[données] Tempête sur les métadonnées (CJUE 21 décembre 2016 « Tele2 »)

[mise à jour du 26 juin 2017] Et PAF le chien ! La justice allemande applique l’arrêt « Tele2 Sverige » pour suspendre l’application de la loi (allemande toujours). C’est sur Next INpact (par l’excellent Marc Rees) depuis le 26 juin 2017Et la révolution qui s’annonce pour les professionnels de la collecte des métadonnées de communication électroniques s’appelle « Règlement e-Privacy » (projet v1 du 10 janvier 2017) et doit remplacer la Directive « vie privée et communications électroniques » 2002/58. Etude en cours et bientôt sur ce blog… Actuellement (juin 2017), le projet est en cours de discussion par 2 commissions du Parlement UE. Projet à adopter « en automne » selon les Echos de ce 26 juin 2017.

[mis à jour le 5 mai 2017] Il m’aura fallu quelques jours pour analyser en détail la jurisprudence du 21 décembre 2016 « Tele2 Sverige » de la CJUE. D’où ce numéro de blog hors série justifié par l’importance des conséquences de cet arrêt pour les pays de l’Union Européenne.

C’est vraiment « tempête sur les [méta]données« . Comme l’arrêt « Schrems » annulant le Safe Harbor le 6 octobre 2015. Un truc majeur. 

C’est toute la mécanique de collecte et de conservation obligatoire des [méta] données par les FAI et les opérateurs télécom qui est aujourd’hui impactée par cet arrêt « Tele2 Sverige ».

Mais la CJUE, par le même arrêt, pose en plus toute la doctrine d’interprétation de l’accès à ces [méta] données (et donc de leur exploitation) par les Etats membres de l’Union Européenne. Et encadre par avance la transposition (avant le 6 mai 2018) de la Directive du 27 avril 2016 sur la collecte des métadonnées à des fins de politique pénale (recherche, détection et prévention des infractions pénales).

Surtout ? l’affirmation que l’ensemble des [méta]données sont « aussi sensibles » que le « contenu des correspondances » en terme de risque pour la vie privée. Et si ça vaut pour les Etats membres, cela vaut logiquement, et a fortiori, pour les prestataires opérant des collectes massives de [méta]données à titre commercial. Des collectes vraiment massives. Des collectes de quoi ? De « métadonnées » ?

Pour bien saisir la portée de cet arrêt historique – n’ayons pas peur de mots -, un petit flash back est nécessaire (et les deux premiers tome de « Badlands » se prêtent assez bien à l’exercice. Merci à Maître Eric Corbeyran et Piotr Kowalsky, les deux auteurs de cette TRES BELLE série SUPER SYMPA !). Et oui. Encore Delcourt / Soleil. Le meilleur de la BD actuelle si vous aimez l’aventure dans des décors somptueux.

C’est quoi les métadonnées ?

Au début, moi aussi, j’ai eu du mal à comprendre l’intérêt de ces données associées aux communications électroniques. Pourquoi protéger ces [méta]données ? Ce ne sont jamais que de banales informations relatives à chaque communication électronique (depuis où ? vers où ? combien de temps ? via quel opérateur télécom / F.A.I. ? quel terminal ? avec quel OS ? depuis quelle adresse IP ? etc.). C’est dans ce « etc. » que ça fait peur.

Soyez honnête, sauf si votre métier gravite autours des nouvelles technologies, vous ne savez pas ce que sont les [méta]données.

Voici la liste qu’en fait la CJUE dans son arrêt « Tele2 Sverige » du 21 décembre 2016 : 

« Les données que doivent ainsi conserver les fournisseurs de services de communications électroniques permettent de retrouver et d’identifier la source d’une communication et la destination de celle-ci, de déterminer la date, l’heure, la durée et le type d’une communication, le matériel de communication des utilisateurs, ainsi que de localiser le matériel de communication mobile. Au nombre de ces données figurent, notamment, le nom et l’adresse de l’abonné ou de l’utilisateur inscrit, le numéro de téléphone de l’appelant et le numéro appelé ainsi qu’une adresse IP pour les services Internet.

Ces données permettent, en particulier, de savoir quelle est la personne avec laquelle un abonné ou un utilisateur inscrit a communiqué et par quel moyen, tout comme de déterminer le temps de la communication ainsi que l’endroit à partir duquel celle-ci a eu lieu. En outre, elles permettent de connaître la fréquence des communications de l’abonné ou de l’utilisateur inscrit avec certaines personnes pendant une période donnée ».

Savoir qui vous êtes seulement à partir de vos [méta]données ?

Le problème est que, prises ensemble, ces métadonnées permettent d’en savoir plus sur une personne que la lecture de ses correspondances privées ou que l’analyse des contenus qu’elle consulte sur le web. C’est ce qu’on appelle un changement de paradigme.

