Le 20 septembre 2022, la Cour de justice de l’Union européenne (ci-après “CJUE”) s’est prononcée sur les conditions dans lesquelles les Etats membres sont autorisés à conserver les données relatives au trafic et à la localisation, et ce à des fins de surveillance[1].

La directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 relative au traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (ci-après “directive vie privée et communications électroniques”)[2] encadre à l’échelle européenne la conservation et le traitement de ce type de données.

Au sens de cette directive, les données relatives au trafic sont “toutes les données traitées en vue de l’acheminement d’une communication par un réseau de communications électroniques ou de sa facturation”[3]. Les données de localisation quant à elles, concernent “toutes les données traitées dans un réseau de communications électroniques ou par un service de communications électroniques indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communications électroniques accessible au public”[4].

Ce texte consacre le principe de la confidentialité des communications électroniques et des données de trafic afférentes^[5]. Ainsi il est interdit à toute personne autre que les utilisateurs de conserver, sans le consentement de ceux-ci, ces communications et ces données[6].

En outre, l’article 6 de la directive prévoit des règles d’effacement, d’anonymisation et de traitement des données visant à prévenir les abus[7].

Par ailleurs, la charte des droits fondamentaux de l’Union européenne garantit le droit au respect de la vie privée et familiale, du domicile et des correspondances[8], le droit à la protection des données à caractère personnel[9], et le droit à la liberté d’expression et d’information.

Toutefois, il est permis aux Etats membres d’adopter des mesures législatives visant à “limiter la portée” des droits et des obligations susmentionnés. Les mesures adoptées doivent cependant, être nécessaires, appropriées et proportionnées, et poursuivre une finalité de sauvegarde de la sécurité nationale telle que définie par l’article 15 de la directive, et ce, dans le respect des principes généraux du droit de l’Union des droits fondamentaux garantis par la Charte[10].

Dans ses deux arrêts rendus le 20 septembre 2022, la CJUE a eu à apprécier la conformité des législations françaises (affaires jointes C 339/20 et C 397/20) et allemandes (affaires jointes C793/19 et C794/19) au regard du cadre juridique européen relatif à la protection des données.

I. Les juridictions françaises et allemandes ont transmis plusieurs questions préjudicielles à la CJUE concernant l’interprétation de leur législation en matière de conservation des données

D’une part, dans le cadre d’une enquête diligentée par l’Autorité des marchés financiers (“AMF”) en France, cette dernière avait communiqué au juge d’instruction des données à caractère personnel issues d’appels téléphoniques effectuées par deux personnes physiques. Par la suite, des procédures pénales ont été engagées contre eux des chefs de délits d’initiés, de recel de délits d’initiés, de complicité, de corruption et de blanchiment[11].

Ces derniers ont contesté devant le Cour de cassation la validité de la collecte de leurs données, en ce qu’elle reposait sur des dispositions nationales qui ne sont pas conformes au droit de l’Union, et ne fixent aucune limite au pouvoir des enquêteurs de l’AMF de se faire communiquer les données conservées[12]. Les dispositions françaises en cause étaient l’article L.34-1 du Code des postes et des communications électroniques (ci-après “CPCE”), et l’article 6 de la loi pour la confiance de l’économie numérique (ci-après “LCEN”).

Le gouvernement français a soumis des observations à la CJUE aux termes desquelles, le droit européen permettrait au législateur national d’instituer “dans le chef des opérateurs de services de communications électroniques, une obligation de conservation généralisée et indifférenciée des données, afin de permettre à l’autorité compétente en matière financière de détecter et de sanctionner les opérations d’initiés”[13]. Selon lui, ces enregistrements seraient essentiels en matière de détection et de démonstration de l’existence d’une infraction. Ils permettraient en effet d’assurer l’efficacité des enquêtes et des poursuites effectuées par l’AMF, et de garantir l’intégrité des marchés financiers de l’Union[14].

D’autre part, dans l’affaire allemande, SpaceNet et Telekom Deutschland étaient des fournisseurs allemands de services d’accès à Internet. Ces derniers se voyaient imposer par la loi allemande sur les télécommunications (TKG) de conserver des données relatives au trafic et des données de localisation afférentes aux télécommunications de leurs clients[15]. Les fournisseurs de services allemands contestaient cette obligation de conservation[16].

Les dispositions françaises et allemandes prévoyaient une conservation généralisée et indifférenciée des données de trafic. L’objectif poursuivi par la législation française était de lutter contre les infractions d’abus de marché[17] alors que la législation allemande encadrait la lutte contre les infractions particulièrement graves et, la prévention d’un risque concret pour l’intégrité physique, la vie ou la liberté d’une personne ou bien pour l’existence de l’Etat fédéral ou d’un Land[18].

