Protection des données à caractère personnel : interdiction d’un stockage de masse généralisé et indifférencié, oui mais…. Réflexions sur les arrêts de la CJUE, 6 octobre 2020, Privacy international (aff. C-623/17), et La Quadrature du Net, French Data Network, Ordre des barreaux francophones et germanophone (aff. jointes C-511/18, C-512/18, C-520-18)

Sylvie Peyrou-Bartoll, Maître de conférences HDR, CDRE Bayonne

Cinq ans jour pour jour après le célèbre arrêt Schrems (6 octobre 2015, aff. C-362/14) ayant invalidé le Safe Harbor et confirmé l’interdiction, par le droit de l’Union, du stockage de masse de façon généralisée et indifférenciée de données à caractère personnel, la Cour de Justice de l’Union européenne (CJUE), par deux arrêts en date du 6 octobre 2020 apporte une nouvelle pierre, substantielle, à l’édifice de la protection des données en Europe… si ce n’est la clef de voûte, parachevant la construction de ce droit fondamental, proclamé et garanti par la Charte des droits fondamentaux de l’UE, mais largement mis à mal par les politiques des Etats membres en matière de lutte contre la criminalité et le terrorisme.

Ces arrêts fleuves (presque 80 pages pour le second), foisonnants et extrêmement complexes, prennent un peu plus de relief et de sens à la lumière des conclusions de l’Avocat général Sanchez-Bordona du 15 janvier 2020 (voir par exemple : « Renseignement et terrorisme : quand le code de la sécurité intérieure se trouve dans le viseur du juge européen », Conclusions Avocat Général Campos Sanchez-Bordona, 15 janvier 2020, Pierre Berthelet & Sylvie Peyrou, CREOGN N° 47, avril 2020).

La première idée majeure qui ressort ici des deux arrêts est la condamnation réitérée du stockage de masse des données à caractère personnel, de façon généralisée et indifférenciée, dans le droit fil des jurisprudences Digital Rights Ireland (CJUE 8 avril 2014, aff. jointes C-293/12, C-594/12)  et Tele2 Sverige (21 décembre 2016, Tele2 Sverige AB, aff. C‑203/15 et Secretary of State for the Home Department, aff. C‑698/15). Une telle condamnation, si elle est clairement affirmée, n’en est pas pour autant absolue, laissant place en effet à des tempéraments qui viennent en atténuer la portée (I). Le principe de l’interdiction est ensuite largement nuancé – sinon écorné ? – par la formulation de multiples exceptions, certes limitées et encadrées mais néanmoins nombreuses (II), esquissant une sorte de protection dégressive suivant des cercles concentriques s’éloignant peu à peu du noyau dur du droit fondamental à la protection des données.

I) Une condamnation réitérée mais tempérée de la conservation généralisée et indifférenciée des données de communications électroniques

Depuis l’historique arrêt Digital Rights Ireland ayant invalidé la directive 2006/24/CE relative à la rétention des données de communication électroniques, le juge européen n’a eu de cesse de réitérer sa condamnation de tout stockage de masse de données de façon généralisée et indifférenciée. Une telle solution a été en effet reprise dans l’arrêt Schrems du 6 octobre 2015, mais aussi et surtout dans l’arrêt Tele2 Sverige, tirant les conséquences au niveau du droit national, de l’invalidation de la directive 2006/24/CE, enjoignant aux fournisseurs de services de communication électronique, de conserver les métadonnées de communications à des fins de lutte contre la criminalité grave ou le terrorisme.

C’est encore une fois l’inépuisable débat entre sécurité et liberté qui a suscité la question préjudicielle posée, notamment, par le Conseil d’Etat français aux juges de Luxembourg en ces termes : « L’obligation de conservation généralisée et indifférenciée, imposée aux fournisseurs sur le fondement des dispositions permissives de l’article 15, paragraphe 1, de la directive [2002/58], ne doit-elle pas être regardée, dans un contexte marqué par des menaces graves et persistantes pour la sécurité nationale, et en particulier par le risque terroriste, comme une ingérence justifiée par le droit à la sûreté garanti à l’article 6 de la [Charte] et les exigences de la sécurité nationale, dont la responsabilité incombe aux seuls États membres en vertu de l’article 4 [TUE] ? ».

