Précisions de la CJUE sur la conservation généralisée des données

La Cour de justice de l’Union européenne (CJUE) précise le cadre de la conservation généralisée des données de connexion.

L’affaire support de la décision du 5 avril 2022 s’inscrit dans le cadre du droit irlandais qui :

• prévoit le cadre d’une conservation généralisée et indifférenciée des données par les intermédiaires ;
• restreint la communication de ces données par les intermédiaires à :
  • une personne désignée. Un fonctionnaire de police, dont le grade ne peut être inférieur à celui de commissaire divisionnaire. Dans la pratique, une unité de police jouissant d’un certain degré d’autonomie l’assiste. Il rend des décisions qui peuvent faire l’objet d’un contrôle juridictionnel a posteriori ;
  • un cadre limité. Les données ne sont communiquées que si ce fonctionnaire estime que ces données sont nécessaires à des fins de :
    • prévention, de détection, de recherche ou de poursuite d’une infraction grave ;
    • sauvegarde de la sûreté de l’État ;
    • préservation de la vie humaine.

Un individu condamné pour meurtre en 2015 a considéré que ces règles de conservation des données n’étaient pas conventionnelles. Il a reproché aux juridictions irlandaises d’avoir admis comme éléments de preuve :

• « des données relatives au trafic et des données de localisation afférentes à des appels téléphoniques ».

La CJUE se trouve ainsi de nouveau interrogée sur l’équilibre entre :

• d’une part, l’objectif de recherche des auteurs d’infractions et,
• d’autre part, le droit au respect de la vie privée.

Les questions portent sur :

• le cadre applicable à la conservation généralisée et indifférenciée et à la communication des données,
• la possibilité de limiter les effets dans le temps d’une éventuelle déclaration d’inconventionnalité des textes nationaux encadrant ces mesures.

La confirmation d’une jurisprudence établie en matière de conservation généralisée des données

La Cour de justice de l’Union européenne (CJUE) soumet l’obligation de conservation généralisée des données de connexion, au respect de critères cumulatifs (affaires jointes C-511/18, C-512/18, C-520/18, et affaire C-623/17). Elle fonde sa jurisprudence sur les dispositions de la Directive vie privée et communications électroniques modifiée, lues à la lumière des règles édictées par la Charte des droits fondamentaux de l’Union européenne.

Dans le cadre de cette affaire, la CJUE précise que le droit de l’Union ne s’oppose pas à la législation d’un État membre prévoyant une conservation ciblée des données aux fins de la :

• lutte contre la criminalité grave et
• prévention des menaces graves contre la sécurité publique.

Elle évoque ainsi diverses hypothèses dans lesquelles une telle conservation peut s’envisager, à savoir, lorsqu’elle est :

• ciblée et délimitée « des données relatives au trafic et des données de localisation » :
  • sur la base d’éléments objectifs et non discriminatoires,
  • en fonction de catégories de personnes concernées ou
  • au moyen d’un critère géographique, pour une période temporellement limitée au strict nécessaire, mais renouvelable ;
• généralisée et indifférenciée des :
  • « adresses IP attribuées à la source d’une connexion, pour une période temporellement limitée au strict nécessaire » ;
  • « données relatives à l’identité civile des utilisateurs de moyens de communications électroniques » ;
• réalisée dans le cadre d’une injonction enjoignant les opérateurs à procéder :
  • « pour une durée déterminée, à la conservation rapide (quick freeze) des données relatives au trafic et des données de localisation ».

A la condition toutefois que ces mesures assurent, « par des règles claires et précises, que la conservation des données en cause est subordonnée au respect des conditions matérielles et procédurales y afférentes et que les personnes concernées disposent de garanties effectives contre les risques d’abus ».

Le droit irlandais ne fait pas exception

La Cour estime par ailleurs que le cadre prévu par le droit irlandais pour communiquer les données ne présente pas les garanties nécessaires.

Elle précise ainsi que le droit de l’Union s’oppose au traitement des demandes d’accès à des données sans contrôle préalable par un fonctionnaire de police.

