accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

La CJUE réaffirme l'interdiction de la conservation généralisée des données de connexion afin de lutter contre les infractions graves

Jurisprudence
CJUE, gr.ch., 5 avr. 2022, aff. C-140/20, Commissioner of the Garda Síochána e.a.
Marie Biscarrat rédactrice en chef Lexis 360 Académique
[06.04.2022]

La grande chambre de la CJUE, dans une décision du 5 avril 2022, confirme sa jurisprudence récente selon laquelle le droit de l'UE s'oppose à une conservation généralisée et indifférenciée des données relatives au trafic et à la localisation afférentes aux communications électroniques afin de lutter contre les infractions graves. Elle avait en effet déjà jugé incompatibles avec le droit de l'Union européenne les obligations imposées par les réglementations de certains États membres, dont la France, aux fournisseurs de services de communications électroniques, de transmettre ou de conserver des données de connexion de leurs utilisateurs, de manière généralisée et indifférenciée, à des fins de lutte contre les infractions en général ou en cas d'atteinte à la sécurité nationale (CJUE, 6 oct. 2020, aff. C-623/17, Privacy International et CJUE, 6 oct. 2020, aff. jtes C-511/18, La Quadrature du Net e.a. ; V. Conservation et transmission des données de connexion par les fournisseurs de services de communication : pas d'obligation généralisée selon la CJUE).

La Cour, dans sa décision de 2022, apporte en outre de nouvelles précisions sur les conditions dans lesquelles des dérogations à cette règle, strictement encadrées et conformes au principe de proportionnalité, sont possibles. Ce faisant, elle indique qu'elle ne tolèrera aucun détournement de procédure que les autorités nationales tenteraient de justifier par la nécessité d'un accès aux données collectées et conservées de manière généralisée et indifférenciée pour faire face à une menace grave pour la sécurité nationale qui s'avère réelle et actuelle ou prévisible. Elle réaffirme aussi l'exigence d'un contrôle préalable indépendant soit par une juridiction soit par une autorité indépendante. Elle offre également une trame pour un dispositif dérogatoire compatible avec le droit de l'UE et apporte des précisions sur les catégories de mesures envisageables.

Contexte. - Selon l'Avocat général, les « deux arrêts récapitulatifs du 6 octobre 2020 ont clos le débat » relatif à la conservation des données personnelles générées dans le secteur des communications électroniques et l'accès à ces données. Cependant, la demande de décision préjudicielle a été déposée avant ces arrêts. La Cour a fait part de ces arrêts à la juridiction de renvoi, dans l'optique de lui demander si elle souhaitait retirer ses demandes. Compte tenu de son insistance à les maintenir, il a été décidé que la grande chambre de la CJUE répondrait à ces questions.

Une personne a été condamnée à une peine de réclusion à perpétuité pour le meurtre d'une femme en Irlande. Elle reproche aux juridictions irlandaises d'avoir admis comme éléments de preuve des données relatives au trafic et des données de localisation afférentes à des appels téléphonique. Dans une procédure parallèle, la Haute Cour d'Irlande a invalidé la loi irlandaise régissant la conservation de telles données et leur accès au motif que cette loi violait les droits que lui confère le droit de l'UE. Le Gouvernement irlandais a interjeté appel de cette décision devant la Cour suprême irlandaise.

La Cour suprême a demandé des éclaircissements à la CJUE sur les exigences du droit de l'UE en matière de conservation des données relatives au trafic et des données de localisation aux fins de la lutte contre les infractions graves ainsi que sur les garanties nécessaires en matière d'accès à ce type de données. Elle demande également des précisions sur la portée et l'effet temporel d'une éventuelle déclaration d'incompatibilité dans la mesure où la loi irlandaise a été adoptée afin de transposer la directive de 2006 sur la conservation des données (CJUE, 8 avr. 2014, aff. C-293/12, Digital Rights Ireland).

