Dans un arrêt rendu le 21 décembre dernier, la Cour de justice de l’Union européenne  (CJUE) a invité les Etats membres à revoir leur politique et leur loi nationale relatives à la conservation des données de trafic et de localisation des utilisateurs.

La Cour de Luxembourg a, en effet, énoncé que  » L’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), (…) doit être interprété en ce sens qu’il s’oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique.« (CJUE, arrêt Tele2 Sverige AB et Secretary of State for the Home Department, aff. C‑203/15 et C‑698/15).

Cet arrêt s’inscrit dans la lignée de l’invalidation de la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications par cette même Cour en avril 2014 (CJUE, Digital Rights Ireland Ltd, aff. C‑293/12, 87 avril 2014). Nous vous invitons à relire notre article consacré à cet arrêt.

Mathias Avocats revient sur cet arrêt important de la CJUE pour les libertés publiques.

Quels sont les faits dans l’affaire Tele2 Sverige (C‑203/15) ?

A la suite de l’invalidation de la directive 2006/24 par la CJUE, la société Tele2 Sverige, fournisseur de services de communications électroniques établi en Suède, a notifié à l’autorité suédoise de surveillance des postes et télécommunications qu’elle cesserait, à compter du 14 avril 2014, de conserver les données relatives aux communications électroniques, visées par la loi sur les communications électroniques suédoise, et qu’elle procéderait à la suppression des données conservées jusqu’à cette date.

Le 15 avril 2014, la direction générale de la police nationale suédoise a saisi l’autorité suédoise de surveillance des postes et télécommunications d’une plainte en raison du fait que Tele2 Sverige avait cessé de lui communiquer les données en cause.

Suite à l’injonction de procéder à la conservation des données, la société Tele2 Sverige a saisi le tribunal administratif de Stockholm qui a rejeté son recours. La société précitée a interjeté appel du jugement.

Dans ce contexte, la juridiction de renvoi a sursis à statuer et a posé à la CJUE notamment la question préjudicielle suivante : « une obligation générale de conservation de données, relative à toute personne et à tous les moyens de communication électronique et portant sur l’ensemble des données relatives au trafic, sans qu’aucune différenciation, limitation ni exception soient opérées en fonction de l’objectif de lutte contre la criminalité

[…], est-elle compatible avec l’article 15, paragraphe 1, de la directive 2002/58 compte tenu des articles 7 [droit au respect de la vie privée] et 8 [droit à la protection des données à caractère personnel] ainsi que de l’article 52, paragraphe 1, de la Charte ?« .

Quels sont les faits dans l’affaire Secretary of State for the Home Department (C-698/15) ?

Trois individus ont chacun introduit au Royaume-Uni, devant la Haute Cour de justice un recours juridictionnel afin que la légalité de l’article 1er de la loi sur la conservation des données et les pouvoirs d’enquête adoptée en 2014 soit contrôlée.

En se fondant sur l’arrêt « Digital Rights Ireland Ltd » précité, la Haute Cour a conclu à l’incompatibilité de l’article 1er litigieux avec le droit de l’Union européenne en ce qu’il établissait :

  • un régime généralisé de conservation des données relatives à des communications électroniques ;
  • sans établir de règles et de garanties relatives à l’accès et à l’utilisation des données conservées (contrôle de l’accès par une juridiction ou une autorité indépendante par exemple).

Dans ce contexte, le ministre de l’Intérieur a interjeté appel de cet arrêt devant la Cour d’appel laquelle a sursis à statuer afin de poser deux questions préjudicielles à la CJUE.

Quelle est la décision de la CJUE ?

Deux enseignements sont à tirer de l’arrêt rendu par la Cour de Luxembourg le 21 décembre dernier.

conservation

D’une part, une loi nationale ne peut pas mettre à la charge d’acteurs tels que les hébergeurs, les opérateurs télécom et les fournisseurs d’accès à Internet (FAI) une obligation de conservation généralisée et indifférenciée les données relatives au trafic ainsi que les données de localisation des utilisateurs d’un réseau de communication.

D’autre part, la loi nationale relative à la conservation des données précitées doit prévoir des garanties suffisantes quant à l’accès limité aux données et la sécurité de celles-ci.

Quel est le raisonnement de la CJUE ?

La CJUE rappelle d’abord que l’article 15§1 de la directive 2002/58 prévoit que les mesures législatives dérogeant au principe de confidentialité des communications et des données relatives au trafic y afférentes doivent avoir pour objectif:

  • de sauvegarder la sécurité nationale ou,
  • d’assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques.

Ces dérogations doivent en outre être nécessaires, appropriées et proportionnées par rapport aux objectifs poursuivis.

La CJUE souligne ensuite que la loi suédoise constitue une ingérence particulièrement grave dans les droits et libertés des individus car elle créé une obligation générale à la charge des opérateurs de conservation systématique, continue, généralisée et indifférenciée des données de trafic et de localisation sans exception.

La notion de conservation « généralisée et indifférenciée des données » à laquelle s’oppose le droit de l’Union européenne fait directement écho à l’accès « massif et indifférencié » souligné par la CJUE dans le cadre de l’arrêt Schrems invalidant l’accord « Safe Harbor ».

La CJUE en déduit que la loi litigieuse ne respecte pas le principe de proportionnalité et, qu’à ce titre, elle n’est pas justifiée.

Toutefois, notons que la CJUE ne conclut pas à l’interdiction de toute loi nationale relative à la conservation des données de trafic et de localisation. En effet, une loi nationale pourrait prévoir une conservation ciblée des données relatives au trafic et des données de localisation par exemple à des fins de lutte contre la criminalité.

Quels sont les critères de la compatibilité de la loi nationale avec le droit de l’Union européenne ?

A la lecture de l’arrêt de la CJUE (points 109 et suivants), la proportionnalité d’une loi nationale relative à la conservation des données précitées devrait s’apprécier au regard des règles et garanties définies afin de protéger les individus contre les risques d’abus.

Parmi ces règles et garanties, il figure :

  • la définition de circonstances dans lesquelles la conservation des données doit avoir lieu,
  • la délimitation du public concerné,
  • l’exigence d’un contrôle limité de l’accès aux données,
  • l’instauration d’un contrôle préalable de l’accès aux données réalisé par une juridiction ou une autorité administrative indépendante,
  • l’exigence de conservation sur le territoire de l’Union européenne,
  • l’obligation de suppression des données à l’issue de la durée de conservation.

La conservation des métadonnées en France

L’obligation de conservation mise à la charge notamment des hébergeurs, des opérateurs Télécom et des fournisseurs d’accès à Internet (FAI) est définie à l’article L.34-1 du Code des postes et des communications électroniques.

Les données que ces acteurs doivent conservées sont définies aux articles R.10-12 et suivants du Code des postes et des communications électroniques. Selon le type d’acteur, il s’agit notamment des données permettant d’identifier l’origine de la communication, des données à caractère technique permettant d’identifier le ou les destinataires de la communication, des données relatives aux équipements terminaux de communication utilisés ou encore des données permettant d’identifier la localisation de la communication.

Notons que le non-respect de cette obligation est passible de sanctions pénales prévues aux articles L.39-3 et suivants du Code précité.

Quels sont les impacts de cet arrêt ?

conservationCompte tenu des exigences énumérées par la Cour de justice de l’Union européenne, les dispositions françaises relatives à la conservation des données des internautes devraient évoluées.

La réaction des acteurs établis en France sera également intéressante à observer.

Mathias Avocats ne manquera pas de vous informer des évolutions législatives et réglementaires en la matière suite à cet arrêt.