Analyse
23 novembre 2022

La CJUE limite la conservation généralisée des données en matière de surveillance

Le 20 septembre 2022, la Cour de justice de l’Union européenne a rendu deux arrêts concernant les conditions dans lesquelles les Etats membres sont autorisés à conserver les données relatives au trafic à des fins de surveillance. Ces décisions viennent notamment remettre en cause les dispositifs nationaux de la France et de l’Allemagne en la matière.

 

Le 20 septembre 2022, la Cour de justice de l’Union européenne (ci-après “CJUE”) s’est prononcée sur les conditions dans lesquelles les Etats membres sont autorisés à conserver les données relatives au trafic et à la localisation, et ce à des fins de surveillance[1].

La directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 relative au traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (ci-après “directive vie privée et communications électroniques”)[2] encadre à l’échelle européenne la conservation et le traitement de ce type de données.

Au sens de cette directive, les données relatives au trafic sont “toutes les données traitées en vue de l’acheminement d’une communication par un réseau de communications électroniques ou de sa facturation”[3]. Les données de localisation quant à elles, concernent “toutes les données traitées dans un réseau de communications électroniques ou par un service de communications électroniques indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communications électroniques accessible au public”[4].

Ce texte consacre le principe de la confidentialité des communications électroniques et des données de trafic afférentes[5]. Ainsi il est interdit à toute personne autre que les utilisateurs de conserver, sans le consentement de ceux-ci, ces communications et ces données[6].

En outre, l’article 6 de la directive prévoit des règles d’effacement, d’anonymisation et de traitement des données visant à prévenir les abus[7].

Par ailleurs, la charte des droits fondamentaux de l’Union européenne garantit le droit au respect de la vie privée et familiale, du domicile et des correspondances[8], le droit à la protection des données à caractère personnel[9], et le droit à la liberté d’expression et d’information.

Toutefois, il est permis aux Etats membres d’adopter des mesures législatives visant à “limiter la portée” des droits et des obligations susmentionnés. Les mesures adoptées doivent cependant, être nécessaires, appropriées et proportionnées, et poursuivre une finalité de sauvegarde de la sécurité nationale telle que définie par l’article 15 de la directive, et ce, dans le respect des principes généraux du droit de l’Union des droits fondamentaux garantis par la Charte[10].

Dans ses deux arrêts rendus le 20 septembre 2022, la CJUE a eu à apprécier la conformité des législations françaises (affaires jointes C 339/20 et C 397/20) et allemandes (affaires jointes C793/19 et C794/19) au regard du cadre juridique européen relatif à la protection des données.

 

I. Les juridictions françaises et allemandes ont transmis plusieurs questions préjudicielles à la CJUE concernant l’interprétation de leur législation en matière de conservation des données

D’une part, dans le cadre d’une enquête diligentée par l’Autorité des marchés financiers (“AMF”) en France, cette dernière avait communiqué au juge d’instruction des données à caractère personnel issues d’appels téléphoniques effectuées par deux personnes physiques. Par la suite, des procédures pénales ont été engagées contre eux des chefs de délits d’initiés, de recel de délits d’initiés, de complicité, de corruption et de blanchiment[11].

Ces derniers ont contesté devant le Cour de cassation la validité de la collecte de leurs données, en ce qu’elle reposait sur des dispositions nationales qui ne sont pas conformes au droit de l’Union, et ne fixent aucune limite au pouvoir des enquêteurs de l’AMF de se faire communiquer les données conservées[12]. Les dispositions françaises en cause étaient l’article L.34-1 du Code des postes et des communications électroniques (ci-après “CPCE”), et l’article 6 de la loi pour la confiance de l’économie numérique (ci-après “LCEN”).

Le gouvernement français a soumis des observations à la CJUE aux termes desquelles, le droit européen permettrait au législateur national d’instituer “dans le chef des opérateurs de services de communications électroniques, une obligation de conservation généralisée et indifférenciée des données, afin de permettre à l’autorité compétente en matière financière de détecter et de sanctionner les opérations d’initiés”[13]. Selon lui, ces enregistrements seraient essentiels en matière de détection et de démonstration de l’existence d’une infraction. Ils permettraient en effet d’assurer l’efficacité des enquêtes et des poursuites effectuées par l’AMF, et de garantir l’intégrité des marchés financiers de l’Union[14].

