Le 8 avril 2014, la Cour de Justice de l’Union européenne (CJUE) a publié un arrêt important dans les affaires jointes C‑293/12 et C‑594/12, par lequel elle déclare invalide la directive sur la conservation des données.
La directive sur la conservation des données de mars 2006 a pour objectif principal d’harmoniser les dispositions des États membres sur la conservation de certaines données générées ou traitées par les fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communication. Elle vise ainsi à garantir la disponibilité de ces données à des fins de prévention, de recherche, de détection et de poursuite des infractions graves, comme notamment les infractions liées à la criminalité organisée et au terrorisme. Ainsi, la directive prévoit que les fournisseurs précités doivent conserver les données relatives au trafic, les données de localisation ainsi que les données connexes nécessaires pour identifier l’abonné ou l’utilisateur. En revanche, elle n’autorise pas la conservation du contenu de la communication et des informations consultées.
La High Court (Haute Cour, Irlande) ainsi que le Verfassungsgerichtshof (Cour constitutionnelle, Autriche) avaient demandé à la Cour de justice d’examiner la validité de la directive, notamment à la lumière de deux droits fondamentaux garantis par la charte des droits fondamentaux de l’Union européenne, à savoir le droit fondamental au respect de la vie privée et le droit fondamental à la protection des données à caractère personnel.
La High Court doit trancher un litige qui oppose la société irlandaise Digital Rights aux autorités irlandaises au sujet de la légalité de mesures nationales portant sur la conservation de données relatives aux communications électroniques.
Le Verfassungsgerichtshof est saisi de plusieurs recours en matière constitutionnelle introduits par la Kärntner Landesregierung (gouvernement du Land de Carinthie) ainsi que par MM. Seitlinger, Tschohl et 11 128 autres requérants.
Ces recours visent à obtenir l’annulation de la disposition nationale qui transpose la directive en droit autrichien.
La Cour constate tout d’abord que les données à conserver permettent notamment de savoir avec quelle personne et par quel moyen un abonné ou un utilisateur inscrit a communiqué, de déterminer le temps de la communication ainsi que l’endroit à partir duquel celle-ci a eu lieu et de connaître la fréquence des communications de l’abonné ou de l’utilisateur inscrit avec certaines personnes pendant une période donnée. Ces données, prises dans leur ensemble, sont susceptibles de fournir des indications très précises sur la vie privée des personnes dont les données sont conservées, comme les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales et les milieux sociaux fréquentés.
La Cour estime qu’en imposant la conservation de ces données et en en permettant l’accès aux autorités nationales compétentes, la directive s’immisce de manière particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. En outre, le fait que la conservation et l’utilisation ultérieure des données sont effectuées sans que l’abonné ou l’utilisateur inscrit en soit informé est susceptible de générer dans l’esprit des personnes concernées le sentiment que leur vie privée fait l’objet d’une surveillance constante.
La Cour examine ensuite si une telle ingérence dans les droits fondamentaux en cause est justifiée. Elle constate que la conservation des données imposée par la directive n’est pas de nature à porter atteinte au contenu essentiel des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. En effet, la directive ne permet pas de prendre connaissance du contenu des communications électroniques en tant que tel et prévoit que les fournisseurs de services ou de réseaux doivent respecter certains principes de protection et de sécurité des données.
De plus, la conservation des données en vue de leur transmission éventuelle aux autorités nationales compétentes répond effectivement à un objectif d’intérêt général, à savoir la lutte contre la criminalité grave ainsi que, en définitive, la sécurité publique.
Toutefois, la Cour estime qu’en adoptant la directive sur la conservation des données, le législateur de l’Union a excédé les limites qu’impose le respect du principe de proportionnalité.
À cet égard, la Cour observe que, compte tenu, d’une part, du rôle important que joue la protection des données à caractère personnel au regard du droit fondamental au respect de la vie privée et, d’autre part, de l’ampleur et de la gravité de l’ingérence dans ce droit que comporte la directive, le pouvoir d’appréciation du législateur de l’Union s’avère réduit, de sorte qu’il convient de procéder à un contrôle strict.
Si la conservation des données imposée par la directive peut être considérée comme apte à réaliser l’objectif poursuivi par celle-ci, l’ingérence vaste et particulièrement grave de cette directive dans les droits fondamentaux en cause n’est pas suffisamment encadrée afin de garantir que cette ingérence soit effectivement limitée au strict nécessaire.
En effet, premièrement, la directive couvre de manière généralisée l’ensemble des individus, des moyens de communication électronique et des données relatives au trafic sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif de lutte contre les infractions graves.
