Big Brother ne passera pas par la Cour de Justice de l’Union Européenne, 2ème partie
Une audience de la Cour de justice chambre à cinq juges
Source : Cour de Justice de l’Union Européenne
La Cour de Justice de l’Union Européenne rappelle que, pour déterminer comment s’articulent la directive, la Charte européenne des droits fondamentaux et les textes nationaux contestés, il faut « procéder à une conciliation nécessaire des différents intérêts et droits en cause » (point 127). En d’autres termes, il n’y pas d’interdiction absolue à ce que les Etats s’ingèrent dans la vie privée des personnes. Mais il y a des conditions. La Cour rappelle tout d’abord que le principe est l’obligation de garantir la confidentialité des communications électroniques et des données et l’interdiction de stocker ces données. La dérogation à ce principe ne doit pas devenir la règle (point 111). Par conséquent, les États ne peuvent se prévaloir de cette dérogation que pour un des motifs admis par l’article 15 de la directive parmi lesquels figurent la sureté de l’Etat, ou encore la prévention, la recherche, et la poursuite d’infractions pénales. La deuxième condition est qu’ils respectent les principes généraux du droit de l’Union Européenne et notamment le principe de proportionnalité, et les droits garantis par la Charte des droits fondamentaux de l’UE.
La CJUE détaille ensuite de manière plus précise les conditions dans lesquelles la surveillance des données par les autorités devient licite.
Conservation des données relatives au trafic et des données de localisation dans le cadre de la sécurité nationale
La sauvegarde de la sécurité nationale implique la prévention et la répression d’activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d’un pays, et en particulier à menacer directement la société, la population ou l’État en tant que tel, telles que notamment des activités de terrorisme. Dans ce cadre, les Etats peuvent prendre des mesures pour obliger les fournisseurs de services de communications électroniques à conserver les données relatives au trafic et à la localisation de l’ensemble des utilisateurs, c’est-à-dire de manière indifférenciée. Mais sous réserve de respecter les conditions suivantes:
- La menace grave pour la sécurité nationale doit être réelle, et actuelle ou prévisible.
- La période visée par les mesures doit être « temporellement limitée au strict nécessaire » (quitte à être renouvelée ensuite en cas de persistance de la menace) (point 138).
- La conservation des données doit être, de plus, très encadrée pour éviter les abus. Notamment, elle ne peut pas avoir un caractère systématique et doit faire l’objet d’un contrôle juridictionnel ou par une autorité administrative indépendante (points 138 et 139).
Conservation des données relatives au trafic et des données de localisation dans le cadre de la prévention et de la lutte contre la criminalité « générale »
En dehors du cas de figure précédent, la Cour considère que la directive, combinée à la Charte des droits fondamentaux, s’oppose à une réglementation nationale qui oblige, à titre préventif, dans le cadre de la lutte contre la criminalité, les fournisseurs de services de communications électroniques à conserver de manière généralisée et indifférenciée des données relatives au trafic et à la localisation. Cette obligation constitue en effet une ingérence particulièrement grave dans les droits fondamentaux garantis par la Charte, sans que le comportement des personnes dont les données sont concernées présente de lien, même indirect, avec l’objectif poursuivi par la réglementation en cause (points 142 à 145).
Mais d’autres modes de conservation des données peuvent être tolérés.
- Ainsi, le droit de l’Union européenne ne s’oppose pas à des mesures législatives qui impliquent une conservation des données relatives au trafic et à la localisation « à condition qu’une telle conservation soit, en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue, limitée au strict nécessaire » (point 147). Elle doit être délimitée, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées (par exemple, celles dont les données peuvent révéler un lien, au moins indirect, avec des actes de criminalité grave) ou selon un critère géographique « lorsque les autorités nationales compétentes considèrent…qu’il existe, dans une ou plusieurs zones géographiques, une situation caractérisée par un risque élevé de préparation ou de commission d’actes de criminalité grave » (point 148) (par exemple, des lieux fréquentés régulièrement par un nombre très élevé de personnes, ou des lieux stratégiques : aéroports, gares…).
