Arrêt CJUE C‑746/​18 du 2 mars 2021

Accusé d’avoir commis plusieurs vols, utilisé la carte bancaire d’une tierce personne pour reti­rer de l’argent à un banco­mat et violenté une autre personne, H. K. est condamné à une peine priva­tive de liberté de deux ans par un tribu­nal de première instance esto­nien. Les faits sont établis à l’aide d’une surveillance rétro­ac­tive ou des données secon­daires de télé­com­mu­ni­ca­tion qui ont été obte­nues par les auto­ri­tés de pour­suite auprès d’un four­nis­seur esto­nien de services de télé­com­mu­ni­ca­tions électroniques.

Devant le tribu­nal d’appel, puis la Cour suprême natio­nale, H. K. conteste la rece­va­bi­lité de ces moyens de preuve et la confor­mité du droit esto­nien au droit euro­péen. La Cour suprême esto­nienne saisit ainsi la Cour de justice de l’Union euro­péenne d’une demande de déci­sion préju­di­cielle au sujet de l’interprétation de l’art. 15 Directive 2002/​58/​CE vie privée et commu­ni­ca­tions élec­tro­niques (Directive ePrivacy). Se pose en parti­cu­lier la ques­tion de savoir si les données secon­daires de télé­com­mu­ni­ca­tion peuvent être utili­sées dans toutes les procé­dures pénales ou si elles ne doivent l’être que dans certaines d’entre elles.

La Directive 2002/​58/​CE vise à garan­tir les droits fonda­men­taux au respect de la vie privée (art. 7) et la protec­tion des données à carac­tère person­nel (art. 8) proté­gés par la Charte des droits fonda­men­taux de l’Union. Des restric­tions aux droits prévus par la Directive sont auto­ri­sées en vertu de l’art. 15 ch. 1 :

« lorsqu’une telle limi­ta­tion consti­tue une mesure néces­saire, appro­priée et propor­tion­née, au sein d’une société démo­cra­tique, pour sauve­gar­der la sécu­rité natio­nale – c’est-à-dire la sûreté de l’État – la défense et la sécu­rité publique, ou assu­rer la préven­tion, la recherche, la détec­tion et la pour­suite d’infractions pénales ou d’utilisations non auto­ri­sées du système de commu­ni­ca­tions élec­tro­niques […]. À cette fin, les États membres peuvent, entre autres, adop­ter des mesures légis­la­tives prévoyant la conser­va­tion de données pendant une durée limi­tée lorsque cela est justi­fié par un des motifs énon­cés dans le présent paragraphe ».

Se réfé­rant à sa juris­pru­dence La Quadrature du Net, la CJUE énonce des lignes direc­trices au sujet de l’interprétation de l’art. 15 par. 1 Directive 2002/​58/​CE.

Tout d’abord, l’accès par des auto­ri­tés publiques aux fins de la préven­tion, de l’élucidation et de la pour­suite d’infractions pénales à des données rela­tives au trafic et de loca­li­sa­tion n’est possible que si ces dernières ont été conser­vées par des four­nis­seurs de services de télé­com­mu­ni­ca­tions élec­tro­niques de manière conforme à l’art. 15 ch. 1 précité, lequel s’oppose à une régle­men­ta­tion prévoyant une conser­va­tion géné­ra­li­sée et indif­fé­ren­ciée de ces données.

Ensuite, l’accès à ces données et la restric­tion aux droits proté­gés par la Directive ne peuvent être justi­fiés que par le même objec­tif d’intérêt géné­ral ayant contraint les four­nis­seurs à les conser­ver. Ce motif justi­fi­ca­tif doit être appré­cié « en mesu­rant la gravité de l’ingérence que comporte une telle limi­ta­tion et en véri­fiant que l’importance de l’objectif d’intérêt géné­ral pour­suivi par cette limi­ta­tion est en rela­tion avec cette gravité ».

La CJUE rappelle que des ingé­rences graves aux art. 7 et 8 de la Charte de l’Union ne sont admis­sibles qu’aux fins de la lutte contre la crimi­na­lité grave et la préven­tion de menaces graves contre la sécu­rité publique. La conser­va­tion de données rela­tives au trafic et de loca­li­sa­tion et leur accès par des auto­ri­tés publiques sont préci­sé­ment des ingé­rences graves, étant donné que ce trai­te­ment permet de tirer des conclu­sions précises sur la vie des personnes concer­nées. Par contre, ne relèvent en prin­cipe pas de ce niveau de gravité les mesures légis­la­tives visant le trai­te­ment de données rela­tives à l’identité civile unique­ment des utili­sa­teurs de moyens de télé­com­mu­ni­ca­tions, car elles ne permettent de tirer aucune conclu­sion sur les commu­ni­ca­tions et ainsi sur la vie privée. D’autres facteurs rela­tifs à la propor­tion­na­lité, comme la durée de la période couverte par l’accès des auto­ri­tés publiques et donc la quan­tité, ne sont pas déter­mi­nants à cet égard.