Principe. - La CJUE confirme sa jurisprudence constante : le droit de l'UE s'oppose à des lois qui prévoient, à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et à la localisation afférentes aux communications électroniques, aux fins de la lutte contre les infractions graves (CJUE, 8 avr. 2014, aff. C-293/12, Digital Rights Ireland ; CJUE, 21 déc. 2016, aff. C-203/15 et C-698/15, Tele 2 ; CJUE, 6 oct. 2020, aff. C-511/18 et C-512/18, Quadrature du Net et CJUE, 2 mars 2021, aff. C-746/18).

La Cour rappelle que :

- certes la directive e-privacy permet aux États membres de limiter ces droits et obligations afin de lutter contre les infractions pénales, mais ces limitations doivent notamment respecter le principe de proportionnalité. Or, bien que fondamental, l'objectif de lutte contre la criminalité ne saurait à lui seul justifier qu'une mesure de conservation généralisée et indifférenciée des données relatives au trafic et à la localisation soit considérée comme nécessaire ;
- même les obligations positives des États membres sur la mise en place de règles pour lutter effectivement contre les infractions pénales ne sauraient justifier des ingérences aussi graves ;
- il appartient aux États de procéder à une conciliation des différents intérêts légitimes et droits en cause. En effet, un objectif d'intérêt général ne saurait être poursuivi sans tenir compte du fait qu'il doit être concilié avec les droits fondamentaux concernés par la mesure. Pour cela, ils doivent effectuer une pondération équilibrée entre l'objectif d'intérêt général et les droits en cause, tout en vérifiant que l'importance de cet objectif est en relation avec la gravité de l'ingérence que comporte la mesure.

À noter : le Conseil d'État, dans une décision du 21 avril 2021 avait souhaité concilier le respect du droit européen et les exigences du Gouvernement français dans sa lutte contre le terrorisme et la criminalité grave. Il avait donc interprété les dispositions du droit de l'Union dans le sens du maintien de la conservation et d'accès des autorités publiques aux données des citoyens pour leur propre sécurité et jugeait que la conservation généralisée des données était justifiée par l'existence d'une menace pour la sécurité nationale (CE, 21 avr. 2021, n° 393099, La Quadrature du Net e.a. ; V. Le Conseil d'État maintient la conservation généralisée et indifférenciée des données personnelles par les opérateurs pour les besoins des enquêtes). La CJUE, dans l'arrêt du 5 avril 2022, rappelle que la menace grave pour la sécurité nationale doit être réelle et actuelle ou prévisible. La décision prévoyant l'injonction faite aux fournisseurs de services de communications électroniques de procéder à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation doit pouvoir faire l'objet d'un contrôle effectif soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d'un effet contraignant, visant à vérifier l'existence d'une de ces situations ainsi que le respect des conditions et des garanties devant être prévues. Cette injonction ne peut être émise que pour une période temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de cette menace.

Dérogations. - En revanche, la CJUE confirme sa jurisprudence selon laquelle le droit de l'UE ne s'oppose pas à des mesures législatives qui prévoient, afin de lutter contre la criminalité grave et la prévention des menaces graves contre la sécurité publique certains types de conservation.

  • Une conservation ciblée des données relatives au trafic et à la localisation en fonction de catégories de personnes concernées ou au moyen d'un critère géographique

Les autorités nationales peuvent prendre une mesure de conservation fondée sur un critère géographique comme le taux moyen de criminalité dans une zone géographique donnée, sans qu'elles disposent nécessairement d'indices concrets portant sur la préparation ou la commission, dans les zones concernées, d'actes de criminalité grave.

Une telle mesure de conservation, qui vise des lieux ou des infrastructures fréquentés régulièrement par un nombre très élevé de personnes ou des lieux stratégiques (aéroports, gares, ports maritimes, zones de péage) est susceptible de permettre aux autorités :

- d'obtenir des informations sur la présence, dans ces lieux, des personnes qui y utilisent un moyen de communication électronique ;
- d'en tirer les conclusions sur leur présence et leurs activités dans ces lieux afin de lutter contre la criminalité grave.

