Antiterrorisme: les règles sur les données en Belgique contraires au droit de l’UE

Les règles belges, françaises et britanniques imposant aux fournisseurs d’accès internet de conserver ou transmettre de façon « générale et indifférenciée » les données d’utilisateurs dans le cadre de la lutte antiterroriste sont contraires au droit de l’UE, a estimé mercredi l’avocat général de la Cour de justice de l’UE.

L’avocat général Manuel Campos Sanchez-Bordona, dont l’avis ne lie pas la Cour, « reconnaît l’utilité d’une obligation de conservation des données pour sauvegarder la sécurité nationale et lutter contre la criminalité » mais « plaide en faveur d’une conservation limitée et différenciée (…) ainsi que pour un accès limité à ces données », selon un communiqué de la juridiction européenne basée à Luxembourg.

Il a proposé à la Cour de confirmer sa jurisprudence sur la question: en décembre 2016, la CJUE avait jugé que les Etats membres ne pouvaient pas imposer une « obligation générale » de conservation de données aux fournisseurs.

L’avocat général a estimé que la directive vie privée et communications électroniques de 2002 s’opposait à la réglementation française « qui, dans un contexte marqué par des menaces graves et persistantes pour la sécurité nationale, et en particulier par le risque terroriste, impose aux opérateurs et aux prestataires de services de communications électroniques de conserver, de manière générale et indifférenciée, les données relatives » à leurs utilisateurs.

Il a souligné que, de plus, cette réglementation « n’instaure pas l’obligation d’informer les personnes concernées du traitement de leurs données à caractère personnel ».

La Cour européenne a été saisie par le Conseil d’Etat français, qui doit se prononcer sur plusieurs décrets d’application de dispositions du code de la sécurité intérieure, de 2015 et 2016, attaqués par les organisations la Quadrature du Net, le fournisseur d’accès French Data Network et la Fédération des fournisseurs d’accès à internet associatifs.

L’avocat général a estimé que la réglementation belge qui impose également aux opérateurs « une obligation générale et indifférenciée » était incompatible avec la directive, de même que la législation britannique qui les oblige à « fournir aux services de sécurité et de renseignement (…) des données de communications en masse après leur collecte généralisée et indifférenciée ».