Par un arrêt rendu en grande chambre le 2 octobre 2018, la Cour de justice de l’Union européenne a précisé les conditions dans lesquelles les autorités nationales peuvent accéder aux données personnelles détenues par les fournisseurs de services de communications électroniques.
En l’espèce, une enquête pénale fut initiée à la suite d’un vol avec violence au cours duquel un téléphone mobile fut dérobé. La police judiciaire a demandé à un juge d’instruction l’autorisation d’obtenir des fournisseurs de services de communications électroniques l’identité des titulaires des cartes SIM qui auraient été activées avec l’appareil volé durant une période de douze jours suivant les faits. Le juge d’instruction rejeta cette demande, estimant que le droit national limitait une telle mesure à la poursuite d’infractions graves, ce que le vol en question ne semblait pas constituer selon les seuils pénaux alors en vigueur. Le ministère public a interjeté appel de cette décision. La juridiction d’appel, saisie du litige, a décidé de surseoir à statuer et de poser une question préjudicielle à la Cour de justice.
La juridiction de renvoi cherchait essentiellement à savoir si l’accès des autorités publiques à des données d’identification personnelle, dans le cadre d’une enquête pénale, devait systématiquement être justifié par la lutte contre la criminalité grave. Il s’agissait de déterminer si le seuil de gravité de l’infraction, justifiant une ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données, devait être apprécié de manière absolue ou s’il pouvait être modulé en fonction de la nature des données consultées.
La Cour de justice répond que l’ingérence que constitue l’accès aux seules données d’identification des titulaires de cartes SIM ne présente pas une gravité telle qu’elle doive être réservée à la lutte contre la seule criminalité grave. La Cour établit ainsi une distinction fondamentale entre les différents types de données, liant le niveau de protection à la sensibilité des informations et à la gravité de l’atteinte portée à la vie privée des personnes concernées.
Cette solution consacre une approche graduée de l’accès aux données, fondée sur un contrôle de proportionnalité rigoureux (I), ce qui emporte des conséquences pratiques significatives pour le cadre d’analyse applicable par les juges nationaux (II).
***
La Cour de justice, tout en rappelant que tout accès à des données personnelles constitue une ingérence, module l’exigence de justification en fonction de l’ampleur de cette dernière. Elle réaffirme ainsi le principe protecteur de l’ingérence (A) avant d’introduire un critère décisif tenant à la gravité de celle-ci pour en déterminer les conditions d’accès (B).
L’arrêt s’inscrit dans la continuité d’une jurisprudence établie qui considère que la consultation de données personnelles par une autorité publique porte atteinte aux droits garantis par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne. La Cour rappelle sans ambiguïté que « l’accès des autorités publiques à de telles données est constitutif d’une ingérence dans le droit fondamental au respect de la vie privée », indépendamment du caractère sensible ou non des informations concernées.
Cette position de principe confirme que la protection de la vie privée ne se limite pas aux informations intimes, mais s’étend à toute donnée permettant d’identifier une personne physique. Par conséquent, l’accès à des données telles que le nom, le prénom et l’adresse d’un utilisateur de services de téléphonie mobile ne saurait échapper au contrôle du juge. La Cour réitère ainsi que toute exception au principe de confidentialité des communications doit être prévue par la loi, répondre à un objectif légitime et être nécessaire dans une société démocratique. Le simple fait que les données demandées soient d’une nature civile et administrative ne suffit pas à écarter l’application des garanties fondamentales.
La véritable innovation de l’arrêt réside dans la distinction qu’il opère en fonction de la gravité de l’ingérence. La Cour se démarque d’une approche monolithique qui exigerait une justification identique pour tout type d’accès. Elle juge en effet que si l’accès à un ensemble de données relatives au trafic et à la localisation, permettant de « tirer des conclusions précises concernant la vie privée », constitue une ingérence grave justifiant de la réserver à la lutte contre la criminalité grave, il en va différemment pour des données plus limitées.
En l’espèce, la demande ne visait que l’identité civile des titulaires de cartes SIM activées avec un téléphone volé. La Cour souligne que ces informations, prises isolément, « ne permettent donc pas de tirer de conclusions précises concernant la vie privée des personnes dont les données sont concernées ». Dès lors, « l’accès aux seules données visées par la demande en cause au principal ne saurait être qualifié d’ingérence “grave” ». Cette qualification est déterminante, car elle conditionne le seuil de justification requis. En dissociant la gravité de l’ingérence de la nature de l’infraction, la Cour introduit une flexibilité essentielle dans l’application du principe de proportionnalité.
***
En subordonnant le niveau de justification à la gravité de l’ingérence, la décision de la Cour de justice a des répercussions directes sur le travail des autorités d’enquête et des juridictions nationales. Elle valide l’accès à certaines données pour des infractions de moindre gravité (A) tout en délimitant un cadre d’analyse plus nuancé pour les juges nationaux (B).
La conséquence la plus immédiate de l’arrêt est de permettre l’accès à des données d’identification pour des finalités de prévention et de répression d’« infractions pénales » en général. L’exigence de lutter contre la « criminalité grave » n’est plus un prérequis absolu. La Cour énonce clairement que lorsque l’ingérence n’est pas grave, elle « est susceptible d’être justifiée par l’objectif de prévention, de recherche, de détection et de poursuite d’“infractions pénales” en général ».
Cette solution offre une réponse pragmatique aux besoins des enquêtes portant sur des délits courants, tels que le vol, pour lesquels l’identification des utilisateurs de matériel dérobé est souvent une étape cruciale. En autorisant un accès encadré à ces données, la Cour reconnaît que la protection de la vie privée, bien que fondamentale, ne doit pas conduire à paralyser l’action de la justice pour l’ensemble des contentieux pénaux. La décision légitime ainsi les législations nationales qui prévoient de telles mesures d’enquête, à condition que celles-ci demeurent strictement ciblées et soumises à une autorisation judiciaire ou d’une entité indépendante.
Au-delà du cas d’espèce, la portée de l’arrêt est considérable car il fournit aux juridictions nationales une méthode d’appréciation renouvelée. Le juge n’est plus tenu de s’en tenir uniquement à la qualification pénale de l’infraction ou au quantum de la peine encourue. Il doit désormais procéder à une analyse en deux temps : d’abord, évaluer la gravité de l’ingérence au regard de la nature et de l’étendue des données demandées, puis vérifier que l’objectif poursuivi est proportionné à cette gravité.
Ce faisant, la Cour de justice confie au juge national un rôle central dans la mise en balance des intérêts en présence. Il lui appartient de déterminer au cas par cas si l’accès sollicité, par son caractère limité ou au contraire exhaustif, requiert une justification tirée de la lutte contre la criminalité grave ou peut se satisfaire de la poursuite d’une infraction ordinaire. Cette approche casuistique renforce les garanties procédurales tout en permettant une application plus juste et adaptée du droit de l’Union, assurant un équilibre subtil entre les impératifs de sécurité publique et la protection des droits fondamentaux.
