Arrêt de la Cour de justice de l’Union euro­péenne du 5 avril 2022 dans l’af­faire C‑140/​20

L’arrêt du 5 avril 2022 de la Cour de justice de l’Union euro­péenne (CJUE) donne un cadre juri­dique clair sur l’utilisation qui peut être faite dans une procé­dure pénale de données rela­tives au trafic télé­pho­nique et de loca­li­sa­tion s’y rappor­tant. 

L’affaire débute lorsqu’une personne condam­née pour meurtre par les auto­ri­tés irlan­daises conteste la vali­dité d’une loi natio­nale trans­po­sant une version modi­fiée de la Directive 2002/​58/​CE concer­nant le trai­te­ment des données à carac­tère person­nel et la protec­tion de la vie privée dans le secteur des commu­ni­ca­tions élec­tro­niques. Plusieurs ques­tions rela­tives à l’interprétation du texte euro­péen sont posées à la CJUE.

La Directive 2002/​58 pose en parti­cu­lier le prin­cipe de la confi­den­tia­lité des commu­ni­ca­tions effec­tuées sur un réseau public et des données s’y rappor­tant. Uniquement les utili­sa­teurs du réseau doivent pouvoir avoir accès aux commu­ni­ca­tions, par oppo­si­tion à des tiers, qui ne le peuvent pas, de quelle que manière que ce soit. Des tiers ne doivent notam­ment pas pouvoir inter­cep­ter et enre­gis­trer les commu­ni­ca­tions (art. 5 par. 1 Directive 2002/​58). De plus, les four­nis­seurs d’un réseau public de commu­ni­ca­tions ou d’un service de commu­ni­ca­tions élec­tro­niques acces­sibles au public doivent avoir effacé ou rendu anonymes les données rela­tives au trafic concer­nant les utili­sa­teurs lorsqu’elles ne sont plus néces­saires, notam­ment après la trans­mis­sion des commu­ni­ca­tions, l’établissement de factures, la four­ni­ture de services à valeur ajou­tée ou encore la détec­tion de fraudes. Les données de loca­li­sa­tion liées aux commu­ni­ca­tions ne doivent être trai­tées qu’après avoir été anony­mi­sées. Cependant, si la personne a donné son consen­te­ment, il n’y a pas besoin d’anonymisation (art. 6 par. 1 et 9 par. 1 Directive 2002/​58). 

L’art. 15 par. 1 Directive 2002/​58 permet toute­fois aux États membres de l’Union euro­péenne de limi­ter la portée de ces droits et obli­ga­tions lorsque cela s’avère propor­tion­nel pour sauve­gar­der la sécu­rité natio­nale, la défense et la sécu­rité publique ou assu­rer la préven­tion, la recherche, la détec­tion et la pour­suite d’infractions pénales.

La CJUE examine tout d’abord si les États membres peuvent trans­po­ser la Directive 2002/​58 dans une loi auto­ri­sant une conser­va­tion géné­ra­li­sée et indif­fé­ren­ciée des données de trafic et de loca­li­sa­tion à des fins de lutte contre la crimi­na­lité grave. Le prin­cipe de la Directive 2002/​58 est qu’il est inter­dit à des personnes autres que les utili­sa­teurs de stocker ces données. L’art. 15 Directive 2002/​58, qui permet une certaine déro­ga­tion au prin­cipe, doit être inter­prété de manière stricte dans le sens que la restric­tion ne doit pas deve­nir la règle, mais doit répondre à l’un des objec­tifs décrits à cette dispo­si­tion. De plus, toute limi­ta­tion des droits et obli­ga­tions doit se confor­mer à la Charte des droits fonda­men­taux de l’Union euro­péenne, notam­ment le droit au respect de la vie privée et le droit à la protec­tion des données person­nelles (art. 7 et 8 Charte). De ce point de vue, la conser­va­tion de données de trafic et de loca­li­sa­tion pose problème, car celles-ci révèlent de nombreuses infor­ma­tions sensibles à propos des personnes concer­nées, permet­tant de créer un profil de la person­na­lité. La CJUE constate qu’une conser­va­tion géné­ra­li­sée et indif­fé­ren­ciée de telles données engendre un risque d’abus et d’accès illi­cite (cf. arrêt du 6 octobre 2020, La Quadrature du Net e.a., C‑511/​18, C‑512/​18 et C‑520/​18).

Dès lors que des droits fonda­men­taux sont concer­nés, la CJUE indique, en se fondant sur la juris­pru­dence de la Cour euro­péenne des droits de l’Homme (voir notam­ment arrêt CourEDH Big Brother Watch et autres contre Royaume-Uni du 25 mai 2021, résumé in LawInside​.ch/​1​0​63/), que des obli­ga­tions posi­tives à charge des États peuvent décou­ler des droits fonda­men­taux consa­crés par la Charte. Ces obli­ga­tions impliquent l’adoption de dispo­si­tions permet­tant de lutter effi­ca­ce­ment contre la crimi­na­lité. Ces dernières doivent toute­fois poser un cadre légal clair qui permet de conci­lier les diffé­rents inté­rêts légi­times et les droits à proté­ger. Il s’agit donc de déro­ger aux droits fonda­men­taux de certaines personnes pour proté­ger ceux d’autres. 

