CJUE : pas de conservation générale et indifférenciée des données, même pour lutter ...

Les moyens et les méthodes de la lutte antiterroriste doivent répondre aux exigences de l’Etat de droit. En outre, la directive vie privée et communications électroniques s’applique lorsque les fournisseurs de services de communications électroniques sont légalement obligés de conserver les données de leurs abonnés et de permettre aux autorités publiques d’y accéder, que ces obligations s’imposent pour des raisons de sécurité nationale ou non.

Dans un arrêt du 15 janvier 2020, l’avocat général près la Cour de justice de l’Union européenne Manuel Campos Sánchez-Bordona apporte des précisions quant à la compatibilité des moyens et méthodes de la lutte antiterroriste des Etats membres avec la directive vie privée et communications électroniques (2002/58/CE).
Rappel des règles
Tout d’abord, il rappelle que la directive exclut de son application les activités menées, en vue de préserver la sécurité nationale, par les pouvoirs publics pour leur propre compte, sans requérir la collaboration de particuliers et, dès lors, sans leur imposer d’obligations dans leur gestion commerciale. En revanche, lorsque le concours de particuliers auxquels certaines obligations sont imposées est requis, même pour des raisons de sécurité nationale, cette circonstance relève du domaine régi par le droit de l’Union, celui de la protection de la vie privée qui peut être exigée de ces acteurs privés. Ainsi, la directive s’applique, en principe, lorsque les fournisseurs de services de communications électroniques sont tenus, par la loi, de conserver les données de leurs abonnés et de permettre aux autorités publiques d’y accéder, indépendamment du fait que ces obligations soient imposées aux fournisseurs pour des raisons de sécurité nationale.
Ensuite, l’avocat général rappelle que les limitations posées à l’obligation de garantir la confidentialité des communications et des données relatives au trafic des activités des personnes doivent être interprétées strictement et à la lumière des droits fondamentaux consacrés par la Charte.Ainsi, la conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits présente un caractère disproportionné.
Ainsi, la conservation des données en vue de la sauvegarde de la sécurité nationale et de lutte contre la criminalité n’est possible qu’avec une conservation limitée et différenciée des données (conservation de données absolument indispensables pour la prévention de la criminalité et la sauvegarde de la sécurité nationale durant une période déterminée et différenciée), et pour un accès limité à ces données (contrôle préalable effectué par une juridiction ou une entité administrative indépendante, et adoption de règles visant à prévenir toute utilisation abusive et tout accès illicite aux données).
En pratique
Dans les affaires jointes C-511/18 et C-512/18, l’avocat général déclare que la directive s’oppose à la réglementation française qui, dans un contexte marqué par des menaces graves et persistantes pour la sécurité nationale, et en particulier par le risque terroriste, impose aux opérateurs et aux prestataires de services de communications électroniques de conserver, de manière générale et indifférenciée, les données relatives au trafic et les données de localisation de tous les abonnés ainsi que les données permettant d’identifier les créateurs de contenus offerts par les fournisseurs de ces services. Cette obligation de conservation généralisée et indifférenciée constitue une ingérence particulièrement grave dans les droits fondamentaux consacrés par la Charte.
Par ailleurs, la réglementation française n’est pas compatible avec la directive car elle n’instaure pas l’obligation d’informer les personnes concernées du traitement de leurs données à caractère personnel effectué par les autorités compétentes, afin que ces personnes puissent exercer leur droit à une protection juridictionnelle effective, pour autant que cette communication ne compromette pas l’action de ces autorités. En revanche, la directive ne s’oppose pas à une réglementation nationale qui permet de recueillir, en temps réel, les données relatives au trafic et les données de localisation de personnes spécifiques, pour autant que ces actions soient menées conformément aux procédures prévues pour l’accès aux données à caractère personnel légalement conservées et avec les mêmes garanties.
Dans l’affaire C-520/18, l’avocat général estime que la directive s’oppose à la réglementation belge de lutte contre le terrorisme car, même si l’accès aux données conservées est soumis à des garanties précisément réglementées, les opérateurs et les fournisseurs de services de communications électroniques se voient imposer une obligation générale et indifférenciée qui s’applique de manière permanente et continue, de conserver les données relatives au trafic et les données de localisation traitées dans le cadre de la fourniture de ces services, ce qui est incompatible avec la Charte.
Enfin, dans l’affaire C-623/17, l’avocat général considère que, nonobstant l’article 4 TUE, selon lequel la sécurité nationale relève de la responsabilité exclusive de chaque Etat membre, la directive s’oppose à la réglementation britannique qui impose à un fournisseur de services de communications électroniques l’obligation de fournir des données de communications en masse après leur collecte généralisée et indifférenciée.

– Communiqué de presse n° 4/20 de la CJUE du 15 janvier 2020 – “Avocat général Campos Sánchez-Bordona : les moyens et les méthodes de la lutte antiterroriste doivent répondre aux exigences de l’État de droit” – https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-01/cp200004fr.pdf
– CJUE, conclusions de l’avocat général Campos Sánchez-Bordona, 15 janvier 2020 (affaire C-623/17 – ECLI:EU:C:2020:5), Privacy International c/ Secretary of State for Foreign and Commonwealth Affairs, Secretary of State for the Home Department, Government Communications Headquarters, Security Service, Secret Intelligence Service – https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-01/cp200004fr.pdf
– CJUE, conclusions de l’avocat général Campos Sánchez-Bordona, 15 janvier 2020 (affaires C-511/18 et C-512/18- ECLI:EU:C:2020:6), La Quadrature du Net, French Data Network, Fédération des fournisseurs d’accès à Internet associatifs Igwan.net c/ Premier ministre, Garde des Sceaux, ministre de la Justice, Ministre de l’Intérieur, Ministre des Armées – https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-01/cp200004fr.pdf
– CJUE, conclusions de l’avocat général Campos Sánchez-Bordona, 15 janvier (affaire C-520/18 – ECLI:EU:C:2020:7), Ordre des barreaux francophones et germanophone, Académie Fiscale ASBL, UA, Liga voor Mensenrechten ASBL, Ligue des Droits de l’Homme ASBL, VZ, WY, XX c/ Conseil des ministres – https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-01/cp200004fr.pdf
– Directive 2002/58/CE du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques – https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-01/cp200004fr.pdf
– Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE – https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-01/cp200004fr.pdf