Lundi, Privacy International, Liberty et Open Rights Group se sont associées à plus de 60 organisations non gouvernementales, groupes communautaires et universitaires de l’Union européenne, dont  pour déposer plainte auprès de la Commission européenne.

La plainte exige que l’Allemagne, la Belgique, l’Espagne, la France, l’Irlande, l’Italie, la Pologne, le Portugal, la République Tchèque, le Royaume-Uni et la Suède, cessent d’obliger les entreprises à conserver toutes les données de communication.

La rétention généralisée et indifférenciée des informations de communication, est une forme très intrusive de surveillance de masse. Ces informations peuvent être aussi sensibles que le contenu même des communications.

La Cour de Justice de l’Union Européenne (CJUE) a déjà statué deux fois sur la question, en déclarant illégale toute rétention généralisée et indifférenciée de données personnelles.

La Directive 2006/24 exigeait certes la collecte et la rétention de données personnelles, en excluant toutefois le contenu des communications téléphoniques ou électroniques.

Mais elle a été invalidée par la CJUE le 8 avril 2014 (Digital Rights Ireland, C-293/12 et C-594/12). Une jurisprudence réitérée le 21 décembre 2016 dans l’affaire Tele2 Sverige.

Dans cet arrêt, la Cour a jugé que le droit de l’Union s’oppose, d’une part,

« À une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique »

Et, d’autre part,

« À une réglementation nationale régissant la protection et la sécurité des données relatives au trafic et des données de localisation, en particulier l’accès des autorités nationales compétentes aux données conservées, sans limiter, dans le cadre de la lutte contre la criminalité, cet accès aux seules fins de lutte contre la criminalité grave, sans soumettre ledit accès à un contrôle préalable par une juridiction ou une autorité administrative indépendante, et sans exiger que les données en cause soient conservées sur le territoire de l’Union ».

Dans ce domaine, la loi européenne prévaut sur les législations nationales.

D’après une enquête de Privacy International, au moins 17 États membres enfreignent la loi en 2017 : les onze contre lesquels sont portés plainte, plus la Bulgarie, la Croatie, Chypre, la Hongrie, le Luxembourg et la Slovénie.

Une lettre ouverte signée par 62 organisations a également été envoyée à la Commission européenne.