La CJUE souligne que les États membres doivent prévoir des règles claires et précises pour déro­ger à des droits fonda­men­taux, de manière à ce que « les personnes dont les données à carac­tère person­nel sont concer­nées disposent de garan­ties suffi­santes permet­tant de proté­ger effi­ca­ce­ment ces données contre les risques d’abus ». Le prin­cipe de la propor­tion­na­lité doit être respecté, le but de la déro­ga­tion aux droits fonda­men­taux étant la lutte contre la crimi­na­lité grave. Au niveau de l’aptitude, les données conser­vées doivent donc permettre de préve­nir, de détec­ter ou de pour­suivre des infrac­tions graves. Des ingé­rences graves dans les droits fonda­men­taux ne sont possibles que dans le but de lutter contre des infrac­tions graves. 

La CJUE distingue deux buts de l’art. 15 par. 1 Directive 2002/​58 permet­tant de limi­ter certains droits et obli­ga­tions de cette Directive. 

D’une part, l’objectif de sauve­garde de la sécu­rité natio­nale est le plus impor­tant. Il s’agit de proté­ger les fonc­tions essen­tielles de l’État et les inté­rêts fonda­men­taux de la société, en parti­cu­lier en luttant contre le terro­risme. S’il s’agit du but visé, il permet les ingé­rences les plus grandes dans les droits fonda­men­taux d’autrui. Ainsi, il est possible dans ce cas que la légis­la­tion natio­nale permette d’ordonner aux four­nis­seurs de services de télé­com­mu­ni­ca­tions, pendant une période limi­tée, mais renou­ve­lable, de procé­der à une conser­va­tion géné­ra­li­sée et indif­fé­ren­ciée des données de trafic et de loca­li­sa­tion lorsqu’une menace grave pour la sécu­rité natio­nale est réelle, actuelle ou prévi­sible. Cette déci­sion doit pouvoir faire l’objet d’un réexa­men.  

D’autre part, si l’objectif est de lutter contre la crimi­na­lité grave, seule une conser­va­tion ciblée des données et déli­mi­tée par des critères objec­tifs et non discri­mi­na­toires est possible. Par exemple, les États membres peuvent ordon­ner la conser­va­tion des données rela­tives à des personnes faisant l’objet d’une enquête ou d’autres mesures de surveillance actuelles ou dont le casier judi­ciaire indique une condam­na­tion pour des actes de crimi­na­lité grave pouvant impli­quer un risque élevé de réci­dive. Les données peuvent égale­ment être conser­vées lorsqu’elles se rapportent à un lieu géogra­phique déter­miné de manière objec­tive et non discri­mi­na­toire se trou­vant être le théâtre d’un nombre élevé d’actes de crimi­na­lité grave.

Les auto­ri­tés peuvent égale­ment conser­ver de manière géné­ra­li­sée et indif­fé­ren­ciée les adresses IP, égale­ment pour une période tempo­rel­le­ment limi­tée au strict néces­saire, les données rela­tives à l’identité civile des utilisateurs.

La CJUE indique en outre que, à la fois pour lutter contre la crimi­na­lité grave et pour sauve­gar­der la sécu­rité natio­nale, les États membres de l’Union euro­péenne peuvent adop­ter une légis­la­tion natio­nale leur permet­tant de prendre des déci­sions pour que les données de trafic et de loca­li­sa­tion soient stockées par les four­nis­seurs de services de commu­ni­ca­tions au-delà du délai légal après lequel celles-ci doivent être anony­mi­sées, pour une durée déter­mi­née. Les données concer­nant d’autres personnes que le prévenu, telles la victime et des personnes de son entou­rage, peuvent être conser­vées, dans la limite du strict nécessaire.

Enfin, l’accès à de telles données par les auto­ri­tés compé­tentes, en parti­cu­lier la police, doit faire l’objet d’une procé­dure stricte. La demande doit être moti­vée et un contrôle, juri­dic­tion­nel ou admi­nis­tra­tif indé­pen­dant, préa­lable à l’accès doit exis­ter. La Cour précise que ce contrôle ne peut pas être effec­tué par un minis­tère public. 

L’arrêt analysé contient des règles claires sur l’utilisation qui peut être faite des données liées aux commu­ni­ca­tions. Il rappelle l’importance des droits fonda­men­taux des personnes concer­nées et met l’accent sur la mise en balance des inté­rêts, néces­saire et préa­lable à toute conser­va­tion ou utili­sa­tion de ces données.

En droit suisse, la LSCPT (RS 780.1) est la base légale régis­sant la surveillance des télé­com­mu­ni­ca­tions. Une surveillance peut être mise en place dans le cadre d’une procé­dure pénale (art. 1^er al. 1 let. a LSCPT). Le Service de surveillance, une insti­tu­tion fédé­rale auto­nome, est chargé de la surveillance et exploite un système infor­ma­tique de trai­te­ment de données (art. 3 et 6 LSCPT). Il four­nit les rensei­gne­ments deman­dés aux auto­ri­tés compé­tentes et les four­nis­seurs de services de commu­ni­ca­tions sont tenus de colla­bo­rer (art. 15, 21 ss et 26ss LSCPT). L’ordon­nance mettant en appli­ca­tion la loi fait actuel­le­ment l’objet d’une révi­sion, commen­tée dans swissprivacy/​135.