Durée de conservation des données de communications électroniques

1038

La directive 2006/24/CE déclarée invalide par la Cour de justice de l’Union européenne. Cour de justice de l’Union européenne, 8 avril 2014, C-293/12, Digital Rights Ireland Ltd et C-594/12, Kärntner Landesregierung.

Par un arrêt du 8 avril 2014, la Cour de justice de l’Union européenne (CJUE) conclut à l’invalidation de la directive 2006/24/CE du 15 mars 2006 sur « la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications » qui modifiait, en l’occurrence, la directive 2002/58/CE du 12 juillet 2002 concernant « le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ».

Le principal objet de la contestation portait sur la durée de conservation des données de connexion et leur mise à disposition des autorités publiques dans le cadre notamment de la lutte antiterroriste. Se trouve ainsi illustré ce qui est présenté comme un débat sempiternel et jamais tranché entre liberté et sécurité.

Dispositions en cause

La directive de 2006 rappelait, en son considérant 3, que celle de 2002 définissait les règles applicables « au traitement, par les fournisseurs de réseaux et de services, de données relatives au trafic et de données de localisation générées par l’utilisation de services de communications électroniques » et, s’agissant de leur durée de conservation, qu’elle posait que « ces données doivent être effacées ou rendues anonymes lorsqu’elles ne sont plus nécessaires à la transmission d’une communication, sauf les données requises pour établir les factures et les paiements pour interconnexion ».

Pour ce qui concerne les limitations susceptibles d’être apportées par les Etats aux droits protégés, son considérant 5 mentionnait que cela ne peut résulter que d’une mesure tenue pour « nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour des raisons spécifiques d’ordre public », particulièrement « pour sauvegarder la sécurité nationale (c’est-à-dire la sûreté de l’Etat), la défense et la sécurité publique, ou pour assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ».

Son considérant 11 soulignait la nécessité de garantir « la conservation pendant un certain délai […] des données traitées par les fournisseurs des communications électroniques ».

L’article 5 de ladite directive déterminait les « catégories de données à conserver » : celles « nécessaires pour retrouver et identifier la source » ou « la destination d’une communication », ainsi que celles « nécessaires pour déterminer la date, l’heure et la durée d’une communication », ou encore « pour localiser le matériel de communication mobile ».

Son article 6 envisageait que les données soient « conservées pour une durée minimale de six mois et maximale de deux ans à compter de la date de la communication ».

Invalidation de la directive

Dans sa décision, la CJUE considère que l’obligation faite aux fournisseurs des services de communications électroniques de conserver certaines données générées ou traitées par eux, en vue d’en garantir la disponibilité « à des fins de prévention, de recherche, de détection et de poursuite des infractions graves, telles que celles liées à la criminalité organisée et au terrorisme », et de conserver ces données « aux fins de les rendre, le cas échéant, accessibles aux autorités nationales compétentes, soulève des questions relatives à la protection tant de la vie privée que des communications ».

Elle juge que, en imposant la conservation des données mentionnées et en permettant aux autorités nationales d’y accéder, la directive de 2006 déroge « au régime de protection du droit au respect de la vie privée, instauré par les directives 95/46 et 2002/58 » qui ont « prévu la confidentialité des communications et des données relatives au trafic ainsi que l’obligation d’effacer ou de rendre anonymes ces données ». Elle poursuit que l’obligation, imposée aux fournisseurs de services de communications électroniques, « de conserver pendant une certaine durée des données relatives à la vie privée d’une personne et à ses communications […] constitue en soi une ingérence dans les droits garantis par l’article 7 de la Charte » des droits fondamentaux de l’Union européenne et que l’accès des autorités nationales à ces données « constitue une ingérence supplémentaire ».

Considérant que la conservation de ces données, en vue de la « lutte contre la criminalité », répond à un « objectif d’intérêt général », la Cour pose que, « dans ces conditions, il y a lieu de vérifier la proportionnalité de l’ingérence constatée ». Elle estime alors qu’« un tel objectif d’intérêt général, pour fondamental qu’il soit, ne saurait à lui seul justifier qu’une mesure de conservation telle que celle instaurée par la directive 2006/24 soit considérée comme nécessaire ».

L’arrêt note que la directive impose la conservation des données « pendant une période d’au moins six mois sans que soit opérée une quelconque distinction entre les catégories de données prévues […] en fonction de l’utilité éventuelle aux fins de l’objectif poursuivi ou selon les personnes concernées » et qu’il en résulte qu’elle « ne prévoit pas de règles claires et précises régissant la portée de l’ingérence dans les droits fondamentaux ».

La Cour en conclut que, « en adoptant la directive 2006/24, le législateur de l’Union a excédé les limites qu’impose le respect du principe de proportionnalité » et, en conséquence, qu’il y a lieu de déclarer ladite directive « invalide ».

LAISSER UN COMMENTAIRE