- Ensuite, la CJUE admet que les fournisseurs de connexion puissent être tenus de conserver les adresses IP de l’ensemble de la population (une adresse IP identifie tout périphérique (comme un ordinateur) relié à un réseau informatique qui utilise l'Internet Protocol). Il faut que la mesure ordonnant la conservation généralisée des adresses IP soit motivée par la lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique. De plus la durée de conservation ne doit pas excéder "celle qui est strictement nécessaire au regard de l’objectif poursuivi". Enfin, "une mesure de cette nature doit prévoir des conditions et des garanties strictes quant à l’exploitation de ces données, notamment par un traçage, à l’égard des communications et des activités effectuées en ligne par les personnes concernées" (point 156). La directive ne s'oppose pas non plus à une conservation des données relatives à l’identité civile de tous les utilisateurs des moyens de communications électroniques, sans limitation dans le temps cette fois, puisque, explique la Cour "ces données ne permettent pas, à elles seules, de connaître la date, l’heure, la durée et les destinataires des communications effectuées, non plus que les endroits où ces communications ont eu lieu ou la fréquence de celles-ci avec certaines personnes pendant une période donnée, de telle sorte qu’elles ne fournissent, mises à part les coordonnées de ceux-ci, telles que leurs adresses, aucune information sur les communications données et, par voie de conséquence, sur leur vie privée. Ainsi, l’ingérence que comporte une conservation de ces données ne saurait, en principe, être qualifiée de grave" (point 157).
- Dans certains cas, la directive permet une mesure législative qui prévoit le recours à une conservation des données dont disposent les fournisseurs de services au-delà des délais légaux de conservation qu'ils doivent respecter. Il s'agit de situations dans lesquelles ces données doivent être gardées afin d'élucider des infractions pénales graves ou en cas d'atteintes à la sécurité nationale, lorsque ces infractions ou atteintes ont déjà été constatées ou même lorsque leur existence peut être "raisonnablement soupçonnée au terme d’un examen objectif de l’ensemble des circonstances pertinentes" (point 161). La mesure qui ordonne la conservation constituant une ingérence grave dans les droits des personnes, elle doit être motivée par la lutte contre la criminalité grave ou de sauvegarde de la sécurité nationale, être limitée dans le temps au strict nécessaire (avec possibilité d'être prolongée si les circonstances et l’objectif poursuivi le justifient) (point 164). La mesure peut s'étendre à d’autres personnes que celles qui sont soupçonnées (l’entourage social ou professionnel, les personnes se trouvant dans des zones géographiques déterminées, telles que les lieux où l'infraction a été préparée ou commise) (point 165).
Analyse automatisée et recueil en temps réel des données relatives au trafic et des données de localisation
La directive autorise-t-elle une réglementation nationale qui impose aux fournisseurs de services de communications électroniques de mettre en œuvre des mesures permettant, d’une part, l’analyse automatisée ainsi que le recueil en temps réel des données relatives au trafic et des données de localisation et, d’autre part, le recueil en temps réel des données techniques relatives à la localisation des équipements terminaux utilisés, sans que les personnes concernées par ces traitements et ces recueils soient informées ?
Oui, répond la Cour, mais non sans conditions. Le recours à l’analyse automatisée ne se justifie que s’il existe « une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible » (comme la menace terroriste). La décision autorisant l’analyse automatisée doit « faire l’objet d’un contrôle effectif soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, visant à vérifier l’existence d’une situation justifiant ladite mesure ainsi que le respect des conditions et des garanties devant être prévues » (point 179).
L’outil utilisé pour cette analyse (l’algorithme) doit mettre en œuvre des modèles et des critères « d’une part, spécifiques et fiables, permettant d’aboutir à des résultats identifiant des individus à l’égard desquels pourrait peser un soupçon raisonnable de participation à des infractions terroristes et, d’autre part, non discriminatoires » (point 180). Ces critères ne peuvent être exclusivement fondés sur des données sensibles telles que les origines raciales ou ethniques ou la religion, par exemple (point 181). Quant au recueil en temps réel des données sur le trafic et la localisation son autorisation doit être limitée « aux personnes à l’égard desquelles il existe une raison valable de soupçonner qu’elles sont impliquées d’une manière ou d’une autre dans des activités de terrorisme ». Il doit être, de plus, soumis à un contrôle préalable, effectué, soit par une juridiction, soit par une entité administrative indépendante (point 192).
