Par un arrêt du 10 février 2009, la Cour de justice des Communautés européennes s’est prononcée sur la délimitation des compétences entre le pilier communautaire et le pilier relatif à la coopération policière et judiciaire en matière pénale. Le litige portait sur la validité de la base juridique d’une directive adoptée le 15 mars 2006. Celle-ci visait à harmoniser les obligations des États membres concernant la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques.
Les faits à l’origine de la procédure résultent de l’adoption de législations nationales divergentes par plusieurs États membres, notamment à la suite d’événements sécuritaires majeurs. Ces législations imposaient aux fournisseurs de services de communications électroniques de conserver les données relatives au trafic et à la localisation pour des durées et selon des modalités variées, afin de les rendre disponibles pour la recherche et la poursuite d’infractions pénales. Face à ces disparités, le législateur communautaire a adopté la directive contestée afin d’établir un cadre harmonisé au niveau européen.
Un État membre a alors introduit un recours en annulation contre cette directive devant la Cour de justice. Il soutenait que l’objectif principal, sinon unique, de l’acte était de faciliter la lutte contre la criminalité et le terrorisme, une matière relevant exclusivement du titre VI du traité sur l’Union européenne relatif à la coopération policière et judiciaire. Par conséquent, la directive n’aurait pas pu être adoptée sur le fondement de l’article 95 du traité instituant la Communauté européenne, qui concerne le rapprochement des législations pour le fonctionnement du marché intérieur. En défense, le Parlement européen et le Conseil, soutenus par d’autres intervenants, ont fait valoir que la directive avait pour but principal d’éliminer les entraves au marché intérieur des communications électroniques, lesquelles découlaient des obligations hétérogènes imposées aux opérateurs économiques. L’article 95 CE constituait donc, selon eux, la base juridique appropriée.
La question de droit posée à la Cour était donc de savoir si le législateur communautaire pouvait valablement fonder une directive harmonisant les obligations de conservation de données des fournisseurs de services de communications électroniques sur la base juridique relative au fonctionnement du marché intérieur, alors même que la finalité de cette conservation était de rendre lesdites données disponibles à des fins de recherche et de poursuite d’infractions pénales graves.
La Cour de justice a répondu par l’affirmative et a rejeté le recours. Elle a jugé que le contenu de la directive visait essentiellement à réglementer l’activité des fournisseurs de services sur le marché intérieur, justifiant ainsi le recours à l’article 95 CE. Cette solution consacre une approche fonctionnelle de la compétence relative au marché intérieur, dont la Cour précise la portée au regard des activités répressives des États. Ainsi, la Cour justifie le choix de la base juridique par l’objectif prépondérant de l’acte, centré sur le marché intérieur (I), tout en opérant une dissociation claire entre la régulation de l’activité économique et les prérogatives des États en matière pénale (II).
La Cour de justice confirme que l’article 95 CE constitue une base juridique appropriée dès lors que l’acte vise principalement à améliorer les conditions de fonctionnement du marché intérieur. Elle retient pour cela que l’objectif prépondérant de la directive était bien d’harmoniser les conditions d’activité des opérateurs économiques (A) et non de régir les activités répressives, ce qui se reflète dans le contenu même de l’acte (B).
Le raisonnement de la Cour s’appuie sur une jurisprudence constante selon laquelle le choix de la base juridique doit se fonder sur des éléments objectifs, au premier rang desquels figurent le but et le contenu de l’acte. En l’espèce, elle constate que « les divergences entre les différentes réglementations nationales adoptées en matière de conservation des données relatives aux communications électroniques étaient de nature à avoir une incidence directe sur le fonctionnement du marché intérieur ». En effet, les obligations hétérogènes en termes de durée de conservation, de catégories de données ou de mesures de sécurité imposaient des charges économiques et techniques variables aux fournisseurs de services selon l’État membre où ils opéraient.
Ces disparités créaient des distorsions de concurrence et des entraves à la libre prestation de services au sein de la Communauté. Le législateur était donc fondé à intervenir pour « protéger le bon fonctionnement du marché intérieur en adoptant des règles harmonisées ». En se concentrant sur les implications économiques des réglementations nationales pour les entreprises du secteur, la Cour ancre solidement la légitimité de l’action communautaire dans sa finalité économique. La lutte contre la criminalité apparaît alors comme le contexte ou la motivation politique de l’action, mais non comme son objet juridique principal.
