Conservation et accès aux données de connexion

Contrôle de proportionnalité de la CJUE

Dans le prolongement de sa jurisprudence Digital Rights (affaires jointes C-293/12 et C-594/12, 8 avril 2014), la CJUE a définitivement endossé un nouveau rôle de gardien du respect des libertés individuelles en renforçant son contrôle de proportionnalité dans le domaine des données de connexion.

Dans les affaires jointes C-203/15 Tele2 et C-698/15 Secretary of State for the Home Department (21 décembre 2016), la Cour, réunie en grande chambre, a ainsi rappelé que le droit de l’Union s’oppose à une réglementation nationale prévoyant une conservation généralisée et indifférenciée des données de connexion par les opérateurs de communication électronique.  La CJUE siégeant en assemblée plénière, en grande chambre (quinze juges, pour les affaires particulièrement importantes) a considéré que la conservation des données de connexion doit être justifiée par des critères objectifs (e.g existence de soupçons d’activités terroristes,  condamnation antérieure de la personne mise sous surveillance ….) et demande aux Etats de fortes garanties procédurales (contrôle du juge judiciaire, destruction des données de connexion après une certaine durée, absence de transfert hors de l’union européenne …).

Une réglementation nationale qui ne requiert pas de relation entre les données dont la conservation est prévue et une menace pour la sécurité publique et qui ne se limite notamment pas à prévoir une conservation des données afférentes à une période temporelle et/ou une zone géographique et/ou un cercle de personnes susceptibles d’être mêlées à une infraction grave, excède les limites du strict nécessaire et ne saurait être considérée comme étant justifiée dans une société démocratique.

Confidentialité des communications électroniques

La protection de la confidentialité des communications électroniques et des données relatives au trafic s’applique aux mesures prises par toute personne autre que les utilisateurs, qu’il s’agisse de personnes ou d’entités privées ou d’entités étatiques. La protection du droit fondamental au respect de la vie privée exige que les dérogations à la protection des données à caractère personnel s’opèrent dans les limites du strict nécessaire.

L’ingérence résultant d’une réglementation nationale prévoyant la conservation des données relatives au trafic et des données de localisation doit donc être considérée comme particulièrement grave. Le fait que la conservation des données est effectuée sans que les utilisateurs des services de communications électroniques n’en soient informés est susceptible de générer, dans l’esprit des personnes concernées, le sentiment que leur vie privée fait l’objet d’une surveillance constante. Par conséquent, seule la lutte contre la criminalité grave est susceptible de justifier une telle ingérence.

Conditions de mise en place

Le droit européen ne s’oppose pas à une réglementation nationale imposant une conservation ciblée des données à des fins de lutte contre la criminalité grave, à condition qu’une telle conservation soit, en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue, limitée au strict nécessaire.

Toute réglementation nationale allant dans ce sens doit être claire et précise et prévoir des garanties suffisantes afin de protéger les données contre les risques d’abus. Elle doit indiquer les circonstances et conditions dans lesquelles une mesure de conservation des données peut, à titre préventif, être prise, de manière à garantir que l’ampleur de cette mesure soit, en pratique, effectivement limitée au strict nécessaire.

Une telle réglementation doit être fondée sur des éléments objectifs permettant de viser les personnes dont les données sont susceptibles de présenter un lien avec des actes de criminalité grave, de contribuer à la lutte contre la criminalité grave ou de prévenir un risque grave pour la sécurité publique.

Conditions de l’accès aux données de connexion

S’agissant de l’accès des autorités nationales compétentes aux données conservées, la   réglementation nationale peut pas se limiter à exiger que l’accès réponde à l’un des objectifs du droit européen (lutte contre le terrorisme, crime grave …) mais doit également prévoir les conditions matérielles et procédurales régissant l’accès des autorités nationales compétentes aux données conservées.

Cette réglementation doit se fonder sur des critères objectifs pour définir les circonstances et les conditions dans lesquelles l’accès aux données de connexion doit être accordé.

1^er niveau : les crimes graves

Un accès ne saurait en principe être accordé, s’agissant de l’objectif de lutte contre la criminalité, qu’aux données de personnes soupçonnées de projeter, de commettre ou d’avoir commis une infraction grave ou encore d’être impliquées d’une manière ou d’une autre dans une telle infraction.

2^ème  niveau : le terrorisme

Dans des situations particulières, telles que celles dans lesquelles des intérêts vitaux de la sécurité nationale, de la défense ou de la sécurité publique sont menacés par des activités de terrorisme, l’accès aux données d’autres personnes peut être accordé lorsqu’il existe des éléments objectifs permettant de considérer que ces données pourraient, dans un cas concret, apporter une contribution effective à la lutte contre de telles activités.

Contrôle du juge judiciaire

La CJUE a également considéré qu’il était essentiel que l’accès aux données conservées soit, sauf en cas d’urgence, i) subordonné à un contrôle préalable effectué par le juge judiciaire et ii) que les personnes concernées soient informées de cette surveillance.

La réglementation nationale doit enfin prévoir que les données soient conservées sur le territoire de l’Union et qu’elles soient irrémédiablement détruites au terme de la durée de leur conservation.

Compatibilité du droit français

Le droit européen ne s’oppose pas à ce qu’un État membre adopte une réglementation permettant, à titre préventif, la conservation ciblée des données relatives au trafic et des données de localisation, à des fins de lutte contre la criminalité grave mais cette faculté est reconnue à la condition que la conservation des données soit, en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue, limitée au strict nécessaire.

Le (prochain) Gouvernement français ne pourra donc pas faire l’économie de se pencher sur la question de la compatibilité du droit français (code de la sécurité intérieure) avec la nouvelle dimension européenne du droit au respect de la vie privée.

En particulier, il conviendra de vérifier si les dispositions du code de la sécurité intérieure i) conditionnent la conservation et l’accès aux données de connexion à une relation entre les données dont la conservation est prévue et une menace pour la sécurité publique, ii) limitent la   conservation des données de connexion aux cas d’infractions graves, iii) limitent la durée de conservation des données de connexion, iv) limitent les zones géographiques de surveillance ou le cercle de personnes susceptibles d’être mêlées à une infraction grave. En tout état de cause, la preuve d’éléments objectifs justifiant une conservation des données de connexion  devra être établie.

[toggles class="yourcustomclass"]

[toggle title="Télécharger la Décision" class="in"]Télécharger [/toggle][toggle title="Poser une Question"]Poser une question sur cette thématique, la rédaction ou un abonné vous apportera une réponse en moins de 48h[/toggle][toggle title="Paramétrer une Alerte"]Paramétrer une alerte jurisprudentielle, pour être informé par email lorsqu'une décision est rendue sur ce thème[/toggle][toggle title="Commander un Casier judiciaire"]Commander un bilan judiciaire sur l'une des personnes morales citées dans cette affaire (ou sur toute autre personne morale).[/toggle][acc_item title="Reproduction"]Copier ou transmettre ce contenu[/toggle][toggle title="Vous avez traité un dossier similaire?"]Maître [/toggle]

[/toggles]