Dans ses conclusions présentées le 12 décembre 2013, l’avocat général, M. Pedro Cruz Villalón, estime que la directive sur la conservation des données est dans son ensemble incompatible avec l’exigence, consacrée par la charte des droits fondamentaux de l’Union européenne, selon laquelle toute limitation de l’exercice d’un droit fondamental doit être prévue par la loi. Il propose, toutefois, de tenir en suspens les effets du constat d’invalidité pour que le législateur de l’Union puisse prendre, dans un délai raisonnable, les mesures nécessaires pour remédier à l’invalidité constatée.

Selon l’avocat général, la directive constitue une ingérence caractérisée dans le droit fondamental des citoyens au respect de la vie privée, en établissant une obligation pour les fournisseurs de services de communications téléphoniques ou électroniques de collecter et de conserver les données de trafic et de localisation de ces communications, mais non, en revanche, leur contenu, c’est-à-dire les informations communiquées elles-mêmes.

L’avocat général souligne, à cet égard, que l’exploitation de ces données peut permettre l’établissement d’une cartographie aussi fidèle qu’exhaustive d’une fraction importante des comportements d’une personne relevant strictement de sa vie privée, voire d’un portrait complet et précis de son identité privée. Il existe, par ailleurs, un risque accru que les données conservées ne soient utilisées à des fins illicites, potentiellement attentatoires à la vie privée ou, plus largement, frauduleuses, voire malveillantes. En effet, les données ne sont pas conservées par les autorités publiques, ni même sous leur contrôle direct, mais par les fournisseurs de services de communications électroniques eux-mêmes. De plus, la directive ne prévoit pas que les données doivent être conservées sur le territoire d’un État membre. Ces données, peuvent, par conséquent, être accumulées dans des lieux indéterminés du cyberespace.

Au regard de cette ingérence caractérisée, la directive aurait dû, tout d’abord, définir les principes fondamentaux qui devaient régir la définition des garanties minimales encadrant l’accès aux données collectées et conservées ainsi que leur exploitation.

Ainsi, il appartenait, estime l’avocat général, au législateur de l’Union, notamment, d’orienter la description des activités criminelles susceptibles de justifier l’accès des autorités nationales compétentes aux données collectées et conservées avec un degré de précision allant au-delà de celles d’"infractions graves".

Il aurait été nécessaire qu’il orientât la réglementation par les États membres de l’autorisation d’accès aux données collectées et conservées, en limitant celui-ci si ce n’est aux seules autorités judiciaires, à tout le moins, à des autorités indépendantes, ou encore, à défaut, en soumettant toute demande d’accès au contrôle des autorités judiciaires ou d’autorités indépendantes et qu’il imposât un examen au cas par cas des demandes d’accès aux fins de limiter les données communiquées au strict nécessaire.

Il pouvait, de même, être attendu qu’il posât comme principe la possibilité pour les États membres de prévoir des exceptions à l’accès aux données conservées dans certaines circonstances exceptionnelles, voire les conditions renforcées d’accès dans les hypothèses dans lesquelles un tel accès est susceptible de porter atteinte aux droits fondamentaux garantis par la Charte, comme dans le contexte du droit au secret médical.

Le législateur de l’Union aurait dû poser le principe de l’obligation, pour les autorités autorisées à accéder aux données, d’une part, de les effacer une fois leur utilité épuisée et, d’autre part, d’informer les personnes concernées dudit accès, à tout le moins a posteriori, une fois écarté tout risque que cette information puisse porter atteinte à l’efficacité des mesures justifiant l’exploitation desdites données.

Or, la directive ‒ qui d’ailleurs ne réglemente pas l’accès aux données collectées et conservées ni leur exploitation ‒ renvoie aux États membres le soin de définir et d’établir ces garanties.

De ce fait, la directive ne respecte pas l’exigence, prévue par la Charte, que toute limitation de l’exercice d’un droit fondamental soit prévue par la loi. En effet, cette condition va au-delà d’une exigence purement formelle.

Ainsi, lorsque le législateur de l’Union adopte, comme dans le cas de la directive sur la conservation des données, un acte imposant des obligations constitutives d’ingérences caractérisées dans les droits fondamentaux des citoyens de l’Union, il doit assumer sa part de responsabilité en définissant, à tout le moins, les principes devant présider à la définition, à l’établissement, à l’application et au contrôle du respect des garanties nécessaires. L’avocat général souligne, à cet égard, que la directive sur la conservation de données n’est pas une directive qui harmonise simplement des dispositions invariablement adoptées par la généralité des États membres, mais établit elle-même une obligation de conservation de données.

