[Brèves] Opposition du droit de l’UE à une conservation généralisée et indifférenciée des données de trafic et de localisation

► Le droit de l’Union européenne s’oppose à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, sauf en cas de menace grave pour la sécurité nationale ;

Pour lutter contre la criminalité grave, les États membres peuvent toutefois, dans le strict respect du principe de proportionnalité, prévoir notamment une conservation ciblée et/ou rapide de telles données ainsi qu’une conservation généralisée et indifférenciée des adresses IP.

Fais et procédure. Deux fournisseurs d’accès à internet (FAI) ont contesté devant les juridictions allemandes l’obligation qui leur est imposée par la loi allemande sur les télécommunications (TKG) de conserver, à compter du 1^er juillet 2017, des données relatives au trafic et des données de localisation afférentes aux télécommunications de leurs clients.

Hormis certaines exceptions, la TKG impose aux FAI, notamment aux fins de la répression des infractions pénales graves ou de la prévention d’un risque concret pour la sécurité nationale, la conservation généralisée et indifférenciée, pour une durée de plusieurs semaines, de l’essentiel des données relatives au trafic et des données de localisation des utilisateurs finals.

La Cour administrative fédérale allemande a donc présenté  deux demandes de décision préjudicielle.

Décision. La CJUE, réunie en grande chambre, confirme, tout en précisant sa portée, la jurisprudence issue de l’arrêt « La Quadrature du Net e.a. » (CJUE, 6 octobre 2020, aff. jointes C‑511/18, C‑512/18 et C‑520/18 N° Lexbase : A78303WW), et, plus récemment, de l’arrêt « Commissioner of An Garda Síochána e.a. » (CJUE, 5 avril 2022, aff. C‑140/20 N° Lexbase : A10957TQ). Elle rappelle notamment que la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation afférentes aux communications électroniques n’est pas autorisée, à titre préventif, aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique.

La Cour relève, notamment, qu’une menace pour la sécurité nationale doit être réelle et actuelle ou, à tout le moins, prévisible. Une telle menace se distingue par sa nature, sa gravité et le caractère spécifique des circonstances qui la constituent, du risque général et permanent de survenance de tensions ou de troubles, même graves, à la sécurité publique ou celui d’infractions pénales graves. Ainsi, la criminalité, même particulièrement grave, ne peut être assimilée à une menace pour la sécurité nationale.

En revanche, selon la Cour, la Directive « ePrivacy » (Directive n° 2002/58, du 12 juillet 2002 N° Lexbase : L6515A43), ne s’oppose pas à des mesures législatives nationales permettant, aux fins de la sauvegarde de la sécurité nationale, le recours à une injonction faite aux fournisseurs de services de communications électroniques de procéder à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, dans des situations où l’État membre concerné fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible.

Elle ne s’oppose pas non plus à des mesures législatives nationales prévoyant, aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation ciblée des données relatives au trafic et des données de localisation qui soit délimitée, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique, pour une période temporellement limitée au strict nécessaire, mais renouvelable.

Il en est de même pour ce qui est des mesures législatives nationales prévoyant, aux même fins, une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion, pour une période temporellement limitée au strict nécessaire, ainsi que des données relatives à l’identité civile des utilisateurs de moyens de communications électroniques, dont il est constant que la conservation est susceptible de contribuer à la lutte contre la criminalité grave, pour autant que ces données permettent d’identifier les personnes ayant utilisé de tels moyens dans le contexte de la préparation ou de la commission d’un acte relevant de la criminalité grave.

Il n’en va pas différemment pour ce qui est des mesures législatives nationales permettant, aux fins de la lutte contre la criminalité grave et, a fortiori, de la sauvegarde de la sécurité nationale, le recours à une injonction faite aux fournisseurs de services de communications électroniques, au moyen d’une décision de l’autorité compétente soumise à un contrôle juridictionnel effectif, de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont disposent ces fournisseurs de services.

Cependant, la Cour indique que toutes les mesures susmentionnées doivent assurer, par des règles claires et précises, que la conservation des données en cause est subordonnée au respect des conditions matérielles et procédurales y afférentes et que les personnes concernées disposent de garanties effectives contre les risques d’abus. Ces différentes mesures peuvent, selon le choix du législateur national et tout en respectant les limites du strict nécessaire, être appliquées conjointement.

© Reproduction interdite, sauf autorisation écrite préalable