(CJUE, 8 avril 2014, Digital Rights Ireland et Seitlinger, affaires jointes C293/12 et C594/12)
La décision
Pour rappel, il existait une directive adoptée le 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communication électroniques accessibles au public ou de réseaux publics de communications. Ce texte imposait aux opérateurs de télécommunications et aux FAI de conserver les données relatives au trafic, les données de localisation ainsi que les données nécessaires pour identifier l’abonné ou l’utilisateur, pendant une durée de 6 à 24 mois et ce, afin de garantir leur disponibilité à des fins de prévention, de recherche, de détection et de poursuite des infractions graves, notamment celles liées à la criminalité organisée et au terrorisme. En revanche, le contenu de la communication et les informations consultées ne devaient pas être conservées.
Les juridictions irlandaises et autrichiennes ont été saisies par plusieurs requérants au sujet de la légalité de ce texte.
Dans ce cadre, lesdites juridictions se sont tournées vers la CJUE afin qu’elle examine la validité de cette directive, notamment au regard de deux droits fondamentaux garantis par la Charte des droits fondamentaux de l’Union Européenne : le droit au respect de la vie privée (article 7) et le droit à la protection des données à caractère personnel (article 8).
Dans son arrêt du 8 avril 2014, la Cour a, en premier lieu, constaté que ces données sont susceptibles de fournir des indications très précises sur la vie privée des personnes concernées, celles-ci permettant notamment de savoir avec quelle personne et par quel moyen un abonné ou un utilisateur a communiqué, de déterminer le temps et le lieu de communication, etc. Pour la CJUE, la directive s’immisce donc de manière particulièrement grave dans le droit fondamental au respect de la vie privée et dans le droit fondamental à la protection des données à caractère personnel.
Il restait alors à savoir si une telle ingérence était justifiée.
La Cour considère d’abord que la directive n’est pas de nature à porter atteinte au contenu essentiel des droits fondamentaux, dans la mesure où elle ne permet pas de prendre connaissance du contenu des communications en tant que tel et que les fournisseurs de services ou de réseaux doivent respecter certains principes de protection et de sécurité des données.
Elle relève également que cette conservation des données répond à un objectif d’intérêt général : la lutte contre la criminalité, le terrorisme et donc la sécurité publique.
Néanmoins, la CJUE estime que le législateur a excédé les limites qu’impose le respect du principe de proportionnalité :
• la directive couvre de manière généralisée l’ensemble des individus, des moyens de communication électronique et des données relatives au trafic sans aucune différenciation, limitation ou exception ;
• la directive ne prévoit aucun critère objectif pour définir la notion d’infraction grave qui permettrait de garantir que les autorités nationales ne puissent accéder et utiliser les données qu’aux seules fin de prévenir, détecter ou poursuivre ce type d’infraction ; en outre, elle ne prévoit pas les conditions matérielles et procédurales d’accès aux données ;
• la directive ne fixe pas de critères objectifs pour déterminer la durée de conservation qui doit être retenue (durée variant de 6 à 24 mois) ;
• la directive n’offre pas de garantie suffisante pour assurer une protection efficace des données contre les risques d’abus, l’accès et l’utilisation illicite des données ni de garantie de destruction irrémédiable des données au terme de leur durée de conservation ;
• la directive n’impose pas que la conservation des données s’opère sur le territoire de l’Union.
En conséquence, la Cour estime que l’ingérence de cette directive dans les droits fondamentaux en cause n’est pas suffisamment encadrée par des dispositions permettant de garantir qu’elle est limitée au strict nécessaire et invalide la directive, sans limitation dans le temps. La déclaration d’invalidité prend donc effet à la date d’entrée en vigueur de la directive.
Il résulte de cette décision sévère que les Etats membres de l’UE ne peuvent plus utiliser cette législation.
La conservation des données à caractère personnel va faire l’objet d’une réforme dans le droit de l’Union.
S’agissant des dispositions nationales prises en application de la directive, celles-ci restent donc applicables jusqu’à l’entrée en vigueur d’une nouvelle réforme.
Néanmoins, les Etats membres et notamment la France devront nécessairement veiller à limiter l’atteinte aux droits fondamentaux de leurs dispositions de droit national. En France, il y a notamment deux dispositions prévoyant la conservation de données aux opérateurs de télécoms et aux FAI dans des conditions similaires à celles qui étaient prévues par la directive de 2006 : l’article L.34-1 du Code des postes et des communications électroniques et son décret d’application (lesquels permettent une conservation des données relatives au trafic par les opérateurs télécoms pour la recherche, la constatation et la poursuite d’infractions pénales) et l’article 6 II de la Loi pour la Confiance dans l’Economie Numérique (lequel prévoit la conservation par les fournisseurs de services de communication au public des données d’identification de quiconque a contribué à la création du contenu ou l’un des contenu des services, dont la communication peut être demandée par l’autorité judiciaire).
A la lumière de l’arrêt de la CJUE, ces dispositions sont en effet susceptibles d’être remises en cause devant le juge par les utilisateurs dont les données auront été conservées et/ou utilisées.
A suivre …