ». Mais la conservation des données ne relève désormais plus du droit commun. La loi du 23 janvier 2006 relative à la lutte contre le terrorisme a introduit une obligation de conservation des données de connexion, définie à l’article 34-1-1 du même code. En outre, la loi du 15 novembre 2001 relative à la sécurité quotidienne impose aux opérateurs de télécommunication une période de rétention des données d’un an.
Les conceptions allemande et française de la conservation des données convergent certes sur l’effacement des données, mais divergent sur les délais de rétention : les délais allemands de conservation sont beaucoup plus courts que ceux du droit français, et donc plus protecteurs pour les individus.
B. Des juges divisés
Les juridictions allemandes se veulent protectrices : elles font en effet prévaloir la protection des droits fondamentaux sur la loi de conservation des données. Elles appliquent en réalité la jurisprudence de la Cour de Justice de l’Union européenne. En effet, peu favorables à l’application de la loi sur la conservation des données de trafic, les juridictions allemandes ne cessent de motiver leurs décisions par la non-conformité de cette loi au droit de l’Union.
La loi allemande promulguée en 2015, devait entrer en vigueur le 1er juillet 2017. Cependant, le 22 juin 2017, quelques jours avant son entrée en vigueur, la Cour administrative d’appel de la Rhénanie du Nord – Westphalie rend un arrêt[7] dans laquelle elle écarte l’application de la nouvelle loi. SpaceNet, un fournisseur d’accès internet munichois, ne souhaitant pas conserver les données de trafic de ses clients, a introduit un référé devant les juridictions allemandes. D’abord débouté de sa demande, il porte l’affaire devant les juridictions d’appel. La Cour a alors décidé l’incompatibilité de la législation allemande avec la jurisprudence de la Cour de Justice de l’Union européenne. Le fournisseur d’accès internet SpaceNet n’est donc pas tenu d’appliquer la nouvelle loi. En conséquence, l’Agence fédérale des réseaux (Bundesnetzagentur) déclare le 28 juin 2017 dans un communiqué que l’application de la nouvelle loi est suspendue, et que les entreprises de télécommunication ne sont pas tenues de respecter l’obligation du paragraphe 113b de la loi sur la télécommunication. De ce fait, les entreprises ne respectant pas la loi ne recevront pas d’amende[8].
Une dernière décision, rendue par le Tribunal administratif de Cologne, a confirmé la jurisprudence en matière de conservation des données : le Tribunal a jugé en avril 2018[9] que l’entreprise Deutsche Telekom n’était pas obligée de respecter la loi de 2015 sur la conservation des données. Conformément aux jurisprudences antérieures des juridictions allemandes, le Tribunal considère qu’il existe bien une entrave aux libertés fondamentales : une entrave à la liberté d’entreprise protégée par l’article 16 de la Charte des droits fondamentaux. Mais il n’invalide pas la loi, laissant ce pouvoir aux juridictions suprêmes.
De son côté, le Conseil d’Etat a été saisi à plusieurs reprises pour des litiges concernant la conservation des données de connexion. Mais la juridiction administrative suprême française semble réticente face à l’application de la jurisprudence de la CJUE interdisant la conservation généralisée des données de connexion, dans laquelle elle voit un outil essentiel à la répression du terrorisme et des infractions graves. En effet, marquée par de récentes attaques terroristes particulièrement meurtrières (les attentats contre Charlie Hebdo ou les attentats du 13 novembre 2015), la France préfère prendre des mesures qui facilitent la répression de ces actes. Dans une question préjudicielle transmise à la CJUE le 26 juillet 2018[10], le Conseil d’Etat souligne que dans un contexte « marqué par des menaces graves et persistantes pour la sécurité nationale, tenant en particulier au risque terroriste, une telle conservation présente une utilité sans équivalent par rapport au recueil de ces mêmes données à partir seulement du moment où l’individu en cause aurait été identifié comme susceptible de présenter une menace pour la sécurité publique, la défense ou la sûreté de l’État ». Il laisse donc clairement entendre que la sécurité constitue l’impératif majeur que la CJUE devrait faire prévaloir.
