L’invalidation de la directive sur la conservation des données actée par l’arrêt de la Cour de Justice de l’Union européenne (CJUE) du 8 avril 2014 pourrait avoir des effets considérables sur d’autres dispositifs nationaux ou internationaux de conservation des données similaires, tels les accords PNR, que la Commission européenne pourrait bien devoir remettre sur l’ouvrage.

C’est là l’une des conclusions d’une étude commanditée par le groupe des Verts/ALE au Parlement européen et réalisée par le Prof. Dr. Franziska Boehm de l’Université de Münster et le Prof. Dr. Mark D. Cole de l’Université du Luxembourg, et qui a été publiée le 23 juillet 2014.

Le contexte

Pour mémoire, préparée suite aux attentats de Madrid, la directive sur la conservation des données (DCD) de mars 2006 avait pour objectif principal d’harmoniser les dispositions des États membres sur la conservation de certaines données générées ou traitées par les fournisseurs de services de communications électroniques.

Elle visait ainsi à garantir la disponibilité de ces données à des fins de prévention, de recherche, de détection et de poursuite des infractions graves, notamment les infractions liées à la criminalité organisée et au terrorisme, en prévoyant l’obligation pour les fournisseurs précités de conserver un certain nombre de données de leurs clients pour une durée de 6 à 24 mois.

Or le 8 avril 2014, la CJUE, saisie de plusieurs recours, l’avait déclarée invalide. Si elle considérait que la conservation imposée par la directive pouvait être considérée comme apte à réaliser l’objectif poursuivi par celle-ci, la Cour soulignait que "l’ingérence vaste et particulièrement grave de cette directive dans les droits fondamentaux en cause n’est pas suffisamment encadrée afin de garantir que cette ingérence soit effectivement limitée au strict nécessaire".

Une annulation "complète et rétrospective" qui s'oppose "à la nature générale et indifférenciée" de mesures de conservation des données prévues par la directive

Dans leur étude, les deux chercheurs se sont en conséquence penchés sur les implications du jugement de la CJUE ainsi que sur l’impact de son arrêt sur d'autres mesures de conservation des données au niveau des États membres ainsi que de l'UE. Et selon eux, il s’agit là d’un "arrêt clé" qui implique "des conséquences majeures" sur l’équilibre entre les droits relatifs à la protection des données et à la vie privée d'une part, et, d'autre part, l'application de la loi dans l'UE et ses États membres.

D’abord, en prononçant son annulation "complète et rétrospective", le jugement met l'accent "sur la gravité de la violation des droits fondamentaux" qu’engendre la directive, estiment les deux chercheurs. Ceux-ci relèvent qu’il s'oppose ainsi "à la nature générale et indifférenciée de mesures de conservation des données telles que prévues dans la directive" et qu’il donne "des précisions importantes quant à la relation entre les articles 7 (respect de la vie privée et familiale) et 8 (protection des données à caractère personnel) de la Charte des droits fondamentaux ainsi que sur leur portée".

Ensuite, en se référant aux garanties de la Convention européenne des droits de l’Homme (CEDH) et à son interprétation dans la jurisprudence de la Cour européenne des droits de l’Homme dans le contexte de mesures de conservation des données, la CJUE "lie irréversiblement" les deux ordres juridiques, celui de l’UE et celui du Conseil de l’Europe, de manière encore plus étroite que par le passé, poursuit l’étude.

En conséquence, elle ouvre selon les chercheurs la possibilité d'interpréter l'article 8 de la CEDH (respect de sa vie privée et familiale, du domicile et de la correspondance) et les articles 7 et 8 de la Charte de façon parallèle. Dès lors, "les déclarations de la Cour se réfèrent non seulement au cas singulier de la DCD, mais elles établissent aussi des principes généraux pour les mesures de conservation des données similaires", estiment les auteurs de l’étude.

Parmi ces principes généraux établis par l’arrêt de la CJUE, les auteurs en relèvent six principaux :

• La collecte, la conservation et le transfert de données constituent des infractions aux articles 7 et 8 de la Charte et exigent le respect d’une stricte nécessité et du critère de proportionnalité ;
• La Cour rejette clairement le principe de conservation des données de personnes non suspectes ainsi que celui d'une période de conservation indéfinie ou trop longue ;
• La Cour juge que la conservation de données recueillies à l'origine à d'autres fins et utilisées plus tard à des fins d’application de la loi pose un "problème sensible". Elle estime ainsi nécessaire l’existence d’un lien entre une menace pour la sécurité publique et les données conservées à ces fins ;
• Le lien requis entre menace et données à conserver influence significativement la relation entre les acteurs privés et publics. Les autorités chargées de l’application de la loi ne peuvent ainsi accéder aux données recueillies à d'autres fins que dans des cas spécifiques ;
• La Cour exige explicitement des règles procédurales efficaces, notamment une supervision indépendante ainsi qu’un contrôle d'accès ;
• La collecte et l'utilisation des données à des fins d’application de la loi entraînent un risque de stigmatisation découlant de l'inclusion de données dans des bases de données dédiées.

