Lettre ouverte : arrêtons la collecte massive de données personnelles dans l'Union européenne

Publié le jeudi 28 juin 2018.

FAImaison et une soixantaine d'autres associations et collectifs demandent à la Commission européenne d'engager des procédures contre les États membres de l'Union européenne dont les lois nationales obligent les opérateurs à collecter et stocker massivement des données relatives au trafic internet des personnes. Le but est de faire annuler ces lois qui contreviennent à la jurisprudence européenne. Cette lettre a été initiée par les Éxégètes amateurs, une équipe conjointe à la Fédération FDN et à La Quadrature du Net spécialisée dans les contentieux juridiques.

La lettre est accompagnée par l'envoi d'une plainte formelle, nécessaire pour déclencher la procédure de la Commission. Vous pouvez aussi envoyer une plainte en votre nom : c'est rapide grâce au modèle prérempli, sans risque légal ni financier et important pour appuyer l'initiative.

Objet : application de la jurisprudence Tele2 Sverige/Watson au sein de l'Union européenne

Chère Madame, Cher Monsieur,

Nous sommes des associations et des collectifs, qui défendent les droits à la vie privée, à la protection des données et à la liberté d'expression, par le biais de plaidoyers, de recours contentieux, d'ateliers et d'autres activités éducatives.

Nous sommes des fournisseurs d'accès Internet associatifs, qui déploient des infrastructures de communication locales, gérées comme des biens communs.

Nous sommes des universitaires, étudiant et enseignant le droit, en accord avec les valeurs démocratiques et la hiérarchie des normes, sans laquelle il ne saurait y avoir d'État de droit.

Nous sommes des militants, partageant une préoccupation commune pour la défense des droits et libertés.

Par le passé, et à plusieurs reprises, nous avions déjà souligné les dangers présents dans notre législation nationale en matière de protection du droit à la vie privée et à la protection des données1.

Ensemble, nous souhaitons faire part à la Commission européenne de nos inquiétudes face au non-respect des décisions rendues par la Cour de justice de l'Union européenne (CJUE) par certains États membres en matière de rétention de données.

La directive 2006/24, qui autorisait la collecte et la rétention de données personnelles, portait atteinte de façon significative à la vie privée et à la protection des données personnelles. Bien qu'elle excluait les contenus des communications électroniques ou téléphoniques, elle obligeait les États membres à rendre obligatoire la conservation des données par les opérateurs de télécommunications et autorisait les autorités nationales à utiliser ces données pour identifier une personne et reconstituer ses activités en ligne et modes de communication.

Il y a quatre ans, la CJUE invalidait la directive 2006/24/EC (CJUE, 8 avril 2014, Digital Rights Ireland) et, il y a un plus d'un an, la Cour réitérait les mêmes considérations, directement et sans ambiguïté, dans un autre arrêt (CJUE, 21 décembre 2016, Tele2 Sverige/Watson). Dans celui-ci, la Cour a déclaré :

« Une telle réglementation ne requiert aucune relation entre les données dont la conservation est prévue et une menace pour la sécurité publique. Notamment, elle n'est pas limitée à une conservation portant soit sur des données afférentes à une période temporelle et/ou une zone géographique et/ou sur un cercle de personnes susceptibles d'être mêlées d'une manière ou d'une autre à une infraction grave, soit sur des personnes qui pourraient, pour d'autres motifs, contribuer, par la conservation de leurs données, à la lutte contre la criminalité […] Une réglementation nationale telle que celle en cause au principal excède donc les limites du strict nécessaire et ne saurait être considérée comme étant justifiée, dans une société démocratique ».

