Par un arrêt rendu en grande chambre, la Cour de justice de l’Union européenne a précisé le cadre juridique applicable à l’accès par les autorités publiques aux données contenues dans un téléphone portable dans le cadre d’une enquête pénale. En l’espèce, à la suite de la découverte d’un colis contenant des stupéfiants, des agents de police autrichiens ont procédé à la saisie du téléphone portable du destinataire. Sans autorisation judiciaire ou du ministère public, ces agents ont tenté à plusieurs reprises, mais sans y parvenir, de déverrouiller l’appareil afin d’en exploiter les données. Le particulier n’a été informé de ces tentatives qu’ultérieurement, à l’occasion de l’audition d’un témoin dans le cadre du recours qu’il avait formé contre la saisie. Saisi d’un renvoi préjudiciel par le tribunal administratif régional du Tyrol, la Cour de justice était interrogée sur les conditions d’un tel accès au regard du droit de l’Union. Les questions posées visaient à déterminer si une telle ingérence devait être réservée à la lutte contre la criminalité grave, si elle devait être soumise à une autorisation préalable par une autorité indépendante et si l’absence d’information de la personne concernée portait atteinte à son droit à un recours effectif. Le problème de droit consistait donc à définir les garanties de fond et de procédure qu’impose la directive (UE) 2016/680, lue à la lumière de la Charte des droits fondamentaux, lorsqu’une autorité compétente cherche à accéder à l’ensemble des données stockées dans un téléphone. La Cour juge que l’accès n’est pas limité à la seule criminalité grave mais qu’il doit, pour être conforme au droit de l’Union, être prévu par une loi définissant la nature des infractions concernées, garantir le respect de la proportionnalité et être soumis, sauf urgence, à un contrôle préalable par un juge ou une entité indépendante. Elle affirme également que le droit à un recours effectif impose que la personne concernée soit informée des motifs de l’autorisation d’accès, dès lors que cette communication ne compromet plus les objectifs de l’enquête.
La décision de la Cour établit ainsi un équilibre en soumettant l’accès aux données à des conditions de fond rigoureuses (I), tout en consacrant les garanties procédurales indispensables à la protection de la personne concernée (II).
***
**I. La soumission de l’accès aux données du téléphone portable à des conditions de fond rigoureuses**
La Cour de justice encadre strictement la possibilité pour les autorités d’accéder aux données d’un téléphone portable, en écartant un critère fondé sur la seule gravité de l’infraction (A) pour lui préférer une approche fondée sur la proportionnalité et l’existence d’un contrôle préventif (B).
**A. Le rejet d’une limitation de l’accès à la seule criminalité grave**
La Cour écarte l’idée que l’accès aux données contenues dans un téléphone portable devrait être limité à la seule lutte contre la « criminalité grave ». Bien qu’elle reconnaisse qu’un tel accès constitue une ingérence « grave, voire particulièrement grave » dans les droits fondamentaux au respect de la vie privée et à la protection des données, elle estime qu’une telle limitation irait au-delà de ce qui est nécessaire. Elle considère que réserver cette mesure d’enquête à une catégorie restreinte d’infractions « méconnaîtrait la nature spécifique des missions accomplies par ces autorités » et nuirait à l’objectif de réalisation d’un espace de liberté, de sécurité et de justice. Une telle restriction aurait pour effet de créer un risque d’impunité pour un grand nombre d’infractions, compte tenu de l’importance croissante des données numériques dans la conduite des enquêtes pénales. La Cour choisit donc de ne pas lier la légalité de l’ingérence à un seuil de gravité prédéfini, mais plutôt aux circonstances de chaque espèce et au respect du principe de proportionnalité. Cette approche permet de préserver l’efficacité des enquêtes pour l’ensemble des infractions pénales, tout en soumettant l’ingérence aux garanties prévues par le droit de l’Union.
**B. L’exigence d’une base légale précise et d’un contrôle préalable indépendant**
En contrepartie du rejet d’un critère lié à la gravité de l’infraction, la Cour renforce les autres garanties. Elle rappelle que toute limitation aux droits fondamentaux doit être prévue par une loi qui en définit la portée de manière « suffisamment claire et précise ». Il appartient ainsi au législateur national de définir « la nature ou les catégories des infractions concernées » pouvant justifier un accès aux données. Surtout, la Cour érige en condition essentielle de la légalité de la mesure l’existence d’un contrôle préalable exercé soit par une juridiction, soit par une entité administrative indépendante. Ce contrôle est destiné à assurer « un juste équilibre entre, d’une part, les intérêts légitimes liés aux besoins de l’enquête […] et, d’autre part, les droits fondamentaux ». Ce n’est qu’en cas d’urgence dûment justifiée que le contrôle peut intervenir a posteriori, et ce dans de brefs délais. Ce mécanisme de contrôle préventif est la pierre angulaire du dispositif de protection, car il est seul à même de s’assurer que l’accès est nécessaire et proportionné avant que l’ingérence n’ait lieu. L’autorité de contrôle doit ainsi pouvoir refuser ou restreindre l’accès si l’ingérence apparaît disproportionnée au regard des faits de la cause.
***
**II. La consécration des garanties procédurales de la personne concernée**
Au-delà des conditions de fond, la Cour renforce la protection des individus en étendant le champ d’application de la directive à la simple tentative d’accès (A) et en garantissant un droit à l’information comme condition du recours effectif (B).
**A. L’application du régime de protection dès la tentative d’accès aux données**
La Cour commence par affirmer qu’une simple tentative d’accès à des données, même infructueuse, constitue un « traitement » au sens de la directive 2016/680. Se fondant sur le libellé de l’article 3, point 2, de ce texte, qui vise « toute opération ou tout ensemble d’opérations », elle retient une interprétation large de la notion. Elle justifie cette interprétation par la finalité de la directive, qui est d’assurer un niveau élevé de protection. Selon la Cour, faire dépendre l’application des garanties du succès de l’opération « exposerait les personnes concernées par une telle tentative d’accès à un risque important qu’une méconnaissance des principes établis par cette directive ne puisse plus être évitée ». De plus, une solution contraire serait incompatible avec le principe de sécurité juridique, en créant une incertitude sur le droit applicable. En qualifiant la simple tentative de traitement, la Cour garantit que toutes les protections prévues par la directive, notamment les principes de licéité et de limitation des finalités, s’appliquent dès le premier acte matériel des enquêteurs visant à accéder aux données, indépendamment du résultat de leur démarche.
**B. Le droit à une information différée comme condition du recours effectif**
Enfin, la Cour se prononce sur le droit à l’information de la personne concernée, en l’articulant avec le droit à un recours juridictionnel effectif garanti par l’article 47 de la Charte et l’article 54 de la directive. Elle rappelle que, pour pouvoir exercer un recours, « l’intéressé puisse connaître les motifs sur lesquels est fondée la décision prise à son égard ». La directive permet certes de retarder ou de limiter la fourniture d’informations pour ne pas gêner les enquêtes. Cependant, cette restriction ne peut être que temporaire. Il en découle que les autorités compétentes ont l’obligation d’informer la personne concernée des motifs de l’autorisation d’accès « dès le moment où cela n’est pas susceptible de compromettre les enquêtes ». La Cour en déduit qu’une réglementation nationale qui exclurait de manière générale tout droit à l’information serait contraire au droit de l’Union. Cette information a posteriori est donc érigée en condition nécessaire à l’effectivité du droit au recours, permettant à la personne de contester, en pleine connaissance de cause, la légalité de l’ingérence qu’elle a subie.
