Conservation des données de trafic, de connexion et de localisation : où en est-on ?
Publié le 24/11/2021 par Etienne Wery
Profitant de cinq questions préjudicielles, l’avocat général rappelle que la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation afférentes aux communications électroniques, n’est autorisée qu’en cas de menace grave pour la « sécurité nationale ». Il dresse un utile catalogue des décisions déjà rendues.
Un problème simple : résoudre les enquêtes
Aujourd’hui, il n’y a quasiment plus aucune enquête judiciaire dans laquelle la justice n’utilise, d’une manière ou d’une autre, des informations sous forme électronique. Les enquêteurs ont besoin de mails, d’échanges téléphoniques, de listes de contacts. Ils veulent savoir les sites consultés par le suspect et ceux avec qui il est en contact. Ils doivent parfois accéder aux données de localisation de l’utilisateur du téléphone pour retracer un parcours. Ils utilisent également fréquemment des images de surveillance vidéo, parfois longtemps après les faits. Pour un enquêteur chargé d’élucider une affaire, consulter les données électroniques est presque un réflexe puisqu’il sait qu’il y puisera bien souvent des informations très utiles.
Cette évolution est tout à fait normale : dès l’instant où les outils de communications électroniques pénètrent de plus en plus dans le quotidien de la population, il est logique que la résolution des crimes et délits s’appuie de plus en plus souvent sur ceux-ci.
La problématique est vraie aussi bien pour les enquêtes visant à élucider un crime ou un délit déjà commis, que pour les enquêtes préventives dont le but est d’empêcher la commission d’une infraction.
Une réponse complexe : ne pas tuer une mouche avec un canon
Dans la mesure où l’utilisation des outils de communication électronique laisse presque systématiquement des traces qui sont enregistrées par un fournisseur ou un intermédiaire technique, la réponse purement sécuritaire est basique : obligeons les fournisseurs à conserver toutes les traces, de manière qu’elles soient disponibles en cas de besoin dans le cadre d’une enquête. Si l’on veut vérifier où vous étiez et ce que vous faisiez il y a 2 ans, il suffit de demander au fournisseur de téléphonie le relevé des bornes GSM accrochées par votre smartphone à l’époque, interroger l’opérateur GPS de votre voiture, ou encore demander à votre fournisseur d’accès la liste des mails échangés et sites consultés.
Tout conserver « au cas où » était l’approche de ce ministre anglais qui, dans la croisade sécuritaire qui a suivi les attentats du World Trade Center, expliquait en substance qu’il ne voyait pas de problème à mettre l’ensemble de la population sous surveillance si c’était le prix à payer pour assurer la sécurité du pays.
Cette option est toutefois inconciliable avec les droits fondamentaux des citoyens.
La réponse est donc éminemment plus complexe et tient en un mot : l’équilibre.
Toute la difficulté est là : calibrer le plus justement possible la réponse sécuritaire. Oui à la conservation de certaines données, pendant un certain temps. Oui encore à la possibilité de les consulter dans certains cas. Non à la conservation systématique et massive de toutes les informations qui peuvent être glanées et stockées uniquement parce qu’on a la possibilité de les garder « au cas où ».
2014 : la CJUE annule la directive
La directive de 2006 sur la conservation des données avait pour objectif principal d’harmoniser les dispositions des États membres sur la conservation de certaines données générées ou traitées par les fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communication. Elle visait ainsi à garantir la disponibilité de ces données à des fins de prévention, de recherche, de détection et de poursuite des infractions graves, comme notamment les infractions liées à la criminalité organisée et au terrorisme.
Ainsi, la directive prévoyait que les fournisseurs précités doivent conserver les données relatives au trafic, les données de localisation ainsi que les données connexes nécessaires pour identifier l’abonné ou l’utilisateur. En revanche, elle n’autorise pas la conservation du contenu de la communication et des informations consultées.
Dans un arrêt sensationnel, la CJUE avait annulé la directive.
Elle constatait que la conservation des données imposée par la directive n’est pas de nature à porter atteinte au contenu essentiel des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. En effet, la directive ne permet pas de prendre connaissance du contenu des communications électroniques en tant que tel et prévoit que les fournisseurs de services ou de réseaux doivent respecter certains principes de protection et de sécurité des données.
De plus, la conservation des données en vue de leur transmission éventuelle aux autorités nationales compétentes répondait effectivement à un objectif d’intérêt général, à savoir la lutte contre la criminalité grave ainsi que, en définitive, la sécurité publique.
Toutefois, la Cour estimait qu’en adoptant la directive sur la conservation des données, le législateur de l’Union a excédé les limites qu’impose le respect du principe de proportionnalité.
À cet égard, la Cour observait que, compte tenu, d’une part, du rôle important que joue la protection des données à caractère personnel au regard du droit fondamental au respect de la vie privée et, d’autre part, de l’ampleur et de la gravité de l’ingérence dans ce droit que comporte la directive, le pouvoir d’appréciation du législateur de l’Union s’avère réduit, de sorte qu’il convient de procéder à un contrôle strict.
