La Directive sur la conservation des données déclarée invalide par la Cour de justice

La Cour de Justice de l’Union européenne (CJUE), par un important arrêt du 8 avril 2014, a déclaré la Directive sur la conservation des données de connexion (2006/24/CE) invalide.

1- LES DISPOSITIONS DE LA DIRECTIVE 2006/24

La Directive 2006/24 prévoit l’obligation des fournisseurs de services de communications électroniques accessibles au public ou des réseaux publics de communication de conserver certaines données qui sont générées ou traitées par ces fournisseurs.

– Ainsi, dans ses articles 1er et 2, il est précisé que la Directive a pour objet la conservation des données à des fins de recherche, de détention et de poursuite d’infractions graves telles qu’elles sont définies par chaque Etat-membre dans son droit interne.

Il s’agit de données relatives au trafic et aux données de localisation, concernant aussi bien les entités juridiques que les personnes physiques qui utilisent un service de communication électronique accessible au public à des fins privées ou professionnelles sans être nécessairement abonné à ce service.

Il s’agit de données permettant d’identifier l’abonné ou l’utilisateur enregistré.

La Directive ne s’applique, toutefois pas au contenu des communications électroniques.

– L’article 5 : « catégorie de données à conserver », il est précisé que les Etats-membres veillent à ce que soient conservées les données suivantes :

Les données nécessaires pour retrouver et identifier la source d’une communication, soit par un numéro de téléphone de l’appelant, les noms et adresse de l’abonné ou l’utilisateur inscrit, pour les téléphonies fixe en réseau et mobile.; pour l’accès à l’internet, le courrier électronique par internet et la téléphonie par l’internet, par le numéro d’identifiant attribué, le numéro d’identifiant et le numéro de téléphone attribués à toute communication entrant dans le réseau téléphonique public (…).

– Les données nécessaires pour identifier la destination d’une communication, par exemple le ou les numéros composé(s) (…).

– Les données nécessaires pour déterminer la date, l’heure et la durée d’une communication.

– Les données nécessaires pour déterminer le type de communication.

– Les données nécessaires pour identifier le matériel de communication des utilisateurs ou ce qui est censé être leur matériel, comme par exemple, pour la téléphonie mobile : le numéro de téléphone de l’appelant et le numéro de l’appelé; l’identité internationale d’abonné mobile (IMSI) de l’appelant et de l’appelé; l’identité internationale d’équipement mobile (IMEI) de l’appelant et de l’appelé; dans des cas des services anonymes à prépaiement, la date et heure de la 1ère activation du service, ainsi que l’identité de localisation d’où le service a été activé.

A l’article 4 de la présente Directive, « accès aux données », il est précisé que les Etats-membres veillent à ce que les données conservées ne soient transmises qu’aux autorités nationales compétentes.

– Et à l’article 6, relative à la durée de conservation, il est indiqué que les données sont conservées pour une durée minimum de 6 mois à 2 ans maximum à compter de la date de la communication.

2- LES LITIGES DEVANT LA HIGH COURT (IRLANDE) ET LA COUR CONSTITUTIONNELLE AUTRICHIENNE 

Dans un premier la société Irlandaise, DIGITAL RIGHTS a introduit le 11 août 2006 un recours devant la High Court dans le cadre duquel elle soutient qu’elle est propriétaire d’un téléphone portable qui a été enregistré le 3 juin 2006 et qu’elle utilise celui-ci depuis cette date.

« Elle met en cause la légalité des mesures législatives et administratives nationales concernant la conservation de données relatives à des communications électronique et demande à la juridiction de renvoi de constater la nullité de la Directive 2006/24 et de la 7e partie de la loi de 2005 sur la justice pénale (infraction terroriste : Ciminal justice (terrorist offences)  Act 2005) ».

La Cour constitutionnelle autrichienne a également été saisie de nombreux recours visant à obtenir l’annulation de la disposition nationale qui transpose la Directive en droit autrichien.

