Le 1er octobre 2024, la première chambre de la Cour constitutionnelle fédérale (BVerfG) a décidé que des dispositions essentielles de la loi BKA (BKAG) sur la conservation et la surveillance des données n'étaient pas compatibles avec le droit fondamental à l'autodétermination en matière d'information découlant de l'article 2, paragraphe 1, en relation avec la loi sur la protection des données. Article 1, alinéa 1 de la Loi fondamentale (GG). Cela concerne en particulier les règles qui permettent à l'Office fédéral de la police criminelle (BKA) de stocker des données dans le réseau d'information de la police.
Loi sur le BKA : les pouvoirs de surveillance et de stockage au banc d'essai
Les plaignants, qui comptent des avocates, un activiste politique ainsi que des membres du milieu des supporters de football organisés, ont contesté plusieurs pouvoirs de surveillance et de conservation des données du BKA, notamment
- La surveillance secrète de personnes de contact dans le cadre de la lutte contre le terrorisme (§ 45, alinéa 1, phrase 1, n° 4 BKAG),
- l'enregistrement de données dans le réseau d'information de la police (§ 18 alinéa 1 n° 2, alinéa 2 n° 1 BKAG) ainsi que
- le traitement ultérieur de données à caractère personnel dans le système d'information du BKA (article 16, paragraphe 1, en liaison avec l'article 12, paragraphe 1, première phrase, de la BKAG).
Le réseau d'information policière est une plate-forme d'échange fédéral de données entre les autorités policières de l'État fédéral et des Länder.
Critiques de la Cour constitutionnelle fédérale à l'encontre de la loi BKA
La Cour constate (1 BvR 1160/19) que certaines des réglementations attaquées portent atteinte au droit fondamental des requérants à l'autodétermination en matière d'information. Ces ingérences nécessitent une base légale qui respecte les exigences constitutionnelles de proportionnalité.
L'article 45, paragraphe 1, première phrase, n° 4 de la BKAG régit les pouvoirs spéciaux de collecte de données de l'Office fédéral de la police judiciaire (Bundeskriminalamt) en vue de prévenir les risques de terrorisme international. Cette réglementation autorise le BKA à surveiller des personnes qui ne sont pas des suspects directs, mais qui ont une relation de proximité avec des personnes suspectes. Le tribunal a critiqué le fait que le seuil d'intervention était trop bas et ne répondait pas aux exigences de proportionnalité. La surveillance des personnes de contact exige une proximité individuelle suffisante avec le danger réel, ce qui n'est pas suffisamment le cas ici.
Dans son arrêt, la Cour constitutionnelle fédérale explique : "Ces exigences s'adressent aussi bien au bien juridique à protéger par la collecte de données qu'à ce que l'on appelle le seuil d'intervention, seul critiqué en l'espèce, c'est-à-dire le motif de la surveillance. L'utilisation d'un pouvoir de surveillance secrète intrusif comme celui dont il est question ici présuppose déjà, vis-à-vis de la personne responsable, un danger au moins concrétisé pour un bien juridique d'une importance suffisante. Si des personnes de l'entourage de la personne responsable doivent également être surveillées avec de tels moyens, il faut en outre une proximité individuelle spécifique des personnes concernées avec le danger à élucider. Indépendamment de cela, la condition préalable à la surveillance des personnes de contact est qu'une surveillance de la personne responsable avec des moyens correspondants soit en tout cas autorisée. Dans le cas contraire, il n'y aurait déjà pas de risque à élucider suffisant".
Stockage des données dans le réseau d'information de la police
Le tribunal critique également le fait que le § 18, alinéa 1, n° 2 en relation avec le § 13 BKAG. § L'article 13, paragraphe 3, et l'article 29 de la loi fédérale sur la police judiciaire (BKAG) ne prévoient pas de seuil de stockage clair ni de réglementation appropriée concernant la durée de stockage. La conservation de données à caractère personnel doit être justifiée par des indices factuels spécifiques, ce qui n'est pas suffisamment normalisé dans la loi actuelle. En outre, il manque un concept élaboré pour la durée de conservation, de sorte que la suppression des données n'est pas suffisamment garantie.
En ce qui concerne le concept de réglementation insuffisamment différencié relatif à la durée de conservation, la Cour constitutionnelle fédérale explique : "Conformément à l'article 75, paragraphe 2, de la BDSG, les données à caractère personnel doivent être effacées immédiatement si leur traitement est illicite, si elles doivent être effacées pour respecter une obligation légale ou si leur connaissance n'est plus nécessaire à l'accomplissement de la tâche. En outre, l'article 75, paragraphe 4, de la BDSG contient l'obligation de prévoir des délais raisonnables et de garantir, par des dispositions procédurales, que ces délais seront respectés. L'Office fédéral de police criminelle vérifie donc en premier lieu si les données à caractère personnel enregistrées doivent être effacées dans le cadre d'un traitement au cas par cas qui n'est pas suffisamment guidé par la loi ou le règlement. Certes, l'article 77, paragraphe 1, première phrase, de la BKAG prévoit des délais fixés pour l'examen des obligations d'effacement. Toutefois, cela ne suffit pas à lui seul à satisfaire aux exigences d'un concept de réglementation à élaborer par le législateur".
Conseil de lecture : Arrêt de la CJUE sur les amendes RGPD - de quel pouvoir discrétionnaire dispose une autorité de protection des données ?
Traitement ultérieur des données
Le § 16 alinéa 1 en relation avec le § 12 BKA. § En revanche, le tribunal ne voit aucune violation de la loi fondamentale dans l'article 12, paragraphe 1, première phrase, de la BKAG. Le traitement ultérieur des données à caractère personnel dans le cadre des finalités initiales (par exemple la lutte contre le terrorisme) et les prescriptions existantes en matière d'effacement satisfont aux exigences constitutionnelles.
Conséquences du jugement
L'arrêt a des conséquences importantes pour la base légale des pouvoirs de surveillance et de stockage du BKA :
Jusqu'au 31 juillet 2025, les dispositions concernées restent en vigueur, mais sous certaines conditions. Ainsi, la conservation de données à caractère personnel ne peut avoir lieu que s'il existe une probabilité raisonnable que les personnes concernées soient liées à d'éventuelles infractions et que les données peuvent contribuer de manière significative à leur prévention ou à leur poursuite. De même, la surveillance des personnes de contact est limitée, de sorte qu'elle ne peut être utilisée qu'en cas de danger clairement établi.
Le législateur est maintenant appelé à modifier la BKAG pour qu'elle soit conforme à la Constitution d'ici 2025 au plus tard. Cela concerne notamment la définition claire des seuils de stockage et d'intervention ainsi que la fixation d'une durée de stockage appropriée.
L'arrêt précise que les mesures de lutte contre le terrorisme doivent toujours être conformes au droit fondamental à l'autodétermination en matière d'information. Les mesures de surveillance secrètes et le stockage de données à caractère personnel, en particulier, sont soumis à des exigences strictes.
Source : Arrêt de la Cour constitutionnelle fédérale du 1er octobre 2024 (1 BvR 1160/19)