Dans un arrêt du 20 septembre 20221, la Cour de Justice de l’Union Européenne (CJUE) a confirmé sa jurisprudence qui s’oppose à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation (ou « Métadonnées »), sauf en cas de menace grave pour la sécurité nationale.
Cet arrêt est l’occasion de revenir brièvement sur la jurisprudence de la CJUE qui s’est déjà prononcée à plusieurs reprises sur la question (1) et d’étudier les apports du dernier arrêt de la CJUE qui a examiné la conformité au droit de l’Union européenne de la législation allemande sur les télécommunications (TKG) (2).
Ces dernières années, la CJUE s’est prononcées dans plusieurs arrêts, sur la conservation et l’accès aux données à caractère personnel dans le domaine des communications électroniques.
L’idée qui préside aux décisions rendues par la CJUE concernant la directive 2002/58/CE du 12 juillet 2022, dite « vie privée et communication électronique » ou « ePrivacy » est que les utilisateurs des moyens de communications électroniques au sein de l’Union européenne sont en droit de s’attendre, en principe, à ce que leurs communications et les données y afférentes restent anonymes et ne puissent pas faire l’objet d’un enregistrement, sauf s’ils y consentent.
Par un arrêt du 8 avril 2014, Digital Rights Ireland2, la CJUE a déclaré l’invalidité de la directive 2006/24/CE sur la conservation de données aux fins de facilitation des enquêtes pénales, au motif que celle-ci prévoyait une ingérence disproportionnée dans les droits garantis par la Charte des droits fondamentaux de l’Union européenne3.
La CJUE a ensuite donné une grille de lecture pour l’application de l’article 15, paragraphe 1, de la directive 2002/58 qui admet des dérogations à l’obligation de garantir la confidentialité des communications et les données y afférentes.
Dans son arrêt du 21 décembre 2016, Tele2 Sverige et Watson4, confirmé par l’arrêt du 2 octobre 2018, Ministerio Fiscal5, la CJUE a ensuite jugé que l’article 15, paragraphe 1, de la directive 2002/58/CE s’opposait à une réglementation nationale prévoyant la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation aux fins de la lutte contre la criminalité grave.
En 2018, certaines juridictions d’Etats membres, dont la France et la Belgique, se sont adressés à la CJUE en faisant part de leurs doutes sur la question de savoir si ces arrêts étaient susceptibles de déposséder les autorités étatiques d’un instrument nécessaire à la sauvegarde de la sécurité nationale et à la lutte contre la criminalité et le terrorisme.
Ces demandes ont donné lieu aux arrêts Privacy International6 et La Quadrature du Net du 6 octobre 20207, qui ont confirmé la jurisprudence Tele2 Sverige.
La Cour a ainsi maintenu l’interdiction de principe de l’obligation de conservation généralisée et indifférenciée de données relatives au trafic et à la localisation. En revanche, elle introduit une exception pour les situations dans lesquelles un Etat membre fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, celui-ci peut déroger à l’obligation d’assurer la confidentialité des données afférentes aux communications électroniques en imposant, par des mesures législatives, une conservation généralisée et indifférenciée de ces données pour une durée temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace.
SpaceNet et Telekom Deutschland fournissent, en Allemagne, des services d’accès à Internet accessibles au public, Telekom Deutschland fournissant, en outre, des services téléphoniques.
Elles ont contesté devant les juridictions allemandes la législation allemande sur les télécommunications (TKG), prévoyant l’obligation, pour les fournisseurs de services de communication électroniques accessibles au public de conserver, notamment aux fins de la répression des infractions pénales graves ou de la prévention d’un risque concret pour la sécurité nationale, la conservation généralisée et indifférenciée, pour une durée de plusieurs semaines (4 à 10 semaines), de l’essentiel des données relatives au trafic et des données de localisation de leurs clients.
La question posée en substance était de savoir si une conservation généralisée et indifférenciée serait acceptable lorsque la durée de conservation est limitée à quelques semaines seulement et que des règles strictes de protection des données sont mises en place.
La CJUE a répondu à la Cour administrative fédérale allemande que le droit de l’Union s’oppose à une législation nationale prévoyant, à titre préventif, aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation.
En revanche, la CJUE a rappelé que le droit de l’Union ne s’oppose pas à une législation nationale :
S’agissant de la législation allemande TKG, la CJUE l’a jugée contraire au droit de l’Union et a relevé que l’obligation de conservation prévue qui s’étend à un ensemble très large de données relatives au trafic et de données de localisation conservées pendant, respectivement, 10 et 4 semaines, peut permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données sont conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci, et, en particulier, d’établir un profil desdites personnes.
NB : En France, la conservation des données de localisation et de trafic de l’utilisateur8 d’un service de communication électronique intervient dans les conditions et aux fins spécifiques prévues par l’article L.34-1 du Code des Postes et des Communications Electroniques (CPCE), à savoir pour des motifs tenant à la sauvegarde de la sécurité nationale, lorsqu’est constatée une menace grave, actuelle ou prévisible, contre cette dernière et sur injonction du Premier ministre, pour une durée d’un an9.
Les opérateurs de communication électronique sont également tenus de conserver les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, pour une durée d’un an à compter de la connexion ou de l’utilisation des équipements terminaux, pour des motifs tenant à la lutte contre la criminalité et la délinquance grave, la prévention des menaces graves contre la sécurité publique et la sauvegarde de la sécurité nationale10.
1 Affaires jointes C-793/19 et C-794/19.
2 Aff. C-293/12 et C-594/12.
3 Articles 7 (Respect de la vie privée et familiale) et 8 (Protection des données à caractère personnel) de la Charte des droits fondamentaux de l’Union européenne.
4 Aff. C-203/15 et C-698/15
5 Aff. C-207/16.
6 Aff. C-623/17.
7 Aff. C-511/18, C-512/18 et C-520/18.
8 L’article R.10-13 du CPCE, modifié par décret n°2021-1361 du 20 octobre 2021, définie les catégories de données concernées.
9 Article L.34-1 III. du CPCE.
10 Article L.34-1 II bis. – 3° du CPCE.