Conservation généralisée et indifférenciée, notamment, de données à caractère personnel afférentes aux services de fourniture d’accès à internet et aux services d’hébergement
La loi n° 2004-575 du 21 juin 2004 (loi LCEN) portant sur les obligations qui pèsent sur les fournisseurs d’accès à internet et les hébergeurs impose à ceux-ci de conserver les données relatives à l’identité civile des personnes ayant fait usage de leurs services, tels que leurs nom, prénom, leurs adresses postales associées, leurs adresses de courrier électronique ou de compte associées, leurs mots de passe et, lorsque la souscription du contrat ou du compte est payante, le type de paiement utilisé, la référence du paiement, le montant ainsi que la date et l’heure de la transaction.
La CJUE juge qu’une règle nationale imposant une conservation généralisée et indifférenciée des données personnelles est contraire tant à la directive 2002/58 qu’au règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Effets d’une déclaration d’illégalité d’une mesure nationale au regard du droit communautaire
Le juge national peut-il décider de maintenir les effets d’une réglementation que la CJUE a déclarée incompatible avec le droit communautaire ? La réponse est négative car la primauté du droit communautaire impose que la règle nationale non conforme soit écartée « …le juge national chargé d’appliquer, dans le cadre de sa compétence, les dispositions du droit de l’Union a l’obligation d’assurer le plein effet de celles-ci en laissant au besoin inappliquée, de sa propre autorité, toute disposition contraire de la législation nationale, même postérieure… » (point 215). Donc : « une méconnaissance de l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, ne saurait faire l’objet d’une régularisation…En effet, le maintien des effets d’une législation nationale, telle que celle en cause au principal, signifierait que cette législation continue à imposer aux fournisseurs de services de communications électroniques des obligations qui sont contraires au droit de l’Union et qui comportent des ingérences graves dans les droits fondamentaux des personnes dont les données ont été conservées » (point 219). La conséquence est que le juge pénal national doit « écarter des informations et des éléments de preuve qui ont été obtenus au moyen d’une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation incompatible avec le droit de l’Union, dans le cadre d’une procédure pénale ouverte à l’encontre de personnes soupçonnées d’actes de criminalité » si celles-ci ne sont pas en mesure de prendre efficacement position sur ces informations et ces éléments de preuve alors qu’ils peuvent influencer de manière prépondérante l’appréciation des faits (point 227).
En conclusion : l’arrêt de la CJUE a déçu les défenseurs des droits personnels dans la mesure où il permet une exception à l’interdiction de la conservation généralisée et indifférenciée des données de trafic et de localisation stockées par les fournisseurs d’accès à internet. Mais, confronté aux règles françaises, il assure néanmoins une protection plus importante des libertés fondamentales. Pour la Quadrature du Net, « la Cour de justice a été explicite dans sa décision : le droit français viole les libertés fondamentales protégées par le droit de l’Union ». Le Conseil d’Etat devrait donc censurer la réglementation française en application du principe de la primauté du droit communautaire. Sauf s’il accepte l’argument du Gouvernement français selon lequel il s’agit d’une question relevant de l’identité constitutionnelle de la France, les décrets contestés ayant pour objet de contribuer à la protection contre les atteintes à la forme républicaine de l’Etat. Mais il entrerait alors en conflit avec la CJUE car il violerait l’ordre juridique européen qui implique une unité d’interprétation du droit européen et non pas « à la carte » par chaque juridiction nationale.
