Invalidation de la directive sur la conservation des données : les questions en suspens

La directive 2006/24, en ne respectant pas le principe de proportionnalité et en constituant une ingérence particulièrement caractérisée dans certains droits fondamentaux, a été déclarée invalide par la Cour de Justice de l'Union Européenne (CJUE).

Les conséquences sont lourdes pour les Etats et les fournisseurs de communications électroniques. Pour l’heure, sans  nouveau texte, les questions restent nombreuses.
Le 8 avril 2014 a été un grand jour pour la protection des données personnelles et plus généralement pour la protection des libertés puisque la grande Chambre de la CJUE a rendu deux arrêts : le premier dans l'affaire C-288/12 (Commission européenne contre Hongrie) et le second dans les affaires C-293/12 et C-594/12.
Ce second arrêt invalide la directive 2006/24/CE sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communication.
Pour rappel, ce texte faisait suite aux attentats de Londres et il  avait alors été reconnu nécessaire, pour des raisons de sécurité, de mettre en place une surveillance accrue des communications électroniques.
Les États devaient veiller à ce que soient conservées pratiquement toutes les données permettant d'identifier l'origine et la destination des communications électroniques (téléphonie fixe, mobile, courriels, etc.). Néanmoins, ils n'étaient pas obligés de faire conserver, par les fournisseurs de services de communications électroniques le contenu des communications.
L'un des points pris en compte par la CJUE est le fait que la conservation de données était effectuée de manière absolument non discriminatoire, indépendamment du fait de savoir si l'émetteur ou le récipiendaire étaient susceptibles d'être qualifiés de terroriste ou de criminel.

Un nouveau texte après les élections européennes 2014

Au final considérant que le principe de proportionnalité n’était pas respecté et que la directive 2006/24 constituait une ingérence particulièrement caractérisée dans le droit au respect de la vie privée, la CJUE l’a déclarée invalide.
Ceci amène à se poser des questions sur les conséquences de l’arrêt  puisque ces effets n'ont pas été limités dans le temps.
Les textes nationaux d'application fondés sur cette directive invalide devenant de fait invalides.

Que reste-t-il alors des obligations imposées aux fournisseurs de communications électroniques ?

Doivent-ils continuer à les mettre en œuvre sans nouveau texte ? L’invalidation de la directive va, après les élections européennes, conduire à un nouveau texte qui devra, respecter les indications fournies par l’arrêt.
Une discussion va devoir s'engager notamment sur le type de données pouvant être conservé, les personnes concernées et celles ayant accès auxdites données, le contrôle pour savoir si les données conservées ne dépassent pas ce qui est autorisé.
Cette discussion aura des conséquences sur le plan technique, dès lors qu'il ne s'agira plus de collecter de façon indifférenciée des données en masse mais qu'il faudra, pour les fournisseurs de communications électroniques, arriver à distinguer les données qu'ils auront le droit ou l'obligation de conserver.
Il va donc leur falloir modifier leur architecture logicielle mais également démontrer que la sécurité de la conservation des données est assurée, ce qui est l'une des interrogations de la Cour.

Qui sera en charge de démontrer que cette sécurité est effectivement assurée et quel sera le coût supplémentaire pour les fournisseurs de communications électroniques ? Vont-ils le supporter ou pourront-ils demander aux États de les indemniser ? Concernant la France, considèrera-t-on que ces modifications constituent des charges supplémentaires qui ne devraient pas, dès lors, être imposées aux entreprises, si l’on applique les recommandations de la Commission de simplification Mandon-Poitrinal ?
Enfin, les données devront être conservées sur le territoire de l’UE. Ceci, dans une époque de développement du Cloud sur le plan mondial, ne va-t-il pas entraîner des coûts et des difficultés supplémentaires ?
De nombreuses questions se posent et la liste ici faite n’est pas exhaustive.
Les coûts supplémentaires engendrés par la protection des libertés individuelles n'ont pas pu pas été pris en compte, par exemple dans le cadre des offres récemment faites sur SFR et auront certainement une incidence sur la suite de l'opération.
En résumé, la protection des libertés individuelles passe par une amélioration des textes et des technologies mais aura des coûts induits qu’il va bien falloir que quelqu'un supporte.