Analyse
23 novembre 2022

La CJUE limite la conservation généralisée des données en matière de surveillance

Le 20 septembre 2022, la Cour de justice de l’Union européenne a rendu deux arrêts concernant les conditions dans lesquelles les Etats membres sont autorisés à conserver les données relatives au trafic à des fins de surveillance. Ces décisions viennent notamment remettre en cause les dispositifs nationaux de la France et de l’Allemagne en la matière.

 

Le 20 septembre 2022, la Cour de justice de l’Union européenne (ci-après “CJUE”) s’est prononcée sur les conditions dans lesquelles les Etats membres sont autorisés à conserver les données relatives au trafic et à la localisation, et ce à des fins de surveillance[1].

La directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 relative au traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (ci-après “directive vie privée et communications électroniques”)[2] encadre à l’échelle européenne la conservation et le traitement de ce type de données.

Au sens de cette directive, les données relatives au trafic sont “toutes les données traitées en vue de l’acheminement d’une communication par un réseau de communications électroniques ou de sa facturation”[3]. Les données de localisation quant à elles, concernent “toutes les données traitées dans un réseau de communications électroniques ou par un service de communications électroniques indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communications électroniques accessible au public”[4].

Ce texte consacre le principe de la confidentialité des communications électroniques et des données de trafic afférentes[5]. Ainsi il est interdit à toute personne autre que les utilisateurs de conserver, sans le consentement de ceux-ci, ces communications et ces données[6].

En outre, l’article 6 de la directive prévoit des règles d’effacement, d’anonymisation et de traitement des données visant à prévenir les abus[7].

Par ailleurs, la charte des droits fondamentaux de l’Union européenne garantit le droit au respect de la vie privée et familiale, du domicile et des correspondances[8], le droit à la protection des données à caractère personnel[9], et le droit à la liberté d’expression et d’information.

Toutefois, il est permis aux Etats membres d’adopter des mesures législatives visant à “limiter la portée” des droits et des obligations susmentionnés. Les mesures adoptées doivent cependant, être nécessaires, appropriées et proportionnées, et poursuivre une finalité de sauvegarde de la sécurité nationale telle que définie par l’article 15 de la directive, et ce, dans le respect des principes généraux du droit de l’Union des droits fondamentaux garantis par la Charte[10].

Dans ses deux arrêts rendus le 20 septembre 2022, la CJUE a eu à apprécier la conformité des législations françaises (affaires jointes C 339/20 et C 397/20) et allemandes (affaires jointes C793/19 et C794/19) au regard du cadre juridique européen relatif à la protection des données.

 

I. Les juridictions françaises et allemandes ont transmis plusieurs questions préjudicielles à la CJUE concernant l’interprétation de leur législation en matière de conservation des données

D’une part, dans le cadre d’une enquête diligentée par l’Autorité des marchés financiers (“AMF”) en France, cette dernière avait communiqué au juge d’instruction des données à caractère personnel issues d’appels téléphoniques effectuées par deux personnes physiques. Par la suite, des procédures pénales ont été engagées contre eux des chefs de délits d’initiés, de recel de délits d’initiés, de complicité, de corruption et de blanchiment[11].

Ces derniers ont contesté devant le Cour de cassation la validité de la collecte de leurs données, en ce qu’elle reposait sur des dispositions nationales qui ne sont pas conformes au droit de l’Union, et ne fixent aucune limite au pouvoir des enquêteurs de l’AMF de se faire communiquer les données conservées[12]. Les dispositions françaises en cause étaient l’article L.34-1 du Code des postes et des communications électroniques (ci-après “CPCE”), et l’article 6 de la loi pour la confiance de l’économie numérique (ci-après “LCEN”).

Le gouvernement français a soumis des observations à la CJUE aux termes desquelles, le droit européen permettrait au législateur national d’instituer “dans le chef des opérateurs de services de communications électroniques, une obligation de conservation généralisée et indifférenciée des données, afin de permettre à l’autorité compétente en matière financière de détecter et de sanctionner les opérations d’initiés”[13]. Selon lui, ces enregistrements seraient essentiels en matière de détection et de démonstration de l’existence d’une infraction. Ils permettraient en effet d’assurer l’efficacité des enquêtes et des poursuites effectuées par l’AMF, et de garantir l’intégrité des marchés financiers de l’Union[14].

D’autre part, dans l’affaire allemande, SpaceNet et Telekom Deutschland étaient des fournisseurs allemands de services d’accès à Internet. Ces derniers se voyaient imposer par la loi allemande sur les télécommunications (TKG) de conserver des données relatives au trafic et des données de localisation afférentes aux télécommunications de leurs clients[15]. Les fournisseurs de services allemands contestaient cette obligation de conservation[16].