Deuxièmement, la directive ne prévoit aucun critère objectif qui permettrait de garantir que les autorités nationales compétentes n’aient accès aux données et ne puissent les utiliser qu’aux seules fins de prévenir, détecter ou poursuivre pénalement des infractions susceptibles d’être considérées, au regard de l’ampleur et de la gravité de l’ingérence dans les droits fondamentaux en question, comme suffisamment graves pour justifier une telle ingérence. Au contraire, la directive se borne à renvoyer de manière générale aux « infractions graves » définies par chaque État membre dans son droit interne. De plus, la directive ne prévoit pas les conditions matérielles et procédurales dans lesquelles les autorités nationales compétentes peuvent avoir accès aux données et les utiliser ultérieurement. L‘accès aux données n’est notamment pas subordonné au contrôle préalable d’une juridiction ou d’une entité administrative indépendante.
Troisièmement, s’agissant de la durée de conservation des données, la directive impose une durée d’au moins six mois sans opérer une quelconque distinction entre les catégories de données en fonction des personnes concernées ou de l’utilité éventuelle des données par rapport à l’objectif poursuivi. En outre, cette durée se situe entre 6 mois au minimum et 24 mois au maximum, sans que la directive ne précise les critères objectifs sur la base desquels la durée de conservation doit être déterminée afin de garantir sa limitation au strict nécessaire.
La Cour constate par ailleurs que la directive ne prévoit pas de garanties suffisantes permettant d’assurer une protection efficace des données contre les risques d’abus ainsi que contre l’accès et l’utilisation illicites des données. Elle relève entre autres que la directive autorise les fournisseurs de services à tenir compte de considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent (notamment en ce qui concerne les coûts de mise en œuvre des mesures de sécurité) et qu’elle ne garantit pas la destruction irrémédiable des données au terme de leur durée de conservation.
La Cour critique enfin le fait que la directive n’impose pas une conservation des données sur le territoire de l’Union. Ainsi, la directive ne garantit pas pleinement le contrôle du respect des exigences de protection et de sécurité par une autorité indépendante, comme cela est pourtant explicitement exigé par la charte. Or, un tel contrôle, effectué sur la base du droit de l’Union, constitue un élément essentiel du respect de la protection des personnes à l’égard du traitement des données à caractère personnel.
La directive sur la conservation des données a été transposée au Luxembourg en juillet 2010. A la Chambre des députés, le DP avait voté contre, les Verts s’étaient abstenus. Le projet de loi avait été très controversé et le gouvernement, plusieurs fois admonesté par la Commission pour son retard à transposer la directive, avait à l’époque dû trouver un équilibre entre les nécessités de la poursuite d’infractions très graves et les droits des citoyens. Cette option fut discutée de manière très controversée lors du débat et du vote sur le projet 6113, qui transposait la directive, le 13 juillet 2010.
Le DP notamment avait été très sensibilisé par le fait qu’en Allemagne, la Cour constitutionnelle avait donné suite à une plainte déposée par 35 000 personnes et annulé le 2 mars 2010 la loi transposant cette directive. Les juges allemands avaient exigé que soient effacées toutes les données relatives aux télécommunications des citoyens qui ont été sauvegardées depuis 2008, jugeant leur stockage inconstitutionnel dans sa forme actuelle, et que cette conservation des données constituait une grave atteinte au droit à la protection de la vie privée.
Selon le ministre de la Justice luxembourgeois de l’époque, et actuel juge à la CJUE, François Biltgen, interpellé sur cet arrêt, la différence essentielle avec l’Allemagne résidait dans le fait qu'au Luxembourg, seules les autorités judiciaires ont un droit de regard sur les données stockées et ceci uniquement lorsqu'il y a poursuite d'infractions pénales qui entraînent une peine criminelle ou une peine correctionnelle de minimum un an ferme. Il avait par ailleurs proposé plus de garanties pour que cette règle soit respectée. Partant de là, le gouvernement avait accepté un réaménagement de son projet de loi, pour que le principe de proportionnalité soit garanti, notamment en ce qui concerne les infractions visées.
La directive aurait dû être mise en œuvre avant 2007, mais elle avait suscité des controverses dans plusieurs Etats membres. Outre celle de l’Allemagne, les cours constitutionnelles de la Roumanie et de la République Tchèque avaient soulevé des objections. En Belgique, la réticence avait aussi été grande. Un rapport commandé par la Commission européenne avait souligné toutes ces difficultés.