C’est précisément cet encadrement qui prévoit une obligation qui permet d’apprécier la portée de ce que l’ingérence dans le droit fondamental implique concrètement et qui peut donc rendre cette dernière constitutionnellement supportable ou pas.

L’avocat général, M. Cruz Villalón, estime, ensuite, que la directive sur la conservation des données est incompatible avec le principe de proportionnalité en ce qu’elle impose aux États membres de garantir qu’elles soient conservées pendant une durée dont la limite supérieure est fixée à deux ans.

Il estime que cette directive poursuit une fin ultime parfaitement légitime, à savoir garantir la disponibilité des données collectées et conservées aux fins de la recherche, de la détection et de la poursuite d’infractions graves, et peut être considérée comme adéquate et même, sous réserve des garanties dont elle devrait être assortie, comme nécessaire à la réalisation de cet objectif.

Toutefois, l’avocat général n’a trouvé, dans les différentes prises de position soumises à la Cour de justice, défendant la proportionnalité de la durée de la conservation des données, aucune justification suffisante pour que la durée de conservation des données à établir par les États membres doive ne pas demeurer dans une limite inférieure à une année.

En ce qui concerne les effets dans le temps de l’invalidité constatée, l’avocat général propose, après mise en balance des différents intérêts en présence, de tenir en suspens les effets du constat d’invalidité de la directive, le temps que le législateur de l’Union puisse prendre les mesures nécessaires pour remédier à l’invalidité constatée, étant précisé que ces mesures doivent intervenir dans un délai raisonnable.

Il observe, à cet égard, que la pertinence et même l’urgence des fins ultimes de la restriction des droits fondamentaux en cause n’est, d’un côté, pas douteuse. Les invalidités constatées sont, d’un autre côté, d’une nature singulière. D’une part, la directive est invalide du fait de l’absence d’encadrement suffisant des garanties régissant l’accès aux données collectées et conservées et leur exploitation (qualité de la loi), laquelle peut toutefois avoir trouvé correction dans le cadre des mesures de transposition adoptées par les États membres. D’autre part, les États membres ont, de façon générale, ainsi qu’il ressort des éléments fournis à la Cour, exercé leurs compétences avec modération pour ce qui est de la durée maximale de conservation des données.

Le contexte de la procédure

Les conclusions de ce jour sont présentées dans le cadre de deux procédures préjudicielles initiées respectivement par la High Court of Ireland (Irlande) et le Verfassungsgerichtshof (Cour constitutionnelle, Autriche).

La High Court doit trancher un litige entre Digital Rights Ireland Ltd, une société à responsabilité limitée dont l’objet statutaire est de promouvoir et protéger les droits civiques et les droits de l’homme, en particulier dans l’univers des technologies de communication modernes, et les autorités irlandaises. Dans le cadre de ce litige, Digital Rights, qui déclare être propriétaire d’un téléphone portable, fait valoir que les autorités irlandaises ont illégalement traité, conservé et contrôlé les données afférentes à ses communications.

Le Verfassungsgerichtshof doit trancher les trois recours formés respectivement par le gouvernement du Land de Carinthie, M. Michael Seitlinger et par 11 130 requérants, qui font valoir que la loi autrichienne sur les télécommunications est contraire à la constitution autrichienne.

La réaction du rapporteur au Parlement européen de la réforme européenne de la protection des données, Jan Philipp Albrecht

Le député européen Vert allemand Jan Philipp Albrecht, rapporteur au Parlement de la réforme européenne de la protection des données personnelles, estime dans une réaction publiée dans la foulée des conclusions de l’avocat général que celles-ci constituent "un acte libératoire en faveur des droits fondamentaux en Europe". Elles rendent "évidentes" le fait que "la conservation sans aucun motif de données personnelles enfreint clairement le droit humain à la protection des données personnelles et de la vie privée tout comme contre le principe de la présomption d’innocence." Pour Jan Philipp Albrecht, la  conservation des données doit être abrogée dans les meilleurs délais dans toute l’UE.“ Dès que la CJUE aura pris son arrêt définitif, "la surveillance de masse appartiendra enfin à l’Histoire", estime le député européen, qui regrette qu’il ait fallu autant de temps pour arriver à clarifier juridiquement cette question. Il s’en prend dans la foulée à la Commission européenne qui demande entre autres avec le PNR européen d’autres mesures de surveillance et de conservation des données concernant les citoyens.