Elle énonce en conséquence que, « sauf en cas d’urgence dûment justifiée, auquel cas ledit contrôle doit intervenir dans de brefs délai » :

« il est essentiel que l’accès des autorités nationales compétentes aux données conservées soit subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante et que la décision de cette juridiction ou de cette entité intervienne à la suite d’une demande motivée de ces autorités présentée, notamment, dans le cadre de procédures de prévention, de détection ou de poursuites pénales », reprenant en ce sens les termes de ses décisions C‑746/18 et les affaires jointes C‑511/18, C‑512/18 et C‑520/18.

Ainsi, cette nouvelle décision s’inscrit dans la continuité de la jurisprudence de la CJUE.

Conservation des données et finalités

La CJUE établi une distinction entre la conservation des données pour la :

• sauvegarde de la sécurité nationale et
• lutte contre la criminalité grave.

Elle écarte la validité des investigations menées dans le cadre de la lutte contre la criminalité grave, et qui, pour cela, s’appuient sur des données collectées aux fins de la sauvegarde de la sécurité nationale.

Comme le soulignent certains commentateurs, cette décision pourrait entrer en opposition avec les toutes nouvelles dispositions de l’article 60-1-2 du Code de procédure pénale. Ces dernières prévoient en effet, la possibilité d’employer les données conservées par les opérateurs de communications électroniques en vertu des dispositions de l’article L.34-1 du Code des postes et communications électroniques.

En effet, la loi française donne la possibilité d’employer ces données dès lors que :

• la procédure porte sur un :
  • crime ou un délit puni d’au moins trois ans d’emprisonnement ;
  • délit puni d’au moins un an d’emprisonnement commis par l’utilisation d’un réseau de communications électroniques et ces réquisitions ont pour seul objet d’identifier l’auteur de l’infraction ;
• ces réquisitions :
  • concernent les équipements terminaux de la victime et interviennent à sa demande en cas de délit puni d’une peine d’emprisonnement ;
  • tendent à retrouver une personne disparue dans le cadre des procédures prévues aux articles 74-1 ou 80-4 du présent code ou sont effectuées dans le cadre de la procédure prévue à l’article 706-106-4.

Or, la décision de la CJUE restreint cette possibilité aux infractions constituant « une menace grave pour la sécurité nationale » ; la criminalité « même particulièrement grave » ne pouvant « être assimilée à une menace pour la sécurité nationale ».

Applicabilité immédiate de la décision

S’appuyant notamment sur sa décision prise dans les affaires jointes C‑511/18, C‑512/18 et C‑520/18, la CJUE affirme que « le droit de l’Union doit être interprété en ce sens qu’il s’oppose à ce qu’une juridiction nationale limite dans le temps les effets d’une déclaration d’invalidité qui lui incombe, en vertu du droit national, à l’égard d’une législation nationale imposant aux fournisseurs de services de communications électroniques une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, en raison de l’incompatibilité de cette législation avec l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière de la Charte ».

Il en résulte une impossibilité d’employer les normes invalidées par cette décision. Les potentielles preuves issues de données déjà collectées dans le cadre d’investigations, devront faire l’objet d’une analyse du juge national. Une telle analyse sera nécessaire pour chaque cas d’espèce.

L’interprétation de cette décision pourrait ainsi aboutir à une conclusion différente de la décision rendue, en France, par le Conseil constitutionnel le 25 février 2022, qui avait jugé inconstitutionnelles les dispositions de l’ancienne version de l’article L.34-1 du CPCE, tout en ne remettant pas en cause les décisions prises sur leur fondement.

Le contenu de cette décision peut aussi être mis en parallèle avec la décision du même Conseil constitutionnel du 3 décembre 2021 sur le même sujet. Elle avait reporté au 31 décembre 2022 l’abrogation des dispositions encadrant les réquisition des données de connexion en enquête préliminaire.

Enfin, cette décision marque une étape supplémentaire dans l’évolution du cadre juridique applicable à la collecte et à la conservation des données de connexion.

Frédéric Forster
Raphaël Liotier
Valentin Cayré
Département Télécom

______________________________

CJUE 05-04-2022 (Affaire C‑140/20), CJUE 02-03-2021(Affaire C-746/18), CJUE 06-10-2020 (Affaire C-623/17 et Aff.jointes C-511/18, C-512/18 et C-520/18).