Les dispositions françaises et allemandes prévoyaient une conservation généralisée et indifférenciée des données de trafic. L’objectif poursuivi par la législation française était de lutter contre les infractions d’abus de marché[17] alors que la législation allemande encadrait la lutte contre les infractions particulièrement graves et, la prévention d’un risque concret pour l’intégrité physique, la vie ou la liberté d’une personne ou bien pour l’existence de l’Etat fédéral ou d’un Land[18].

Les données conservées permettaient d’identifier l’utilisateur et le destinataire de la communication[19]. Les données étaient notamment les numéros de téléphone, la date et l’heure de début et de la fin de la conversation, les indications relatives au service utilisé, et les adresses IP en cas de services de téléphonie par Internet[20].

En outre, en France, la LCEN autorisait les prestataires de services en ligne à conserver les données de nature à permettre l’identification de quiconque ayant contribué à la création de l’un des contenus dont elles sont prestataires[21].

Les données françaises devaient être conservées pendant un an, tandis que les données de trafic et de localisation allemandes devaient être conservées pendant dix et quatre semaines respectivement[22].

Dans les deux cas, ces données pouvaient être transmises aux autorités répressives compétentes à leur demande[23].

Dans les deux affaires, il était demandé à la Cour si une disposition nationale imposant aux opérateurs et fournisseurs de services de communications électroniques, de conserver de manière temporaire, généralisée et indifférenciée les données relatives au trafic et à la localisation des utilisateurs finaux, aux fins de la répression des infractions pénales graves ou de la prévention d’un risque concret pour la sécurité nationale, était contraire au droit de l’Union[24].

 

II. La CJUE confirme sa jurisprudence antérieure en matière de conservation des données de trafic et de localisation

Par ses deux arrêts du 20 septembre 2022[25], la CJUE a confirmé sa jurisprudence antérieure résultant notamment des arrêts “La quadrature du net” et “Tele2 Sverig et Watson” dans lesquels elle avait retenu que le droit européen s’oppose à ce qu’une réglementation nationale prévoit, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnées et utilisateurs des moyens de communications électroniques.

A cet égard, la CJUE retient que ni la directive 2006/3, ni le règlement n°596/2014[26], en permettant aux Etats membres de prendre les mesures requises pour faire bénéficier les autorités compétentes d’un ensemble “d’outils, de compétences et de ressources adéquates, ainsi que des pouvoirs de surveillance et d’enquête nécessaires pour assurer l’efficacité de leurs missions”[27], n’ont entendu permettre aux Etats membres de faire peser à la charge des opérateurs de services de communication électroniques, une obligation de conservation généralisée et indifférenciée des données de trafic[28].

Par ailleurs, les données conservées au titre de la législation française et de la législation allemande étaient nécessaires pour retrouver la source d’une communication et sa destination, la date, l’heure, la durée, le type de communication et le matériel de communication. Parmi ces données étaient conservés le nom, l’adresse de l’utilisateur et les numéros de téléphone de l’appelant et de l’appelé[29].

La CJUE a relevé que ces données permettraient alors d’avoir accès à des informations très précises concernant la vie privée des personnes dont les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires et les milieux sociaux fréquentés par la personne auxquelles les données appartiennent. Par conséquent, elles méconnaissent le droit à la protection de la vie privée, des correspondances et de la liberté d’expression[30].

Par ailleurs, la Cour a estimé que la violation subsiste indépendamment de la durée de conservation des données. En effet, cette conservation présente un caractère grave, dès lors que l’ensemble des données est susceptible de permettre de tirer des conclusions très précises concernant la vie privée des personnes concernées[31].

Par conséquent, la Cour a considéré que les législations françaises et allemandes imposant aux opérateurs de services de communications électroniques de procéder, à titre préventif, à une conservation généralisée et indifférenciée des données de trafic de l’ensemble des utilisateurs des moyens de communications électroniques, sans différenciation ni exception, excèdent les limites du strict nécessaire et ne sont pas justifiées dans une société démocratique[32].

Elle a en revanche estimé que la directive 2002/58/CE ne s’oppose pas à une conservation généralisée et indifférenciée sous certaines conditions en cas de menace grave et actuelle pour la sécurité nationale[33], en retenant que les Etats membres ont la possibilité d’imposer aux opérateurs et prestataires de procédure à une conservation rapide des données, sous certaines conditions, et notamment dans l’hypothèse d’une criminalité considérée comme “grave”[34].

Enfin, elle a souligné que l’accès aux données conservées doit être autorisé par une juridiction ou une autorité administrative indépendante[35].