  • Une conservation généralisée et indifférenciée des adresses IP attribuées à la source d'une connexion

La directive ne s'oppose pas non plus à des mesures législatives qui prévoient, aux mêmes fins, une conservation généralisée et indifférenciée des adresses IP attribuées à la source d'une connexion, pour une période temporellement limitée au strict nécessaire.

  • Une conservation généralisée et indifférenciée des données relatives à l'identité civile des utilisateurs de moyens de communications électroniques

Ni la directive e-privacy ni aucun autre acte de l'Union ne s'opposent à une législation nationale qui a pour objet la lutte contre la criminalité grave et qui subordonne l'acquisition d'un moyen de communication électronique (carte SIM prépayée par exemple) à la vérification de documents d'identité officiels et à l'enregistrement, par le vendeur, des informations qui en résultent. Le vendeur étant, le cas échéant, tenu de donner accès à ces informations aux autorités nationales compétentes.

  • Une conservation rapide (quick freeze) des données relatives au trafic et à la localisation dont disposent ces fournisseurs de services

La Cour juge que les autorités compétentes peuvent ordonner une mesure de conservation rapide dès le premier stade de l'enquête portant sur une menace grave pour la sécurité publique ou sur un éventuel acte de criminalité grave. Une telle mesure, précise la Cour, peut être étendue aux données relatives au trafic et à la localisation afférentes à des personnes autres que celles qui sont soupçonnées d'avoir projeté ou commis une infraction pénale grave ou une atteinte à la sécurité nationale. À la condition cependant que ces données puissent, sur la base d'éléments objectifs et non discriminatoires, contribuer à l'élucidation d'une telle infraction (données de la victime, données de l'entourage social ou professionnel).

Cependant, précise la Cour, toutes ces mesures doivent assurer, par des règles claires et précises, que la conservation des données en cause est subordonnée au respect des conditions matérielles et procédurales y afférentes et que les personnes concernées disposent de garanties effectives contre les risques d'abus.

Ces différentes mesures peuvent, selon le choix du législateur national et tout en respectant les limites du strict nécessaire, trouver à s'appliquer conjointement.

Responsable du traitement. - La Cour juge que le traitement centralisé des demandes d'accès à des données conservées par les fournisseurs de services de communications électroniques, émanant de la police dans le cadre de la recherche et de la poursuite d'infractions, ne peut incomber à un fonctionnaire de police. Et ce, même lorsqu'il est assisté par une unité instituée au sein de la police jouissant d'un certain degré d'autonomie et dont les décisions peuvent faire l'objet d'un contrôle juridictionnel.

En effet, indique la Cour :

- un tel fonctionnaire ne remplit pas les exigences d'indépendance et d'impartialité qui s'imposent à une autorité administrative exerçant le contrôle préalable des demandes d'accès aux données émanant des autorités nationales compétentes, dans la mesure où il n'a pas la qualité de tiers par rapport à ces autorités ;
- si la décision d'un tel fonctionnaire peut faire l'objet d'un contrôle juridictionnel exercé a posteriori, ce contrôle ne peut pas se substituer à un contrôle indépendant et préalable.

Portée et effet temporel d'une déclaration d'incompatibilité. - La CJUE confirme encore sur ce point sa jurisprudence : une juridiction nationale ne peut pas limiter dans le temps les effets d'une déclaration d'invalidité qui lui incombe, en vertu du droit national, à l'égard d'une législation nationale imposant aux fournisseurs de services de communications électroniques une conservation généralisée et indifférenciée des données relatives au trafic et à la localisation.

La Cour rappelle que l'admissibilité des éléments de preuve obtenus au moyen d'une telle conservation relève, conformément au principe d'autonomie procédurale des États membres, du droit national, sous réserve du respect notamment des principes d'équivalence et d'effectivité.