La Cour de justice de l’Union européenne a rendu, le 21 décembre 2016, une décision fondamentale relative au respect de la vie privée. Cette affaire porte sur la compatibilité de législations nationales imposant aux fournisseurs de services électroniques une conservation massive des données de connexion.
Dans le premier litige, une juridiction administrative suédoise s’interrogeait sur l’obligation imposée à un opérateur de conserver les données de tous ses abonnés. Parallèlement, la Court of Appeal (England & Wales) (Civil Division) examinait la légalité d’un régime britannique permettant la collecte systématique des métadonnées.
Les requérants soutenaient que ces mesures violaient le droit au respect de la vie privée et la protection des données à caractère personnel. Les autorités nationales justifiaient en revanche ces dispositifs par les nécessités impérieuses de la lutte contre la criminalité et la sécurité publique.
Le juge européen devait déterminer si le droit de l’Union s’oppose à une réglementation nationale prévoyant une conservation généralisée et indifférenciée des données relatives au trafic. Il s’agissait également de préciser les conditions d’accès des autorités publiques aux informations ainsi stockées par les prestataires privés.
La Cour a jugé que le droit européen « s’oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée ». L’analyse se portera d’abord sur l’interdiction de la conservation globale des données avant d’aborder le cadre strict encadrant l’accès des autorités publiques.
I. L’illicéité d’une obligation de conservation généralisée et indifférenciée
A. La primauté du principe de confidentialité des communications
La directive 2002/58 consacre le principe du secret des communications et l’obligation d’effacer les données une fois la transmission achevée. Les dérogations admises par les États membres doivent rester l’exception et ne peuvent jamais devenir la règle commune de fonctionnement du secteur.
Le juge rappelle que les articles 7 et 8 de la Charte garantissent le respect de la vie privée et des données personnelles. La conservation des données de localisation permet d’établir un profil très précis des individus, ce qui constitue une ingérence d’une gravité particulière.
B. Le caractère excessif de la surveillance de l’ensemble des abonnés
La Cour souligne qu’une mesure prévoyant la conservation des données de tous les utilisateurs sans distinction excède les limites du strict nécessaire. Une telle réglementation nationale traite l’ensemble des abonnés comme des suspects potentiels, portant ainsi atteinte à l’essence même de la vie privée.
La solution retenue prohibe tout stockage concernant « l’ensemble des moyens de communication électronique » dès lors qu’il ne repose sur aucun lien avec une menace. Le refus d’une surveillance globale conduit logiquement la Cour à définir des garanties procédurales rigoureuses pour toute consultation des informations disponibles.
II. L’encadrement impératif des modalités d’accès et de stockage
A. La limitation stricte de l’accès à la criminalité grave
L’accès des autorités aux données conservées doit se limiter strictement aux seules fins de « lutte contre la criminalité grave ». Le recours à de tels outils intrusifs ne peut se justifier pour des infractions mineures ou des motifs administratifs de portée générale.
Le droit national doit définir précisément les catégories d’infractions et les personnes visées par les demandes de communication de données. Cette exigence de précision assure que l’atteinte aux libertés fondamentales demeure proportionnée à l’objectif de sauvegarde de la sécurité publique recherché.
B. L’exigence de garanties procédurales et territoriales effectives
Le juge européen exige que cet accès soit soumis à un « contrôle préalable par une juridiction ou une autorité administrative indépendante ». Cette garantie protège les citoyens contre les risques d’abus et assure que la mesure demeure soumise à un examen objectif et impartial.
Enfin, la Cour impose que les données soient impérativement « conservées sur le territoire de l’Union » afin de garantir l’efficacité du contrôle européen. Ce dispositif global assure ainsi un équilibre entre les besoins de l’enquête pénale et la protection constitutionnelle de la vie privée.
