Bis repetita…Les États membres ne peuvent pas imposer une obligation générale de conservation de données aux fournisseurs de services de communications électroniques (Réflexions à propos de l’arrêt de la CJUE, 21 décembre 2016, Tele2 Sverige AB (C‑203/15) et Secretary of State for the Home Department (C‑698/15).

L’arrêt de la CJUE rendu le 21 décembre 2016, Tele2 Sverige AB (C‑203/15) et Secretary of State for the Home Department (C‑698/15) est un véritable coup de tonnerre par rapport aux conclusions contraires de l’Avocat général Saugmandsgaard Øe, commentées ici-même.

Les affaires jointes C-203/15, Tele2Sverige AB/Post-och telestyrelsen et C-698/15, Secretary of State for Home Department/Tom Watson e.a., se présentent comme une nouvelle péripétie de l’historique arrêt Digital Rights Ireland Ltd (C-293/12 et C-594/12, 8 avril 2014), où la Cour de justice de l’UE avait procédé à l’annulation, intégrale et rétroactive, de la directive 2006/24/CE, « rétention des données de communications électroniques ».

La directive annulée dans l’affaire Digital Rights Ireland (DRI), on s’en souvient, organisait la rétention des données de connexion par les opérateurs de télécommunications ou les fournisseurs d’accès à internet, permettant ainsi aux autorités nationales de les utiliser dans le cadre de la lutte contre le terrorisme ou la criminalité grave. La Cour avait jugé la rétention de telles métadonnées comme constituant une ingérence particulièrement grave dans le respect des droits consacrés aux articles 7 (protection de la vie privée) et 8 (protection des données à caractère personnel) de la Charte des droits fondamentaux de l’UE. C’est l’absence de garanties entourant la mise en œuvre de la directive qui l’avait conduite à l’invalidation de cette dernière, suite au contrôle de proportionnalité de l’ingérence dans les droits fondamentaux des individus par rapport à la nécessité de celle-ci, dans une société démocratique, pour assurer le respect d’un objectif d’intérêt général (à savoir ici la lutte contre le terrorisme et la criminalité grave).

Les deux affaires tranchées aujourd’hui par la Cour portaient sur l’obligation générale imposée aux fournisseurs de services de télécommunications, en Suède et au Royaume-Uni, de conserver les données relatives aux communications électroniques. Saisie par voie préjudicielle par des juridictions d’appel suédoise et britannique, la CJUE était invitée à répondre à la question de savoir si les régimes nationaux qui imposent aux fournisseurs une obligation générale de conservation des données sont compatibles avec le droit de l’Union. Elle est par la même appelée à préciser l’interprétation à apporter dans un contexte national à l’arrêt DRI.

Dans la première affaire, et suite à l’invalidation de la directive 2006/24/CE – modifiant la directive 2002/58/CE (vie privée et communications électroniques) – Tele2Sverige, fournisseur de services de communications électroniques établi en Suède, avait notifié aux autorités qu’elle cesserait de conserver les données relatives aux communications électroniques. Suite à une injonction de conservation de ces données, elle a introduit un recours juridictionnel devant le tribunal administratif puis interjeté appel. C’est alors la juridiction de renvoi qui a saisi la Cour de justice, afin que celle-ci se prononce sur la question de savoir si l’obligation généralisée et indifférenciée de conservation des données relatives aux communications électroniques est compatible, compte tenu de l’arrêt DRI, avec l’article 15 de la directive 2002/58/CE, lu à la lumière des articles 7, 8 et 52 § 1 de la Charte des droits fondamentaux de l’Union.

Dans la seconde affaire, des particuliers, MM. Watson, Brice et Lewis, ont formé un recours juridictionnel contre l’article 1ier de la loi britannique DRIPA (Data Retention and Investigatory Powers Act de 2014) en invoquant son incompatibilité avec les articles 7 et 8 de la Charte ainsi qu’avec l’article 8 de la CEDH. La Cour d’Appel, saisie par le Ministre de l’Intérieur de l’arrêt de la High Court of Justice ayant estimé que la législation britannique instituant un régime généralisé de conservation des données de communications électroniques violait les articles susvisés de la Charte, a alors jugé utile de saisir la Cour de justice. Son renvoi préjudiciel portait principalement sur la question des conséquences de l’arrêt DRI sur la législation nationale.

Ce sont donc au final les législations nationales de transposition de la directive 2006/24/CE invalidée par la CJUE dans l’arrêt DRI qui font problème. La CJUE, avant de se poser la question cruciale de l’obligation de conservation généralisée des données, va d’abord résoudre le point de savoir si ces législations relèvent du champ d’application du droit de l’Union.