Les données conservées permettaient d’identifier l’utilisateur et le destinataire de la communication^[19]. Les données étaient notamment les numéros de téléphone, la date et l’heure de début et de la fin de la conversation, les indications relatives au service utilisé, et les adresses IP en cas de services de téléphonie par Internet[20].

En outre, en France, la LCEN autorisait les prestataires de services en ligne à conserver les données de nature à permettre l’identification de quiconque ayant contribué à la création de l’un des contenus dont elles sont prestataires[21].

Les données françaises devaient être conservées pendant un an, tandis que les données de trafic et de localisation allemandes devaient être conservées pendant dix et quatre semaines respectivement[22].

Dans les deux cas, ces données pouvaient être transmises aux autorités répressives compétentes à leur demande[23].

Dans les deux affaires, il était demandé à la Cour si une disposition nationale imposant aux opérateurs et fournisseurs de services de communications électroniques, de conserver de manière temporaire, généralisée et indifférenciée les données relatives au trafic et à la localisation des utilisateurs finaux, aux fins de la répression des infractions pénales graves ou de la prévention d’un risque concret pour la sécurité nationale, était contraire au droit de l’Union[24].

II. La CJUE confirme sa jurisprudence antérieure en matière de conservation des données de trafic et de localisation

Par ses deux arrêts du 20 septembre 2022[25], la CJUE a confirmé sa jurisprudence antérieure résultant notamment des arrêts “La quadrature du net” et “Tele2 Sverig et Watson” dans lesquels elle avait retenu que le droit européen s’oppose à ce qu’une réglementation nationale prévoit, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnées et utilisateurs des moyens de communications électroniques.

A cet égard, la CJUE retient que ni la directive 2006/3, ni le règlement n°596/2014[26], en permettant aux Etats membres de prendre les mesures requises pour faire bénéficier les autorités compétentes d’un ensemble “d’outils, de compétences et de ressources adéquates, ainsi que des pouvoirs de surveillance et d’enquête nécessaires pour assurer l’efficacité de leurs missions”[27], n’ont entendu permettre aux Etats membres de faire peser à la charge des opérateurs de services de communication électroniques, une obligation de conservation généralisée et indifférenciée des données de trafic[28].

Par ailleurs, les données conservées au titre de la législation française et de la législation allemande étaient nécessaires pour retrouver la source d’une communication et sa destination, la date, l’heure, la durée, le type de communication et le matériel de communication. Parmi ces données étaient conservés le nom, l’adresse de l’utilisateur et les numéros de téléphone de l’appelant et de l’appelé[29].

La CJUE a relevé que ces données permettraient alors d’avoir accès à des informations très précises concernant la vie privée des personnes dont les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires et les milieux sociaux fréquentés par la personne auxquelles les données appartiennent. Par conséquent, elles méconnaissent le droit à la protection de la vie privée, des correspondances et de la liberté d’expression[30].

Par ailleurs, la Cour a estimé que la violation subsiste indépendamment de la durée de conservation des données. En effet, cette conservation présente un caractère grave, dès lors que l’ensemble des données est susceptible de permettre de tirer des conclusions très précises concernant la vie privée des personnes concernées[31].

Par conséquent, la Cour a considéré que les législations françaises et allemandes imposant aux opérateurs de services de communications électroniques de procéder, à titre préventif, à une conservation généralisée et indifférenciée des données de trafic de l’ensemble des utilisateurs des moyens de communications électroniques, sans différenciation ni exception, excèdent les limites du strict nécessaire et ne sont pas justifiées dans une société démocratique[32].

Elle a en revanche estimé que la directive 2002/58/CE ne s’oppose pas à une conservation généralisée et indifférenciée sous certaines conditions en cas de menace grave et actuelle pour la sécurité nationale[33], en retenant que les Etats membres ont la possibilité d’imposer aux opérateurs et prestataires de procédure à une conservation rapide des données, sous certaines conditions, et notamment dans l’hypothèse d’une criminalité considérée comme “grave”[34].

Enfin, elle a souligné que l’accès aux données conservées doit être autorisé par une juridiction ou une autorité administrative indépendante[35].

En tout état de cause, ces mesures doivent assurer par “des règles claires et précises, que la conservation des données en cause est subordonnée au respect des conditions matérielles et procédurales y afférentes et que les personnes concernées disposent de garanties effectives contre les risques d’abus”[36].

S’il est trop tôt pour quantifier les répercussions de cette décision s’agissant des dispositions françaises, le secrétaire général de l’AMF a considéré qu’elle créait une “situation d’insécurité juridique quant à certains de[s] moyens d’actions [de l’AMF]” [37].