Dans un arrêt rendu le 8 avril dernier, la Cour de justice a invalidé la directive 2006/24/CE du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications. A noter que cette directive a, en France, été transposée en droit français par un décret du 24 mars 2006.
La directive sur la conservation de données en substance
La directive 2006/24/CE met à la charge des fournisseurs de communications électroniques de conserver les données relatives au trafic, les données de localisation ainsi que les données connexes nécessaires pour identifier les abonnés ou les utilisateurs sans toutefois conserver le contenu même des échanges. Ces données doivent concourir à l’objectif de prévention, de recherche, de détection et de poursuite des infractions graves, comme notamment les infractions liées à la criminalité organisée et au terrorisme, poursuivi par chacun des Etats membres. Ces données sont d’une grande précision car elles permettent notamment de savoir avec quelle personne et par quel moyen un abonné ou un utilisateur a communiqué, de déterminer le temps de la communication ainsi que l’endroit à partir duquel celle-ci a eu lieu et de connaître la fréquence des communications de l’abonné ou de l’utilisateur inscrit avec certaines personnes pendant une période donnée.
L’arme de la Cour de justice : le contrôle de proportionnalité
La Cour de justice a procédé à une analyse pour le moins classique afin de déterminer si au regard de la finalité poursuivie, l’ingérence dans les droits fondamentaux des personnes prévue par la directive pouvait être justifiée. En d’autres termes, la Cour de justice a procédé à un contrôle de proportionnalité. La Haute juridiction souligne que ce n’est pas la conservation des données qui, en elle-même, porte atteinte au droit à la vie privée des personnes et au droit des personnes à la protection de leurs données personnelles (notamment garantis par la Charte des droits fondamentaux de l’Union européenne). En revanche, elle estime que le législateur européen n’a pas instauré suffisamment de garanties en s’appuyant sur les griefs suivants :
- la directive couvre de manière indifférenciée l’ensemble des citoyens européens, l’ensemble des moyens de communication électronique et l’ensemble des données concernant le trafic constaté. La Cour souligne d’ailleurs que les communications soumises, en vertu du droit national, au secret professionnel sont aussi concernées ;
- la directive n’apporte aucune garantie sur le fait que l’accès aux données sera strictement limité et qu’elles ne seront utilisées par les autorités nationales qu’aux seules fins de poursuite des auteurs d’infractions graves. Or, c’est précisément cette gravité qui permettrait de justifier l’ingérence dans les droits fondamentaux des personnes ;
- la directive impose aux opérateurs de conserver les données pendant une durée comprise entre six mois et vingt-quatre mois à compter de la date de la communication sans définir le critère permettant de définir la durée de conservation applicable à chaque catégorie de données personnelles ;
- la directive n’impose pas aux opérateurs de conserver les données des personnes sur le territoire de l’Union européenne ce qui n’est pas de nature à garantir la sécurité des données.
Quelles sont les conséquences de cet arrêt ?
La Cour de justice n’a pas tranché le litige à l’occasion duquel elle a été saisie. Elle ne se prononce que sur la validité de la directive. Il appartiendra aux juridictions nationales de trancher les litiges en la matière, en tant compte de la position de la Cour de justice, dans l’attente d’une nouvelle version de la directive.