Réutilisation de données personnelles – Les limitations de la directive vie privée et communications électroniques

, le 20 septembre 2023
La Cour statue sur l’utilisation ulté­rieure de données collec­tées sur la base de l’art. 15 direc­tive 2002/​58/​CE qui prévoit des excep­tions au prin­cipe de confi­den­tia­lité des commu­ni­ca­tions. Cette utili­sa­tion avait donné lieu à la révo­ca­tion des fonc­tions d’un procu­reur du parquet lituanien.

Arrêt de la Cour de justice de l’Union euro­péenne du 7 septembre 2023, C‑162/​22

La Cour de justice de l’Union euro­péenne (CJUE) est saisie d’une demande préju­di­cielle liée à l’interprétation de l’art. 15 par. 1 de la Directive 2002/​58/​CE du Parlement euro­péen et du Conseil, du 12 juillet 2002, concer­nant le trai­te­ment des données à carac­tère person­nel et la protec­tion de la vie privée dans le secteur des commu­ni­ca­tions élec­tro­niques (« direc­tive vie privée et commu­ni­ca­tions élec­tro­niques » ou « direc­tive 2002/​58 »).

Cet article porte sur les excep­tions au prin­cipe de la confi­den­tia­lité des commu­ni­ca­tions de l’art. 5 direc­tive 2002/​58, permet­tant aux États membre d’adopter des mesures légis­la­tives limi­tant les droits confé­rés par la direc­tive. Une telle limi­ta­tion est admise lorsqu’elle consti­tue une mesure néces­saire, appro­priée et propor­tion­née et qu’elle vise notam­ment à la sauve­garde d’intérêts publics, tels que la sécu­rité natio­nale, la préven­tion et la pour­suite d’infractions pénales.

Le cas à l’origine de cette demande préju­di­cielle concerne un procu­reur du parquet litua­nien démis de ses fonc­tions à la suite d’une enquête admi­nis­tra­tive à son encontre. Cette enquête a révélé que celui-ci avait illé­ga­le­ment fourni des infor­ma­tions à un suspect et à son avocat, dans le cadre d’une instruc­tion qu’il diri­geait contre ce même suspect.

La faute de service du requé­rant, appa­ren­tée à de la corrup­tion, a été décou­verte grâce aux données rela­tives au trafic et à la loca­li­sa­tion obte­nues lors d’opérations de rensei­gne­ment crimi­nel visant l’avocat du suspect de l’instruction. Ces opéra­tions ont révélé des commu­ni­ca­tions télé­pho­niques entre le procu­reur et l’avocat en cause. Une ordon­nance judi­ciaire a en effet été rendue pour auto­ri­ser l’interception et l’enregistrement du contenu des infor­ma­tions ache­mi­nées par des réseaux de commu­ni­ca­tions élec­tro­niques concer­nant l’avocat. Une autre ordon­nance a permis la même mesure de surveillance concer­nant l’ancien procureur.

Le parquet géné­ral a alors adopté deux décrets visant la révo­ca­tion des fonc­tions du procu­reur. Par la suite, l’ancien procu­reur a saisi le tribu­nal admi­nis­tra­tif régio­nal de Vilnius (Vilniaus apygra­dos admi­nis­tra­ci­nis teis­mas), deman­dant l’annulation des décrets.

Suite au rejet du recours par cette juri­dic­tion, le requé­rant a saisi la Cour admi­nis­tra­tive suprême de Lituanie (Lietuvos vyriau­sia­sis admi­nis­trat­ci­nis teis­mas). Il esti­mait en effet que

« […] l’accès par les organes de rensei­gne­ment, dans le cadre d’une opéra­tion de rensei­gne­ment crimi­nel, aux données rela­tives au trafic et au contenu même des commu­ni­ca­tions élec­tro­niques consti­tuait une atteinte aux droits fonda­men­taux d’une telle gravité que […] cet accès ne pouvait être octroyé qu’aux fins de la lutte contre des infrac­tions graves. »

Bien que plusieurs juris­pru­dences rendues la CJUE traitent de l’interprétation de l’art. 15 par. 1 direc­tive vie privée et commu­ni­ca­tions élec­tro­niques, la ques­tion rela­tive à l’utilisation ulté­rieure de données et de son inci­dence sur l’ingérence dans les droits fonda­men­taux n’aurait pas encore été abordée.

