swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Utilisation de données de communications dans les enquêtes pénales

Alexandre Barbey, le 31 mai 2022
La conser­va­tion géné­ra­li­sée et indif­fé­ren­ciée de données liées à des commu­ni­ca­tions n’est possible que dans le but de sauve­gar­der la sécu­rité natio­nale. S’il s’agit de lutter contre la crimi­na­lité grave, seule une conser­va­tion ciblée et déli­mi­tée par des critères objec­tifs et non discri­mi­na­toires est autorisée.

Arrêt de la Cour de justice de l’Union euro­péenne du 5 avril 2022 dans l’af­faire C‑140/​20

L’arrêt du 5 avril 2022 de la Cour de justice de l’Union euro­péenne (CJUE) donne un cadre juri­dique clair sur l’utilisation qui peut être faite dans une procé­dure pénale de données rela­tives au trafic télé­pho­nique et de loca­li­sa­tion s’y rappor­tant. 

L’affaire débute lorsqu’une personne condam­née pour meurtre par les auto­ri­tés irlan­daises conteste la vali­dité d’une loi natio­nale trans­po­sant une version modi­fiée de la Directive 2002/​58/​CE concer­nant le trai­te­ment des données à carac­tère person­nel et la protec­tion de la vie privée dans le secteur des commu­ni­ca­tions élec­tro­niques. Plusieurs ques­tions rela­tives à l’interprétation du texte euro­péen sont posées à la CJUE.

La Directive 2002/​58 pose en parti­cu­lier le prin­cipe de la confi­den­tia­lité des commu­ni­ca­tions effec­tuées sur un réseau public et des données s’y rappor­tant. Uniquement les utili­sa­teurs du réseau doivent pouvoir avoir accès aux commu­ni­ca­tions, par oppo­si­tion à des tiers, qui ne le peuvent pas, de quelle que manière que ce soit. Des tiers ne doivent notam­ment pas pouvoir inter­cep­ter et enre­gis­trer les commu­ni­ca­tions (art. 5 par. 1 Directive 2002/​58). De plus, les four­nis­seurs d’un réseau public de commu­ni­ca­tions ou d’un service de commu­ni­ca­tions élec­tro­niques acces­sibles au public doivent avoir effacé ou rendu anonymes les données rela­tives au trafic concer­nant les utili­sa­teurs lorsqu’elles ne sont plus néces­saires, notam­ment après la trans­mis­sion des commu­ni­ca­tions, l’établissement de factures, la four­ni­ture de services à valeur ajou­tée ou encore la détec­tion de fraudes. Les données de loca­li­sa­tion liées aux commu­ni­ca­tions ne doivent être trai­tées qu’après avoir été anony­mi­sées. Cependant, si la personne a donné son consen­te­ment, il n’y a pas besoin d’anonymisation (art. 6 par. 1 et 9 par. 1 Directive 2002/​58). 

L’art. 15 par. 1 Directive 2002/​58 permet toute­fois aux États membres de l’Union euro­péenne de limi­ter la portée de ces droits et obli­ga­tions lorsque cela s’avère propor­tion­nel pour sauve­gar­der la sécu­rité natio­nale, la défense et la sécu­rité publique ou assu­rer la préven­tion, la recherche, la détec­tion et la pour­suite d’infractions pénales.

La CJUE examine tout d’abord si les États membres peuvent trans­po­ser la Directive 2002/​58 dans une loi auto­ri­sant une conser­va­tion géné­ra­li­sée et indif­fé­ren­ciée des données de trafic et de loca­li­sa­tion à des fins de lutte contre la crimi­na­lité grave. Le prin­cipe de la Directive 2002/​58 est qu’il est inter­dit à des personnes autres que les utili­sa­teurs de stocker ces données. L’art. 15 Directive 2002/​58, qui permet une certaine déro­ga­tion au prin­cipe, doit être inter­prété de manière stricte dans le sens que la restric­tion ne doit pas deve­nir la règle, mais doit répondre à l’un des objec­tifs décrits à cette dispo­si­tion. De plus, toute limi­ta­tion des droits et obli­ga­tions doit se confor­mer à la Charte des droits fonda­men­taux de l’Union euro­péenne, notam­ment le droit au respect de la vie privée et le droit à la protec­tion des données person­nelles (art. 7 et 8 Charte). De ce point de vue, la conser­va­tion de données de trafic et de loca­li­sa­tion pose problème, car celles-ci révèlent de nombreuses infor­ma­tions sensibles à propos des personnes concer­nées, permet­tant de créer un profil de la person­na­lité. La CJUE constate qu’une conser­va­tion géné­ra­li­sée et indif­fé­ren­ciée de telles données engendre un risque d’abus et d’accès illi­cite (cf. arrêt du 6 octobre 2020, La Quadrature du Net e.a., C‑511/​18, C‑512/​18 et C‑520/​18).

Dès lors que des droits fonda­men­taux sont concer­nés, la CJUE indique, en se fondant sur la juris­pru­dence de la Cour euro­péenne des droits de l’Homme (voir notam­ment arrêt CourEDH Big Brother Watch et autres contre Royaume-Uni du 25 mai 2021, résumé in LawInside​.ch/​1​0​63/), que des obli­ga­tions posi­tives à charge des États peuvent décou­ler des droits fonda­men­taux consa­crés par la Charte. Ces obli­ga­tions impliquent l’adoption de dispo­si­tions permet­tant de lutter effi­ca­ce­ment contre la crimi­na­lité. Ces dernières doivent toute­fois poser un cadre légal clair qui permet de conci­lier les diffé­rents inté­rêts légi­times et les droits à proté­ger. Il s’agit donc de déro­ger aux droits fonda­men­taux de certaines personnes pour proté­ger ceux d’autres. 

