La Cour de justice de l’Union européenne s’est prononcée le 8 avril 2014 sur la question préjudicielle présentée par la High Court of Ireland (Irelande) le 11 juin 2012 — Digital Rights Ireland et a invalidé la Directive 2006/24/CE du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, modifiant la directive 2002/58/CE pour incompatibilité avec les droits fondamentaux et la protection données à caractère personnel.
Au sein du dispositif législatif existant, la conservation des données relatives à une communication électronique est l’exception. L’effacement ou l’anonymisation des données de connexion demeure le principe, auquel il ne peut être dérogé que sous certaines conditions. La Directive 2006/24/CE sur la conservation des données, votée en mars 2006 et contestée à plusieurs reprises depuis son adoption, oblige les fournisseurs de services de communications téléphoniques ou électroniques ou de réseaux publics de communications à conserver certaines données de leurs clients à des fins de recherches et de poursuites d’infractions graves.
Dans son jugement, la CJUE a observé tout d’abord que les données à conserver donnent la possibilité : (1) de connaître l’identité de la personne avec qui l’abonné ou l’utilisateur a communiqué et par quels moyens, (2) d’identifier le temps de la communication ainsi que l’endroit où la communication a eu lieu et (3) de connaître la fréquence des communications de l’abonné ou de l’utilisateur avec certaines personnes pendant une période donnée.
Ces données, prises dans leur ensemble, peuvent fournir des informations très précises sur la vie privée des personnes dont les données sont conservées, telles que les habitudes de la vie quotidienne, les endroits de résidence permanente ou temporaire, les activités, les déplacements journaliers et les milieux sociaux fréquentés.
La Cour estime qu’en exigeant la conservation de ces données et en permettant aux autorités nationales compétentes d’accéder à ces données, la directive porte atteinte, de manière particulièrement grave, au respect de la vie privée et à la protection des données à caractère personnel. En outre, le fait que la conservation et l’utilisation ultérieure des données soient effectuées sans que l’abonné ou l’utilisateur en soit informé, est susceptible de générer dans l’esprit des personnes concernées le sentiment que leur vie privée fait l’objet d’une surveillance constante.
Pour la CJUE, la conservation des données requises par la directive peut être considérée comme appropriée pour atteindre l’objectif de lutte contre le crime organisé et le terrorisme, mais elle est disproportionnée et trop intrusive car :
- elle couvre, d’une manière généralisée, tous les individus, tous les moyens de communication électronique et toutes les données de trafic sans aucune distinction, limitation ou exception ;
- elle ne fixe aucun critère objectif qui permettrait d’assurer que seulement les autorités nationales autorisées auront accès aux données et pourront les utiliser uniquement à des fins de prévention, de détection ou de poursuites pénales concernant des infractions « suffisamment graves » pour justifier l’ingérence dans la vie privée ;
- elle prévoit une période d’au moins six mois, sans distinction entre les catégories de données, les personnes visées ou l’utilité des données par rapport à l’objectif poursuivi ;
- elle ne précise pas les critères objectifs pour déterminer la période nécessaire de conservation mais indique seulement un intervalle compris entre 6 – 24 mois.
Dans ces conditions, la CJUE a déclaré invalide la directive au motif qu’elle ne présente pas des garanties suffisantes pour assurer une protection efficace des données à caractère personnel contre les risques d’abus et contre tout accès et utilisation illicite des données.
Cette décision, attendue par la Commissaire aux Affaires intérieures Cecilia Malmström pour orienter ses propositions, va donner le « start » pour une réforme de cette législation européenne.
Mariana OPRIS
Etudiante en Master 2 Droit de l’Economie Numérique à l’Université de Strasbourg.