Les systèmes nationaux de conservation des données contestables devant les tribunaux

L’analyse de l'impact sur les mesures de conservation des données dans les Etats membres montre par ailleurs, selon les chercheurs, que "les mesures nationales de transposition de la DCD doivent être modifiés si elles contiennent des dispositions proches de celles de la directive désormais vidée de sa substance". L’étude estime qu’il existe "un lien étroit" entre les normes de la Charte et les mesures des États membres dans ce domaine "ce qui conduit à une norme équivalente pour le test de validité de la loi de transposition".

Ainsi, si les gouvernements et les parlements des États membres ne changent pas leurs systèmes nationaux de conservation des données à la suite du jugement, les auteurs soulignent qu’il existe des moyens de contester les lois nationales devant les tribunaux qui seraient susceptibles d'entraîner des conséquences similaires à celles de l’arrêt de la CJUE sur la DCD.

Les auteurs relèvent d’ailleurs que "le moyen le plus prometteur" pour examiner une loi nationale sur la conservation des données au regard de sa conformité avec les droits fondamentaux et de sa compatibilité avec le droit communautaire serait l'ouverture d'une procédure judiciaire devant les tribunaux nationaux. Après épuisement des voies de recours internes, il serait possible de plaider devant la Cour européenne des droits de l'homme que les systèmes nationaux de conservation des données sont contraires à l'article 8 de la CEDH.

D’autres mesures de conservation des données dans l'UE "incompatibles" avec les principes de l'arrêt de la CJUE

Selon les auteurs de l’étude, le jugement de la CJUE a également un impact sur d'autres instruments de l'UE concernant la rétention des données et l'accès à ces données par les autorités. L'étude a donc testé plusieurs mesures de l'UE en termes de compatibilité avec les normes établies par l'arrêt DCD, à savoir l'accord PNR UE-USA, la proposition de PNR pour l’UE, l'accord TFTP/SWIFT UE-USA, la proposition de TFTS pour l’UE (TFTP européen), l'accès à Eurodac par les autorités ou encore le projet de directive sur la protection des données pour ce qui est du domaine de l’application de la loi. Selon les résultats de l’analyse :

• Toutes les mesures analysées prévoient la conservation des données et affectent une énorme quantité de personnes (non suspectées). Certaines de ces mesures semblent être encore plus attentatoires que la DCD originale ;
• Des problèmes fondamentaux de compatibilité se posent, en particulier quand il s'agit de la collecte massive et indifférencié de données et du transfert de données de passagers aériens et bancaires aux USA ;
• Les mêmes problèmes se posent en ce qui concerne les plans respectifs pour mettre en place des systèmes similaires au niveau de l'UE. La justification de ces mesures est en contradiction avec des points essentiels des conclusions de l’arrêt DCD. La Cour exige un lien entre les données conservées et une menace pour la sécurité publique qui ne peut être établi si les données des personnes non suspectées sont conservées en  masse ;
• Les mesures analysées montrent des lacunes considérables quand il s'agit de leur conformité avec les droits fondamentaux, ce qui justifie qu’elles soient examinées à la lumière du jugement dit DCD.

Conclusions

L’analyse de l’arrêt de la CJUE permet donc aux auteurs de conclure que la conservation générale des données des personnes non suspectées en vue de leur réutilisation ultérieure à des fins d’application de la loi n'est pas conforme aux articles 7 et 8 de la Charte car il n'est pas possible d'établir un lien entre les données conservées et une menace pour la sécurité publique.

Toute éventuelle mesure de conservation des données doit ainsi être vérifiée par rapport aux exigences de l’arrêt précité. Si l'UE ou les États membres prévoient d'introduire de nouvelles mesures du genre, ils seront obligés de démontrer la nécessité des mesures dans chaque cas.

Un autre résultat important pour l'élaboration des politiques de l'UE est que si l'UE adopte des mesures portant atteinte aux articles 7 et 8 de la Charte, elle doit définir les éléments clés qui justifient leur violation, notamment l'utilisation des données à des fins de lutte contre les crimes graves, afin d'éviter une interprétation diverse de ces termes clés dans les États membres de l'UE.

En outre, les principes de l’arrêt de la Cour exigent également un examen des mesures qui procèdent de la même logique. Les organes de l'UE, en particulier la Commission, sont ainsi appelés à "passer en revue" les mesures existantes et prévues par les États membres et l'UE en tenant dûment compte de l’arrêt DCD. Les principes dégagés par l’arrêt DCD exigent en outre un examen et la renégociation des accords internationaux (UE-USA PNR et TFTP UE-USA) puisque ces accords ne respectent pas certaines normes établies par l’arrêt. Enfin, le jugement nécessite une redéfinition de la relation entre les acteurs publics et privés en ce qui concerne l'accès aux données mutuelles et à leur échange dans le cadre de l'application de la loi.