La Cour a été amenée tout d’abord à effacer les doutes relatifs à l’applicabilité en l’espèce de la directive 2002/58, « Vie privée et communications électroniques ». Un certain nombre d’Etats membres en contestaient en effet l’applicabilité au motif que cette directive ne saurait s’appliquer aux règlementations nationales ayant pour finalité la sauvegarde de la sécurité nationale, domaine relevant de leur seule compétence. la Cour a ici interprété l’article 15, paragraphe 1, de la directive 2002/58, lu en combinaison avec l’article 3 de celle-ci, en ce sens que relèvent du champ d’application de cette directive non seulement une mesure législative qui impose aux fournisseurs de services de communications électroniques de conserver les données relatives au trafic et les données de localisation, mais également une mesure législative leur imposant d’accorder aux autorités nationales compétentes l’accès à ces données. En effet, de telles mesures législatives impliquent obligatoirement un traitement, par lesdits fournisseurs, desdites données et ne sauraient, en ce qu’elles régissent les activités de ces mêmes fournisseurs, être assimilées à des activités propres aux États, visées à l’article 1er, paragraphe 3, de ladite directive (voir § 96 du second arrêt, qui sera ici cité de façon récurrente).

Se livrant ensuite à une interprétation téléologique de la directive, en se fondant sur son contexte et sur les objectifs poursuivis par elle, le juge souligne que la finalité de celle-ci est de « protéger les utilisateurs des services de communications électroniques contre les dangers pour leurs données à caractère personnel et leur vie privée résultant des nouvelles technologies et, notamment, de la capacité accrue de stockage et de traitement automatisés de données. » (§ 106). Ce principe de garantie de confidentialité des communications et des données y afférentes peut toutefois être battu en brèche, dès lors – selon la formule consacrée pour tout droit fondamental non absolu – qu’une limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale, la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales. La Cour souligne toutefois, pour tempérer de telles atteintes, que la « faculté de déroger….ne saurait justifier que la dérogation à l’obligation de principe de garantir la confidentialité des communications électroniques et des données y afférentes (…) devienne la règle » (§ 111).

La Cour va dès lors estimer que la conservation des données relatives au trafic et des données de localisation constitue, par elle-même, non seulement, une dérogation à l’interdiction, prévue à l’article 5, paragraphe 1, de la directive 2002/58, faite à toute autre personne que les utilisateurs de stocker ces données, mais aussi, une ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, consacrés aux articles 7 et 8 de la Charte. S’appuyant sur son arrêt Digital Rights Ireland, elle rappelle à quel point ces données sont susceptibles de révéler des informations sur un nombre important d’aspects de la vie privée des personnes concernées, y compris des informations sensibles (« Prises dans leur ensemble, lesdites données peuvent permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci. En particulier, ces données fournissent les moyens d’établir le profil des personnes concernées, information tout aussi sensible, au regard du droit au respect de la vie privée, que le contenu même des communications » § 117).

Rappelant ensuite les principes de son classique contrôle de proportionnalité, la Cour note que les dérogations au principe de confidentialité des communications ne sauraient être acceptées que dans la mesure où elles apparaissent comme nécessaires, appropriées et proportionnées au sein d’une société démocratique au regard des objectifs poursuivis. Une « pondération équilibrée » doit être ainsi réalisée entre ces derniers et les droits fondamentaux en cause.

Or, s’agissant des mesures législatives prévoyant la conservation préventive des données relatives au trafic et des données de localisation aux fins de la sauvegarde de la sécurité nationale, la Cour n’énonce pas de prime abord une interdiction de toute conservation généralisée et indifférenciée desdites données. Bien au contraire, la Cour souligne le caractère supérieur de l’objectif de sauvegarde de la sécurité nationale, estimant que ce dernier est  « susceptible de justifier des mesures comportant des ingérences dans les droits fondamentaux plus graves que celles que pourraient justifier [l]es autres objectifs » (lutte contre la criminalité en général, même grave, ainsi que de sauvegarde de la sécurité publique)(§ 136).  Elle estime donc au final que la directive 2002/58 « ne s’oppose pas, en principe, à une mesure législative qui autorise les autorités compétentes à enjoindre aux fournisseurs de services de communications électroniques de procéder à la conservation des données relatives au trafic et des données de localisation de l’ensemble des utilisateurs des moyens de communications électroniques pendant une période limitée, dès lors qu’il existe des circonstances suffisamment concrètes permettant de considérer que l’État membre concerné fait face à une menace grave (…) pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible » (§ 137).