Dispositif
1) L’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’il s’oppose à des mesures législatives prévoyant, aux fins prévues à cet article 15, paragraphe 1, à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation. En revanche, l’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, ne s’oppose pas à des mesures législatives
– permettant, aux fins de la sauvegarde de la sécurité nationale, le recours à une injonction faite aux fournisseurs de services de communications électroniques de procéder à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, dans des situations où l’État membre concerné fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, la décision prévoyant cette injonction pouvant faire l’objet d’un contrôle effectif, soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, visant à vérifier l’existence d’une de ces situations ainsi que le respect des conditions et des garanties devant être prévues, et ladite injonction ne pouvant être émise que pour une période temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de cette menace ;
– prévoyant, aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation ciblée des données relatives au trafic et des données de localisation qui soit délimitée, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique, pour une période temporellement limitée au strict nécessaire, mais renouvelable ;
– prévoyant, aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion, pour une période temporellement limitée au strict nécessaire ;
– prévoyant, aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité et de la sauvegarde de la sécurité publique, une conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs de moyens de communications électroniques, et
– permettant, aux fins de la lutte contre la criminalité grave et, a fortiori, de la sauvegarde de la sécurité nationale, le recours à une injonction faite aux fournisseurs de services de communications électroniques, par le biais d’une décision de l’autorité compétente soumise à un contrôle juridictionnel effectif, de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont disposent ces fournisseurs de services,
dès lors que ces mesures assurent, par des règles claires et précises, que la conservation des données en cause est subordonnée au respect des conditions matérielles et procédurales y afférentes et que les personnes concernées disposent de garanties effectives contre les risques d’abus.
2) L’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale imposant aux fournisseurs de services de communications électroniques de recourir, d’une part, à l’analyse automatisée ainsi qu’au recueil en temps réel, notamment, des données relatives au trafic et des données de localisation et, d’autre part, au recueil en temps réel des données techniques relatives à la localisation des équipements terminaux utilisés, lorsque
– le recours à l’analyse automatisée est limité à des situations dans lesquelles un État membre se trouve confronté à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, le recours à cette analyse pouvant faire l’objet d’un contrôle effectif, soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, visant à vérifier l’existence d’une situation justifiant ladite mesure ainsi que le respect des conditions et des garanties devant être prévues, et que
– le recours à un recueil en temps réel des données relatives au trafic et des données de localisation est limité aux personnes à l’égard desquelles il existe une raison valable de soupçonner qu’elles sont impliquées d’une manière ou d’une autre dans des activités de terrorisme et est soumis à un contrôle préalable, effectué, soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, afin de s’assurer qu’un tel recueil en temps réel n’est autorisé que dans la limite de ce qui est strictement nécessaire. En cas d’urgence dûment justifiée, le contrôle doit intervenir dans de brefs délais.
3) La directive 2000/31/CE du Parlement européen et du Conseil, du 8 juin 2000, relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (« directive sur le commerce électronique »), doit être interprétée en ce sens qu’elle n’est pas applicable en matière de protection de la confidentialité des communications et des personnes physiques à l’égard du traitement des données à caractère personnel dans le cadre des services de la société de l’information, cette protection étant, selon le cas, régie par la directive 2002/58, telle que modifiée par la directive 2009/136, ou par le règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46. L’article 23, paragraphe 1, du règlement 2016/679, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale imposant aux fournisseurs d’accès à des services de communication au public en ligne et aux fournisseurs de services d’hébergement la conservation généralisée et indifférenciée, notamment, des données à caractère personnel afférentes à ces services.
4) Une juridiction nationale ne peut faire application d’une disposition de son droit national qui l’habilite à limiter dans le temps les effets d’une déclaration d’illégalité lui incombant, en vertu de ce droit, à l’égard d’une législation nationale imposant aux fournisseurs de services de communications électroniques, en vue, notamment, de la sauvegarde de la sécurité nationale et de la lutte contre la criminalité, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation incompatible avec l’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux. Cet article 15, paragraphe 1, interprété à la lumière du principe d’effectivité, impose au juge pénal national d’écarter des informations et des éléments de preuve qui ont été obtenus par une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation incompatible avec le droit de l’Union, dans le cadre d’une procédure pénale ouverte à l’encontre de personnes soupçonnées d’actes de criminalité, si ces personnes ne sont pas en mesure de commenter efficacement ces informations et ces éléments de preuve, provenant d’un domaine échappant à la connaissance des juges et qui sont susceptibles d’influencer de manière prépondérante l’appréciation des faits.
Actualisation le 29 avril 2021:
Version imprimable
Envoyer par email