Vous pouvez ne pas me croire, ou feindre de l’ignorer, et trouver que, finalement, tout cela, c’est bien compliqué.

Que dit la CJUE sur ce point dans l’arrêt « Tele2 Sverige » ? Allez, en un unique paragraphe…

« Prises dans leur ensemble, ces données sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci… En particulier, ces données fournissent les moyens d’établir, … le profil des personnes concernées, information tout aussi sensible, au regard du droit au respect de la vie privée, que le contenu même des communications. « 

Voila, aujourd’hui, officiellement pour la CJUE, la traditionnelle distinction métadonnées / contenu et secret des correspondances, est abolie.

ça concerne l’obligation de conservation des [méta]données (dont certaines à caractère personnel) imposée aux opérateurs télécom par l’Etat.

Et le droit pour l’Etat d’accéder et d’utiliser ces [méta]données.

Avertissement ALERTE pour les professionnels de la collecte des [méta]données de communications électroniques

[mise à jour du 26 juin 2017] Vous êtes un  professionnel de la collecte et de l’exploitation commerciale des [méta]données ? Cette jurisprudence représente les prémisses du changement de législation. La Commission Européenne vient de l’annoncer le 10 janvier 2017. Et attention, la Commission semble comprendre, comme la Cour de justice de l’UE, ce qui se passe, techniquement, actuellement, avec les [méta]données… 

Et cette révolution qui s’annonce pour les professionnels de la collecte des métadonnées de communication électroniques s’appelle « Règlement e-Privacy » (projet v1 du 10 janvier 2017) et doit remplacer la Directive « vie privée et communications électroniques » 2002/58. Etude en cours et bientôt sur ce blog… Actuellement (juin 2017), le projet est en cours de discussion par 2 commissions du Parlement UE. Projet à adopter « en automne » selon les Echos de ce 26 juin 2017.

—> Pour aller plus loin sur l’arrêt « Tele2 Sverige »

[mis à jour le 7 avril 2017]

« Tirer les conséquences de l’arrêt Sverige Télé2

Alors que la CNIL n’en finit pas de réfléchir au contenu de l’arrêt Sverige Télé2, la DPR s’inquiète ouvertement de ses conséquences. Pour mémoire, en décembre 2016, la justice européenne s’est opposée à ce que les États membres imposent aux acteurs du Net « une conservation généralisée et indifférenciée » des données de connexion de leurs abonnés ou utilisateurs.

La DPR remarque que dans le droit français, « l’article L. 34-1 du code des postes et des communications électroniques fixe la durée de conservation à un an » de ces données de connexion, de manière généralisée et indifférenciée. « C’est à partir de cette base que les juges judiciaires demandent aux opérateurs les données de connexion concernant un prévenu ou que les services de renseignement demandent à ces mêmes opérateurs l’identification de numéros de téléphone à partir d’un dossier initial concernant une personne suspecte, puis les données de connexion liées à ce numéro (48 000 demandes en 2015, y compris identification initiale des numéros d’abonnés) ».

Selon sa grille de lecture, « l’arrêt ne remet pas en cause l’accès des juges ou des services de renseignement aux « fadettes », mais il censure leur conservation, en tout cas sur une période dépassant un délai très bref. Il n’autorise plus, au fond, que les récupérations de données de connexion effectuées en temps réel ».

Pour pallier ses conséquences douloureuses (voir le cas de la Hadopi), la DPR suggère au gouvernement  d’ « exiger au plus vite auprès du Conseil la révision de la directive européenne 2002/58/CE » sur la protection de la vie privée, afin de sécuriser juridiquement ces opérations. Ou dit autrement, court-circuiter cet arrêt emblématique. »

La DPR semble ignorer qu’une directive a été adoptée le 27 avril 2016 sur le sujet (le même jour que celui de l’adoption de la GDPR) et qu’une révision (par voie de Règlement) de la directive 2002/58 a été annoncé début janvier 2017… Ils sont trop forts, nos parlementaires bleu-blanc-rouge…

 


Je remercie l’équipe des éditions Soleil / Delcourt, pour leur confiance et leur aide, merci à Sébastien Le Foll et Lucie Massena. Bon, évidemment, merci surtout à « Maître » Eric Corbeyran, « l’homme aux 300 scénarii« , génie de l’intrigue. Si vous aimez la BD, ne dites pas que vous ne connaissez pas son nom, personne ne vous croira. Un merci aussi chaleureux à Piotr Kowalski pour ses superbes dessins du Far West et des esprits Anasazis. Voila un autre Maître devant lequel je m’incline de bonne grâce. PS : on attend grave le tome 3 !!!


Ledieu avocat contrat droit nouvelle technologie logiciel SaaS web DMP métadonnées personnelles cybersécurité