Suite aux attentats de Madrid et de Londres, la directive européenne 2006/24/EC sur la conservation des données imposait aux pays membres de passer des lois qui forçaient les intermédiaires, comme les opérateurs mobiles ou les fournisseurs d’accès à Internet, à tenir un journal des activités des utilisateurs, et de le tenir à la disposition de la police et de services de sécurité.
Cette directive était invalidée en avril 2014 par la Cour de Justice de l’Union Européenne du fait de son interférence majeure « avec les droits fondamentaux du respect de la vie privée et de la protection des données personnelles. »
Même si cette décision de justice n’invalidait pas automatiquement les lois nationales sur la conservation des données, les conseillers juridiques du Parlement européen étaient de l’avis que nombre des arguments de la Cour de Justice contre la directive s’appliquaient aussi bien aux lois nationales.
Aux Pays-Bas, une coalition composée du groupe Privacy First, de l’association hollandaise des avocats des droits de l’homme, de l’union des journalistes NVJ et des opérateurs télécoms BIT, SpeakUp et Voys Telecom, avait alors demandé l’invalidation de la loi Wet bewaarplicht telecommunicatiegegevens (WBT), qui oblige la conservation de métadonnées sur les communications pendant 12 mois, et sur les communications Internet pendant 6 mois.
Aujourd’hui, la Cour de district de La Haye leur donne raison, puisqu’elle vient de suspendre la WBT. Pour la Cour, la loi doit respecter la directive sur la vie privée de 2002, tout comme la Charte des Droits Fondamentaux de l’Union Européenne, et notamment l’article 7 sur la vie privée et l’article 8 sur la protection des données.
La Cour ne reconnaît pas, comme le souhaitait la coalition, que toute conservation des données viole ces droits fondamentaux ; elle peut être légale si elle est justifiée et proportionnée.
Elle note en revanche que la loi hollandaise est trop vague et n’offre pas suffisamment de garanties aux citoyens. Par exemple, elle ne stipule pas que les données sont stockées en Europe, ce qui est indispensable.
Elle ne garantit pas que les informations seront transmises aux autorités uniquement dans le cas de délits graves, alors que la loi s’applique exclusivement aux délits graves passibles d’au moins quatre ans de prison.
Aucun organisme indépendant ni aucune procédure ne sont mis en place pour contrôler l’accès aux données, et aucune décision de justice n’est nécessaire pour leur obtention.
La Cour se sent donc obligée de suspendre la loi, en dépit des répercussions négatives sur certaines enquêtes et certains procès en cours.
La coalition salue la décision comme une victoire pour la vie privée.
Les opérateurs télécoms s’apprêtent à appliquer la décision, mais s’interrogent sur son impact sur les données déjà conservées.