Ceci signifie clairement que, pour les données recueillies et traitées dans cet objectif de sécurité nationale, la Cour autorise le stockage de masse de façon généralisée et indifférenciée, à la double condition que ce soit pendant une période limitée, et que soit reconnue l’existence d’une menace grave pour la sécurité nationale « réelle et actuelle ou prévisible ». Les menaces terroristes qui pèsent sur nos sociétés aujourd’hui – que l’actualité illustre tragiquement de façon récurrente, comme récemment encore l’inqualifiable assassinat d’un enseignant parce qu’il souhaitait simplement inculquer à ses élèves les valeurs d’ouverture d’esprit liées à la liberté d’expression – ne sont-elles pas une « menace grave pour la sécurité nationale qui s’avère réelle et actuelle et prévisible » ?  Ajoutons que l’injonction de conservation des données en cause par les fournisseurs de services de communication électronique peut même être renouvelée « en raison de la persistance d’une telle menace » (§ 138), mais doit être encadrée par des garanties strictes. La Cour prescrit en particulier la mise en place d’un « contrôle effectif soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, visant à vérifier l’existence d’une de ces situations ainsi que le respect des conditions et des garanties devant être prévues » (§ 139).

Ainsi, avant même que de poser un quelconque principe d’interdiction d’un stockage de masse de données de façon généralisée et indifférenciée, la Cour ouvre clairement une brèche dans le principe, qui « semble s’adresser essentiellement aux services de renseignement » (voir G. Moréas, https://www.lemonde.fr/blog/moreas/2020/10/11/fadettes-pirouettes-cacahouetes/). Ici, les conséquences ne sont pas négligeables au demeurant s’agissant du système français institué par la Loi renseignement du 24 juillet 2015. Si la Commission nationale de contrôle des techniques de renseignement (CNCTR) est bien une autorité administrative indépendante, celle-ci ne génère que des avis, et si elle estime que le Premier Ministre écarte ses critiques, elle ne peut que saisir le Conseil d’Etat. On est loin semble t-il de l’idée d’un véritable contrôle préalable tel qu’exigé ici par la Cour de justice. Mais si c’est incontestablement une difficulté pour le système français du renseignement, elle n’apparaît pas pour autant insurmontable.

S’agissant, ensuite, des mesures législatives prévoyant la conservation préventive des données relatives au trafic et des données de localisation aux fins de la lutte contre la criminalité et de la sauvegarde de la sécurité publique, la Cour, suivant en cela ses jurisprudences Tele2 Sverige, déjà évoquée, et Ministerio Fiscal (aff. C-207/16, 2 octobre 2018, voir notre commentaire ici), estime que seule la lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique sont de nature à justifier des ingérences graves dans les droits fondamentaux. Soulignant ici le caractère sensible des informations concernées, la Cour voit dans leur conservation une ingérence grave, concernant la quasi-totalité de la population, sans qu’aucune différenciation, limitation ni exception soient opérées en fonction de l’objectif poursuivi. Selon elle, la mise ne balance entre la protection des droits fondamentaux et l’objectif d’intérêt général ici poursuivi ne sauraient justifier « des ingérences aussi graves que celles que comporte une réglementation prévoyant une conservation des données relatives au trafic et des données de localisation dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte de la quasi-totalité de la population sans que les données des personnes concernées soient susceptibles de révéler un lien, au moins indirect avec l’objectif poursuivi » (§ 145). C’est donc sans surprise à une condamnation vigoureuse de toute conservation de telles données de façon généralisée et indifférenciée que se livre la Cour (§ 141).