En substance, la cour relevait les manquements suivants :
- toute infraction n’est pas nécessairement grave : la directive couvrait de manière généralisée l’ensemble des individus, des moyens de communication électronique et des données relatives au trafic sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif de lutte contre les infractions graves.
- Insuffisance de la protection contre l’accès aux données conservées : il n’est pas question que quiconque porte un uniforme puisse accéder aux données.
- Durée de conservation indifférenciée : la cour exige une gestion de la durée de conservation qui prend en compte les catégories de données, leur utilité éventuelle et l’objectif poursuivi. Consulter une vidéo vieille de 2 ans n’a pas la même portée selon qu’on cherche à identifier l’auteur d’un excès de vitesse ou un terroriste fuyant la gare dans laquelle il vient de déposer une bombe.
- Insuffisance des garde-fous contre les usages abusifs
Depuis lors, les Etats membres naviguent en plein brouillard. Le texte d’harmonisation ayant disparu, chaque pays tire dans son coin en tentant d’intégrer malgré tout la jurisprudence de la CJUE, laquelle est régulièrement saisie de questions préjudicielles destinées à vérifier la conformité des législations nationales avec les textes protégeant les droits fondamentaux. Par ailleurs, il n’a pas été possible aux Etats européens de s’entendre sur un texte de compromis en remplacement de la directive annulée.
C’est dans ce contexte que l’avocat général vient de rendre un avis dans 5 affaires jointes. Il se livre un intéressant effort pédagogique.
L’AG rappelle la jurisprudence de la Cour :
- Arrêt du 8 avril 2014, Digital Rights Ireland e.a., C-293/12 et C-594/12 (voir le CP no 54/14), dans lequel la Cour a déclaré l’invalidité de la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (JO 2006, L 105, p. 54) ;
- arrêt du 21 décembre 2016, Tele2 Sverige et Watson e.a., C-203/15 et C-698/15 (voir le CP no 145/16), dans lequel la Cour a jugé que l’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 (JO 2009, L 337, p. 11), s’opposait à une réglementation nationale prévoyant la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation aux fins de la lutte contre la criminalité grave ;
- arrêt du 2 octobre 2018, Ministerio Fiscal, C-207/16 (voir le CP no 141/18), dans lequel la Cour a confirmé l’interprétation de l’article 15, paragraphe 1, de la directive 2002/58, en précisant l’importance du principe de proportionnalité à cet égard
- Arrêts du 6 octobre 2020, Privacy International, C-623/17, et La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18 (voir le CP no 123/20).
Il explique ensuite que cette jurisprudence crée une crainte : déposséder les autorités étatiques d’un instrument nécessaire à la sauvegarde de la sécurité nationale et à la lutte contre la criminalité et le terrorisme.
Les cinq questions posées
Avant les arrêts du 6 octobre 2020, trois autres demandes de décision préjudicielle étaient parvenues à la Cour, qui remettaient en cause la jurisprudence relative aux dérogations à la confidentialité des communications et des données des utilisateurs. Deux de ces demandes ont été présentées par le Bundesverwaltungsgericht (Cour administrative fédérale, Allemagne), qui a été saisi d’un recours en Revision introduit par l’Agence fédérale des réseaux contre les jugements ayant accueilli les recours formés par deux sociétés qui fournissent des services d’accès à Internet, par lesquels ces dernières contestaient l’obligation de stocker les données relatives au trafic des télécommunications de leurs clients à partir du 1er juillet 2017, imposée par la réglementation allemande (affaires jointes C-793/19 et C-794/19). La troisième demande a été présentée par la Supreme Court (Cour suprême, Irlande) dans le cadre d’une procédure civile engagée par une personne condamnée à la réclusion à perpétuité pour meurtre, par laquelle cette dernière conteste la validité de certaines dispositions de la loi irlandaise en vertu de laquelle des données de téléphonie sur lesquelles reposaient certaines preuves à charge avaient été conservées et rendues accessibles (affaire C-140/20). Après avoir eu connaissance des réponses données par la Cour dans les arrêts du 6 octobre 2020, les juridictions nationales en question ont décidé de maintenir leurs demandes de décision préjudicielle.
À ces demandes de décision préjudicielle s’ajoutent les deux demandes présentées par la Cour de cassation (France), qui est saisie du pourvoi de deux personnes physiques accusées de délit d’initié et de blanchiment à la suite d’une enquête de l’Autorité des marchés financiers (AMF), dans le cadre de laquelle des données personnelles relatives à l’utilisation de lignes téléphoniques, collectées en application du code monétaire et financier, avaient été utilisées (affaires jointes C- 339/20 et C-397/20).
Dans ses conclusions présentées dans ces affaires, jointes l’avocat général Manuel Campos Sánchez-Bordona estime que les réponses à toutes les questions posées se trouvent déjà dans la jurisprudence de la Cour ou peuvent être facilement déduites de celle-ci.
