A la suite des conclusions de l’avocat général de la CJUE ayant considéré que la collecte et la conservation des données prévues par la directive 2006/24/CE du 15 mars 2006 constituaient une « ingérence caractérisée » dans la vie privée des abonnés et utilisateurs de réseaux de communication électroniques [voir Netcom Mars 2014], le CJUE a déclaré le texte communautaire invalide.
Dans l’arrêt rendu le 8 avril 2014, la CJUE rappelle que les règles relatives à la protection des données personnelles des utilisateurs des réseaux de communication électronique consacrent en premier lieu le principe d’effacement de leurs données de trafic lorsqu’elles ne sont plus nécessaires à la transmission d’une communication.
Ce n’est qu’à titre d’exception que les Etats-membres peuvent adopter des mesures législatives prévoyant la conservation des données pendant une durée limitée lorsqu’elles constituent des mesures nécessaires, appropriées et proportionnées pour la sauvegarde de la sûreté de l’Etat ou pour assurer la prévention, la détection et la poursuite d’infractions pénales.
Pour l’application de cette exception, la directive 2006/24 harmonise au niveau communautaire le contenu de l’obligation des fournisseurs de services de communications électroniques accessibles au public. Ces fournisseurs doivent ainsi conserver « pour une durée minimale de six mois et maximale de deux ans à compter de la date de communication » certaines catégories de données qu’ils traitent ou génèrent (ex : numéro de téléphone, nom, prénom et adresse, identifiants, adresse IP, date et heure de début et de fin de la communication, etc.).
Ces données permettent notamment de savoir quelle est la personne avec laquelle un abonné du réseau ou utilisateur inscrit a communiqué et quel moyen de communication a été utilisé tout en permettant de déterminer le temps, le lieu et la fréquence des communications.
Or, l’analyse de ces données comporte un risque concernant la vie privée des personnes dont les données sont conservées puisqu’elle permet d’obtenir une vision très précise de leurs habitudes de vie quotidienne, les lieux de séjour, les jours de déplacement, les activités exercées et leurs relations sociales. Cette potentielle surveillance peut également avoir une incidence sur l’exercice de leur liberté d’expression.
C’est la raison pour laquelle la CJUE retient que la simple conservation de ces données pendant une certaine durée constitue en soi une ingérence qui est en outre aggravée par la faculté donnée aux autorités nationales d’y accéder. Selon la Cour, cette ingérence revêt un caractère particulièrement préoccupant compte tenu de son ampleur et de l’absence d’information préalable des personnes concernées.
Si ces mesures de conservation sont, selon la Cour, justifiées par la poursuite d’un objectif d’intérêt général lié à la sûreté publique (telle que la lutte contre le terrorisme international et la criminalité grave), en revanche elle estime que le texte de la directive excède les limites qu’impose le respect du principe de proportionnalité.
Elle rappelle que « la réglementation de l’Union en cause doit prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant un minimum d’exigences de sorte que les personnes dont les données ont été conservées disposent de garanties suffisantes permettant de protéger efficacement leurs données à caractère personnel contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites de ces données » .
Sur ce fondement, la CJUE conteste l’application généralisée des dispositions de la directive concernant de manière globale les personnes faisant usage des services de communications électroniques même lorsqu’il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien même indirect ou lointain avec des infractions graves. En outre, elle ne prévoit aucune différenciation ou exception en fonction de l’objectif poursuivi et couvre également les communications susceptibles d’être couvertes par le secret professionnel.
Outre cette absence générale de limites, la directive ne prévoit pas non plus:
– de critères objectifs permettant de délimiter l’accès des autorités nationales compétentes aux données et leur utilisation ultérieure à des fins de prévention, de détection ou de poursuites pénales concernant des infractions. Au contraire, la directive renvoie uniquement et de façon générale « aux infractions graves » définies par les Etats Membres selon leur propre droit interne et l’accès aux données n’est pas subordonné à un contrôle préalable effectué par une juridiction ou autorité administrative indépendante ;
– de distinction entre les catégories de données pour ajuster leur durée de conservation, en fonction de leur utilité éventuelle ou selon les personnes concernées ;
– de garanties de sécurité et de confidentialité suffisantes permettant d’assurer une protection efficace des données conservées contre les risques d’abus et d’accès illicite ;
– de conserver les données sur le territoire de l’Union Européenne uniquement et ne garantit pas de ce fait le contrôle par une autorité de protection des données indépendante.
Au regard de ces nombreuses failles, la CJUE retient ainsi que « cette directive comporte une ingérence dans ces droits fondamentaux d’une vaste ampleur et d’une gravité particulière dans l’ordre juridique de l’Union sans qu’une telle ingérence soit précisément encadrée par des dispositions permettant de garantir qu’elle est effectivement limitée au strict nécessaire. »
L’invalidité de la directive est d’effet immédiat, les juges n’ayant pas suivi les recommandations de l’avocat général préconisant de suspendre les effets du constat d’invalidité jusqu’à l’adoption de mesures législatives correctrices. Le législateur communautaire devra donc proposer un nouveau texte de directive de façon à circonscrire la mise en œuvre de mesures de conservation des données de façon plus spécifique et encadrée.
Côté français, les textes réglementaires et législatifs relatifs à la conservation des données aux fins de lutte contre la criminalité dont l’adoption n’était pas directement issue de la directive (loi du 23 janvier 2006/loi 21 juin 2004) restent en vigueur. Toutefois, leur application effective pourrait être largement influencée par la motivation retenue par la CJUE.
Sabine DELOGES
Téléchargez cet article au format .pdf
Confirmation en appel du statut d’éditeur d’un site de vente aux enchères et de parking de noms de domaine
