Obligation de conservation généralisée et indifférenciée

, le 27 novembre 2023
La CJUE a jugé que la légis­la­tion bulgare était contraire au droit de l’UE, dans la mesure où elle prévoit une obli­ga­tion pour les four­nis­seurs de services de commu­ni­ca­tion de conser­ver de manière géné­ra­li­sée et indif­fé­ren­ciée les données rela­tives au trafic et des données de loca­li­sa­tion, à des fins de lutte préven­tive contre la crimi­na­lité, pendant une durée de 6 mois et sans que la personne concer­née ne dispose de droit d’information ou de recours à l’encontre de l’accès auxdites données par les auto­ri­tés de pour­suite pénales.

Arrêt de la Cour de justice de l’Union euro­péenne (CJUE) du 17 novembre 2022, Affaire C‑350/​21

Introduction

L’arrêt a pour objet une demande de déci­sion préju­di­cielle intro­duite par le Spetsializiran naka­za­te­len (tribu­nal pénal spécia­lisé de Bulgarie ; ci-après : juri­dic­tion de renvoi). Dans le cas d’espèce qui l’occupe, la juri­dic­tion de renvoi est appe­lée à se pronon­cer sur une demande du parquet spécia­lisé visant l’adoption d’une ordon­nance donnant accès aux données rela­tives au trafic et aux données de loca­li­sa­tion d’appels au moyen des télé­phones mobiles de cinq personnes soup­çon­nées d’être impli­quées dans une acti­vité crimi­nelle de distri­bu­tions de ciga­rettes sans timbres fiscaux.

La juri­dic­tion de renvoi s’interroge sur la confor­mité de la légis­la­tion bulgare avec le droit de l’UE et en parti­cu­lier l’art. 15 par. 1, art. 5 par. 1 et le consi­dé­rant 11 de la direc­tive 2002/​58/​CE (direc­tive vie privée et commu­ni­ca­tions électroniques).

Cadre légal européen

L’art. 5 par. 1 de la direc­tive 2002/​58/​CE impose aux États membres de garan­tir la confi­den­tia­lité des commu­ni­ca­tions télé­pho­niques et élec­tro­niques ainsi que la confi­den­tia­lité des données rela­tives au trafic y affé­rentes. Les États membres doivent en parti­cu­lier inter­dire « à toute autre personne que les utili­sa­teurs d’écouter, d’intercepter, de stocker les commu­ni­ca­tions et les données rela­tives au trafic y affé­rentes, ou de les soumettre à tout autre moyen d’interception ou de surveillance, sans le consen­te­ment des utili­sa­teurs concer­nés sauf lorsque cette personne y est léga­le­ment auto­ri­sée, confor­mé­ment à l’article 15, para­graphe 1 ».

À cet égard, l’art. 15 par. 1 de la direc­tive 2002/​58/​CE auto­rise les États membres à limi­ter la confi­den­tia­lité des commu­ni­ca­tions « lorsqu’une telle limi­ta­tion consti­tue une mesure néces­saire, appro­priée et propor­tion­née, au sein d’une société démo­cra­tique, pour sauve­gar­der la sécu­rité natio­nale – c’est-à-dire la sûreté de l’État – la défense et la sécu­rité publique, ou assu­rer la préven­tion, la recherche, la détec­tion et la pour­suite d’infractions pénales […] ».

Conservation géné­ra­li­sée et indifférenciée ?

La première ques­tion préju­di­cielle portait sur la confor­mité de la légis­la­tion bulgare avec les art. 15 par. 1 et art. 5 par. 1 ainsi que le consi­dé­rant 11 de la direc­tive 2002/​58/​CE, dans la mesure où ladite légis­la­tion prévoit la conser­va­tion géné­ra­li­sée et indif­fé­ren­ciée de toutes les données rela­tives au trafic pendant une durée de six mois avec pour fina­lité la lutte préven­tive contre les formes graves de criminalité.

La CJUE examine, tout d’abord, l’incidence d’une limi­ta­tion de la durée de conser­va­tion fixée à six mois. À cet égard, la CJUE rappelle que, indé­pen­dam­ment de sa durée, la conser­va­tion de données rela­tives au trafic ou de données de loca­li­sa­tion, qui sont suscep­tibles de four­nir des infor­ma­tions sur les commu­ni­ca­tions et la loca­li­sa­tion des équi­pe­ments des utili­sa­teurs, présentent un carac­tère grave lorsque les données peuvent permettre des tirer des conclu­sions très précises concer­nant la vie privée de la ou des personnes concernées.

La CJUE examine, ensuite, l’observation de la juri­dic­tion de renvoi selon laquelle la régle­men­ta­tion bulgare impose aux four­nis­seurs de services de commu­ni­ca­tions élec­tro­niques de prendre les mesures tech­niques et orga­ni­sa­tion­nelles appro­priées pour exclure tout abus ou accès illé­gal et que des règles claires et précises exclu­raient un accès géné­ra­lisé. En ce sens, la CJUE souligne que la conser­va­tion des données et l’accès à celles-ci consti­tuent des ingé­rences distinctes au droit à la vie privée et à la liberté d’information (art. 7 et 11 de la Charte des droits fonda­men­taux de l’Union euro­péenne) qui néces­sitent égale­ment une justi­fi­ca­tion distincte. Il en résulte que l’existence d’obligations, à charge des four­nis­seurs de services de commu­ni­ca­tions, d’assurer la sécu­rité et la protec­tion des données ainsi que la surveillance de la conser­va­tion par des organes de contrôle permettent de réduire les risques d’accès illi­cite mais ne permettent pas de remé­dier à l’ingérence grave qui résulte de la conser­va­tion géné­ra­li­sée desdites données (point 58 et 59).

