Par Patrick Canin, secrétaire général adjoint de la LDH
Sélection d’arrêts de la Cour de justice de l’Union européenne
Arrêt de la Cour de justice de l’Union européenne du 8 avril 2014 (Grande chambre), Digital Rights Ireland et Seitlinger e.a, requêtes C-293/12 et C-594/12
La Cour de justice de l’Union européenne était saisie, par voie de renvoi préjudiciel, par la Haute Cour d’Irlande et la Cour constitutionnelle d’Autriche. Le renvoi préjudiciel permet à une juridiction nationale d’interroger la Cour sur l’interprétation du droit de l’Union ou la validité d’un acte, règlement ou directive. La saisine était relative à la validité de la directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 « sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communication électroniques accessibles au public ou de réseaux publics de communication, et modifiant la directive 2002/58/CE ». La directive de 2006 avait pour objectif d’harmoniser les législations des Etats membres, en ce domaine, en vue de garantir la disponibilité de ces données à des fins de prévention, recherche, détection et poursuites des infractions graves, telles que définies par chaque Etat membre dans son droit interne. Etaient, en particulier, visées les infractions liées à la criminalité organisée et au terrorisme. A cette fin, la directive imposait aux fournisseurs de conserver les données relatives au trafic, les données de localisation et les données annexes nécessaires pour identifier l’abonné ou l’utilisateur. Seul le contenu des communications ne pouvait être conservé.
La question soulevée par les juridictions de renvoi était celle de la conformité de cette directive aux stipulations des articles 7 (respect de la vie privée), 8 (protection des données à caractère personnel) et 11 (liberté d’expression et d’information) de la Charte des droits fondamentaux de l’Union européenne, adoptée le 7 décembre 2000 et « adaptée » le 12 décembre 2007, et qui, aux termes du traité de Lisbonne, « a la même valeur juridique que les traités » (article 6.1 du traité sur l’Union européenne). La Cour juge que la directive du 15 mars 2006 est « invalide ».
Examinant d’abord la pertinence des articles précités de la Charte au regard de la question de la validité posée, la Cour relève que les données, prises dans leur ensemble, sont « susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ». La Cour considère, en conséquence, que cette directive, même si elle n’autorise pas la conservation du contenu de la communication et des informations consultées, peut avoir une incidence sur l’utilisation, par les abonnés ou les utilisateurs inscrits, des moyens de communication et donc sur l’exercice de leur liberté d’expression, garantie par l’article 11 de la Charte. De plus, la Cour estime que la conservation des données concerne « de manière directe et spécifique la vie privée » et, ainsi, les droits garantis par l’article 7 de la Charte. Enfin, la Cour juge qu’une telle conservation des données relève également de l’article 8 de la Charte en raison du fait qu’elle constitue un traitement des données à caractère personnel.
Ensuite, la Cour constate qu’en imposant la conservation des données et en autorisant l’accès des autorités nationales compétentes à celles-ci, la directive est constitutive d’une ingérence « particulièrement grave » dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte, et que même si cette ingérence pouvait être justifiée pour un motif d’intérêt général, à savoir la lutte contre la criminalité grave, le législateur de l’Union « a excédé les limites qu’impose le principe de proportionnalité au regard des articles 7, 8 et 52, paragraphe 1 de la Charte ». La Cour procède, en effet, à une analyse pertinente de la directive et relève en premier lieu, que celle-ci couvre, de manière généralisée, tous les abonnés et utilisateurs inscrits (donc « la quasi-totalité de la population européenne ») et tous les moyens de communication électronique, ainsi que l’ensemble des données relatives au trafic « sans qu’aucune différenciation, limitation ni exception soient opérées en fonction de l’objectif de lutte contre les infractions ». La généralité des termes de la directive est ainsi censurée par la Cour puisqu’elle avait vocation à s’appliquer même à des personnes pour lesquelles il n’existait aucun indice de nature à laisser croire que leur comportement avait un lien, « même indirect ou lointain » avec des infractions graves. En second lieu, la Cour relève que la directive n’instaure aucun critère objectif qui serait seul à même de limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données conservées au strict nécessaire au regard de l’objectif poursuivi. De plus, pour la Cour, la directive ne garantit pas que les autorités publiques nationales compétentes n’accèdent aux données et ne puissent les utiliser que dans les buts de prévention, détection ou poursuite des infractions particulièrement graves. La Cour constate, en outre, que la directive se contente de faire référence aux « infractions graves » définies par les droits internes, et qu’elle est silencieuse sur les procédures permettant aux autorités nationales d’avoir accès aux données et de les utiliser ultérieurement. Elle note, en particulier, que l’accès aux données n’est subordonné à aucun contrôle a priori d’une juridiction ou d’une autorité administrative indépendante. La Cour relève, enfin, que la durée de conservation des données n’est pas pertinente, que la directive ne garantit pas que soit appliqué par les fournisseurs un niveau particulièrement élevé de protection et de sécurité, dans la mesure où elle autorise ces fournisseurs à tenir compte de considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent, et que la directive n’impose pas que les données en cause soient conservées sur le territoire de l’Union. Autant de griefs qui ne pouvaient que conduire à l’invalidation de la directive en cause.