3- SAISINE DE LA COUR DE JUSTICE DE L’UNION EUROPEENNE: LES QUESTIONS PREJUDICIELLES

– Par conséquent la High Court (Irlande) et le Verfassungsgerichtshof (Cour constitutionnelle autrichienne) demandent à la Cour de justice de l’Union européenne d’examiner la validité de la Directive 2006/24 au regard de la Charte des droits fondamentaux de l’Union européenne, à savoir le droit fondamental au respect de la vie privée et le droit fondamental à la protection des données à caractère personnel.

4- LA DECISION DE LA COUR DE JUSTICE : INVALIDITE DE LA DIRECTIVE ET PROTECTION DES DROITS FONDAMENTAUX 

1- La Cour constate tout d’abord que la directive 2006/24 : « (…) ces données permettent, notamment, de savoir quelle est la personne avec laquelle un abonné ou un utilisateur inscrit a communiqué et par quel moyen, tout comme de déterminer le temps de la communication ainsi que l’endroit à partir duquel celle-ci a eu lieu. En outre, elles permettent de connaître la fréquence des communications de l’abonné ou de l’utilisateur inscrit avec certaines personnes pendant une période donnée (considérant 26).

  Ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci. (considérant n°27) »

2- Sur l’existence d’une ingérence dans les droits consacrés par les articles 7 et 8 de la Charte (droit à la protection de la vie privée et droit à la protection des données à caractère personne)

La Cour estime : « En imposant la conservation des données énumérées à l’article 5, paragraphe 1, de la directive 2006/24 et en permettant l’accès des autorités nationales compétentes à celles-ci, cette directive déroge, ainsi que l’a relevé M. l’avocat général notamment aux points 39 et 40 de ses conclusions, au régime de protection du droit au respect de la vie privée, instauré par les directives 95/46 et 2002/58, à l’égard du traitement des données à caractère personnel dans le secteur des communications électroniques, ces dernières directives ayant prévu la confidentialité des communications et des données relatives au trafic ainsi que l’obligation d’effacer ou de rendre anonymes ces données lorsqu’elles ne sont plus nécessaires à la transmission d’une communication, hormis si elles sont nécessaires à la facturation et uniquement tant que cette nécessité perdure ». (considérant 32)

La Cour précise également : »Il en résulte que l’obligation imposée par les articles 3 et 6 de la directive 2006/24 aux fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communication de conserver pendant une certaine durée des données relatives à la vie privée d’une personne et à ses communications, telles que celles visées à l’article 5 de cette directive, constitue en soi une ingérence dans les droits garantis par l’article 7 de la Charte.

La Cour de justice ajoute que, la directive 2006/24 est constitutive d’une ingérence dans le droit fondamental à la protection des données à caractère personnel garanti par l’article 8 de la Charte puisqu’elle prévoit un traitement des données à caractère personnel.

 Et dans son considérant 37, la Cour décide ainsi :

« Force est de constater que l’ingérence que comporte la directive 2006/24 dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte s’avère, ainsi que l’a également relevé M. l’avocat général notamment aux points 77 et 80 de ses conclusions, d’une vaste ampleur et qu’elle doit être considérée comme particulièrement grave. En outre, la circonstance que la conservation des données et l’utilisation ultérieure de celles-ci sont effectuées sans que l’abonné ou l’utilisateur inscrit en soient informés est susceptible de générer dans l’esprit des personnes concernées, ainsi que l’a relevé M. l’avocat général aux points 52 et 72 de ses conclusions, le sentiment que leur vie privée fait l’objet d’une surveillance constante« .

3- Sur la justification de l’ingérence dans les droits fondamentaux en cause.

