Dans un arrêt rendu le 5 avril dernier, la Cour de Justice de l’Union Européenne (CJUE) a invalidé, une nouvelle fois, une règlementation nationale, imposant une obligation de conservation généralisée « des données relatives au trafic et des données de localisation ».

La CJUE a, plus précisément, réaffirmé[1] sa position de principe selon laquelle le droit de Union s’oppose à ce qu’une réglementation nationale prévoit, à titre préventif, une conservation généralisée et indifférenciée des données de connexion, et ce même lorsque la finalité première de ce traitement est « la lutte contre la criminalité grave et la prévention des menaces graves pour la sécurité publique ».

La CJUE a toutefois rappelé[2] admettre, par exception, certains cas particuliers comme :

• la conservation ciblée des données de connexion en fonction des catégories de personnes concernées ou au moyen d’un critère géographique ;
• la conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion ;
• la conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs de moyens de communications électroniques, ;
• la conservation rapide (« quick freeze ») des données de connexion dont disposent les fournisseurs de services.

Cette décision, en réaffirmant et précisant la jurisprudence de la CJUE, laisse peu de place à l’incertitude quant à la validité ou non de législations nationales relatives à la conservation des données de connexion. La France, en particulier, ne répond pas à l’ensemble de ces exigences l’exposant ainsi à de nouveaux recours.

[1] Notamment arrêts du 6 octobre 2020 (affaires C-623/17, C-511/18, C-512/18, C-520/18) déjà commentés : https://derriennic.com/conservation-generalisee-des-donnees-de-connexion-la-france-doit-revoir-sa-copie/

[2] Même référence.

Source : ici