La CJUE s’oppose à la conservation généralisée et indifférenciée des données de connexion

Affaires C-623/17, C-511/18, C-512/18 et C-520/18

La CJUE s’oppose à une réglementation nationale prévoyant la conservation généralisée et indifférenciée des données de connexion à des fins de sauvegarde de la sécurité nationale et de lutte contre la criminalité.

Aux termes de plusieurs arrêts du 6 octobre 2020, la Cour de Justice de l’Union Européenne (ci-après la « CJUE ») s’oppose à la conservation généralisée et indifférenciée des données de connexion par les fournisseurs de services de communications électroniques et à leur transmission aux autorités nationales de sécurité et de renseignement. 
 
Il est à noter que ces arrêts se positionnent dans la lignée d’un arrêt remarqué du 21 décembre 2016, l’arrêt « Tel2 Sverige et Watson », aux termes duquel la CJUE avait estimé que les Etats membres ne pouvaient imposer aux fournisseurs de services de communications électroniques une obligation de conservation généralisée et indifférenciée des données dites de connexion. 
 
A titre liminaire, il convient de préciser que les données visées recouvrent « celles qui sont nécessaires pour retrouver la source d’une communication et la destination de celle-ci, déterminer la date, l’heure, la durée et le type de la communication, identifier le matériel de communication utilisé ainsi que localiser les équipements terminaux et les communications, données au nombre desquelles figurent, notamment, le nom et l’adresse de l’utilisateur, les numéros de téléphone de l’appelant et de l’appelé ainsi que l’adresse IP pour les services Internet ». La CJUE rappelle dans ce contexte que sont exclus les contenus desdites communications.  
 
La CJUE se fonde ainsi sur la directive 2002/58/CE du 12 juillet 2002 dite « Vie privée et communications électroniques » ou « e-Privacy » (ci-après la « Directive ») et rappelle que ce texte a pour dessein d’assurer un niveau de protection suffisant des droits fondamentaux dans le secteur des communications électroniques notamment eu égard « à la capacité accrue de stockage et de traitement automatisés de données relatives aux abonnés et aux utilisateurs. »
 
L’article 5 de la Directive consacre en effet le principe de confidentialité tant des communications électroniques que des données relatives au trafic y afférentes, et l’interdiction à toute autre personne autre que les utilisateurs de stocker ces communications et données, sans leur consentement. 
 
Toutefois, cette même Directive offre par son article 15 la possibilité aux Etats membres de limiter la portée de cette interdiction sous certaines conditions. En effet, est consacrée une exception au principe lorsque la mesure législative poursuivie par l’Etat membre constitue une mesure « nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques ». 
 
Dans ce contexte, la CJUE réaffirme le caractère disproportionné d’une conservation généralisée et indifférenciée de données relatives au trafic et à la localisation et précise que ces opérations ne peuvent être effectuées que dans certaines hypothèses définies strictement, aux fins notamment de sauvegarde de la sécurité nationale et de lutte contre la criminalité.  
 
Dans une démarche pédagogique, la CJUE rappelle que la Directive s’oppose aux mesures législatives imposant aux fournisseurs de services de communications électroniques, tant la conservation généralisée et indifférenciée des données relatives au trafic et à la localisation à titre préventif, que la transmission généralisée et indifférenciée de ces données aux autorités compétentes. 
 
La Haute juridiction précise cependant que dans des situations où l’Etat membre fait face à une menace grave, réelle, actuelle ou prévisible, pour la sécurité nationale, une mesure législative peut prévoir une injonction de conservation généralisée et indifférenciée des données de connexion aux fournisseurs de services de communication électroniques. 
 
Dès lors, de telles mesures législatives sont envisageables sous réserve de soumettre la décision d’injonction à un contrôle effectif (juridictionnel notamment ou par une autorité indépendante dont la décision est dotée d’un effet contraignant) et de la circonscrire à une période temporellement limitée au strict nécessaire. Dans ces mêmes conditions, la CJUE estime qu’une analyse automatisée des données en cause de l’ensemble des utilisateurs est possible. 
 
En outre, la CJUE estime que des mesures législatives peuvent permettre la conservation ciblée, temporellement limitée au strict nécessaire, des données de connexion, sous réserve que cette conservation soit délimitée sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique.  
 
La CJUE ajoute que des mesures législatives peuvent prévoir le recueil en temps réel des données de connexion limitées au strict nécessaire et à la condition que ces opérations soient limitées aux personnes à l’égard desquelles il existe une raison valable de soupçonner qu’elles sont impliquées dans des activités de terrorisme et sous réserve de les encadrer par un contrôle effectif. 
 
Enfin, il semble opportun de relever que la CJUE ne s’oppose pas à une mesure législative permettant la conservation rapide des données de connexion au-delà des délais légaux de conservation aux fins d’élucidation d’infractions pénales graves ou d’atteintes à la sécurité nationale, lorsque lesdites infractions ou atteintes ont déjà été constatées ou que leur existence peut être raisonnablement soupçonnée.  
 
En illustrant ainsi les exceptions prévues par l’article 15 de la Directive, la CJUE met ainsi un frein aux incertitudes liées à son interprétation.

 
Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…