L’UE propose une loi sur la conservation des métadonnées, relançant la surveillance de masse malgré les arrêts de la Cour

Un régime de données que les tribunaux ont tué à deux reprises est en train de ressusciter discrètement sous un autre nom.

La Commission européenne a pris des mesures qui pourraient ouvrir la voie à un vaste régime européen obligeant les fournisseurs de services numériques et de télécommunications à stocker les métadonnées des utilisateurs, malgré une longue série de décisions de justice qui ont jugé ces mesures illégales.

Le 21 mai, la Commission a lancé un appel à contribution officiel, soulignant son intention d’élaborer une législation obligeant les fournisseurs à conserver les métadonnées pour ce qu’elle appelle une durée « raisonnable et limitée » afin de faciliter les enquêtes criminelles.

Bien qu’elle soit présentée comme une nécessité pour les forces de l’ordre, cette proposition suscite de vives inquiétudes au sein de la communauté des défenseurs de la vie privée. Les métadonnées, souvent considérées comme de simples données techniques, peuvent en réalité révéler de nombreux détails intimes sur la vie d’une personne.

Même sans accéder au contenu des communications, les métadonnées peuvent révéler à qui une personne parle, pendant combien de temps, à quelle fréquence, à partir de quel endroit et à quel moment.

Lorsqu’elles sont agrégées au fil du temps, ces données forment une carte révélatrice des habitudes personnelles, des routines, des relations, des affiliations politiques, des pratiques religieuses et même des conditions médicales.

La Cour de justice de l’Union européenne s’est prononcée à plusieurs reprises contre cette conservation aveugle des données. Dans une décision historique de 2014, elle a invalidé la directive de l’UE sur la conservation des données, la qualifiant d’« ingérence grave dans les droits fondamentaux » et notant que la directive ne fixait pas de limites ou de protections significatives.

Des décisions ultérieures, dont une décision cruciale en 2020, ont renforcé le fait que la conservation générale et indiscriminée des métadonnées est contraire au droit de l’UE.

Des évaluations internes, y compris une analyse divulguée en 2023, ont fait écho à ces conclusions, avertissant que la réintroduction de la collecte générale de données sous une terminologie différente, comme le « filtrage des métadonnées des communications », ne respecterait probablement pas les normes de proportionnalité légales.

Néanmoins, la Commission considère l’absence d’une politique de conservation unifiée comme un obstacle à l’efficacité de l’application de la loi, affirmant que « souvent, les données nécessaires ne sont plus disponibles au moment où l’enquête est menée ».

La proposition actuelle esquisse plusieurs pistes, de la coopération volontaire par le biais d’outils non contraignants tels que des formulaires de demande de données normalisés, à une voie législative plus coercitive qui imposerait des obligations de conservation obligatoires en vertu du Code européen des communications électroniques.

Ces exigences s’appliqueraient aux métadonnées, telles que les adresses IP, les identifiants d’appareils et les dossiers d’abonnés, et seraient calibrées en fonction du type d’enquête criminelle.

La Commission admet que ces mesures pourraient permettre aux autorités d’accéder à des informations très personnelles, mais elle justifie cette décision en s’engageant à mettre en place des « garanties adéquates ».

Toutefois, de nombreux défenseurs de la vie privée affirment qu’aucune garantie ne peut compenser totalement les risques inhérents à la constitution de bases de données comportementales massives. La simple existence d’un tel ensemble de données invite à l’abus, à la mauvaise utilisation et à l’accès non autorisé, que ce soit par des acteurs étatiques, des entités privées ou des pirates informatiques malveillants.

En outre, l’expérience a montré que les données conservées dans un but précis finissent souvent par être réutilisées, ce qui élargit le champ de la surveillance au-delà de l’objectif initial.

Des milliers de contributions ont déjà été déposées en réponse à l’appel à contribution, et beaucoup mettent en garde contre le fait que la proposition réanimerait des structures de surveillance de masse que les tribunaux européens ont déjà démantelées.

Les défenseurs de la vie privée soulignent que les métadonnées ne sont pas une catégorie d’informations anodine ; elles sont, dans de nombreux cas, plus révélatrices que le contenu des communications elles-mêmes.

Les inquiétudes sont renforcées par le droit déclaré de la Commission de censurer les commentaires publics qu’elle juge « abusifs, obscènes, vulgaires, diffamatoires, haineux, xénophobes [ou] menaçants ». Les groupes de transparence affirment que de telles dispositions pourraient être utilisées pour supprimer des opinions divergentes légitimes, en particulier lorsque le sujet en question a de profondes implications pour les libertés civiles dans l’ensemble de l’UE.

L’appel à contribution est ouvert jusqu’au 18 juin et devrait être suivi d’une consultation publique plus formelle au cours du deuxième trimestre 2025. Un projet de proposition législative est prévu pour le début de l’année 2026.

Traduit par Anguille sous roche