swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

La collecte et la conservation de données personnelles dans le but d’identifier les utilisateurs de cartes SIM prépayées

Kastriot Lubishtani, le 23 septembre 2020
L’obligation légale des opéra­teurs de télé­com­mu­ni­ca­tions alle­mands de collec­ter et de conser­ver des données person­nelles concer­nant les utili­sa­teurs de cartes SIM prépayées et qui sont acces­sibles par des auto­ri­tés consti­tue une ingé­rence au droit au respect de la vie privée et fami­liale (art. 8 par. 1 CEDH). Celle-ci n’emporte toute­fois pas viola­tion de la Convention euro­péenne des droits de l’homme dès lors qu’elle est néces­saire, dans une société démo­cra­tique, à la sécu­rité natio­nale et s’inscrit dans un cadre circons­crit (art. 8 par. 2 CEDH).
Arrêt CourEDH du 30 janvier 2020, Breyer c. Allemagne (n° 50001/​12)

Depuis 2004, l’art. 111 Telekommunikationsgesetz alle­mande (TKG) fait obli­ga­tion aux opéra­teurs de télé­com­mu­ni­ca­tions de collec­ter et de conser­ver des données person­nelles concer­nant les utili­sa­teurs de cartes SIM prépayées, dont le numéro de télé­phone, le nom et l’adresse de l’usager, ainsi que sa date de nais­sance (par. 1). Les données doivent être suppri­mées à la fin de l’année civile suivant celle de la fin de la rela­tion contrac­tuelle entre l’opérateur et l’utilisateur (par. 4). Les art. 112 et 113 TKG mettent en place une procé­dure auto­ma­ti­sée et sur demande permet­tant aux auto­ri­tés d’accéder aux données collectées.

Faisant usage d’une carte SIM prépayée, l’élu au Parlement euro­péen Patrick Breyer et son frère Jonas (ci-après : les requé­rants) contestent en 2005 la confor­mité au droit au respect de la vie privée de l’art. 111 TKG. Le Bundesverfassungsgericht rejette leur recours consti­tu­tion­nel en jugeant l’ingérence justi­fiée et propor­tion­née (1 BvR 1299/​05). Les requé­rants saisissent alors la Cour euro­péenne des droits de l’homme  qui est appe­lée à déter­mi­ner si la collecte et la conser­va­tion des données person­nelles des utili­sa­teurs de cartes SIM prépayées est compa­tible avec l’art. 8 CEDH.

La Cour rappelle que la collecte de données person­nelles porte atteinte au droit au respect de la vie privée. En l’espèce, l’existence d’une atteinte est avérée et n’est pas contes­tée. Il s’impose par consé­quent d’examiner si pareille ingé­rence respecte les condi­tions prévues par l’art. 8 par. 2 CEDH.

L’ingérence est en l’occurrence prévue par une loi satis­fai­sant aux exigences de clarté et de prévi­si­bi­lité. Il est égale­ment admis qu’elle a pour but de permettre aux auto­ri­tés de parer à tout danger, exer­cer la pour­suite d’infractions et des acti­vi­tés rela­tives au rensei­gne­ment, soit un domaine – la sécu­rité natio­nale – dans lequel il est reconnu aux États une certaine marge d’appréciation dans le choix des moyens. C’est pour­quoi la Cour concentre son examen sur la condi­tion de la « néces­sité dans une société démocratique ».

S’agissant de l’intensité de l’atteinte, les données trai­tées ne sont pas haute­ment person­nelles, elles ne permettent ni la créa­tion de profil de person­na­lité ni de traçage et aucune donnée rela­tive au flux des commu­ni­ca­tions n’est collec­tée. S’appuyant sur l’arrêt Ministerio Fiscal (CJUE C‑207/​16), la Cour relève de plus que les données en ques­tion ne permettent pas de connaître les méta­don­nées télé­pho­niques de l’utilisateur ni de le géolo­ca­li­ser. Ainsi, l’atteinte portée au droit des requé­rants est jugée comme plutôt limi­tée, bien que non négligeable.

Relativement aux garan­ties, la durée de conser­va­tion des données n’apparaît pas inap­pro­priée en raison du temps requis par une instruc­tion pénale et du fait que les données conser­vées appa­raissent limi­tées aux infor­ma­tions néces­saires aux fins de l’identification des abon­nés. En outre, l’accès aux données collec­tées est limité. En effet, les art. 112 et 113 TKG déli­mitent avec suffi­sam­ment de préci­sion les auto­ri­tés habi­li­tées à requé­rir ces données, lesquelles sont respon­sables de la pour­suite pénale ou de la sécu­rité natio­nale. De plus, les données sont proté­gées face à des requêtes exces­sives ou abusives de par le fait que l’autorité requé­rante doit s’appuyer sur une base légale addi­tion­nelle pour les obte­nir. La Cour juge enfin qu’il existe des méca­nismes de contrôle juri­dic­tion­nels qui sont suffi­sants. En défi­ni­tive, la collecte des données person­nelles des requé­rants était propor­tion­née et par consé­quent « néces­saire dans une société démocratique ».

Partant, la Cour conclut, à une majo­rité de six contre un, qu’il n’y a pas eu viola­tion de l’art. 8 CEDH.

La présente conclu­sion dans cet arrêt n’est pas une surprise selon nous. En effet, la solu­tion ici déga­gée s’inscrit dans la même logique que celle rete­nue dans l’arrêt Big Brothers and Watch c. Royaume-Uni. La Cour avait reconnu que les régimes d’interception massive de données relèvent de la marge d’appréciation dont disposent les États dans le choix des moyens de réali­ser le but légi­time que consti­tue la sauve­garde de leur sécu­rité nationale.

Pour autant, cet arrêt n’est pas exempt de critique, notam­ment sous l’angle du contrôle judi­ciaire. C’est une des raisons ayant conduit le juge Ranzoni à rete­nir dans ce cas une viola­tion de l’art. 8 CEDH et à rédi­ger une opinion dissi­dente. À raison, il souligne que la personne victime d’une atteinte par une requête d’accès à ses données « has no know­ledge [thereof] and cannot seek a review », sauf dans les cas, excep­tion­nels, dans lesquels les données obte­nues conduisent à une surveillance télé­pho­nique ou des mesures d’investigation supplémentaires.

Cet arrêt est défi­ni­tif depuis le 7 septembre 2020, un panel de cinq juges de la Grande Chambre ayant rejeté une demande de renvoi devant elle. Cela étant, le conten­tieux judi­ciaire rela­tif à l’art. 111 TKG n’est pas encore tout à fait terminé : l’ex­ten­sion en 2016 de la dispo­si­tion légale, par la créa­tion de l’obligation de présen­ter un docu­ment d’identité pour véri­fier cette dernière, a aussi été contes­tée et la procé­dure devant le Bundesverfassungsgericht est pendante (1 BvR 1713/​17).

 



Proposition de citation : Kastriot Lubishtani, La collecte et la conservation de données personnelles dans le but d’identifier les utilisateurs de cartes SIM prépayées, 23 septembre 2020 in www.swissprivacy.law/4


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Compteurs d’eau intelligents et principes de l’évitement et de la minimisation des données
  • Utilisation de données de communications dans les enquêtes pénales
  • Mesures techniques, contractuelles et organisationnelles à observer suite à l’arrêt Schrems II
  • La rétention indiscriminée de métadonnées en Suisse: chronologie et développements
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law