En tout état de cause, ces mesures doivent assurer par “des règles claires et précises, que la conservation des données en cause est subordonnée au respect des conditions matérielles et procédurales y afférentes et que les personnes concernées disposent de garanties effectives contre les risques d’abus”[36].

S’il est trop tôt pour quantifier les répercussions de cette décision s’agissant des dispositions françaises, le secrétaire général de l’AMF a considéré qu’elle créait une “situation d’insécurité juridique quant à certains de[s] moyens d’actions [de l’AMF]” [37].

 

Contenu similaire

Publication
Livre blanc - L'enquête interne en matière sociale
15 juillet 2022
Livre blanc Enquête interne en matière sociale
L’appréhension par la matière sociale de l’enquête interne. Dans le contexte du développement de la pratique de l’enquête interne ces dernières années en Fra...
Analyse
Lobbying les obligations déclaratives des représentants d’intérêts en France
14 juillet 2022
Lobbying : Les obligations déclaratives des représentants d’intérêts en France
Mise en lumière des obligations déclaratives imposées aux représentants d’intérêts en France, prévues par la loi n° 2013-907 du 11 octobre 2013 modifiée par la...
Revue de presse
Revue de presse - Semaine du 21 novembre 2022
25 novembre 2022
Revue de presse – Semaine du 21 novembre 2022
Cette semaine vous découvrirez l’ouverture d’une enquête préliminaire du parquet national financier pour détournement de fonds publics. Par ailleurs, vous trouver...
Événement
Ifaci demain en main - vignette
24 novembre 2022
Table ronde – Allégations & Enquêtes
Stéphane de Navacelle participera à la conférence annuelle de l'IFACI " Demain en mains " sur le thème Allégations - Enquêtes, lundi 28 novembre 2022.
Analyse
21 novembre 2022
CJIP Crédit Suisse pour blanchiment aggravé de fraude fiscale et démarchage illicite
Le Crédit Suisse échappe aux poursuites judiciaires et accepte le paiement d’une amende d’intérêt public de 123 000 000 d’euros dans le cadre de la 13ème CJIP ...
Revue de presse
Revue de presse - Semaine du 14 novembre 2022
18 novembre 2022
Revue de presse – Semaine du 14 novembre 2022
Cette semaine vous découvrirez trois évènements marquants : la première condamnation en France d’un ancien chef rebelle libérien par la cour d’assises de Paris, ...
Analyse
Autorité de la concurrence - Google
18 novembre 2022
Les récentes sanctions de Google par l’Autorité de la concurrence : serveurs publicitaires et droits voisins
En 2021, l’Autorité de la concurrence a infligé plusieurs amendes à Google pour s’être livré à des pratiques anticoncurrentielles liées d’une part à la rém...
Événement
17 novembre 2022
Identification des acteurs contractuels de la Compliance
Julie Zorrilla est intervenu à la Colloque "Contrat et compliance : les acteurs et leurs stratégies" à l'Université de Nîmes.
Événement
17 novembre 2022
Cambridge Forum : L’assistance juridique mutuelle s’est dévoyée !
Pourquoi se préoccuper des traités d'entraide judiciaire quand le droit local est mondial et que les procureurs échangent des informations sur WhatsApp ?
Revue de presse
Revue de presse - Semaine du 7 novembre 2022
14 novembre 2022
Revue de presse – Semaine du 7 novembre 2022
Cette semaine, vous trouverez des précisions apportées par la Cour de cassation sur la légalité d’une extradition d’un ressortissant de l’Union européenne vers...
Événement
9 novembre 2022
Webinaire : Une approche comparative du secret professionnel dans les procédures pénales
Stéphane de Navacelle est intervenu lors du webinaire Mondaq /Monfrini Bitton Klein sur le "secret professionnel et le "attorney-client privilege" dans les procédures p...
Analyse
7 novembre 2022
La mise en œuvre du cumul de sanctions pénales et fiscales
Si le principe du cumul de sanctions pénales et fiscales est désormais admis, sa mise en œuvre est encadrée par des conditions qui doivent faire l’objet d’une mot...
Revue de presse
Revue de presse - Semaine du 31 octobre 2022
4 novembre 2022
Revue de presse – Semaine du 31 octobre 2022
Cette semaine vous trouverez des précisions sur les nouvelles méthodes du parquet national antiterroriste adoptées pour enquêter sur des crimes de guerre en Ukraine. ...
Revue de presse
Revue de presse - Semaine du 24 octobre 2022
28 octobre 2022
Revue de presse – Semaine du 24 octobre 2022
Cette semaine vous découvrirez plusieurs évènements importants sur le plan judiciaire. En effet, une convention judiciaire d’intérêt public ("CJIP") entre le Créd...