Ecrite dans la foulée de la déclaration du Conseil Européen du 25 mars 2004 sur la lutte contre le terrorisme, la directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications a pour but d’encadrer la conservation des données générés par ces services de communications électroniques.
L’article 3 de la directive prévoit une obligation de conservation de ces données à charge des fournisseurs de service. L’article 6 prévoit que la durée de cette obligation de conservation peut être librement choisie par les Etats-Membres dans une fourchette de six mois à deux ans.
Les données visées sont listées à l’article 5 de la directive, qui indique toutefois que : «Aucune donnée révélant le contenu de la communication ne peut être conservée au titre de la présente directive ». Les conditions d’accès aux données et les conditions de stockage de celles-ci sont prévues à l’article 4.
L’Allemagne a transposé cette directive par une loi sur la révision de la surveillance du secteur des télécommunications et d’autres mesures d’enquête ainsi que sur la mise en oeuvre de la directive 2006/24/EG (Gesetz zur Neuregelung der Telekommunikationsüberwachtung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG) et par une loi sur l’introduction de la rétention de données en Allemagne (Gesetzentwurf zur Einführung der Vorratsdatenspeicherung in Deutschland).
Bien que l’Allemagne ait choisi de limiter la durée de conservation au minimum prévu par la directive européenne, soit six mois, un recours collectif, sorte de « class-action » de plus de 34.000 citoyens regroupé au sein du groupe de travail allemand sur la rétention de données (Arbeitskreis Vorratsdatenspeicherung), a immédiatement été intentée devant la Cour Constitutionnelle Allemande pour violation de la constitution.
La Cour s’est prononcée le 2 mars 2010 en déclarant anticonstitutionnelle la loi organisant la rétention de donnée et a, en conséquence, appelé à la destruction des stocks de données déjà constitués.
Selon la Cour, la loi n’est pas assez transparente, n’offre pas suffisamment de garde-fous quant à la protection et à l’utilisation ultérieure des données et viole le secret de la correspondance. En outre, la violation de la vie privée des citoyens non suspects est disproportionnée par rapport aux motifs sous-tendant la loi (la lutte contre la criminalité et le terrorisme). Comme on peut le voir, ce n’est pas tant le principe même de l’obligation de conservation de donnée, prévue par la directive, qui fait l’objet de la vindicte de la Cour, mais plutôt l’interprétation qu’en a eu le parlement allemand et qu’il a transposé dans cette loi.
La loi devrait être révisée, mais les politiques ont indiqué ne pas vouloir précipiter les choses. S’il s’agit évidemment d’une grande victoire pour les organisations de défense des droits civils, l’on peut toutefois se demander s’il ne s’agit pas aussi d’une victoire pour les cybercriminels de
tout crin, eux dont la trace est déjà si difficile à suivre.