Pour conforter son analyse, la Cour examine le contenu matériel de la directive. Elle relève que les dispositions de celle-ci « sont essentiellement limitées aux activités des fournisseurs de services et ne réglementent pas l’accès aux données ni l’exploitation de celles-ci par les autorités policières ou judiciaires des États membres ». L’acte harmonise les obligations relatives aux catégories de données à conserver, à la durée de cette conservation et aux standards de sécurité applicables. Ces obligations s’imposent aux entreprises dans le cadre de leur activité commerciale et sont indépendantes de toute action répressive.
La directive organise une activité technique et économique en amont de toute intervention étatique. La Cour souligne que les mesures d’accès aux données conservées et leur utilisation par les autorités nationales sont explicitement exclues du champ de l’harmonisation et demeurent régies par le droit interne de chaque État membre, le cas échéant dans le cadre du titre VI du traité sur l’Union européenne. En se limitant à réguler le marché, la directive ne déborde donc pas sur les compétences des États membres en matière de justice et de sécurité. Cette analyse du contenu matériel permet de conclure que « la directive 2006/24 concerne de façon prépondérante le fonctionnement du marché intérieur ».
En validant la base juridique de la directive, la Cour ne se contente pas d’appliquer sa méthode du « centre de gravité » ; elle réaffirme une frontière claire, fondée sur la nature des activités réglementées, entre la compétence communautaire et les domaines relevant de la coopération intergouvernementale. Cette solution préserve l’intégrité de l’acquis communautaire (A) et confère à la décision une portée de principe pour l’articulation des compétences au sein de l’Union (B).
La Cour rappelle un principe fondamental de l’architecture des traités : une mesure relevant de la coopération en matière pénale ne peut affecter l’acquis communautaire. L’article 47 du traité sur l’Union européenne vise en effet à « maintenir et à développer l’acquis communautaire ». Or, la directive de 2006 modifiait la directive 2002/58/CE concernant la vie privée et les communications électroniques, laquelle était elle-même fondée sur l’article 95 CE. Modifier un acte de droit communautaire par un instrument relevant du titre VI du traité UE aurait constitué une violation de cet article 47.
Le raisonnement de la Cour est donc aussi formel que matériel : dès lors que la matière à réglementer touchait à un domaine déjà harmonisé par le droit communautaire, seul un acte de même nature juridique pouvait légalement intervenir. Adopter une décision-cadre sur la base du titre VI aurait empiété sur les compétences de la Communauté. La Cour se pose ainsi en gardienne non seulement des compétences communautaires, mais aussi de la cohérence de l’ordre juridique de l’Union. Cette logique assure une stabilité et une prévisibilité juridiques, en empêchant que les piliers de l’Union n’entrent en conflit.
L’arrêt revêt une importance qui dépasse le cas d’espèce. Il établit un critère de distinction fonctionnel clair : la régulation des activités économiques des opérateurs privés relève du pilier communautaire, même si cette régulation sert des objectifs de sécurité publique. En revanche, l’organisation de l’accès et de l’utilisation de ces données par les autorités publiques à des fins répressives relève de la coopération en matière pénale. Cette clarification est essentielle dans un contexte où les impératifs de sécurité conduisent de plus en plus souvent à imposer des obligations à des acteurs économiques privés.
La Cour distingue cette affaire de précédents où le traitement de données lui-même n’était « pas nécessaire à la réalisation d’une prestation de services […] mais […] était considéré comme nécessaire pour sauvegarder la sécurité publique ». Ici, la conservation des données est intrinsèquement liée à l’activité des fournisseurs. En validant cette démarche, la Cour confère au législateur de l’Union une capacité d’action significative pour répondre à des défis sécuritaires par le biais d’instruments du marché intérieur, à condition que ceux-ci se limitent à réguler les activités des entreprises et n’organisent pas l’action répressive de l’État elle-même. Cet arrêt de principe a ainsi durablement structuré la manière dont l’Union européenne peut articuler ses politiques de marché intérieur avec les impératifs de justice et de sécurité.