La Cour admi­nis­tra­tive suprême de Lituanie demande ainsi si la lutte contre les fautes de service appa­ren­tées à de la corrup­tion est à même de justi­fier une ingé­rence de telle gravité dans les droits fonda­men­taux consa­crés aux art. 7 et 8 de la Charte des droits fonda­men­taux de l’Union euro­péenne (« Charte ») permet­tant la conser­va­tion et l’accès à ces données.

La ques­tion se divise en deux parties : (1) la licéité de la conser­va­tion des données, et (2) la licéité de l’accès aux données par les autorités.

Sur la licéité de la conser­va­tion des données rela­tives au trafic et des données de loca­li­sa­tion, la CJUE rappelle que la direc­tive 2002/​58 :

« s’oppose à des mesures légis­la­tives prévoyant […] une conser­va­tion géné­ra­li­sée et indif­fé­ren­ciée des données rela­tives au trafic et des données de localisation »

Cependant, l’art. 15 par. 1 direc­tive 2002/​58 permet des excep­tions, sous la forme de mesures légis­la­tives (sur ce sujet : https://​swiss​pri​vacy​.law/​1​48/). Ces mesures doivent être précises et claires, permettre la conser­va­tion pour une durée limi­tée et être justi­fiées par un motif de sauve­garde tel que :

« la sécu­rité natio­nale, la défense et la sécu­rité publique, ou assu­rer la préven­tion, la recherche, la détec­tion et la pour­suite d’infractions pénales ou d’utilisations non auto­ri­sées du système de commu­ni­ca­tions électroniques. »

À ce titre, la CJUE rappelle que la liste des objec­tifs présen­tée ci-dessus est exhaus­tive et qu’il existe une hiérar­chie entre ceux-ci, liée à leur impor­tance et à l’importance de l’objectif qu’ils pour­suivent. En effet, ces objec­tifs doivent être mis en rela­tion avec la gravité de l’ingérence sur les droits fonda­men­taux des personnes concernées.

Il ressort de cette hiérar­chie que seule la lutte contre la crimi­na­lité grave et la préven­tion de menaces graves contre la sécu­rité publique peuvent justi­fier une conser­va­tion des données rela­tives au trafic et des données de loca­li­sa­tion et ainsi une ingé­rence grave aux droits fondamentaux.

Sur la ques­tion de l’accès aux données conser­vées par les four­nis­seurs de services de commu­ni­ca­tions élec­tro­niques sur la base de l’art. 15 par. 1 direc­tive 2002/​58, la juris­pru­dence a estimé que l’accès n’était possible que si

« l’importance de l’objectif pour­suivi par l’accès dépasse celle de l’objectif ayant justi­fié la conservation »

En l’espèce, bien que le cas vise une utili­sa­tion ulté­rieure des données, la CJUE estime que ces mêmes consi­dé­ra­tions s’appliquent. Or, la lutte contre des fautes de service appa­ren­tées à de la corrup­tion vise un objec­tif d’une impor­tance moindre.

Dès lors, la CJUE estime que la direc­tive 2002/​58 s’oppose à l’utilisation ulté­rieure des données collec­tées sur la base de son art. 15 par. 1, puisque que l’objectif visé est d’une impor­tance moindre et a pour consé­quence une ingé­rence trop impor­tante sur les droits fonda­men­taux de la personne concernée.

Cet arrêt présente des éléments inté­res­sants sur la pratique de conser­va­tion des données rela­tives au trafic et les données de loca­li­sa­tion. En effet, la CJUE rappelle que la conser­va­tion est possible mais doit être clai­re­ment enca­drées, notam­ment sur la durée de conser­va­tion et le type de données pouvant être conservées.

Sur l’aspect tempo­rel de la conser­va­tion, bien que la période doive être « limi­tée au strict néces­saire », aucune préci­sion n’est donnée.

En Suisse, la loi fédé­rale sur la surveillance de la corres­pon­dance par poste et télé­com­mu­ni­ca­tion (LSCPT, RS. 780.1) dispose que, sur demande du Service de surveillance, les four­nis­seurs de services de télé­com­mu­ni­ca­tion conservent les données secon­daires pendant 6 mois. Selon l’art. 8 let. b LSCPT, les données secon­daires englobent les données indi­quant qui, quand, combien de temps et d’où la personne surveillée a été ou est en commu­ni­ca­tion ainsi que les carac­té­ris­tiques tech­niques de la commu­ni­ca­tion considérée.



Proposition de citation : Charlotte Beck, Réutilisation de données personnelles – Les limitations de la directive vie privée et communications électroniques, 20 septembre 2023 in www.swissprivacy.law/253


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
swissprivacy.law