La Cour de justice de l’Union européenne, siégeant à Luxembourg, a rendu le 8 avril 2014 un arrêt relatif à la validité d’une directive. Cette décision traite de l’harmonisation des obligations imposées aux fournisseurs de services de communications électroniques concernant la conservation de certaines données générées ou traitées. Une société et plusieurs particuliers contestaient devant leurs juridictions nationales respectives la légalité des mesures transposant les obligations communautaires de stockage des informations de connexion. Ces requérants invoquaient principalement une violation disproportionnée de leurs libertés fondamentales en raison du caractère généralisé et systématique de la collecte systématique des métadonnées. Les juridictions de renvoi ont décidé de surseoir à statuer afin d’interroger la Cour de justice sur la validité de l’acte juridique européen contesté.
Le litige porte sur le point de savoir si une conservation généralisée des données de trafic et de localisation respecte les articles sept et huit de la Charte. La Cour énonce que la directive est invalide car le législateur de l’Union a excédé les limites qu’impose le respect du principe de proportionnalité. Elle souligne que l’ingérence dans les droits fondamentaux s’avère d’une vaste ampleur et doit être considérée comme particulièrement grave au regard de l’ordre juridique. L’analyse de cette décision conduit à étudier l’ingérence caractérisée dans les droits fondamentaux avant d’examiner la sanction du non-respect du principe de proportionnalité.
I. L’affirmation d’une ingérence caractérisée dans les droits à la vie privée et à la protection des données
A. La reconnaissance d’une atteinte grave à l’intimité de la vie privée
La Cour relève que les données conservées permettent de tirer des conclusions très précises concernant la vie privée des personnes dont les informations sont traitées. Ces éléments incluent les habitudes quotidiennes, les lieux de séjour, les déplacements, les activités exercées, les relations sociales et les milieux sociaux fréquentés par les intéressés. L’arrêt précise que « la conservation des données aux fins de leur accès éventuel par les autorités nationales compétentes concerne de manière directe et spécifique la vie privée ». Cette ingérence est jugée particulièrement grave car elle génère le sentiment que la vie privée des citoyens fait l’objet d’une surveillance constante et invisible. Par ailleurs, le traitement automatisé de ces informations de connexion relève également du droit à la protection des données à caractère personnel garanti par le droit européen.
B. L’insuffisance des garanties entourant le traitement des données personnelles
La directive ne prévoit pas de règles claires et précises régissant la portée de l’ingérence, ce qui prive les citoyens de garanties suffisantes contre les abus. L’article sept du texte critiqué ne contient aucune disposition spécifique adaptée à la vaste quantité de données dont la conservation est imposée par le législateur communautaire. Les fournisseurs de services peuvent ainsi tenir compte de considérations économiques pour déterminer le niveau de sécurité, au détriment de l’intégrité et de la confidentialité. La Cour constate que « la directive n’impose pas que les données en cause soient conservées sur le territoire de l’Union » afin d’en assurer le contrôle. La méconnaissance manifeste de ces garanties essentielles justifie alors un examen approfondi du respect du principe de proportionnalité par les institutions de l’Union.
II. La sanction du non-respect du principe de proportionnalité par le législateur de l’Union
A. L’absence d’encadrement strict de la conservation généralisée des données
Le législateur a instauré une obligation de conservation couvrant de manière généralisée toute personne et tous les moyens de communication électronique sans aucune différenciation préalable. Cette mesure s’applique même aux individus pour lesquels il n’existe aucun indice de nature à laisser croire que leur comportement puisse présenter un risque grave. La Cour observe que le texte « ne requiert aucune relation entre les données dont la conservation est prévue et une menace pour la sécurité publique ». L’absence de critère objectif limitant l’accès des autorités nationales aux données conservées rend l’ingérence disproportionnée par rapport aux objectifs de lutte contre la criminalité. Le dispositif ne subordonne pas cet accès à un contrôle préalable effectué par une juridiction ou une entité administrative indépendante pour limiter strictement les intrusions.
B. L’invalidité de la directive pour méconnaissance des exigences de nécessité
La juridiction conclut que les dérogations à la protection des données à caractère personnel doivent s’opérer dans les limites du strict nécessaire selon sa jurisprudence constante. En imposant une durée de conservation comprise entre six et vingt-quatre mois sans distinction d’utilité, la directive dépasse ce qui est approprié pour l’objectif poursuivi. La Cour affirme que « le législateur de l’Union a excédé les limites qu’impose le respect du principe de proportionnalité au regard des articles sept et huit ». Par conséquent, l’acte est déclaré invalide dans son intégralité sans qu’il soit besoin d’examiner sa compatibilité avec la liberté d’expression garantie par la Charte. Cette solution renforce la protection des droits fondamentaux dans l’ordre juridique européen en imposant un contrôle strict des mesures de surveillance de masse des citoyens.