D’autre part, dans l’affaire allemande, SpaceNet et Telekom Deutschland étaient des fournisseurs allemands de services d’accès à Internet. Ces derniers se voyaient imposer par la loi allemande sur les télécommunications (TKG) de conserver des données relatives au trafic et des données de localisation afférentes aux télécommunications de leurs clients[15]. Les fournisseurs de services allemands contestaient cette obligation de conservation[16].

Les dispositions françaises et allemandes prévoyaient une conservation généralisée et indifférenciée des données de trafic. L’objectif poursuivi par la législation française était de lutter contre les infractions d’abus de marché[17] alors que la législation allemande encadrait la lutte contre les infractions particulièrement graves et, la prévention d’un risque concret pour l’intégrité physique, la vie ou la liberté d’une personne ou bien pour l’existence de l’Etat fédéral ou d’un Land[18].

Les données conservées permettaient d’identifier l’utilisateur et le destinataire de la communication[19]. Les données étaient notamment les numéros de téléphone, la date et l’heure de début et de la fin de la conversation, les indications relatives au service utilisé, et les adresses IP en cas de services de téléphonie par Internet[20].

En outre, en France, la LCEN autorisait les prestataires de services en ligne à conserver les données de nature à permettre l’identification de quiconque ayant contribué à la création de l’un des contenus dont elles sont prestataires[21].

Les données françaises devaient être conservées pendant un an, tandis que les données de trafic et de localisation allemandes devaient être conservées pendant dix et quatre semaines respectivement[22].

Dans les deux cas, ces données pouvaient être transmises aux autorités répressives compétentes à leur demande[23].

Dans les deux affaires, il était demandé à la Cour si une disposition nationale imposant aux opérateurs et fournisseurs de services de communications électroniques, de conserver de manière temporaire, généralisée et indifférenciée les données relatives au trafic et à la localisation des utilisateurs finaux, aux fins de la répression des infractions pénales graves ou de la prévention d’un risque concret pour la sécurité nationale, était contraire au droit de l’Union[24].

 

II. La CJUE confirme sa jurisprudence antérieure en matière de conservation des données de trafic et de localisation

Par ses deux arrêts du 20 septembre 2022[25], la CJUE a confirmé sa jurisprudence antérieure résultant notamment des arrêts “La quadrature du net” et “Tele2 Sverig et Watson” dans lesquels elle avait retenu que le droit européen s’oppose à ce qu’une réglementation nationale prévoit, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnées et utilisateurs des moyens de communications électroniques.

A cet égard, la CJUE retient que ni la directive 2006/3, ni le règlement n°596/2014[26], en permettant aux Etats membres de prendre les mesures requises pour faire bénéficier les autorités compétentes d’un ensemble “d’outils, de compétences et de ressources adéquates, ainsi que des pouvoirs de surveillance et d’enquête nécessaires pour assurer l’efficacité de leurs missions”[27], n’ont entendu permettre aux Etats membres de faire peser à la charge des opérateurs de services de communication électroniques, une obligation de conservation généralisée et indifférenciée des données de trafic[28].

Par ailleurs, les données conservées au titre de la législation française et de la législation allemande étaient nécessaires pour retrouver la source d’une communication et sa destination, la date, l’heure, la durée, le type de communication et le matériel de communication. Parmi ces données étaient conservés le nom, l’adresse de l’utilisateur et les numéros de téléphone de l’appelant et de l’appelé[29].

La CJUE a relevé que ces données permettraient alors d’avoir accès à des informations très précises concernant la vie privée des personnes dont les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires et les milieux sociaux fréquentés par la personne auxquelles les données appartiennent. Par conséquent, elles méconnaissent le droit à la protection de la vie privée, des correspondances et de la liberté d’expression[30].

Par ailleurs, la Cour a estimé que la violation subsiste indépendamment de la durée de conservation des données. En effet, cette conservation présente un caractère grave, dès lors que l’ensemble des données est susceptible de permettre de tirer des conclusions très précises concernant la vie privée des personnes concernées[31].

Par conséquent, la Cour a considéré que les législations françaises et allemandes imposant aux opérateurs de services de communications électroniques de procéder, à titre préventif, à une conservation généralisée et indifférenciée des données de trafic de l’ensemble des utilisateurs des moyens de communications électroniques, sans différenciation ni exception, excèdent les limites du strict nécessaire et ne sont pas justifiées dans une société démocratique[32].

