La Cour de justice de l’Union européenne, réunie en Grande chambre, a rendu une décision fondamentale le 2 mars 2021 concernant la protection des données à caractère personnel. Cette juridiction traite la question de l’accès des autorités publiques aux données relatives au trafic et à la localisation conservées par les fournisseurs de services.
Une personne fut condamnée par le Tribunal de première instance de Viru le 6 avril 2017 à une peine privative de liberté pour divers vols et violences. Les enquêteurs s’étaient fondés sur des données de communications électroniques recueillies auprès d’un opérateur après des autorisations délivrées par le parquet entre 2015 et 2016. Ces informations permettaient notamment d’identifier la source d’un appel, sa durée et la localisation du matériel mobile utilisé durant les périodes de commission des infractions.
La Cour d’appel de Tartu a rejeté le recours formé contre cette condamnation par une décision rendue le 17 novembre 2017. La Cour suprême, saisie d’un pourvoi, s’interroge sur la conformité de la collecte de ces preuves avec le droit de l’Union européenne. Elle demande si l’accès à ces données doit être limité à la criminalité grave et si le ministère public constitue une autorité administrative indépendante compétente.
Le problème juridique porte sur les conditions de validité d’une réglementation nationale autorisant l’accès à des données de connexion et sur l’indépendance de l’autorité délivrant l’autorisation. La Cour de justice énonce que l’accès à des données permettant de tirer des conclusions précises sur la vie privée est réservé à la lutte contre la criminalité grave. Elle précise également que le ministère public, dirigeant l’enquête et exerçant l’action publique, ne satisfait pas à l’exigence d’indépendance requise pour ce contrôle.
I. L’exigence de proportionnalité dans l’accès aux données de communications
A. La qualification d’une ingérence grave dans la vie privée
La Cour de justice affirme que l’accès à un ensemble de données de trafic ou de localisation permet de tirer des conclusions très précises sur l’intimité. Ces informations révèlent les habitudes de la vie quotidienne, les lieux de séjour permanents, les déplacements journaliers, les activités exercées ainsi que les relations sociales. L’ingérence dans les droits fondamentaux présente « en tout état de cause un caractère grave indépendamment de la durée de la période pour laquelle l’accès auxdites données est sollicité ».
La quantité des données disponibles et les informations concrètes en découlant sont des circonstances appréciables uniquement après la consultation effective des éléments de preuve. La gravité de l’atteinte s’apprécie donc en fonction du risque généralement afférent à la catégorie de données sollicitées pour la sphère privée des individus concernés. Cette analyse de la dangerosité intrinsèque de la mesure impose alors de restreindre strictement les objectifs de l’autorité publique afin de préserver l’équilibre démocratique.
B. La limitation stricte aux finalités de lutte contre la criminalité grave
Le droit de l’Union s’oppose à une réglementation permettant l’accès aux données à des fins de lutte contre la criminalité en général sans distinction de gravité. La Cour de justice souligne que « seule la lutte contre la criminalité grave et la prévention de menaces graves contre la sécurité publique sont de nature à justifier des ingérences graves ». Les objectifs d’intérêt général ne peuvent justifier une mesure que si l’importance de l’objectif est en relation directe avec la sévérité de la mesure.
Une période brève ou une quantité limitée de données ne permettent pas de déroger à cette exigence de seuil pour la qualification des infractions pénales poursuivies. Le respect de la vie privée impose que l’accès soit circonscrit aux procédures visant à combattre des agissements particulièrement attentatoires à l’ordre public ou à la sécurité. Cette protection substantielle des données électroniques se complète nécessairement par une exigence procédurale stricte relative à l’organe chargé d’autoriser la mesure de surveillance.
II. L’impératif de contrôle par une autorité indépendante
A. L’incompatibilité des fonctions de direction de l’enquête et d’autorisation
La validité de l’accès aux données conservées est subordonnée à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante. L’autorité chargée de cette mission doit jouir d’un statut lui permettant d’agir de manière objective et impartiale, à l’abri de toute influence extérieure. Or, le ministère public dirige la procédure d’instruction et représente l’action publique lors du procès, ce qui lui confère la qualité de partie.
La neutralité vis-à-vis des parties à la procédure pénale est un élément constitutif du statut de tiers nécessaire à l’exercice d’un contrôle de légalité. Le magistrat du parquet a pour mission de soumettre le litige à la juridiction compétente et non de trancher en toute indépendance un conflit d’intérêts. La Cour conclut que « le ministère public n’est pas en mesure d’effectuer le contrôle préalable » requis par le droit de l’Union européenne.
B. L’efficacité du contrôle préalable pour la protection des droits fondamentaux
L’indépendance de l’autorité de contrôle garantit que l’ingérence soit limitée au strict nécessaire dans chaque cas d’espèce soumis à l’appréciation du juge. Ce contrôle doit intervenir avant tout accès aux données, sauf en cas d’urgence dûment justifiée, pour empêcher efficacement toute utilisation abusive des informations privées. Un examen ultérieur par une juridiction ne saurait suppléer l’absence de vérification préalable car il ne permet pas d’atteindre l’objectif de prévention du risque.
L’entité chargée de la surveillance doit être en mesure d’assurer un juste équilibre entre les besoins de l’enquête et la protection du droit au secret. Les garanties offertes par une réglementation nationale doivent être légalement contraignantes pour protéger les citoyens contre les risques d’accès arbitraires ou disproportionnés aux données. Cette décision renforce ainsi la protection de l’espace privé face aux prérogatives des autorités de poursuite en imposant une séparation claire des fonctions judiciaires.
