Dernière actualité : Report on the review of AVMSD adopted by the Culture Committee [Lire la suite]
 BREF

2016-12-23 - La CJUE s\'oppose à la surveillance de masse
CJUE : 21 décembre 2016, affaires jointes C 203/15 et C 698/15, Tele2 Sverige AB (C 203/15) contre Post- och telestyrelsen, et Secretary of State for the Home Department (C 698/15) contre Tom Watson, Peter Brice, Geoffrey Lewis

La CJUE interdit la conservation généralisée et indifférenciée des données de trafic et de localisation, qui permettent un profilage des personnes à leur insu et constituent dès lors une ingérence grave dans la vie privée, qui n’est pas strictement nécessaire et proportionné à des fins de luttes contre la criminalité grave. Néanmoins, les Etats peuvent imposer aux fournisseurs de services de communications électroniques une conservation ciblée de ces données, pour lutter contre les infractions graves et notamment le terrorisme. Cependant, leur conservation par les fournisseurs de services de communications électroniques et leur accès par les autorités compétences sont soumis à des exigences strictes afin de respecter les droits fondamentaux des personnes concernées par cette conservation. La Cour fixe ainsi le point d’équilibre entre l’obligation des Etats membres de respecter des droits fondamentaux (articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte des droits fondamentaux de l’UE), et leur obligation d’assurer la sécurité des individus se trouvant sur leur territoire par la conservation de données de trafic et de localisation (article 15, paragraphe 1, de la directive 2002/58).


Dans son arrêt du 21 décembre 2016, la Cour de justice de l’Union européenne (CJUE) a considéré que les législations nationales adoptées en Suède (affaire C-203/15) et au Royaume-Uni loi sur la conservation des données et les pouvoirs d’enquête, « DRIPA » ( (C-698/15), qui imposent aux fournisseurs de services de communications électroniques une obligation générale de de conserver les données relatives au trafic et à la localisation et n’imposent aucune condition d’accès à ces données par les autorités nationales compétentes sont incompatibles avec le droit européen en l’occurrence la directive 2002/58/CE, dite directive « vie privée et communications électroniques » (1) lue à la lumière de la Charte des droit fondamentaux de l’UE (2). Cette solution est conforme à sa jurisprudence Digital Rights Irelands et Seitlinger e.a. (3) invalidant la directive 2006/24/CE (4) au motif que l’ingérence que comporte l’obligation générale de conservation des données de trafic et de localisation n’était pas limitée au strict nécessaire. L’ingérence résultant d’une réglementation nationale prévoyant la conservation des données relatives au trafic et des données de localisation doit donc être considérée comme particulièrement grave. Le fait que la conservation des données est effectuée sans que les utilisateurs des services de communications électroniques n’en soient informés est susceptible de générer, dans l’esprit des personnes concernées, le sentiment que leur vie privée fait l’objet d’une surveillance constante. Par conséquent, seule la lutte contre la criminalité grave est susceptible de justifier une telle ingérence. Les Etats sont autorisés à adopter une conservation des données ciblées à des fins de lutte contre la criminalité grave ou de prévenir un risque grave pour la sécurité publique.

La Cour explique en revanche que la directive ne s’oppose pas à une réglementation nationale imposant une conservation ciblée des données à des fins de lutte contre la criminalité grave, à condition qu’une telle conservation soit, en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue, limitée au strict nécessaire. Selon la Cour, toute réglementation nationale allant dans ce sens doit être claire et précise et prévoir des garanties suffisantes afin de protéger les données contre les risques d’abus. Elle doit indiquer les circonstances et conditions dans lesquelles une mesure de conservation des données peut, à titre préventif, être prise, de manière à garantir que l’ampleur de cette mesure soit, en pratique, effectivement limitée au strict nécessaire.

Notamment, une telle réglementation doit être fondée sur des éléments objectifs permettant de viser les personnes dont les données sont susceptibles de présenter un lien avec des actes de criminalité grave, de contribuer à la lutte contre la criminalité grave ou de prévenir un risque grave pour la sécurité publique.

S’agissant de l’accès des autorités nationales compétentes aux données conservées, la Cour confirme que la réglementation nationale concernée ne saurait se limiter à exiger que l’accès réponde à l’un des objectifs visés à la directive, fût-ce la lutte contre la criminalité grave, mais doit également prévoir les conditions matérielles et procédurales régissant l’accès des autorités nationales compétentes aux données conservées. Cette réglementation doit se fonder sur des critères objectifs pour définir les circonstances et les conditions dans lesquelles l’accès aux données doit être accordé aux autorités nationales compétentes. Un accès ne saurait en principe être accordé, s’agissant de l’objectif de lutte contre la criminalité, qu’aux données de personnes soupçonnées de projeter, de commettre ou d’avoir commis une infraction grave ou encore d’être impliquées d’une manière ou d’une autre dans une telle infraction. Toutefois, dans des situations particulières, telles que celles dans lesquelles des intérêts vitaux de la sécurité nationale, de la défense ou de la sécurité publique sont menacés par des activités de terrorisme, l’accès aux données d’autres personnes pourrait également être accordé lorsqu’il existe des éléments objectifs permettant de considérer que ces données pourraient, dans un cas concret, apporter une contribution effective à la lutte contre de telles activités. La Cour a considéré que les Etats membres peuvent imposer une obligation de conservation pour des données ciblées. Cette dérogation au principe de confidentialité des communications et des données relatives au trafic prévue par l’article 15, paragraphe 1, de cette directive doit être interprétée au regard des droits fondamentaux. Toute limitation à l’exercice de ces droits et libertés doit être nécessaire, répondre effectivement à des objectifs d’intérêt général reconnus par l’Union. Selon la jurisprudence de la CJUE (5), le principe de proportionnalité exige que les dérogations à la protection des données à caractère personnel et les limitations de celle-ci s’opèrent dans les limites du strict nécessaire.