Elle a en revanche estimé que la directive 2002/58/CE ne s’oppose pas à une conservation généralisée et indifférenciée sous certaines conditions en cas de menace grave et actuelle pour la sécurité nationale[33], en retenant que les Etats membres ont la possibilité d’imposer aux opérateurs et prestataires de procédure à une conservation rapide des données, sous certaines conditions, et notamment dans l’hypothèse d’une criminalité considérée comme “grave”[34].

Enfin, elle a souligné que l’accès aux données conservées doit être autorisé par une juridiction ou une autorité administrative indépendante[35].

En tout état de cause, ces mesures doivent assurer par “des règles claires et précises, que la conservation des données en cause est subordonnée au respect des conditions matérielles et procédurales y afférentes et que les personnes concernées disposent de garanties effectives contre les risques d’abus”[36].

S’il est trop tôt pour quantifier les répercussions de cette décision s’agissant des dispositions françaises, le secrétaire général de l’AMF a considéré qu’elle créait une “situation d’insécurité juridique quant à certains de[s] moyens d’actions [de l’AMF]” [37].

 

Contenu similaire

Publication
27 février 2024
Nouvelles obligations de reporting en matière de durabilité pour les entreprises françaises : quelles sont...
Navacelle revient pour The Legal Industry Reviews sur la transposition de la Corporate Sustainability Reporting Directive (CSRD) en France par...
Publication
The discreet ramping up of environmental criminal law
5 décembre 2023
La discrète montée en puissance du droit pénal de l’environnement
Navacelle revient pour The Legal Industry Reviews sur la récente et progressive application effective du droit pénal de l’environnement par...
Analyse
UBS
17 novembre 2023
Saga UBS : 2e réévaluation de la sanction financière historique infligée à la banque suisse...
Le 15 novembre 2023, dans le cadre de la saga UBS ayant débutée le 20 février 2019, les juges du...
Revue de presse
19 avril 2024
Revue de presse – Semaine du 15 avril 2024
Cette semaine, la revue de presse revient sur la publication du bilan 2023 de TRACFIN sur les déclarations de soupçons...
Analyse
16 avril 2024
Rappel du “dispositif anti-cadeaux” applicable aux acteurs opérant dans le milieu de la santé dans...
Le “dispositif anti-cadeaux” prévu par le code de la santé publique interdit aux acteurs opérant dans le milieu de la...
Revue de presse
12 avril 2024
Revue de presse – Semaine du 8 avril 2024
Cette semaine, la revue de presse revient sur le procès des Panama Papers ouvert ce lundi 8 avril, la condamnation...
Revue de presse
5 avril 2024
Revue de presse – Semaine du 1er avril 2024
Cette semaine, la revue de presse revient sur la condamnation de l’ancien dirigeant de la plateforme de cryptomonnaies FTX par...
Revue de presse
29 mars 2024
Revue de presse – Semaine du 25 mars 2024
Cette semaine, la revue de presse revient sur l’ouverture de procédures à l’encontre de Google, Apple et Meta par la...
Revue de presse
22 mars 2024
Revue de presse – Semaine du 18 mars 2024
Cette semaine, la revue de presse revient sur le rapport de la Cour des comptes concernant la situation financière de...
Revue de presse
15 mars 2024
Revue de presse – Semaine du 11 mars 2024
Cette semaine, la revue de presse revient sur l’application par l’AMF de deux orientations émanant de l’Autorité bancaire européenne, l’adoption...
Actualité
11 mars 2024
Webinaire : Le rôle de l’avocat enquêteur
Stéphane de Navacelle et Julie Zorrilla ont animé une session de formation pour le webinaire du Barreau Entrepreneurial organisé par...
Revue de presse
8 mars 2024
Revue de presse – Semaine du 4 mars 2024
Cette semaine, la revue de presse revient sur la condamnation d’Apple à une amende de 1.8 milliard d’euros par la...
Revue de presse
1 mars 2024
Revue de presse – Semaine du 26 février 2024
Cette semaine, la revue de presse revient sur l’adoption par Washington de nouvelles sanctions contre la Russie, l’implication d’un agent...
Publication
29 février 2024
L’enquête interne façonnée par la déontologie de l’avocat
Contribution de Laura Ragazzi, Julie Zorrilla et Stéphane de Navacelle à l'ouvrage Compliance et droits de la défense, pour les...
Actualité
29 février 2024
Compliance et droits de la défense : Enquête interne, CJIP, CRPC – Éditions Dalloz
L'ouvrage Compliance et droits de la défense, pour les Éditions Dalloz - Lefebvre Dalloz et le Journal of Regulation &...