En l’espèce, l’art. 111 du Code de procé­dure pénale esto­nien fait obli­ga­tion aux four­nis­seurs de services de télé­com­mu­ni­ca­tions élec­tro­niques de conser­ver pendant une année les données secon­daires, à savoir notam­ment celles se rappor­tant à la source et la desti­na­tion d’une commu­ni­ca­tion (numéro, nom et adresse de l’appelant et de l’appelé), la date, le début et la fin de l’appel, ainsi que la loca­li­sa­tion de l’appareil de télé­pho­nie. Ces données sont acces­sibles au minis­tère public selon une procé­dure d’autorisation aux fins de l’instruction pénale.

Grâce à cette dispo­si­tion, les auto­ri­tés publiques esto­niennes peuvent accé­der à un ensemble de données qui leur permet de tirer des « conclu­sions précises, voire très précises » au sujet de la vie privée des personnes concer­nées. En effet, ces données permettent de déter­mi­ner leurs habi­tudes de vie quoti­dienne, mais aussi leurs dépla­ce­ments jour­na­liers, leurs rela­tions sociales, mais aussi les milieux sociaux fréquen­tés, ainsi que leurs lieux de séjour.

Ainsi, il s’agit d’une ingé­rence grave aux droits consa­crés par la Charte de l’Union, cela nonobs­tant l’étendue tempo­relle de l’accès de l’autorité et de la quan­tité ou de la nature des données dispo­nibles pour une telle période. Même l’accès à une courte période ou à une quan­tité limi­tée de données concer­nant le trafic ou la loca­li­sa­tion est suscep­tible de four­nir des infor­ma­tions précises sur la vie privée des personnes concernées.

Enfin, la CJUE constate que le droit esto­nien auto­rise l’accès à ces données pour tout type d’infraction pénale et que, par consé­quent, cette ingé­rence n’est pas limi­tée dans le cas présent à la lutte contre la crimi­na­lité grave.

En conclu­sion, l’art. 15 par. 1 Directive 2002/​58/​CE, inter­prété à la lumière des art. 7 et 8 de la Charte de l’Union, s’oppose à une régle­men­ta­tion natio­nale permet­tant l’accès d’autorités publiques aux données secon­daires conser­vées par les four­nis­seurs de services de télé­com­mu­ni­ca­tions élec­tro­niques pour toute procé­dure pénale. Une surveillance rétro­ac­tive est toute­fois auto­ri­sée pour les procé­dures pénales qui concernent exclu­si­ve­ment la lutte contre la crimi­na­lité grave ou la préven­tion de menaces graves.

Cet arrêt opère une pesée des inté­rêts entre la sécu­rité d’une part et le droit au respect de la vie privée et la protec­tion des données d’autre part, en accor­dant à ces derniers une impor­tance accrue, ce qu’il convient de saluer.

Il permet de mettre en lumière la diffé­rence d’appréciation à cet égard entre les auto­ri­tés euro­péennes et suisses au travers de la juris­pru­dence helvé­tique au sujet de l’interprétation de l’art. 273 du Code de procé­dure pénale. Cette dispo­si­tion prévoit que les données secon­daires peuvent être obte­nues par le minis­tère public pour une surveillance rétro­ac­tive pour tout « crime », tout « délit » ou encore toute « contra­ven­tion au sens de l’art. 179^septies CP », à la condi­tion toute­fois, par renvoi à l’art. 269 CPP, que cette mesure se justi­fie au regard « de la gravité de l’infraction » (al. 1 let. b) et que « les mesures prises jusqu’alors dans le cadre de l’instruction sont restées sans succès ou [que] les recherches n’auraient aucune chance d’aboutir ou seraient exces­si­ve­ment diffi­ciles » (al. 1 let. c).

En outre, le projet de révi­sion du Code de procé­dure pénale actuel­le­ment en discus­sion à l’Assemblée fédé­rale n’apporte pas une restric­tion plus sévère à l’art. 273 CPP et ne devrait rien chan­ger de ce point de vue, sauf modi­fi­ca­tion légis­la­tive émanant direc­te­ment des parlementaires.

En défi­ni­tive, le Tribunal fédé­ral et le droit suisse plus géné­ra­le­ment appa­raissent moins protec­teurs que le droit euro­péen vis-à-vis du droit au respect de la vie privée garanti par l’art. 13 de la Constitution fédé­rale dans le contexte de procé­dures pénales.