Le 8 avril 2014, la Cour de justice de l’Union européenne (CJUE) a rendu une décision attendue concernant la conformité de la directive n° 2006/24/CE du 15 mars 2006 concernant la conservation de données de connexion par les opérateurs et prestataires des communications électroniques par rapport à la Charte des droits fondamentaux de l’Union européenne. Deux affaires conjointes ont été regroupées ayant pour objet des demandes de décision préjudicielle au titre de l’article 267 TFUE, introduites par la High Court (Irlande) et le Verfassungsgerichtshof (Autriche). Les problématiques soulevées concernent l’adéquation de la directive avec le droit au respect de la vie privée, la protection des données à caractère personnel, la liberté d’expression, le droit de circuler librement sur le territoire des Etats membres et le droit à une bonne administration.
Le droit de l’Union a appréhendé la question de la conservation des données de connexion par les opérateurs de communications électroniques et les prestataires de la société de l’information par plusieurs directives visant initialement à améliorer le service proposé aux abonnés et utilisateurs (Dir. 97/66/CE). Certaines des données peuvent être détournées de leur finalité première pour être transmises, le cas échéant, à des autorités judiciaires dans le cadre d’enquêtes pénales (Dir. 97/66/CE et 2002/58/CE pour les services de communications électroniques ; Dir. 2000/31/CE pour les prestataires de la société de l’information). Ces directives n’imposaient toutefois pas de liste de données à conserver, mais offrait simplement la possibilité de réaliser une transmission des données requises aux enquêteurs. Une décision-cadre, adoptée par le Conseil extraordinaire Justice et Affaires Intérieures en octobre 2005 sous l’impulsion de la politique dite du « troisième pilier », a ouvert une série de travaux sur le thème de la rétention des données de connexion. Par la suite, le Commissaire européen chargé de la protection des données a émis des observations afin de renforcer mutuellement la protection des données à caractère personnel et les nécessités des services d’enquêtes (EDPS/05/8 du 19 décembre 2005).
Dans ce contexte la directive 2006/24 harmonise les « dispositions des États membres relatives aux obligations des fournisseurs de services de communications électroniques accessibles au public et aux réseaux publics de communication en matière de conservation de certaines données qui sont générées ou traitées par ces fournisseurs en vue de garantir la disponibilité de ces données à des fins de recherche, de détection et de poursuite des infractions graves telles qu’elles sont définies par chaque État membre en droit interne ».
Les deux affaires déposées devant la CJUE visent donc à s’assurer de la pleine conformité de cette directive avec la Charte.
A cet égard, l’Avocat général Pedro Cruz Villalón avait produit des conclusions le 12 décembre 2013 dans lesquelles, il estimait que la directive constituait une sérieuse atteinte à la vie privée des citoyens européens. Notamment, car les opérateurs et prestataires doivent gérer d’énormes bases de données concernant toutes les connexions des internautes, réalisées chaque jour, permettant de scruter et de surveiller rétrospectivement toute leur vie. Il demandait que la directive soit modifiée substantiellement afin de limiter strictement la durée de conservation et définir précisément les procédures d’accès aux données, mais abrogée compte tenu de son utilité pour la résolution d’enquêtes pénales, mais qu’elle.
La Cour a suivi en grande partie l’analyse de l’Avocat général. De manière générale, elle considère que la conservation de toutes les donnés de connexion utilisées à l’exécution d’une prestation de fourniture de services de communications électroniques permet de tirer des conclusions très précises concernant la vie privée des personnes concernées : leurs habitudes, lieux de séjours, déplacements, activités, relations sociales et milieux sociaux fréquentés.
Même si ces données, par nature, n’ont pas un caractère sensible, leur conservation est une ingérence dans l’exercice des droits garantis par la Charte, à savoir le doit à la vie privée et protection des données à caractère personnel. Cette ingérence est renforcée par l’accès des autorités nationales compétentes aux données. La Cour considère que cette ingérence est d’une « vaste ampleur et qu’elle doit être considérée comme particulièrement grave » et entretient le sentiment général d’une surveillance constante de tous les citoyens européens et personnes se trouvant sur le territoire et de leurs activités.
Cette ingérence peut se justifier par la finalité de recherche, détection et poursuite des infractions pénales graves, qui doivent être déterminées par les Etats membres. A cet égard, rappelons que la France a supprimé la mention du terme « grave », ce qui permet d’élargir la finalité à tous les crimes et délits (art. L. 34-1 du Code des postes et des communications électroniques ; art. 6-II de la loi n° 2004-575 du 21 juin 2004 modifiée pour la confiance dans l’économie numérique).
Par le contrôle de proportionnalité, la Cour relève les lacunes de la directive 2006/24. D’une part, elle s’applique, sans exception possible (pas de protection spécifique pour les journalistes, avocats, magistrats, médecins, etc.), à toutes les personnes utilisant des services de communication, qu’elle soit ou non directement ou indirectement liées à une infractions pénale grave. D’autre part, elle ne définit aucun critère objectif permettant de délimiter l’accès des autorités nationales à ces données et à l’utilisation qui en est fait ultérieurement. Enfin, la durée de conservation (entre 6 et 24 mois) imposée par la directive n’est pas liée à des critères objectifs permettant aux Etats membres de la limiter de manière proportionnée.
Dès lors, la directive ne prévoit pas de règles assez claires et précises pour limiter la porter de la large ingérence des autorités nationales dans les droits fondamentaux en question. De plus, elle ne précise pas les garanties nécessaires à l’équilibre des intérêts, que ce soit dans la détermination des mesures de sécurité ou de la destruction des données. Sa lecture permet même d’envisager que la conservation de ces données puissent s’effectuer en dehors de l’Union européenne, sortant ainsi ces traitements de données de tout contrôle fondé sur le droit de l’Union.
Par conséquent, la Cour a considéré que le Législateur européen, par l’intermédiaire de la directive 2006/24, a excédé les limites imposées par le respect du principe de proportionnalité au regard du droit à la vie privée et de la protection des données à caractère personnel. La directive est dès lors invalide.
Cet arrêt de la Cour poursuit les critiques déjà faites contre la directive, notamment dans son rapport d’évaluation, lequel conclut que les mesures prises sont « très utiles aux systèmes de justice pénale et aux services répressifs de l’UE » (Commission européenne, Rapport d’évaluation concernant la directive sur la conservation des données, Bruxelles, 18 avr. 2011). En outre, la Cour constitutionnelle roumaine (8 oct. 2009, arrêt n°1258) a considéré que la conservation des données était une ingérence dans l’exercice des droits fondamentaux, notamment parce que les garanties de protection étaient insuffisantes. L’Allemagne a déclaré que la conservation des données créait un sentiment de surveillance, susceptible d’entraver le libre exercice des droits fondamentaux (Bundesverfassungsgericht, 1BvR, 256/08). Sur les mêmes fondements, la Cour constitutionnelle tchèque a reconnu l’imprécision de la directive et les éventuelles atteintes à la vie privée et aux libertés fondamentales (22 mars 2011, relatif à la loi n°127/2005 et au décret n°485/2005).
Il est cependant impensable que la directive soit supprimée. Elle sera très certainement révisée et adaptée pour apporter des garanties supplémentaires. Néanmoins, il ne faut pas oublier que la directive peut être adaptée par les Etats membres qui disposent d’ailleurs d’une grande latitude pour gérer les missions régaliennes de police issues de l’ancien troisième pilier de l’Union.