Les données conservées par les fournisseurs de services de communications électroniques, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes concernées. En particulier, ces données fournissent les moyens d’établir, ainsi que l’a relevé M. l’avocat général aux points 253, 254 et 257 à 259 de ses conclusions, le profil des personnes concernées, information tout aussi sensible, au regard du droit au respect de la vie privée, que le contenu même des communications. L’ingérence que comporte une telle réglementation dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte s’avère d’une vaste ampleur et doit être considérée comme particulièrement grave (6). La circonstance que la conservation des données est effectuée sans que les utilisateurs des services de communications électroniques en soient informés est susceptible de générer dans l’esprit des personnes concernées le sentiment que leur vie privée fait l’objet d’une surveillance constante (7). La conservation des données relatives au trafic et des données de localisation pourrait toutefois avoir une incidence sur l’utilisation des moyens de communication électronique et, en conséquence, sur l’exercice par les utilisateurs de ces moyens de leur liberté d’expression, garantie à l’article 11 de la Charte (8). Compte tenu de la gravité de l’ingérence dans les droits fondamentaux en cause constituée par une conservation des données relatives au trafic et à la localisation seule la lutte contre la criminalité grave, notamment contre la criminalité organisée et le terrorisme, est susceptible de justifier une dérogation à la conservation de ces données (9). Toutefois, pour être justifiée, une réglementation prévoyant la conservation des données ne doit pas excéder le strict nécessaire. Pour être conforme à l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte et être limitée au strict nécessaire, la conservation à des fins de lutte contre la criminalité grave, doit être ciblée en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue.

Les personnes, dont les données ont été conservées, doivent disposer de garanties suffisantes permettant de protéger efficacement leurs données à caractère personnel contre les risques d’abus. Ainsi, la législation nationale doit en particulier indiquer en quelles circonstances et sous quelles conditions une mesure de conservation des données peut, à titre préventif, être prise, garantissant ainsi qu’une telle mesure soit limitée au strict nécessaire. La conservation des données doit pas moins toujours répondre à des critères objectifs, établissant un rapport entre les données à conserver et l’objectif poursuivi. En particulier, de telles conditions doivent s’avérer, en pratique, de nature à délimiter effectivement l’ampleur de la mesure et, par suite, le public concerné. La réglementation nationale doit être fondée sur des éléments objectifs permettant de viser un public dont les données sont susceptibles de révéler un lien, au moins indirect, avec des actes de criminalité grave, de contribuer d’une manière ou d’une autre à la lutte contre la criminalité grave ou de prévenir un risque grave pour la sécurité publique.

L’accès aux données conservées ne doit avoir lieu que dans les limites du strict nécessaire. La réglementation nationale doit se fonder sur des critères objectifs pour déterminer les conditions matérielles et procédurales d’accès des autorités nationales compétentes aux données conservées. À cet égard, un accès ne saurait, en principe, être accordé, en relation avec l’objectif de lutte contre la criminalité, qu’aux données de personnes soupçonnées de projeter, de commettre ou d’avoir commis une infraction grave ou encore d’être impliquées d’une manière ou d’une autre dans une telle infraction. Toutefois, dans des situations particulières, telles que celles dans lesquelles des intérêts vitaux de la sécurité nationale, de la défense ou de la sécurité publique sont menacés par des activités de terrorisme, l’accès aux données d’autres personnes pourrait également être accordé lorsqu’il existe des éléments objectifs permettant de considérer que ces données pourraient, dans un cas concret, apporter une contribution effective à la lutte contre de telles activités. L’accès doit également être subordonné, sauf en cas d’urgence dûment justifié, subordonnée à un contrôle préalable effectué soit par une juridiction soit par une entité administrative, intervenant à la suite d’une demande motivée des autorités nationales compétentes, notamment dans le cadre de procédures de prévention, de détection ou de poursuites pénales. Les personnes concernées par cet accès à leurs données doivent être informées, sauf si cette communication est susceptible de compromettre les enquêtes. Les données doivent être conservées sur le territoire de l’Union et doivent être détruites de manière irrémédiable au terme de la durée de conservation de celles-ci.

Eléonore Scaramozzino

[1] Directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201, p. 37), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 (JO L 337, p. 11).
[2] Articles 7, 8 et 52, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne.
[3] CJUE : arrêt du 8 avril 2014, Digital Rights Ireland et Seitlinger e.a. (affaires jointes C-293/12 et C-594/12, voir CP n° 54/14).
[4] Directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (JO L 105, p. 54).
[5] CJEU : arrêts du 16 décembre 2008, Satakunnan Markkinapörssi et Satamedia, C 73/07, EU:C:2008:727, point 56 ; du 9 novembre 2010, Volker und Markus Schecke et Eifert, C 92/09 et C 93/09, EU:C:2010:662, point 77 ; Digital Rights, point 52, ainsi que du 6 octobre 2015, Schrems, C 362/14, EU:C:2015:650, point 92
[6] Point 100 de l’arrêt
[7] CJUE :arrêt du 8 avril 2014, Digital Rights Ireland et Seitlinger e.a. (affaires jointes C-293/12 et C-594/12, voir CP n° 54/14), point 37
[8] CJUE : arrêt du 8 avril 2014, Digital Rights Ireland et Seitlinger e.a. (affaires jointes C-293/12 et C-594/12, voir CP n° 54/14), point 28
[9] CJUE arrêt du 8 avril 2014, Digital Rights Ireland et Seitlinger e.a. (affaires jointes C-293/12 et C-594/12, voir CP n° 54/14), point 60

article publié dans www.scarayeblog.com

Mentions légales | Réalisation site : Opium Bleu