Bibliographie
Textes de loi :
Droit allemand : Artikel 10 Grundgesetz, §113b Telekommunikationsgesetz (TKG), §§100a, 100g Strafprozessordnung (StPO)
Droit français : articles 34-1 et 34-1-1 du Code des postes et des communications électroniques, loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne, loi n°2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme
Droit européen : Directive 2006/24/CE, Règlement 2016/679
Jurisprudence :
Décisions allemandes :
BVerfG 1 BvR 256/08 - Urteil vom 2. März 2010
Oberverwaltungsgericht Nordrhein-Westfalen, Beschluss v. 22.06.2017 - 13 B 238/17 –
Verwaltungsgericht Köln, Urteil vom 20.04.2018 - 9 K 7417/17 -
Décisions de la Cour de Justice de l’Union européenne :
Arrêt du 8 avril 2014, Digital Rights Ireland Ltd, C-293/12, ECLI:EU:C:2014:238
Arrêt du 21 décembre 2016, Tele2 Sverige, C-203/15, ECLI:EU:C:2016:970
Articles allemands :
« Bundesnetzagentur - Umsetzung §§ 110, 113 TKG - Verkehrsdatenspeicherung », https://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Untern.... (consulté le 17/01/2019)
« Die Vorratsdatenspeicherung in Deutschland - Datenschutz 2019 ». Bußgeldkatalog, https://www.bussgeldkatalog.org/vorratsdatenspeicherung/ (consulté le 17/01/2019)
« Vorratsdatenspeicherung in Deutschland I Datenschutz 2019 ». Datenschutz, https://www.datenschutz.org/vorratsdatenspeicherung/ (consulté le 17/01/2019)
Strathmann, Marvin, « Das kostet die Vorratsdatenspeicherung », Süddeutsche Zeitung, 29 juin 2017, https://www.sueddeutsche.de/digital/ueberwachung-das-kostet-die-vorratsd... (consulté le 17/01/2019)
Strathmann, Marvin. « Richter lassen Vorratsdatenspeicherung keine Chance » , Süddeutsche Zeitung, 22 avril 2018, https://www.sueddeutsche.de/digital/mindestspeicherfrist-richter-lassen-... (consulté le 17/01/2019)
Biermann, Kai.« Europäischer Gerichtshof soll deutsche Vorratsdaten beurteilen », die Zeit, 31 août 2018, https://www.zeit.de/politik/deutschland/2018-08/vorratsdatenspeicherung-... (consulté le 17/01/2019)
« Urteil: Vorratsdatenspeicherung verstößt gegen Europarecht ». Spiegel Online, 20 avril 2018, http://www.spiegel.de/netzwelt/netzpolitik/verwaltungsgericht-koeln-vorr... (consulté le 22/02/2019)
Müller Neuhof, Jost. « Vorratsdatenspeicherung erstmal erschöpft », Tagesspeigel, 28 juin 2017, https://www.tagesspiegel.de/politik/buergerrechte-und-datenschutz-vorrat... (consulté le 18/01/2019)
Articles francais :
Rees, Marc. « La justice allemande épingle la conservation généralisée des données », 26 juin 2017. https://www.nextinpact.com/news/104656-la-justice-allemande-epingle-cons... (consulté le 20/02/2019)
Champeau, Guillaume. « Plus protectrice qu’en France, une loi sur les métadonnées reste critiquée en Allemagne ». Numerama, 20 octobre 2015. https://www.numerama.com/politique/127439-bien-mieux-quen-france-un-proj... (consulté le 22/02/2019)
Bouvaist, Gilles, « En Allemagne, le projet de loi sur la conservation des données connaît un parcours mouvementé », Dalloz actualité, 29 juin 2015, https://www.dalloz-actualite.fr/flash/en-allemagne-projet-de-loi-sur-con... (consulté le 22/02/2019)
De Montecler, Marie-Christine, Techniques de renseignement : « quand le Conseil d'État invite la CJUE à revoir sa jurisprudence », Dalloz actualité, 7 septembre 2018, https://www.dalloz-actualite.fr/flash/techniques-de-renseignement-quand-... (consulté le 22/02/2019)
Castets-Renard, Céline « L'invalidation de la directive n° 2006/24/CE par la CJUE : une onde de choc en faveur de la protection des données personnelles » Recueil Dalloz, 2014, D. 2014. 1355
Castets-Renard, Céline, « La protection des données personnelles dans les relations internes à l'Union européenne », Répertoire de droit européen Dalloz, Octobre 2018
Jurisprudences nationales intéressant le droit de l'Union européenne – Emmanuelle Saulnier-Cassia – Anke Geppert – Konstantinos Yannakopoulos – RTD eur. 2010. 961
Bréchot, François-Xavier. « Conservation des données de connexion : la CJUE invitée à reconsidérer sa jurisprudence », AJDA 2018. 2027
Chopin, Frédéric, Répertoire de droit pénal et de procédure pénale, Cybercriminalité, Chapitre 2 - Modes de preuve dans le contexte des communications électroniques, Juillet 2013 (actualisation : Avril 2018)
« Combien de temps peut-on garder les données et doivent-elles être mises à jour ? », https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-bus... (consulté le 17/01/2019).
[1] Strathmann, Marvin, « Das kostet die Vorratsdatenspeicherung », 29 juin 2017, https://www.sueddeutsche.de/digital/ueberwachung-das-kostet-die-vorratsd... (consulté le 17/01/2019)
[2] Article 1er de la directive 2006/24/CE
[3] CJUE, Digital Rights Ireland Ltd, 8 avril 2014, C-293/12, ECLI:EU:C:2014:238
[4] CJUE, Tele2 Sverige, 21 décembre 2016, C-203/15, ECLI:EU:C:2016:970
[5] « Combien de temps peut-on garder les données et doivent-elles être mises à jour ? » https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-bus... (consulté le 17/01/2019)
[6] BVerfG 1 BvR 256/08 - Urteil vom 2. März 2010
[7] Oberverwaltungsgericht Nordrhein-Westfalen, Beschluss v. 22.06.2017 - 13 B 238/17 –
[8]https://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Untern... (consulté le 17/01/2019)
[9] Verwaltungsgericht Köln, Urteil vom 20.04.2018 - 9 K 7417/17 -
[10] CE, 26 juillet 2018, N° 394922