Au cours d’un débat fin octobre 2012 au Parlement européen, la commissaire Cecilia Malmström s'était vue confrontée aux critiques des députés européens sur la directive en question. Elle avait rétorqué que la conservation des données est "nécessaire pour protéger les gens", bien que pour une période limitée et sous réserve de confidentialité. Toutefois, elle avait admis que "certaines parties de la directive ont besoin d´être revues". Selon elle, une nouvelle directive devrait proposer l'harmonisation et la réduction de la durée de conservation des données, une liste des types de données qui peuvent être conservées, des normes minimales pour l'accès aux données et leur utilisation, ainsi qu'une une approche cohérente pour rembourser les frais induits pour les opérateurs. Une telle proposition n’a cependant pas été faite dans le cadre de la réforme de la protection des données, et notamment dans le cadre de la directive qui règle la circulation des données entre les autorités policières et judiciaires des divers États membres.
Finalement, ce sont les questions préjudicielles de la High Court de l’Irlande et de la Cour constitutionnelle de l’Autriche qui ont mené à l’invalidation de la directive.
Une des premières personnalités à réagir a été la commissaire européenne aux Affaires intérieures, Cecilia Malmström, fortement interpellée en 2012 au Parlement européen, qui a déclaré qu’elle travaillait sur une réforme de cette législation, mais aussi qu’elle attendait de connaître la décision de la Cour pour orienter ses propositions. "Je salue la clarté apportée par la Cour de justice (...), en ligne avec l'évaluation critique faite par la Commission", a-t-elle réagi à travers son compte Twitter.
Le député européen vert Jan Philipp Albrecht, rapporteur sur la réforme de la protection des données, a, dans un communiqué, de nouveau plaidé en faveur de l’abolition pure et simple de toute conservation sans motif des données des services de communications électroniques. Il juge l’arrêt de la Cour, prévisible depuis les conclusions de l’avocat général Cruz Villalón en décembre 2013, "libératoire" pour les droits fondamentaux dans l’UE. Les faits prouvent selon lui que la directive n’a pas rendu plus efficace la poursuite d’infractions graves au code pénal : «Cette ingérence profonde dans le droit humain à la protection des données et de la sphère privée est disproportionnée et il doit y être mis fin », conclut-il. Il déplore qu’il ait fallu autant de temps pour que la clarification juridique se fasse en la matière et reproche à la Commission "de continuer à insister sur la conservation des données et des mesures de surveillance sans aucun motif, par exemple des systèmes de données des passagers des compagnies aériennes".
Le ministre luxembourgeois de la Justice, Félix Braz, a lui aussi réagi en début de soirée du 8 avril. Pour lui, "l’arrêt de la CJUE est à saluer, car il vient de trancher sans équivoque une discussion vieille de plus de dix ans relative à la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communication. Cet arrêt met en évidence que pour la CJUE les règles relatives à la sécurité ne priment pas les droits relatifs à la protection de la vie privée et de la protection des données à caractère personnel." Et il ajoute: "L’arrêt de la CJUE souligne clairement que tous les droits fondamentaux des citoyens de l’Union européenne sont à respecter."
Félix Braz souligne que la CJUE ne s'est pas prononcée sur les dispositions concernant le droit national luxembourgeois en matière de conservation des données. Il en conclut que "la législation nationale, même si elle a été prise en son temps en application de la directive annulée, restera donc en place et continue à lier les opérateurs télécom." Et de préciser: "Toutefois, une analyse de fond de notre législation nationale doit être effectuée afin de déterminer rapidement si l’encadrement des droits fondamentaux dans notre législation peut être considéré comme suffisant par rapport aux exigences de la CJUE. Au Luxembourg, il s’agit notamment des questions de l’accès aux informations réservé aux autorités judiciaires et de la définition de la criminalité grave qui concerne des infractions pénales qui emportent une peine criminelle ou une peine correctionnelle dont le maximum est égal ou supérieur à un an d’emprisonnement."
Le ministre Braz précise que pour "pouvoir décider de la validité de notre loi par rapport aux exigences de la CJUE, un examen détaillé de l’arrêt et de ses conséquences sur notre législation nationale est actuellement en cours, impliquant l’ensemble des acteurs concernés par le sujet."
Partant de là, il a lancé "un appel pressant" aux institutions européennes afin qu'elles réagissent "rapidement" à cet arrêt.
Dans ce contexte, il insiste avant tout sur la finalisation urgente par le Conseil et le Parlement européen d’un régime général en matière de protection des données. Pour lui, il faut d'abord "définir un régime général qui mette en place un niveau de protection élevé et harmonisé avant de ne délimiter d’éventuelles dérogations dont la conservation des données ferait le cas échéant partie."