Notant que la directive 2002/58 régit les activités des fournisseurs de services de communications électroniques, la Cour souligne que l’article 15 § 1 de celle-ci autorise les Etats membres à adopter des mesures législatives visant à limiter la portée des droits et obligations prévus, telles que des mesures de conservation de données. Elle estime aussi que relève du champ d’application de la directive les mesures prévoyant l’accès des autorités nationales auxdites données. Ainsi va-t-elle juger qu’ « une mesure législative par laquelle un État membre impose, sur le fondement de l’article 15 § 1 de la directive 2002/58, aux fournisseurs de services de communications électroniques, aux fins mentionnées par cette disposition, d’accorder aux autorités nationales, dans les conditions prévues par une telle mesure, l’accès aux données conservées par lesdits fournisseurs porte sur des traitements de données à caractère personnel par ces derniers, traitements qui relèvent du champ d’application de cette directive » ( § 78 de l’arrêt). Les règlementations nationales en question relèvent bien par conséquent du champ d’application de la directive 2002/58.

Cette question préalable n’est cependant pas la plus importante. Ce qui est au cœur de tous les débats et de toutes les polémiques est bien l’obligation générale et indifférenciée de conservation des données de communications électroniques, et le possible transfert de ces celles-ci aux autorités par les fournisseurs de services, à des fins de lutte contre la criminalité grave. La condamnation, qui semblait de principe, par la Cour de justice dans son arrêt DRI, du stockage de masse de données et ce de façon indifférenciée, a en effet fragilisé les législations de transposition de la directive 2006/24/CE invalidée.

Par un raisonnement relativement elliptique, mais rappelant largement les acquis de sa jurisprudence, la Cour insiste tout d’abord sur le nécessaire respect du principe de proportionnalité (arrêts Satamedia, aff. C-73/07 ; Volker und Markus Schecke & Eifert, C-92/09 et 93/09 ; Digital Rights Ireland précité ; Schrems, C-362/14). Partant, elle fait le constat que les législations nationales incriminées prévoient « une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique, et qu’elle oblige les fournisseurs de services de communications électroniques à conserver ces données de manière systématique et continue, et ce sans aucune exception » (§ 97 de l’arrêt).

La Cour, rappelant ensuite la liste des données concernées (métadonnées de communication), synthétise son arrêt DRI ainsi que les conclusions de l’Avocat général Cruz Villalon en une formule soulignant que « prises dans leur ensemble, ces données sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci (voir, par analogie, en ce qui concerne la directive 2006/24, arrêt Digital Rights, point 27). En particulier, ces données fournissent les moyens d’établir, ainsi que l’a relevé M. l’avocat général aux points 253, 254 et 257 à 259 de ses conclusions, le profil des personnes concernées, information tout aussi sensible, au regard du droit au respect de la vie privée, que le contenu même des communications » (§ 99 de l’arrêt). Elle estime dès lors dans les mêmes termes que dans l’arrêt DRI qu’une telle réglementation constitue une ingérence dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte, qui s’avère d’une « vaste ampleur et doit être considérée comme particulièrement grave » (§ 100).

La Cour reconnaît encore, de façon analogue à son arrêt DRI, que la lutte contre la criminalité grave et le terrorisme constitue un objectif d’intérêt général, mais un tel objectif, aussi fondamental soit-il, ne saurait justifier à lui seul qu’une règlementation comme celle incriminée soit considérée comme nécessaire. La Cour se glisse ainsi avec aisance dans la logique de son arrêt DRI, dont elle reprend le constat essentiel selon lequel « une réglementation nationale telle que celle en cause au principal, qui couvre de manière généralisée tous les abonnés et utilisateurs inscrits et vise tous les moyens de communication électronique ainsi que l’ensemble des données relatives au trafic, ne prévoit aucune différenciation, limitation ou exception en fonction de l’objectif poursuivi. Elle concerne de manière globale l’ensemble des personnes faisant usage de services de communications électroniques, sans que ces personnes se trouvent, même indirectement, dans une situation susceptible de donner lieu à des poursuites pénales. Elle s’applique donc même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions pénales graves. En outre, elle ne prévoit aucune exception, de telle sorte qu’elle s’applique même à des personnes dont les communications sont soumises, selon les règles du droit national, au secret professionnel » ( § 105 de l’arrêt).