La Cour constate : »

« En ce qui concerne le contenu essentiel du droit fondamental au respect de la vie privée et des autres droits consacrés à l’article 7 de la Charte, il convient de constater que, même si la conservation des données imposée par la directive 2006/24 constitue une ingérence particulièrement grave dans ces droits, elle n’est pas de nature à porter atteinte audit contenu étant donné que, ainsi qu’il découle de son article 1er, paragraphe 2, cette directive ne permet pas de prendre connaissance du contenu des communications électroniques en tant que tel. »

« Cette conservation des données n’est pas non plus de nature à porter atteinte au contenu essentiel du droit fondamental à la protection des données à caractère personnel, consacré à l’article 8 de la Charte, en raison du fait que la directive 2006/24 prévoit, à son article 7, une règle relative à la protection et à la sécurité des données selon laquelle, sans préjudice des dispositions adoptées en application des directives 95/46 et 2002/58, certains principes de protection et de sécurité des données doivent être respectés par les fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications, principes selon lesquels les États membres veillent à l’adoption de mesures techniques et organisationnelles appropriées contre la destruction accidentelle ou illicite, la perte ou l’altération accidentelle des données ».

De plus, la conservation des données en vue de leur transmission éventuelle aux autorités nationales compétentes répond à un objectif d’intérêt général, qui est la lutte contre la criminalité grave ainsi, en fin de compte à la sécurité publique.

Sur la proportionnalité de l’ingérence constatée

 La Cour constate que la Directive 2006/24 « couvre de manière généralisée toute personne et tous les moyens de communication électronique ainsi que l’ensemble des données relatives au trafic sans qu’aucune différenciation, limitation ni exception soient opérées en fonction de l’objectif de lutte contre les infractions graves ».

En effet, selon la Cour la Directive concerne de « manière globale l’ensemble des personnes faisant usage de services de communications électroniques, sans toutefois que les personnes dont les données sont conservées se trouvent, même indirectement, dans une situation susceptible de donner lieu à des poursuites pénales.

Elle s’applique donc même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves. En outre, elle ne prévoit aucune exception, de sorte qu’elle s’applique même à des personnes dont les communications sont soumises, selon les règles du droit national, au secret professionnel« .

La Cour constate également que : » la Directive 2006/24 ne prévoit aucun critère objectif permettant de limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données conservées au strict nécessaire au regard de l’objectif poursuivi. Surtout, l’accès aux données conservées par les autorités nationales compétentes n’est pas subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante dont la décision vise à limiter l’accès aux données et leur utilisation à ce qui est strictement nécessaire aux fins d’atteindre l’objectif poursuivi et intervient à la suite d’une demande motivée de ces autorités présentée dans le cadre de procédures de prévention, de détection ou de poursuites pénales. Il n’a pas non plus été prévu une obligation précise des États membres visant à établir de telles limitations. »

Et enfin, concernant la durée de conservation des données, la Directive impose une durée d’au moins six mois sans opérer une quelconque distinction entre les catégories de données en fonction des personnes concernées ou de l’utilité éventuelle des données par rapport à l’objectif poursuivi.

La Cour critique enfin le fait que la Directive n’impose pas une conservation des données sur le territoire de l’Union européenne. Ainsi, la Directive ne garantit pas pleinement le contrôle du respect des exigences de protection et de sécurité par une autorité indépendante, comme cela est pourtant explicitement exigé par la Charte. Or, un tel contrôle, effectué sur la base du droit de l’Union européenne, constitue un élément essentiel du respect de la protection des personnes à l’égard du traitement des données à caractère personnel.

Au vu de tous ces éléments, la Cour a déclaré la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE, invalide.

En somme, il appartient aux autorités compétentes françaises d’apprécier, pour chaque circonstance, l’impact de la décision européenne du 8 avril 2014 sur le droit français.

Les règles en droit français en matière de conservations des données de connexion demeurent applicables. Il s’agit des articles L. 34-1 et L. 34-1-1 du Code des postes et des communications électroniques (enquête judiciaire et enquête administrative).

(CJUE 8 avril 2014, Digital Rights Ireland et Seitlinger e.a., c-293/12, C-594/12)

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s