Arrêts de la CJUE sur la conservation des données de connexion

Le 6 octobre 2020, la CJUE a rendu deux arrêts sur la conservation des données de connexion et leur transmission aux autorités.

Les deux arrêts de la CJUE du 6 octobre 2020 (affaires jointes C-511/18, C-512/18, C-520/18, relatives aux droits français et belge, et affaire C-623/17 relative au droit anglais) visent l’obligation imposée aux intermédiaires technique de conserver – et dans le cas du droit anglais de transmettre – les données de connexion des internautes, à certaines autorités étatiques, au premier rang desquelles figurent les services de renseignement.

Cette obligation a pour objectifs :

• la lutte contre la criminalité et
• la protection de la sécurité nationale.

Dans ces deux arrêts, la CJUE a analysé la compatibilité de cette obligation avec les droits et libertés fondamentaux des personnes, et plus précisément avec ceux découlant de la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, et de la Charte des droits fondamentaux de l’Union européenne.

Les données de connexion concernées

Dans le premier arrêt (affaires jointes C-511/18, C-512/18, C-520/18), la CJUE établit une liste des données de connexion concernées au point 82 :

• « (…) les données que ces réglementations imposent aux fournisseurs de services de communications électroniques de conserver sont, en particulier, celles qui sont nécessaires pour retrouver la source d’une communication et la destination de celle-ci, déterminer la date, l’heure, la durée et le type de la communication, identifier le matériel de communication utilisé ainsi que localiser les équipements terminaux et les communications, données au nombre desquelles figurent, notamment, le nom et l’adresse de l’utilisateur, les numéros de téléphone de l’appelant et de l’appelé ainsi que l’adresse IP pour les services Internet. En revanche, lesdites données ne couvrent pas le contenu des communications concernées ».

Les données de connexion concernées par l’obligation de conservation sont ainsi composées de l’ensemble des métadonnées, c’est-à-dire l’ensemble des données environnant les communications des internautes à l’exception de leurs contenus.

Les informations pertinentes et sensibles

Bien que le contenu des communications ne soit pas concerné, l’ensemble des métadonnées collectées permettent de disposer d’informations pertinentes et sensibles sur la personne concernée, ce que la CJUE avait déjà analysé dans son arrêt « Digital Rights » (affaires jointes C-293/12 et C-594/12) et qu’elle souligne au point 117 du premier arrêt (affaires jointes C-511/18, C-512/18, C-520/18) :

• « (…) les données relatives au trafic et les données de localisation sont susceptibles de révéler des informations sur un nombre important d’aspects de la vie privée des personnes concernées, y compris des informations sensibles, telles que l’orientation sexuelle, les opinions politiques, les convictions religieuses, philosophiques, sociétales ou autres ainsi que l’état de santé, alors que de telles données jouissent, par ailleurs, d’une protection particulière en droit de l’Union. Prises dans leur ensemble, lesdites données peuvent permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci. En particulier, ces données fournissent les moyens d’établir le profil des personnes concernées, information tout aussi sensible, au regard du droit au respect de la vie privée, que le contenu même des communications (…) ».

Conservation des données de connexion et finalités de sauvegarde de la sécurité nationale

Les traitements réalisés par les intermédiaires techniques pour des finalités de sauvegarde de la sécurité nationale sont-ils concernés ?

Dans les deux arrêts l’applicabilité du droit européen était interrogée, en ce sens que l’obligation de conservation des données était rattachée à un objectif de sécurité nationale, dont la responsabilité incombe aux seuls États membres en vertu de l’article 4 TUE.

A ce sujet, la CJUE précise que l’ensemble des traitements de données à caractère personnel opérés par les intermédiaires techniques relève du droit européen.

Ainsi, les traitements réalisés par ces intermédiaires pour des finalités de sauvegarde de la sécurité nationale relèvent bien du champ d’application du droit européen, ce que la CJUE souligne dans ses deux arrêts :

• « (…) bien qu’il appartienne aux États membres de définir leurs intérêts essentiels de sécurité et d’arrêter les mesures propres à assurer leur sécurité intérieure et extérieure, le seul fait qu’une mesure nationale a été prise aux fins de la protection de la sécurité nationale ne saurait entraîner l’inapplicabilité du droit de l’Union et dispenser les États membres du respect nécessaire de ce droit (…) »

L’analyse de l’obligation de conservation des données doit ainsi être opérée au regard des dispositions propres à la protection de données à caractère personnel, et notamment de celles issues de la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques

Conservation des données de connexion et applicabilité de la directive e-privacy 

L’article 15 de la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques précise les conditions dans lesquelles les états membres peuvent adopter des mesures législatives visant à limiter la portée de certains droits et obligations.

La CJUE en a déduit que l’obligation de conservation des données des internautes de manière généralisée ne peut être prévue que si elle est :

• temporellement limitée au strict nécessaire ;
• justifiée par une menace grave pour la sécurité nationale, qui s’avère réelle, actuelle ou prévisible ;
• opérée sous le contrôle effectif d’une juridiction ou d’une autorité administrative indépendante, dont la décision est dotée d’un effet contraignant.

Par conséquent, la CJUE, dans ces deux arrêts, s’inscrit dans le prolongement de sa jurisprudence « Tele2 » (affaires jointes C-203/15 et C-698/15) dans le cadre de laquelle elle avait affirmé que l’article 15, paragraphe 1, de la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, lue à la lumière de la Charte des droits fondamentaux de l’Union européenne :

• « doit être interprété en ce sens qu’il s’oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ».

Virginie Bensoussan-Brulé
Raphaël Liotier
Lexing Contentieux numérique