La Cour ne ferme pas pour autant toutes les portes, puisqu’elle s’empresse d’ajouter que, néanmoins, dans ce cadre et dans cet objectif, une conservation ciblée (ciblant des catégories de personnes ou des lieux) de données relatives au trafic et de données de localisation est parfaitement possible, afin de répondre aux objectifs de lutte contre la criminalité grave et de prévention d’atteintes graves à la sécurité publique (§ 146). Et ici encore, si « la durée ne saurait dépasser celle qui est strictement nécessaire » (§ 151), un renouvellement éventuel est envisageable en cas de persistance de la menace.

La Cour envisage par ailleurs la question de l’analyse automatisée des données relatives au trafic et des données de localisation. Il s’agit du filtrage de toutes les données concernées par les fournisseurs de services, à la demande des autorités nationales compétentes et selon des critères fournis par elles. Ce qui ressemble ici à un traitement algorithmique de toutes les données recueillies, est analysé par la Cour comme un traitement généralisé et indifférencié, l’ingérence s’avérant particulièrement grave dès lors qu’elle couvre de manière généralisée et indifférenciée les données des personnes faisant usage des moyens de communications électroniques (§174). Dans la logique de ce qui a été énoncé plus haut, la Cour ne juge justifiée une telle ingérence que « dans des situations dans lesquelles un État membre se trouve face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, et à la condition que la durée de cette conservation soit limitée au strict nécessaire » (§ 177).  Comme énoncé ci-dessus, une telle ingérence doit toutefois être limitée au strict nécessaire et doit pouvoir faire l’objet d’un contrôle effectif soit par une juridiction, soit par une entité administrative indépendante. La Cour ajoute de plus que, si tant est que de telles analyses automatisées soient justifiées, elles ne sauraient se fonder uniquement sur des données à caractère sensible.

La Cour envisage enfin le recueil en temps réel des données relatives au trafic et des données de localisation. La disposition visée du code de sécurité intérieure français permet au service compétent, à tout moment pendant la durée de l’autorisation, de localiser, de manière continue et en temps réel, des équipements terminaux utilisés, tels des téléphones mobiles (§ 185). La Cour analyse cette mesure comme une ingérence particulièrement grave qui, si elle peut être justifiée par l’objectif de lutte contre le terrorisme, est particulièrement intrusive, et ne saurait dès lors être mise en œuvre « qu’à l’égard des personnes pour lesquelles il existe une raison valable de soupçonner qu’elles sont impliquées d’une manière ou d’une autre dans des activités de terrorisme » (§ 188). En tout état de cause, les mêmes exigences qu’énoncées précédemment s’imposent, notamment un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant.

Au total, s’agissant de la formulation des principes, si la Cour rappelle incontestablement le principe d’interdiction de stockage de masse de données de façon généralisée et indifférenciée, elle le fait cependant en des termes et selon des modalités telles qu’elle laisse la porte entrouverte à la persistance d’un tel stockage de données par les services de police et de renseignement, mais sous réserve du respect des conditions posées par elle. La marge est étroite mais loin d’être inexistante. L’impression selon laquelle la Cour lâcherait un peu de lest au profit des exigences sécuritaires se confirme ensuite à la lecture des exceptions au principe que la Cour formule, exceptions qui pour être très encadrées, n’en sont pas moins importantes.

II) Des exceptions au principe importantes bien qu’étroitement encadrées

Les exceptions au principe d’interdiction de tout stockage de masse da façon généralisée et indifférenciée, concerne notamment les mesures législatives prévoyant la conservation préventive des adresses IP et des données relatives à l’identité civile aux fins de la lutte contre la criminalité et de la sauvegarde de la sécurité publique.

La Cour ici procède à une véritable cartographie des données concernées, esquissant en quelque sorte des cercles concentriques permettant de « classer » les données selon le degré de gravité de l’ingérence que leur conservation constitue.

Le cœur, le premier cercle, est celui des données relatives au trafic et des données de localisation, envisagées ci-dessus. L’ingérence grave que constitue leur conservation obéit à l’interdiction de conservation ou à des aménagements de celle-ci en fonction des objectifs poursuivis, comme vu précédemment.