Mais si la Cour condamne les législations nationales comme excédant les limites du strict nécessaire (sachant que les limitations aux droits fondamentaux considérés doivent être appréciées strictement), elle laisse la porte ouverte à « une réglementation permettant, à titre préventif, la conservation ciblée des données relatives au trafic et des données de localisation, à des fins de lutte contre la criminalité grave, à condition que la conservation des données soit, en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue, limitée au strict nécessaire » (§ 108).

Mais la conservation des données, fût-elle circonscrite et limitée, doit en outre, souligne la Cour, répondre à un certain nombre d’exigences, afin de satisfaire au critère de stricte nécessité, exigences déjà dessinées dans son arrêt DRI au demeurant, encore une fois. Tout ceci lui suffit pour conclure – en contradiction avec les conclusions de l’Avocat général Saugmandsgaard Øe – qu’il convient de répondre à la question dans l’affaire C-203/15 que « l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ».

Ce constat est crucial car riche de potentielles conséquences. Si la Cour en effet persiste dans cette analyse – et il est permis de penser qu’elle le fera probablement compte tenu de la confirmation de sa jurisprudence DRI que l’arrêt étudié représente – il est possible que l’avis 1/15 attendu relatif à l’accord PNR UE/Canada condamne le principe même du système PNR, pourtant validé par l’Avocat général Mengozzi dans ses conclusions rendues le 8 septembre dernier. Ceci ouvrirait nécessairement une crise diplomatique entre l’UE et le Canada, sans doute imméritée si l’on compare l’accord PNR UE/Canada avec celui conclu entre l’UE et les Etats-Unis, pourtant en vigueur depuis 2012…Sans oublier l’hypothèque qui pèserait sur la toute récente directive PNR européenne, adoptée en avril 2016 (directive 2016/681 du 27 avril 2016) au prix de rudes négociations politiques, suite aux divers attentats ayant endeuillé l’Europe….

La Cour, dans l’affaire Tele2Sverige, pour répondre ensuite à la deuxième question posée, ne manque pas de souligner que, s’il appartient aux législations nationales de fixer les modalités selon lesquelles les autorités compétentes peuvent avoir accès aux données dont il est question, « la réglementation nationale concernée doit se fonder sur des critères objectifs pour définir les circonstances et les conditions dans lesquelles doit être accordé aux autorités nationales compétentes l’accès aux données des abonnés ou des utilisateurs inscrits » (§ 119 de l’arrêt). Et elle impose en particulier comme une condition « essentielle » que « l’accès des autorités nationales compétentes aux données conservées soit, en principe, sauf cas d’urgence dûment justifiés, subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante » (§ 120). Elle fait référence pour ce faire, non seulement à son arrêt DRI, mais également à l’arrêt de la Cour EDH, Szabo et Vissy c/Hongrie du 12 janvier 2016. Un rappel également, au paragraphe précédent, de l’arrêt Zakharov c/Russie du 4 octobre 2015 de la Cour EDH, montre que la Cour de Luxembourg ne manque pas un discret hommage à son homologue strasbourgeoise, qui apparaît presqu’anecdotique désormais, la Cour de justice s’appuyant de façon majeure sur sa propre, et abondante, jurisprudence.

Cela dit, la Cour liste in fine les conditions indispensables à la régularité de la conservation des données dont il s’agit, qu’elle avait déjà énumérées encore une fois dans sa jurisprudence DRI, à savoir : une information des personnes concernées, afin qu’elles puissent exercer un droit de recours, des règles visant la sécurité et la protection des données conservées, une conservation de ces dernières sur le territoire de l’Union (ce qui pose le délicat problème de l’utilisation du cloud computing), la destruction des données à l’issue du délai de conservation de celles-ci (§ 122).

Il faut donc au final que non seulement la conservation des données ne soit pas « généralisée et indifférenciée », c’est-à-dire qu’elle soit ciblée, mais encore que l’accès des autorités aux données conservées soit limité aux seules fins de lutte contre la criminalité grave, qu’il soit subordonné à un contrôle préalable par une juridiction ou une autorité administrative indépendante, et que les données soient conservées sur le territoire de l’Union.

La Cour de justice montre par ce nouvel arrêt son souci de veiller scrupuleusement au respect de la Charte des droits fondamentaux de l’Union, dont les droits au respect de la vie privée et à la protection des données personnelles proclamés par ses articles 7 et 8, sont de plus en plus érodés par des législations visant à organiser la lutte contre le terrorisme. Arrêt après arrêt, elle construit ainsi un rempart afin de défendre des valeurs qui, chaque jour, risquent de tomber, notamment, sous les coups de boutoir du terrorisme. Souhaitons qu’elle sache trouver l’indispensable équilibre entre la défense des droits et celle de la société qui en est le vecteur.