Pas de stockage généralisé et indifférencié (C-793/19 et C-794/19)
Tout en reconnaissant les progrès réalisés par la législation allemande, qui témoignent d’une volonté affirmée de se conformer à la jurisprudence de la Cour, l’avocat général souligne que l’obligation de stockage généralisée et indifférenciée qu’elle impose couvre un très large éventail de données relatives au trafic et de données de localisation. La limite temporelle imposée à ce stockage ne remédie pas à ce défaut, puisque, en dehors du cas de figure justifié par la défense de la sécurité nationale, le stockage des données relatives aux communications électroniques doit être sélectif en raison du risque sérieux que comporterait leur conservation généralisée. L’avocat général rappelle en outre que, en tout état de cause, l’accès à ces données constitue une ingérence grave dans les droits fondamentaux à la vie privée et familiale et à la protection des données à caractère personnel, indépendamment de la durée de la période pour laquelle l’accès auxdites données est sollicité.
La sécurité nationale (et seulement elle) justifie un régime plus strict (C-140/20)
Selon l’avocat général, les questions de la Supreme Court ont reçu une réponse exhaustive dans les arrêts La Quadrature du Net et Prokuratuur, étant précisé que ce dernier est postérieur à la décision de la juridiction irlandaise de maintenir ses questions préjudicielles.
M. Campos Sánchez-Bordona insiste sur le fait que la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation n’est justifiée que par la protection de la sécurité nationale, ce qui n’inclut pas la poursuite des infractions, même graves. La réglementation irlandaise ne respecte donc pas la directive vie privée et communications électroniques en autorisant, pour des raisons allant au-delà de celles inhérentes à la protection de la sécurité nationale, la conservation préventive, généralisée et indifférenciée des données relatives au trafic et des données de localisation de tous les abonnés pour une durée de deux ans.
Par ailleurs, l’accès des autorités nationales compétentes aux données conservées ne semble pas être soumis au contrôle préalable d’une juridiction ou d’une autorité indépendante, comme l’exige la jurisprudence de la Cour, mais reste à la discrétion d’un fonctionnaire de police d’un certain rang. La Supreme Court devra vérifier si ce fonctionnaire remplit les conditions jurisprudentielles tenant au statut d’« autorité indépendante » et à la qualité de « tiers » par rapport à l’autorité qui sollicite l’accès. L’avocat général rappelle également que ce contrôle doit être antérieur et non postérieur à l’accès aux données.
Enfin, l’avocat général répète, tout comme la Cour dans l’arrêt La Quadrature du Net, qu’une juridiction nationale ne saurait limiter dans le temps les effets d’une déclaration d’illégalité d’une législation nationale incompatible avec le droit de l’Union.
Les critiques adressées à la directive de 2006 valent pour les autres textes aussi (C-339/20 et C-397/20)
L’avocat général indique que ces deux procédures portent, en substance, à l’instar des trois précédentes, sur le point de savoir si les États membres peuvent imposer l’obligation de conserver les données relatives au trafic des communications électroniques de manière généralisée et indifférenciée. Par conséquent, bien que la directive et le règlement relatifs aux abus de marché doivent être pris en considération dans cette affaire, il estime que la jurisprudence de la Cour récapitulée dans l’arrêt La Quadrature du Net est applicable dans ce contexte.
Il précise que les dispositions relatives au traitement des enregistrements de données relatives au trafic contenues dans la directive et le règlement relatifs aux abus de marché doivent être interprétées dans le cadre du régime établi par la directive vie privée et communications électroniques, qui constitue la norme de référence en la matière.
L’avocat général souligne que ni la directive ni le règlement relatifs aux abus de marché n’accordent d’autorisations spécifiques et autonomes pour conserver des données, mais qu’ils autorisent simplement les administrations compétentes à accéder aux données conservées dans des enregistrements existants, qui doivent avoir été établis conformément à la directive vie privée et communications électroniques. Il s’agit, concrètement, des enregistrements pouvant être conservés pour lutter contre la criminalité grave et protéger la sécurité publique, lesquels ne peuvent être assimilés à ceux qui sont conservés de manière préventive, généralisée et indifférenciée pour défendre la sécurité nationale, sous peine de rompre l’équilibre fragile qui sous-tend l’arrêt La Quadrature du Net. Par conséquent, une réglementation nationale imposant aux entreprises de télécommunications électroniques l’obligation de conserver, de manière généralisée et indifférenciée, les données relatives au trafic dans le cadre d’enquêtes portant sur des opérations d’initiés ou sur des manipulations et abus de marché est contraire au droit de l’Union. Là encore, les effets de cette incompatibilité ne peuvent pas être limités dans le temps par une juridiction nationale.
Plus d’infos
En lisant les conclusions de l’AG.
En parcourant notre fil d’actualité sur les données de connexion.