Affaires C-623/17, C-511/18, C-512/18 et C-520/18
La CJUE s’oppose à une réglementation nationale prévoyant la conservation généralisée et indifférenciée des données de connexion à des fins de sauvegarde de la sécurité nationale et de lutte contre la criminalité.
Aux termes de plusieurs arrêts du 6 octobre 2020, la Cour de Justice de l’Union Européenne (ci-après la « CJUE ») s’oppose à la conservation généralisée et indifférenciée des données de connexion par les fournisseurs de services de communications électroniques et à leur transmission aux autorités nationales de sécurité et de renseignement.
Il est à noter que ces arrêts se positionnent dans la lignée d’un arrêt remarqué du 21 décembre 2016, l’arrêt « Tel2 Sverige et Watson », aux termes duquel la CJUE avait estimé que les Etats membres ne pouvaient imposer aux fournisseurs de services de communications électroniques une obligation de conservation généralisée et indifférenciée des données dites de connexion.
A titre liminaire, il convient de préciser que les données visées recouvrent « celles qui sont nécessaires pour retrouver la source d’une communication et la destination de celle-ci, déterminer la date, l’heure, la durée et le type de la communication, identifier le matériel de communication utilisé ainsi que localiser les équipements terminaux et les communications, données au nombre desquelles figurent, notamment, le nom et l’adresse de l’utilisateur, les numéros de téléphone de l’appelant et de l’appelé ainsi que l’adresse IP pour les services Internet ». La CJUE rappelle dans ce contexte que sont exclus les contenus desdites communications.
La CJUE se fonde ainsi sur la directive 2002/58/CE du 12 juillet 2002 dite « Vie privée et communications électroniques » ou « e-Privacy » (ci-après la « Directive ») et rappelle que ce texte a pour dessein d’assurer un niveau de protection suffisant des droits fondamentaux dans le secteur des communications électroniques notamment eu égard « à la capacité accrue de stockage et de traitement automatisés de données relatives aux abonnés et aux utilisateurs. »
L’article 5 de la Directive consacre en effet le principe de confidentialité tant des communications électroniques que des données relatives au trafic y afférentes, et l’interdiction à toute autre personne autre que les utilisateurs de stocker ces communications et données, sans leur consentement.
Toutefois, cette même Directive offre par son article 15 la possibilité aux Etats membres de limiter la portée de cette interdiction sous certaines conditions. En effet, est consacrée une exception au principe lorsque la mesure législative poursuivie par l’Etat membre constitue une mesure « nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques ».
Dans ce contexte, la CJUE réaffirme le caractère disproportionné d’une conservation généralisée et indifférenciée de données relatives au trafic et à la localisation et précise que ces opérations ne peuvent être effectuées que dans certaines hypothèses définies strictement, aux fins notamment de sauvegarde de la sécurité nationale et de lutte contre la criminalité.
Dans une démarche pédagogique, la CJUE rappelle que la Directive s’oppose aux mesures législatives imposant aux fournisseurs de services de communications électroniques, tant la conservation généralisée et indifférenciée des données relatives au trafic et à la localisation à titre préventif, que la transmission généralisée et indifférenciée de ces données aux autorités compétentes.
La Haute juridiction précise cependant que dans des situations où l’Etat membre fait face à une menace grave, réelle, actuelle ou prévisible, pour la sécurité nationale, une mesure législative peut prévoir une injonction de conservation généralisée et indifférenciée des données de connexion aux fournisseurs de services de communication électroniques.
Dès lors, de telles mesures législatives sont envisageables sous réserve de soumettre la décision d’injonction à un contrôle effectif (juridictionnel notamment ou par une autorité indépendante dont la décision est dotée d’un effet contraignant) et de la circonscrire à une période temporellement limitée au strict nécessaire. Dans ces mêmes conditions, la CJUE estime qu’une analyse automatisée des données en cause de l’ensemble des utilisateurs est possible.
En outre, la CJUE estime que des mesures législatives peuvent permettre la conservation ciblée, temporellement limitée au strict nécessaire, des données de connexion, sous réserve que cette conservation soit délimitée sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique.
La CJUE ajoute que des mesures législatives peuvent prévoir le recueil en temps réel des données de connexion limitées au strict nécessaire et à la condition que ces opérations soient limitées aux personnes à l’égard desquelles il existe une raison valable de soupçonner qu’elles sont impliquées dans des activités de terrorisme et sous réserve de les encadrer par un contrôle effectif.
Enfin, il semble opportun de relever que la CJUE ne s’oppose pas à une mesure législative permettant la conservation rapide des données de connexion au-delà des délais légaux de conservation aux fins d’élucidation d’infractions pénales graves ou d’atteintes à la sécurité nationale, lorsque lesdites infractions ou atteintes ont déjà été constatées ou que leur existence peut être raisonnablement soupçonnée.
En illustrant ainsi les exceptions prévues par l’article 15 de la Directive, la CJUE met ainsi un frein aux incertitudes liées à son interprétation.
A rapprocher : Affaire C-623/17 Privacy International ; Affaires C-511/18 La Quadrature du Net e.a. et C-512/18, French Data Network e.a., ainsi que C-520/18 Ordre des barreaux francophones et germanophone e.a ; CJUE, Communiqué de presse n°123/20 – Arrêts dans l’affaire C-623/17 Privacy International et dans les affaires jointes C-511/18 La Quadrature du Net e.a. et C-512/18, French Data Network e.a., ainsi que C-520/18 Ordre des barreaux francophones et germanophone e.a.