Depuis 2004, l’art. 111 Telekommunikationsgesetz alle­mande (TKG) fait obli­ga­tion aux opéra­teurs de télé­com­mu­ni­ca­tions de collec­ter et de conser­ver des données person­nelles concer­nant les utili­sa­teurs de cartes SIM prépayées, dont le numéro de télé­phone, le nom et l’adresse de l’usager, ainsi que sa date de nais­sance (par. 1). Les données doivent être suppri­mées à la fin de l’année civile suivant celle de la fin de la rela­tion contrac­tuelle entre l’opérateur et l’utilisateur (par. 4). Les art. 112 et 113 TKG mettent en place une procé­dure auto­ma­ti­sée et sur demande permet­tant aux auto­ri­tés d’accéder aux données collectées.

Faisant usage d’une carte SIM prépayée, l’élu au Parlement euro­péen Patrick Breyer et son frère Jonas (ci-après : les requé­rants) contestent en 2005 la confor­mité au droit au respect de la vie privée de l’art. 111 TKG. Le Bundesverfassungsgericht rejette leur recours consti­tu­tion­nel en jugeant l’ingérence justi­fiée et propor­tion­née (1 BvR 1299/​05). Les requé­rants saisissent alors la Cour euro­péenne des droits de l’homme  qui est appe­lée à déter­mi­ner si la collecte et la conser­va­tion des données person­nelles des utili­sa­teurs de cartes SIM prépayées est compa­tible avec l’art. 8 CEDH.

La Cour rappelle que la collecte de données person­nelles porte atteinte au droit au respect de la vie privée. En l’espèce, l’existence d’une atteinte est avérée et n’est pas contes­tée. Il s’impose par consé­quent d’examiner si pareille ingé­rence respecte les condi­tions prévues par l’art. 8 par. 2 CEDH.

L’ingérence est en l’occurrence prévue par une loi satis­fai­sant aux exigences de clarté et de prévi­si­bi­lité. Il est égale­ment admis qu’elle a pour but de permettre aux auto­ri­tés de parer à tout danger, exer­cer la pour­suite d’infractions et des acti­vi­tés rela­tives au rensei­gne­ment, soit un domaine – la sécu­rité natio­nale – dans lequel il est reconnu aux États une certaine marge d’appréciation dans le choix des moyens. C’est pour­quoi la Cour concentre son examen sur la condi­tion de la « néces­sité dans une société démocratique ».

S’agissant de l’intensité de l’atteinte, les données trai­tées ne sont pas haute­ment person­nelles, elles ne permettent ni la créa­tion de profil de person­na­lité ni de traçage et aucune donnée rela­tive au flux des commu­ni­ca­tions n’est collec­tée. S’appuyant sur l’arrêt Ministerio Fiscal (CJUE C‑207/​16), la Cour relève de plus que les données en ques­tion ne permettent pas de connaître les méta­don­nées télé­pho­niques de l’utilisateur ni de le géolo­ca­li­ser. Ainsi, l’atteinte portée au droit des requé­rants est jugée comme plutôt limi­tée, bien que non négligeable.

Relativement aux garan­ties, la durée de conser­va­tion des données n’apparaît pas inap­pro­priée en raison du temps requis par une instruc­tion pénale et du fait que les données conser­vées appa­raissent limi­tées aux infor­ma­tions néces­saires aux fins de l’identification des abon­nés. En outre, l’accès aux données collec­tées est limité. En effet, les art. 112 et 113 TKG déli­mitent avec suffi­sam­ment de préci­sion les auto­ri­tés habi­li­tées à requé­rir ces données, lesquelles sont respon­sables de la pour­suite pénale ou de la sécu­rité natio­nale. De plus, les données sont proté­gées face à des requêtes exces­sives ou abusives de par le fait que l’autorité requé­rante doit s’appuyer sur une base légale addi­tion­nelle pour les obte­nir. La Cour juge enfin qu’il existe des méca­nismes de contrôle juri­dic­tion­nels qui sont suffi­sants. En défi­ni­tive, la collecte des données person­nelles des requé­rants était propor­tion­née et par consé­quent « néces­saire dans une société démocratique ».

Partant, la Cour conclut, à une majo­rité de six contre un, qu’il n’y a pas eu viola­tion de l’art. 8 CEDH.

La présente conclu­sion dans cet arrêt n’est pas une surprise selon nous. En effet, la solu­tion ici déga­gée s’inscrit dans la même logique que celle rete­nue dans l’arrêt Big Brothers and Watch c. Royaume-Uni. La Cour avait reconnu que les régimes d’interception massive de données relèvent de la marge d’appréciation dont disposent les États dans le choix des moyens de réali­ser le but légi­time que consti­tue la sauve­garde de leur sécu­rité nationale.

Pour autant, cet arrêt n’est pas exempt de critique, notam­ment sous l’angle du contrôle judi­ciaire. C’est une des raisons ayant conduit le juge Ranzoni à rete­nir dans ce cas une viola­tion de l’art. 8 CEDH et à rédi­ger une opinion dissi­dente. À raison, il souligne que la personne victime d’une atteinte par une requête d’accès à ses données « has no know­ledge [thereof] and cannot seek a review », sauf dans les cas, excep­tion­nels, dans lesquels les données obte­nues conduisent à une surveillance télé­pho­nique ou des mesures d’investigation supplémentaires.

Cet arrêt est défi­ni­tif depuis le 7 septembre 2020, un panel de cinq juges de la Grande Chambre ayant rejeté une demande de renvoi devant elle. Cela étant, le conten­tieux judi­ciaire rela­tif à l’art. 111 TKG n’est pas encore tout à fait terminé : l’ex­ten­sion en 2016 de la dispo­si­tion légale, par la créa­tion de l’obligation de présen­ter un docu­ment d’identité pour véri­fier cette dernière, a aussi été contes­tée et la procé­dure devant le Bundesverfassungsgericht est pendante (1 BvR 1713/​17).