Par consé­quent, l’art. 15 par. 1 de la direc­tive 2002/​58/​CE s’oppose à une légis­la­tion prévoyant une conser­va­tion aussi géné­ra­li­sée et indif­fé­ren­ciée de données rela­tives trafics, telle que celle prévue dans le cas d’espèce.

Absence de restric­tion du droit d’accès aux données par les auto­ri­tés, de droit d’information et de recours pour la personne concernée

La seconde ques­tion préju­di­cielle portait sur la confor­mité de la légis­la­tion bulgare avec l’art. 15 par. 1, art. 5 par. 1 et consi­dé­rant 11 de la direc­tive 2002/​58/​CE, dans la mesure où ladite légis­la­tion ne restreint pas expres­sé­ment l’accès aux données aux seuls cas dans lesquels celui-ci est stric­te­ment néces­saire et ne prévoit pas de droit d’être informé ni de voie de recours contre un accès illégal.

En premier lieu, la CJUE retient que l’art. 15 par. 1 de la direc­tive 2002/​58/​CE s’oppose à une légis­la­tion ne prévoyant pas, de manière claire et précise, que l’accès aux données conser­vées est limité à ce qui est stric­te­ment néces­saire pour atteindre l’objectif pour­suivi par la conser­va­tion des données. Une telle régle­men­ta­tion est néces­saire pour satis­faire à l’exigence de propor­tion­na­lité. La CJUE estime qu’il appar­tient à la juri­dic­tion de renvoi de contrôle que la légis­la­tion bulgare respecte les exigences précitées.

En second lieu, la CJUE consi­dère que l’art. 15 par. 1 de la direc­tive 2002/​58/​CE, ainsi que les art. 13 et 54 de la direc­tive 2016/​680, s’opposent égale­ment à ce qu’une légis­la­tion natio­nale prévoit l’accès aux données rela­tives au trafic et aux données de loca­li­sa­tion par les auto­ri­tés compé­tentes en matière d’enquêtes pénales sans que les personnes concer­nées en soient infor­mées et sans qu’elles disposent d’une voie de recours à l’encontre d’un accès illé­gal à ces données.

Concernant, tout d’abord, le droit de la personne concer­née d’être infor­mée du trai­te­ment par les auto­ri­tés compé­tentes en matière d’enquêtes pénales, la CJUE souligne que, bien que les art. 15 par. 2 de la direc­tive 2002/​58/​CE, en combi­nai­son avec l’art. 22 de la direc­tive 95/​46/​CE, ainsi que l’art. 13 de la direc­tive 2016/​680 permettent aux États membres de retar­der, limi­ter ou suppri­mer l’information de la personne concer­née, l’exclusion géné­rale de tout droit à l’information n’est pas conforme au droit euro­péen. En effet, lorsqu’une surveillance est néces­saire à une enquête pénale, l’information des personnes concer­nées peut être diffé­rée afin d’assurer le bon dérou­le­ment de l’enquête. Néanmoins, les personnes concer­nées doivent, en prin­cipe, être infor­mées de la mesure de surveillance au plus tard lorsque celle-ci prend fin.

Concernant, ensuite, le droit de recours de la personne concer­née, la CJUE précise que celui-ci est expli­ci­te­ment garanti par l’art. 15 par. 2 de la direc­tive 2002/​58/​CE, en combi­nai­son avec l’art. 79 RGPD. En outre, la CJUE souligne que, quand bien même les moda­li­tés procé­du­rales des recours en justice relèvent de la légis­la­tion natio­nale, en vertu du prin­cipe d’autonomie, le fait que l’accès aux données par les auto­ri­tés compé­tentes en matière d’enquêtes pénales requiert une auto­ri­sa­tion déli­vrée par une juri­dic­tion natio­nale ne permet d’assurer la protec­tion effec­tive des personnes concer­nées contre les risques d’abus et d’accès illi­cites. En effet, la régle­men­ta­tion natio­nale prévoit que l’autorisation est octroyée unique­ment sur la base d’une demande formée par les auto­ri­tés compé­tentes en matière d’enquêtes pénales, sans que les personnes concer­nées aient été enten­dues, de sorte que la juri­dic­tion compé­tente n’est pas en mesure de prendre en compte les éven­tuelles objec­tions des personnes concernées.

Conclusion

La CJUE a jugé que l’art. 15 par. 1 de la direc­tive 2002/​58/​CE s’opposait à l’adoption d’une légis­la­tion impo­sant une conser­va­tion géné­ra­li­sée et indif­fé­ren­ciée des données rela­tives au trafic de commu­ni­ca­tions et à la loca­li­sa­tion. Par ailleurs, la CJUE rappelle que pour être conforme au droit de l’UE, la légis­la­tion doit expres­sé­ment prévoir que l’accès aux données est limité à ce qui est stric­te­ment néces­saire pour atteindre l’objectif pour­suivi par la conser­va­tion des données. En outre, la légis­la­tion bulgare est égale­ment contraire au droit de l’UE dans la mesure où elle ne consacre pas à la personne concer­née un droit d’être informé de l’accès à ses données par les auto­ri­tés de pour­suite pénale et un droit de recours contre un accès illicite.

 



Proposition de citation : Alexandre Bussy, Obligation de conservation généralisée et indifférenciée, 27 novembre 2023 in www.swissprivacy.law/269


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
swissprivacy.law