La CJUE souligne que les États membres doivent prévoir des règles claires et précises pour déro­ger à des droits fonda­men­taux, de manière à ce que « les personnes dont les données à carac­tère person­nel sont concer­nées disposent de garan­ties suffi­santes permet­tant de proté­ger effi­ca­ce­ment ces données contre les risques d’abus ». Le prin­cipe de la propor­tion­na­lité doit être respecté, le but de la déro­ga­tion aux droits fonda­men­taux étant la lutte contre la crimi­na­lité grave. Au niveau de l’aptitude, les données conser­vées doivent donc permettre de préve­nir, de détec­ter ou de pour­suivre des infrac­tions graves. Des ingé­rences graves dans les droits fonda­men­taux ne sont possibles que dans le but de lutter contre des infrac­tions graves. 

La CJUE distingue deux buts de l’art. 15 par. 1 Directive 2002/​58 permet­tant de limi­ter certains droits et obli­ga­tions de cette Directive. 

D’une part, l’objectif de sauve­garde de la sécu­rité natio­nale est le plus impor­tant. Il s’agit de proté­ger les fonc­tions essen­tielles de l’État et les inté­rêts fonda­men­taux de la société, en parti­cu­lier en luttant contre le terro­risme. S’il s’agit du but visé, il permet les ingé­rences les plus grandes dans les droits fonda­men­taux d’autrui. Ainsi, il est possible dans ce cas que la légis­la­tion natio­nale permette d’ordonner aux four­nis­seurs de services de télé­com­mu­ni­ca­tions, pendant une période limi­tée, mais renou­ve­lable, de procé­der à une conser­va­tion géné­ra­li­sée et indif­fé­ren­ciée des données de trafic et de loca­li­sa­tion lorsqu’une menace grave pour la sécu­rité natio­nale est réelle, actuelle ou prévi­sible. Cette déci­sion doit pouvoir faire l’objet d’un réexa­men.  

D’autre part, si l’objectif est de lutter contre la crimi­na­lité grave, seule une conser­va­tion ciblée des données et déli­mi­tée par des critères objec­tifs et non discri­mi­na­toires est possible. Par exemple, les États membres peuvent ordon­ner la conser­va­tion des données rela­tives à des personnes faisant l’objet d’une enquête ou d’autres mesures de surveillance actuelles ou dont le casier judi­ciaire indique une condam­na­tion pour des actes de crimi­na­lité grave pouvant impli­quer un risque élevé de réci­dive. Les données peuvent égale­ment être conser­vées lorsqu’elles se rapportent à un lieu géogra­phique déter­miné de manière objec­tive et non discri­mi­na­toire se trou­vant être le théâtre d’un nombre élevé d’actes de crimi­na­lité grave.

Les auto­ri­tés peuvent égale­ment conser­ver de manière géné­ra­li­sée et indif­fé­ren­ciée les adresses IP, égale­ment pour une période tempo­rel­le­ment limi­tée au strict néces­saire, les données rela­tives à l’identité civile des utilisateurs.

La CJUE indique en outre que, à la fois pour lutter contre la crimi­na­lité grave et pour sauve­gar­der la sécu­rité natio­nale, les États membres de l’Union euro­péenne peuvent adop­ter une légis­la­tion natio­nale leur permet­tant de prendre des déci­sions pour que les données de trafic et de loca­li­sa­tion soient stockées par les four­nis­seurs de services de commu­ni­ca­tions au-delà du délai légal après lequel celles-ci doivent être anony­mi­sées, pour une durée déter­mi­née. Les données concer­nant d’autres personnes que le prévenu, telles la victime et des personnes de son entou­rage, peuvent être conser­vées, dans la limite du strict nécessaire.

Enfin, l’accès à de telles données par les auto­ri­tés compé­tentes, en parti­cu­lier la police, doit faire l’objet d’une procé­dure stricte. La demande doit être moti­vée et un contrôle, juri­dic­tion­nel ou admi­nis­tra­tif indé­pen­dant, préa­lable à l’accès doit exis­ter. La Cour précise que ce contrôle ne peut pas être effec­tué par un minis­tère public. 

L’arrêt analysé contient des règles claires sur l’utilisation qui peut être faite des données liées aux commu­ni­ca­tions. Il rappelle l’importance des droits fonda­men­taux des personnes concer­nées et met l’accent sur la mise en balance des inté­rêts, néces­saire et préa­lable à toute conser­va­tion ou utili­sa­tion de ces données.

En droit suisse, la LSCPT (RS 780.1) est la base légale régis­sant la surveillance des télé­com­mu­ni­ca­tions. Une surveillance peut être mise en place dans le cadre d’une procé­dure pénale (art. 1er al. 1 let. a LSCPT). Le Service de surveillance, une insti­tu­tion fédé­rale auto­nome, est chargé de la surveillance et exploite un système infor­ma­tique de trai­te­ment de données (art. 3 et 6 LSCPT). Il four­nit les rensei­gne­ments deman­dés aux auto­ri­tés compé­tentes et les four­nis­seurs de services de commu­ni­ca­tions sont tenus de colla­bo­rer (art. 15, 21 ss et 26ss LSCPT). L’ordon­nance mettant en appli­ca­tion la loi fait actuel­le­ment l’objet d’une révi­sion, commen­tée dans swissprivacy/​135.



Proposition de citation : Alexandre Barbey, Utilisation de données de communications dans les enquêtes pénales, 31 mai 2022 in www.swissprivacy.law/148


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Souveraineté numérique et altruisme des données (« Data Altruism ») : proposition UE de « Data Governance Act…
  • Les limites de la récolte de données personnelles des passagers aériens
  • Compteurs d’eau intelligents et principes de l’évitement et de la minimisation des données
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law