[données] Tempête sur les métadonnées (CJUE 21 décembre 2016 « Tele2 »)

[mis à jour le 15 mars 2017] Il m’aura fallu quelques jours pour analyser en détail la jurisprudence du 21 décembre 2016 « Tele2 Sverige » de la CJUE. D’où ce numéro de blog hors série justifié par l’importance des conséquences de cet arrêt pour les pays de l’Union Européenne.

C’est vraiment « tempête sur les [méta]données« . Comme l’arrêt « Schrems » annulant le Safe Harbor le 6 octobre 2015. Un truc majeur. 

C’est toute la mécanique de collecte et de conservation obligatoire des [méta] données par les FAI et les opérateurs télécom qui est aujourd’hui impactée par cet arrêt « Tele2 Sverige ».

Mais la CJUE, par le même arrêt, pose en plus toute la doctrine d’interprétation de l’accès à ces [méta] données (et donc de leur exploitation) par les Etats membres de l’Union Européenne. Et encadre par avance la transposition (avant le 6 mai 2018) de la Directive du 27 avril 2016 sur la collecte des métadonnées à des fins de politique pénale (recherche, détection et prévention des infractions pénales).

Surtout ? l’affirmation que l’ensemble des [méta]données sont « aussi sensibles » que le « contenu des correspondances » en terme de risque pour la vie privée. Et si ça vaut pour les Etats membres, cela vaut logiquement, et a fortiori, pour les prestataires opérant des collectes massives de [méta]données à titre commercial. Des collectes vraiment massives. Des collectes de quoi ? De « métadonnées » ?

Le nécessaire (rapide) flash-back 

Pour bien saisir la portée de cet arrêt historique – n’ayons pas peur de mots -, un petit flash back est nécessaire (et les deux premiers tome de « Badlands » se prêtent assez bien à l’exercice. Merci à Maître Eric Corbeyran et Piotr Kowalsky, les deux auteurs de cette TRES BELLE série SUPER SYMPA !). Et oui. Encore Delcourt / Soleil. Le meilleur de la BD actuelle si vous aimez l’aventure dans des décors somptueux.

L’explosion du trafic web depuis 1998

Pourquoi 1998 ? Parce que c’est l’année de la création de Google. A part quelques pionniers de l’Internet, qui se souvient encore des moteurs de recherche de cette époque ? En décembre 2012, 65 % des requêtes web du monde sont passées par Google. 

2007 : l’arrivée du premier « smartphone »

Pourquoi 2007 ? C’est l’année de la commercialisation par Apple du premier smartphone à écran tactile, à partir duquel il était possible de naviguer (facilement) sur le web.

20 ans après Google et 10 ans après l’iPhone, le trafic des opérateurs télécom mobile et des Fournisseur d’Accès Internet représente aujourd’hui un volume considérable de données électroniques (dont les métadonnées of course).  Et insidieusement, alors que la notion de secret des correspondances restent juridiquement le pilier de la protection de la vie privée, sont apparues les métadonnées liées aux communications électroniques. Comme avant, le nom du destinataire et de l’expéditeur sur le recto et/ou verso d’une enveloppe transportée par la Poste, le tempo d’oblitération du timbre avec son horodatage…

C’est quoi les métadonnées ?

Au début, moi aussi, j’ai eu du mal à comprendre l’intérêt de ces données associées aux communications électroniques. Pourquoi protéger ces [méta]données ? Ce ne sont jamais que de banales informations relatives à chaque communication électronique (depuis où ? vers où ? combien de temps ? via quel opérateur télécom / F.A.I. ? quel terminal ? avec quel OS ? depuis quelle adresse IP ? etc.). C’est dans ce « etc. » que ça fait peur.

Soyez honnête, sauf si votre métier gravite autours des nouvelles technologies, vous ne savez pas ce que sont les [méta]données.

Voici la liste qu’en fait la CJUE dans son arrêt « Tele2 Sverige » du 21 décembre 2016 : 

« Les données que doivent ainsi conserver les fournisseurs de services de communications électroniques permettent de retrouver et d’identifier la source d’une communication et la destination de celle-ci, de déterminer la date, l’heure, la durée et le type d’une communication, le matériel de communication des utilisateurs, ainsi que de localiser le matériel de communication mobile. Au nombre de ces données figurent, notamment, le nom et l’adresse de l’abonné ou de l’utilisateur inscrit, le numéro de téléphone de l’appelant et le numéro appelé ainsi qu’une adresse IP pour les services Internet.

Ces données permettent, en particulier, de savoir quelle est la personne avec laquelle un abonné ou un utilisateur inscrit a communiqué et par quel moyen, tout comme de déterminer le temps de la communication ainsi que l’endroit à partir duquel celle-ci a eu lieu. En outre, elles permettent de connaître la fréquence des communications de l’abonné ou de l’utilisateur inscrit avec certaines personnes pendant une période donnée ».

Savoir qui vous êtes seulement à partir de vos [méta]données ?

Le problème est que, prises ensemble, ces métadonnées permettent d’en savoir plus sur une personne que la lecture de ses correspondances privées ou que par l’analyse des contenus qu’elle consulte sur le web. C’est ce qu’on appelle un changement de paradigme.

Vous pouvez ne pas me croire, ou feindre de l’ignorer, et trouver que, finalement, tout cela, c’est bien compliqué.

Que dit la CJUE sur ce point dans l’arrêt « Tele2 Sverige » ? Allez, en un unique paragraphe…

« Prises dans leur ensemble, ces données sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci… En particulier, ces données fournissent les moyens d’établir, … le profil des personnes concernées, information tout aussi sensible, au regard du droit au respect de la vie privée, que le contenu même des communications. « 

Voila, aujourd’hui, officiellement pour la CJUE, la traditionnelle distinction métadonnées / contenu et secret des correspondances, est abolie.

ça concerne l’obligation de conservation des [méta]données (dont certaines à caractère personnel) imposée aux opérateurs télécom par l’Etat.

Et le droit pour l’Etat d’accéder et d’utiliser ces [méta]données.

Avertissement pour les professionnels de la collecte des [méta]données

Vous êtes un  professionnel de la collecte et de l’exploitation commerciale des [méta]données ? Cette jurisprudence est une démonstration de ce qui va arriver. 

Car la Directive 2002/58, celle qui régit la matière, va être réformée. La Commission Européenne vient de l’annoncer le 10 janvier 2017. Et attention, la Commission semble comprendre, comme la Cour de justice de l’UE, ce qui se passe, techniquement, actuellement, avec les [méta]données… 

Oui, vous gagnerez toutes et tous à lire les quelques slides qui sont accessibles en cliquant sur le slider au début de cet article.

—> Pour aller plus loin sur l’arrêt « Tele2 Sverige »

Next INpact 14 mars 2017 « Hadopi : l’épineuse question de la conservation des données au regard de l’arrêt Télé2« . Encore l’excellent Marc Rees !


Je remercie l’équipe des éditions Soleil / Delcourt, pour leur confiance et leur aide, merci à Sébastien Le Foll et Lucie Massena. Bon, évidemment, merci surtout à « Maître » Eric Corbeyran, « l’homme aux 300 scénarii« , génie de l’intrigue. Si vous aimez la BD, ne dites pas que vous ne connaissez pas son nom, personne ne vous croira. Un merci aussi chaleureux à Piotr Kowalski pour ses superbes dessins du Far West et des esprits Anasazis. Voila un autre Maître devant lequel je m’incline de bonne grâce. PS : on attend grave le tome 3 !!!


Ledieu avocat contrat droit nouvelle technologie logiciel SaaS web DMP métadonnées personnelles cybersécurité