CJUE, 20 septembre 2022, C-793/19 et C-794/19.
Saisie d’une question préjudicielle relative à la conformité de la loi allemande aux exigences du droit européen, la Cour de justice de l’Union européenne (CJUE), dans un arrêt du 20 septembre 2022 (C-793/19 et C-794/19), confirme l’interprétation faite des dispositions de la directive 2002/58/CE, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive Vie privée et communications électroniques), modifiée par la directive 2009/136/CE, du 25 novembre 2009, telle que réalisée dans de précédents arrêts rendus par elle et par la Cour de cassation française*.
Elle dit ainsi pour droit que : l’article 15, paragraphe 1 de ladite directive, lu à la lumière de la Charte des droits fondamentaux de l’Union européenne, « doit être interprété en ce sens que :
- il s’oppose à des mesures législatives nationales prévoyant, à titre préventif, aux fins de lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation ;
- il ne s’oppose pas à des mesures législatives nationales :
- permettant, aux fins de la sauvegarde de la sécurité nationale, le recours à une injonction, faite aux fournisseurs de services de communications électroniques, de procéder à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, dans des situations où l’État membre concerné fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, la décision prévoyant cette injonction pouvant faire l’objet d’un contrôle effectif, soit par une juridiction, soit par une autorité administrative indépendante, dont la décision est dotée d’un effet contraignant, visant à vérifier l’existence d’une de ces situations ainsi que le respect des conditions et des garanties devant être prévues, et ladite injonction ne pouvant être émise que pour une période temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de cette menace ;
- prévoyant, aux fins de sauvegarde de la sécurité nationale, de la lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique, une conservation ciblée des données relatives au trafic et des données de localisation qui soit délimitée, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique, pour une période temporellement limitée au strict nécessaire, mais renouvelable ;
- prévoyant, aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion, pour une période temporellement limitée au strict nécessaire ;
- prévoyant, aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité et de la sauvegarde de la sécurité publique, une conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs de moyens de communications électroniques ;
- et permettant, aux fins de lutte contre la criminalité grave et,a fortiori, de la sauvegarde de la sécurité nationale, le recours à une injonction faite aux fournisseurs de services de communications électroniques, au moyen d’une décision de l’autorité compétente soumise à un contrôle juridictionnel effectif, de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont disposent ces fournisseurs de services, dès lors que ces mesures assurent, par des règles claires et précises, que la conservation des données en cause est subordonnée au respect des conditions matérielles et procédurales y afférentes et que les personnes concernées disposent de garanties effectives contre les risques d’abus ».
* CJUE, 21 décembre 2016, C-203/15 et C-698/15 ; 6 octobre 2020, C-511/18, C-512/18 et C-520/18, La Quadrature du Net ; et 5 avril 2022, C-140/20 et Cass. crim, 12 juillet 2022, nos 20-86.652, 21-83/710, 21-83.820, 21-84.096.