Le droit de l'Union européenne prime sur les droits internes des États membres. Ainsi, l'arrêt rendu par la Cour, précédemment cité, doit s'appliquer à l'ensemble des droits internes des États membres de l'Union européenne. Nous avons pourtant relevé qu'au moins 17 États membres de l'UE2 comportent toujours des dispositions nationales imposant une rétention généralisée et indifférenciée des données, en violation directe de la jurisprudence de la CJUE, mais aussi du droit à la vie privée et familiale de chaque individu, du droit à la protection des données personnelles et de la liberté d'expression. Ces États sont les suivants : Allemagne, Belgique, Bulgarie, Croatie, Chypre, Espagne, France, Grande-Bretagne, Hongrie, Irlande, Italie, Luxembourg, Pologne, Portugal, République Tchèque, Slovénie, et Suède. Le droit interne de ces États n'est pas conforme à la jurisprudence de la Cour de justice en matière de rétention des données.

À ce jour, 62 organisations, universitaires et fournisseurs d'accès Internet associatifs, dans 19 États membres, partagent l'inquiétude exprimée dans cette lettre. Par conséquent, nous adressons des plaintes à la Commission européenne pour qu'une enquête soit diligentée contre 11 États membres dont la législation n'est pas conforme au droit de l'Union — Belgique, République Tchèque, France, Allemagne, Irlande, Italie, Pologne, Portugal, Espagne, Suède et Royaume-Uni — , afin de prendre position en faveur de la protection des droits fondamentaux, garantis par les articles 7, 8 et 11 de la Charte des droits fondamentaux de l'Union européenne et tels qu'interprétés par la Grande chambre de la Cour de justice de l'Union européenne. Nous invitons donc la Commission à diligenter une procédure en manquement d'État à l'encontre des États membres manquant à leurs obligations, sur le fondement des arrêts de la Cour de justice, afin d'abroger l'ensemble des législations nationales en vigueur qui ne seraient pas conformes au droit de l'Union européenne.

Merci par avance d'agir et de faire respecter les droits des citoyens et résidents de l'Union européenne.

Sincères salutations,

Les signataires : Access Now, Aktion Freiheit statt Angst e.V., Association lyonnaise pour le développement de l'informatique libre (ALDIL), Aquilenet, Arbeitskreis Vorratsdatenspeicherung, Article 19, Asociaţia pentru Tehnologie şi Internet (APTI), Association for Progressive Communications (APC), Bits of Freedom, BlueLink Information Network, Chaos Computer Club Lëtzebuerg, Coalizione Italiana per le Libertà e i Diritti civili (CILD), Commons Network, Datenschutzraum e.V., Föreningen för Digitala Fri- och Rättigheter (DFRI), Defesa dos Direitos Digitais (D3), Digitalcourage e.V., Digitale Gesellschaft, Digital Rights Ireland, EDRi, Elektronisk Forpost Norge (EFN), Epicenter.works, FAImaison, French Data Network, Fédération FDN, Franciliens.net, Freifunk.net, Frënn vun der Ënn, Fundacja Panoptykon, Hermes Center for Transparency and Digital Human Rights, Igwan.net, Illyse, ILOTH, Initiative für Netzfreiheit, Internet Society France, IT-Politisk Forening, Iuridicum Remedium, La Quadrature du Net, Les Exégètes Amateurs, Liberty, MeshPoint, Mycelium, netCommons, NetHood.org, Network Bogotá, Neutrinet, Net Users' Rights Protection Association (NURPA), Open Rights Group, Open Technologies Alliance — GFOSS, Otvorena mreža, Pangea.org, Privacy International, Progetto Wireco Ciminna, Renewable Freedom Foundation, Rézine, Sarantaporo.gr, SCANI, Statewatch, Tetaneutral, Touraine Data Network, WirelessPT.net, Xnet.

  1. Lettre ouverte à la Commissaire européenne aux affaires intérieures Cecilia Malmström, lettre ouverte internationale des ONG demandant la suspension du Privacy Shield, lettre ouverte à l'UE pour des politiques publiques favorables aux réseaux communautaires

  2. A Concerning State of Play for the Right to Privacy in Europe National Data Retention Laws since the CJEU's Tele-2/Watson Judgment