Dans un arrêt du 17 novembre 2022, la CJUE s’est à nouveau prononcée sur la question de la légalité de la conservation généralisée et indifférenciée des données de connexion à des fins de lutte contre la criminalité grave. Retour sur une décision qui ne laisse pas de place au doute.
Cette décision s’inscrit dans le cadre d’un litige pénal bulgare. Le parquet avait demandé au tribunal pénal l’autorisation d’accéder à des données de trafic et de localisation concernant des appels téléphoniques de personnes potentiellement impliquées dans une activité criminelle de distribution de cigarettes. Le tribunal a accueilli favorablement cette demande en retenant notamment que l’activité en cause constituait une infraction grave commise intentionnellement et que le dossier mettait en évidence que les numéros de téléphone concernés ont pu être utilisés lors de l’exercice de cette activité. Pour ce faire, la juridiction s’est basée sur la loi bulgare permettant une telle conservation de données. La juridiction bulgare s’est interrogée toutefois sur la conformité de telles règles avec le droit de l’Union dans la mesure où la CJUE a déjà jugé qu’une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, aux fins de la lutte contre la criminalité grave, n’est pas compatible avec le droit de l’Union.
La CJUE a ainsi été saisie notamment sur le point de savoir si (i) une limite de conservation des données dans le temps (6 mois) ou encore (ii) la mise en place de certaines garanties en matière de conservation et d’accès aux données concernées pourraient être compatibles avec le droit de l’Union, en particulier la Directive dite « Vie privée et communication » et la Charte des droits fondamentaux.
Dans sa décision, la CJUE a tout d’abord jugé que la conservation de données de connexion présente, en tout état de cause, un caractère grave. Selon la Cour, la conservation d’une quantité même limitée de ces données ou pour une période courte peut révéler des informations particulièrement précises sur la vie de l’utilisateur (par exemple : ses déplacements, les lieux qu’il fréquente, ses relations, etc.), En conséquence, la conservation de données de connexion limitée à une période de 6 mois est contraire au droit de l’Union (à noter que la CJUE avait déjà adopté une telle position de principe dans un arrêt du 20 septembre 2022 (affaires jointes C‑793/19 et C‑794/19)).
La CJUE a poursuivi en jugeant que la mise en place de garanties par une loi nationale, telles que (i) l’existence de règles claires et précises excluant un accès généralisé aux données conservées, (ii) des obligations à la charge des fournisseurs de services de communications électroniques pour assurer la sécurité et la protection des données ou encore (iii) la surveillance de la conservation des données par des autorités indépendantes, ne sauraient modifier un tel constat. A cet égard, les juges européens ont précisé que cela ne remédie notamment pas à l’ingérence grave d’une telle conservation dans les droits fondamentaux, parmi lesquels le droit au respect de la vie privée. Aussi, la surveillance par une CNIL nationale, par exemple, ne permettrait pas de supprimer les risques liés à la conservation des données (obtenir des informations particulièrement précises sur la vie privée des personnes concernée).
La position de la CJUE est donc sans appel : une législation nationale ne peut prévoir, sauf à violer le droit de l’Union, préventivement, une conservation généralisée et indifférenciée de données de connexion, même avec une limite de conservation (6 mois) et des garanties en termes de conservation et d’accès aux données.
A noter que la CJUE a également indiqué dans cette décision que lorsque des autorités nationales compétentes en matière d’enquêtes pénales peuvent avoir accès à des données de connexion, les personnes concernées doivent en être informées et disposer d’une voie de recours en cas d’accès illégal à ces données.
Source : ici
