Accès, pour l’institution judiciaire, aux données de connexion de l’utilisateur d’un service de communications électroniques

CJUE, 2 mars 2021, C-746/18.

Saisie d’une législation nationale permettant à l’autorité judiciaire, dans le cadre d’une procédure pénale ordinaire, d’accéder, sans conditions, aux données de connexion et de localisation des utilisateurs de services de communications électroniques, la Cour de justice de l’Union européenne (CJUE), dans un arrêt du 2 mars 2021, C-746/18, considère que, du fait de leur généralité, de telles dispositions ne sont pas conformes aux exigences du droit européen en matière de protection de la vie privée et des données personnelles. La confrontation des dispositions nationales et européennes en cause a conduit la CJUE à cette appréciation.

Textes de référence

En cette affaire, était examinée la conformité des dispositions nationales aux exigences européennes. Les dispositions nationales estoniennes en cause imposaient aux fournisseurs de services de communications électroniques de collecter et de conserver, pendant un an, les données de connexion et de localisation des utilisateurs et, surtout, dans le cadre d’une procédure pénale et sur avis préalable du ministère public, de les transmettre aux autorités judiciaires qui en feraient la demande.

La directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des commu­nications électroniques, modifiée par la directive 2009/136/CE du 25 novembre 2009, et les principes de droits et de libertés des personnes, énoncés par la Charte des droits fondamentaux de l’Union européenne du 7 décembre 2000, ont constitué, en cette affaire, les textes européens de référence.

Après avoir, dans son article 5, énoncé le principe de la « confidentialité des communications » et, en son article 6, encadré les conditions de collecte, de conservation et d’utilisation des « données relatives au trafic », l’article 15 de ladite directive de juillet 2002, auquel il est particulièrement fait référence en cette affaire, pose notamment que « les États membres peuvent adopter des mesures législatives visant à limiter la portée des droit et des obligations prévus » notamment en ces articles, mais seulement « lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique », particulièrement pour assurer « la recherche, la détection et la poursuite d’infractions pénales ». Il est ajouté que « à cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation des données pendant une durée limitée ». C’est sur la base de ces dispositions que la CJUE s’est prononcée.

Appréciation de la CJUE

En cette affaire, c’est en contestation d’une condamnation pénale pour fait de vol et d’utilisation frauduleuse d’une carte bancaire, prononcée sur la base de « procès-verbaux établis à partir de données relatives aux communications électroniques […] que l’autorité chargée de l’enquête avait recueillies auprès d’un fournisseur de service de télécommunications électroniques au cours de la procédure d’instruction, après avoir obtenu », conformément aux dispositions du code de procédure pénale, plusieurs autorisations du ministère public à cet effet, que la question de la conformité du droit national au regard des exigences du droit européen a été soulevée.

S’agissant « des conditions dans lesquelles l’accès aux données relatives au trafic et aux données de localisation conservées par les fournisseurs de services de communications électroniques peut, à des fins de prévention, de recherche, de détection et de poursuite d’infractions pénales, être accordé à des autorités publiques », la CJUE, pose, comme elle l’a fait dans un précédent arrêt du 6 octobre 2020, C-511/18 (voir La rem n°54bis-55, p.15), qu’elle mentionne, que « seule la lutte contre la criminalité grave » est « de nature à justifier » de telles « ingérences graves dans les droits fondamentaux ».

Se référant aux mêmes textes, la CJUE considère par ailleurs que le droit européen « s’oppose à une réglementation nationale donnant compétence au ministère public, dont la mission est de diriger la procédure d’instruction pénale et d’exercer, le cas échéant, l’action publique lors d’une procédure ultérieure, pour autoriser l’accès d’une autorité publique aux données relatives au trafic et aux données de localisation aux fins d’une instruction pénale », car « ce serait cette même autorité qui représente l’action publique lors du procès et elle serait donc également partie à la procédure ».

Considérant que n’est pas conforme aux exigences du droit européen en matière de protection de la vie privée et des données à caractère personnel une légis­lation nationale permettant, dans le cadre d’une procédure pénale ordinaire, l’accès et l’exploitation d’informations obtenues des opérateurs, grâce à la collecte et la conservation de données de connexion à des services de communications électroniques, la décision de la CJUE vaut pour l’ensemble des États membres de l’Union européenne et s’impose par conséquent à ces derniers.

Professeur à l’Université Paris 2

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici