La Cour de justice de l’Union européenne, réunie en Grande chambre, a rendu le 2 octobre 2018 une décision fondamentale précisant le régime de l’accès aux données. Cette décision aborde l’équilibre complexe entre la protection de la vie privée des citoyens et les nécessités impérieuses de la lutte contre la délinquance pénale.
Un individu a été victime d’un vol avec violence ayant entraîné la perte de son téléphone portable et des blessures physiques lors de son agression. La police judiciaire a alors sollicité l’autorisation d’accéder aux données d’identité des titulaires des cartes activées avec le code d’équipement du terminal mobile dérobé. Le juge d’instruction numéro trois de Tarragone a rejeté cette demande par une ordonnance du 5 mai 2015 au motif que l’infraction n’était pas grave. Le ministère public a contesté cette décision devant la juridiction supérieure en invoquant l’utilité de la mesure pour l’identification certaine des auteurs présumés du vol.
L’Audiencia Provincial de Tarragona a alors interrogé la Cour de justice sur les critères de gravité justifiant une telle atteinte aux droits garantis par la Charte. Le juge européen devait déterminer si l’accès aux données d’identification des titulaires de cartes sim nécessite impérativement la poursuite d’une forme de criminalité qualifiée de grave. La Cour a conclu qu’une telle mesure n’induisait pas une ingérence d’une gravité exceptionnelle dans la vie privée des personnes dont les données sont concernées. L’étude de cette décision impose d’analyser la détermination de la gravité de l’ingérence par les données traitées avant d’envisager la modulation des poursuites pénales.
I. La détermination de la gravité de l’ingérence par la nature des données traitées
A. Une atteinte caractérisée aux droits fondamentaux à la vie privée et à la protection des données
La Cour rappelle que l’accès des autorités publiques aux données à caractère personnel conservées par les fournisseurs constitue une immixtion réelle dans les garanties fondamentales. Cette protection s’applique indépendamment de la sensibilité des informations ou des éventuels inconvénients subis par les individus dont les données sont l’objet du traitement. « L’accès des autorités publiques à de telles données est constitutif d’une ingérence dans le droit fondamental au respect de la vie privée » selon l’arrêt. Le droit à la protection des données garantit que tout traitement soit justifié par un objectif légitime répondant à un besoin social impérieux et proportionné.
B. L’absence d’immixtion grave dans l’intimité de la vie privée
Le juge européen opère une distinction cruciale entre les simples données d’identité civile et les données de trafic ou de localisation beaucoup plus intrusives. Les informations sollicitées ne permettent pas de reconstituer les habitudes de vie, les lieux de séjour ou les relations sociales des utilisateurs de communications électroniques. La Cour affirme que « lesdites données ne permettent donc pas de tirer de conclusions précises concernant la vie privée des personnes dont les données sont concernées ». L’absence de recoupement avec les métadonnées de communication exclut ainsi la qualification d’ingérence grave qui exigerait alors des garanties de protection renforcées.
II. La modulation des impératifs de poursuite pénale selon l’intensité de l’atteinte
A. L’admission de la poursuite des infractions pénales ordinaires
La directive concernant le traitement des données dans le secteur des communications offre aux États la possibilité de limiter légalement la confidentialité des échanges. L’article quinze prévoit que ces limitations peuvent viser la prévention, la recherche, la détection et la poursuite d’infractions pénales sans distinction de degré. « Le libellé de l’article 15 […] ne limite pas cet objectif à la lutte contre les seules infractions graves » souligne ainsi la Grande chambre. Les autorités nationales disposent donc d’une marge de manœuvre pour autoriser l’accès aux données d’identification dans le cadre de la délinquance de droit commun.
B. La corrélation nécessaire entre la gravité de l’infraction et l’ampleur de la mesure
Le principe de proportionnalité impose que la gravité de l’objectif poursuivi soit en adéquation directe avec l’intensité de l’atteinte aux droits des citoyens. Une mesure législative ne peut exiger la démonstration d’une criminalité grave que si l’ingérence est elle-même qualifiée de particulièrement sévère par le juge. Celui-ci conclut qu’une « ingérence grave ne peut être justifiée […] que par un objectif de lutte contre la criminalité devant également être qualifiée de grave ». Dès lors que l’accès aux seules données d’identité civile est jugé modéré, la lutte contre les infractions pénales classiques suffit à le fonder.
