09 avril 2014

La Cour de justice de l'Union européenne déclare la directive sur la conservation des données invalide

Un arrêt du 8 avril 2014 jette très certainement un pavé dans la mare de la très délicate et controversée question de la conservation des données de connexion par les fournisseurs d'accès Internet et les opérateurs de téléphonie. La Cour a considéré que directive, dont on rappelle qu'elle constitue un éléments essentiel des procédures relatives aux enquêtes judiciaires et à la lutte contre le terrorisme, comportait une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel sans que cette ingérence soit limitée au strict nécessaire.

La Cour a estimé que les données à conserver prises dans leur ensemble, sont susceptibles de fournir des indications très précises sur la vie privée des personnes dont les données sont conservées, comme les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales et les milieux sociaux fréquentés, et qu’en imposant la conservation de ces données et en en permettant l’accès aux autorités nationales compétentes, la directive s’immisce de manière particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel.

Les conséquences que la Cour tire de ce constat sont nuancées :

Elle constate tout d'abord que la conservation des données imposée par la directive n’est pas de nature à porter atteinte au contenu essentiel des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. En effet, la directive ne permet pas de prendre connaissance du contenu des communications électroniques en tant que tel et prévoit que les fournisseurs de services ou de réseaux doivent respecter certains principes de protection et de sécurité des données. De plus la conservation des données en vue de leur transmission éventuelle aux autorités nationales compétentes répond effectivement à un objectif d’intérêt général, à savoir la lutte contre la criminalité grave ainsi que, en définitive, la sécurité publique.

Mais, si le principe même de la conservation des données n'est pas fondamentalement remis en cause, la Cour estime toutefois que le législateur de l’Union a excédé les limites qu’impose le respect du principe de proportionnalité et que l’ingérence vaste et particulièrement grave de la directive permet dans les droits fondamentaux en cause  - protection des données à caractère personnel et respect de la vie privée - n’est pas suffisamment encadrée afin de garantir que cette ingérence soit effectivement limitée au strict nécessaire. Les justifications de cette solution sont les suivantes :

  • La directive couvre de manière généralisée l’ensemble des individus, des moyens de communication électronique et des données relatives au trafic sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif de lutte contre les infractions graves.

  • La directive ne prévoit aucun critère objectif qui permettrait de garantir que les autorités nationales compétentes n’aient accès aux données et ne puissent les utiliser qu’aux seules fins de prévenir, détecter ou poursuivre pénalement des infractions susceptibles d’être considérées comme suffisamment graves pour justifier une telle ingérence.

  • S’agissant de la durée de conservation des données, la directive impose une durée d’au moins six mois sans opérer une quelconque distinction entre les catégories de données en fonction des personnes concernées ou de l’utilité éventuelle des données par rapport à l’objectif poursuivi. En outre, cette durée se situe entre 6 mois au minimum et 24 mois au maximum, sans que la directive ne précise les critères objectifs sur la base desquels la durée de conservation doit être déterminée afin de garantir sa limitation au strict nécessaire.

  • La directive ne prévoit pas de garanties suffisantes permettant d’assurer une protection efficace des données contre les risques d’abus ainsi que contre l’accès et l’utilisation illicites des données.

  • La Cour critique enfin le fait que la directive n’impose pas une conservation des données sur le territoire de l’Union.
Cette directive ainsi censurée a été transposée en droit français par le décret n°2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques dont les dispositions ont été intégrées dans le Code des postes et des communications électroniques et dans le Code de procédure pénale. Il n'apparaît pas que ce décret soit de nature à répondre aux critiques de la Cour qui lui sont applicables mutatis mutandis. Les FAI et les opérateurs de téléphonie français pourraient donc être légitimement tentés d'en cesser l'application tout comme leurs abonnés pourraient envisager la mise en œuvre d'initiatives, judiciaires ou non, pour obtenir la cessation de la conservation de leurs données de connexion qui est à considérer en l'état comme illégal.

La présente note s'inspire notamment du communiqué de presse de la Cour qui est consultable en ligne pour plus de détails.