Le deuxième cercle (traité à la fin de l’arrêt) serait celui des mesures législatives prévoyant la conservation rapide des données relatives au trafic et des données de localisation aux fins de la lutte contre la criminalité grave. Il s’agirait ici de conserver les données en question au-delà du délai légal normalement prévu, aux fins de l’élucidation d’infractions pénales graves ou d’atteintes à la sécurité nationale, « et ce tant dans la situation où ces infractions ou ces atteintes ont déjà pu être constatées que dans celle où leur existence peut, au terme d’un examen objectif de l’ensemble des circonstances pertinentes, être raisonnablement soupçonnée » (§ 161). La Cour ici, de façon très pragmatique, va reconnaître encore aux autorités nationales la « possibilité, au moyen d’une décision de l’autorité compétente soumise à un contrôle juridictionnel effectif, d’enjoindre aux fournisseurs de services de communications électroniques de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont ils disposent » (§ 163). La Cour insiste toutefois sur l’encadrement étroit des modalités d’une telle conservation, qui doit être limitée au strict nécessaire, s’agissant notamment de la durée de conservation. La finalité d’une telle conservation doit en outre être clairement établie et enfin, et surtout, seule la lutte contre la criminalité grave et, a fortiori, la sauvegarde de la sécurité nationale, sont de nature à justifier une telle ingérence.

Le troisième cercle est ensuite constitué par les données d’adresses IP, permettant d’identifier la personne physique propriétaire de l’équipement terminal à partir duquel une communication au moyen de l’Internet est effectuée. Selon la Cour, de telles données présentent un « degré de sensibilité moindre que les autres données relatives au trafic » (§ 152), même si elles peuvent permettre le « traçage exhaustif du parcours de navigation d’un internaute » concourant à « établir le profil détaillé de ce dernier » (§153). Pour la Cour, une mesure législative prévoyant la conservation généralisée et indifférenciée des seules adresses IP n’apparaît pas, en principe, contraire à l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des article 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, pourvu que cette possibilité soit soumise au strict respect des conditions matérielles et procédurales devant régir l’utilisation de ces données. La Cour souligne toutefois que seule la lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique sont de nature, à l’instar de la sauvegarde de la sécurité nationale, à justifier cette ingérence.

Le quatrième cercle enfin est constitué des données relatives à l’identité civile des utilisateurs des moyens de communication électronique, données qui, par nature, ne renseignent en rien sur la vie privée de ces personnes. C’est pourquoi la Cour, à l’instar de ce qu’elle  avait déjà tranché dans l’arrêt Ministerio fiscal précité, estime que l’ingérence que comporte une conservation de ces données ne saurait, en principe, être qualifiée de grave (§ 157). Elle en conclut dès lors que des « mesures législatives visant le traitement de ces données en tant que telles, notamment leur conservation et l’accès à celles-ci à la seule fin de l’identification de l’utilisateur concerné, et sans que lesdites données puissent être associées à des informations relatives aux communications effectuées, sont susceptibles d’être justifiées par l’objectif de prévention, de recherche, de détection et de poursuite d’infractions pénales en général » (§ 158).

A noter, in fine, que la Cour, a été aussi amenée à répondre à une question très importante et complexe de procédure pénale, qu’elle tranche – pour résumer – en estimant que le juge national doit écarter les informations et éléments de preuve obtenus par une conservation généralisée et indifférenciée des données de trafic et de localisation, prohibée par le droit de l’Union. Il y a là un facteur de bouleversement considérable des procédures pénales en cours, de nombreux « recours risquant d’être déposés devant les juridictions quant aux moyens de preuve utilisés actuellement dans de nombreuses affaires judiciaires » (voir Eric Freyssinet, « Décision de la CJUE du 6/10/2020 sur les données de connexion).

En conclusion, si le juge européen semble remettre en question de nombreuses pratiques étatiques en matière de renseignement ou de procédures judiciaires, une lecture attentive de ces arrêts montre qu’il laisse toutefois place aux législateurs nationaux – auxquels il s’adresse – afin de dessiner de nouvelles voies permettant une conciliation entre les deux exigences a priori irréconciliables que sont sécurité et liberté. La route est étroite, les exigences contraignantes, mais les enjeux n’en valent-ils pas la chandelle, face à l’impérieuse nécessité de nos sociétés de se défendre contre le terrorisme pour défendre les droits fondamentaux de leurs citoyens ?