La Cour de justice et la protection des données : quand le juge européen des droits fondamentaux prend ses responsabilités

par Henri Labayle, CDRE

C’est par deux grandes décisions que la Cour de justice aura marqué de son empreinte le droit de la protection des données à caractère personnel. Rendus le même jour en grande chambre, le 8 avril 2014, ces deux arrêts méritent d’être rapprochés : ils témoignent à tous égards de la volonté de la Cour de marquer un coup d’arrêt en assumant pleinement ses responsabilités de juge des droits fondamentaux.

Le premier d’entre eux pouvait paraître anecdotique par ses circonstances, sinon par son contexte. Frappant un Etat membre, sa décision Commission c. Hongrie (C 288/12) lui permet cependant de rappeler la nécessaire indépendance de ceux qui, dans les Etats membres, veillent au respect de la directive 95/46 relative à la protection des données.

Le second, éclatant et retenant à ce titre l’attention de tous, la conduit à prononcer de manière inusitée par sa généralité l’invalidité de la directive 2006/24 relative à la conservation des données, dans les affaires jointes Digital Rights Ireland (C 293/12) et Seitlinger (C-594/12). 

Calée sur son office de protection des droits fondamentaux, prenant pour référence quasi-exclusive la Charte des droits fondamentaux et pour méthode de raisonnement celle qui est de mise à Strasbourg, la Cour de justice s’avère alors un garant résolu des droits individuels.

1 – De la nécessaire indépendance des organes nationaux de protection des données à caractère personnel

Le premier ministre Viktor Orban n’a guère eu le temps de savourer sa victoire aux législatives, deux jours avant l’arrêt de la Cour. Celles-ci étaient observées avec attention en Europe, au vu de la tendance fâcheuse des autorités hongroises à prendre l’Union et ses valeurs pour « un paillasson » ainsi que Daniel Cohn Bendit l’avait vertement indiqué à Viktor Orban au Parlement européen en janvier 2012.

Parmi les mesures reprochées au régime hongrois en matière de droits fondamentaux (voir le rapport Ruiz Tavares A7-0229:2013 au Parlement européen), de sa modification constitutionnelle à ses atteintes à l’indépendance des juges, sa décision de mettre brutalement fin aux fonctions du commissaire hongrois à la protection des données était passée relativement inaperçue des non spécialistes.

Avec le Parlement, la Commission en avait fait cependant l’un des griefs justifiant l’engagement de trois procédures en constatation de manquement en mars 2012. La Cour avait donc à en connaître.

Les faits ne prêtaient guère à discussion : la directive 95/46 sur la protection des données à caractère personnel fait obligation aux Etats membres de désigner une ou plusieurs autorités chargées de veiller à son respect. Elle précise dans son considérant 62 que « l’institution, dans les États membres, d’autorités de contrôle exerçant en toute indépendance leurs fonctions est un élément essentiel de la protection des personnes à l’égard du traitement des données à caractère personnel », ce que traduit son article 28 §1 en ces termes : « ces autorités exercent en toute indépendance les missions dont elles sont investies ».

En Hongrie, un commissaire à la protection des données élu en 2008 pour une durée de six ans jouait ce rôle. Au prétexte de réformer ce système, le Parlement hongrois avait décidé de remplacer cette institution par une nouvelle autorité chargée de la protection des données et de la liberté de l’information, d’où la cessation des fonctions du commissaire en question, M. Iori, et son remplacement pour un nouveau président de ladite autorité, pour neuf ans.

Ajoutée à l’évidente ingérence de l’exécutif hongrois dans cette nouvelle autorité, cette cessation forcée du mandat du commissaire hongrois justifiait donc la saisine de la Cour de justice par la Commission, appuyée par le Contrôleur européen de la protection des données.

Sans remettre en cause le droit souverain de l’Etat hongrois de modifier sa législation interne et son système de contrôle de la protection des données, la Commission refusait à la fois d’avaliser le fait que cette réforme aboutisse à la cessation du commissaire en poste mais aussi qu’elle puisse ne pas garantir l’indépendance totale de l’autorité exerçant ce contrôle. Celle-ci va au-delà de la simple indépendance fonctionnelle et prohibe toute forme de sujétion, qu’elle soit de nature institutionnelle, personnelle ou matérielle.

La jurisprudence a du reste eu l’occasion de trancher la question sur ce point (CJUE, 9 mars 2010, Commission c. Allemagne, C-518/07; 16 octobre 2012, Commission c. Autriche, C-614/10), particulièrement attentive à la condition d’un exercice des fonctions en « toute » indépendance, figurant dans la directive 95/46.

L’affaire était jugée suffisamment sérieuse pour que l’avocat général Melchior Wathelet, dans ses conclusions,  ajoute « qu’un arrêt de la Cour constatant le manquement dans la présente affaire aurait une très grande importance non seulement pour les autorités créées en application de l’article 28 §1 de la directive, mais aussi pour toute autre autorité indépendante instaurée en application du droit de l’Union. En assurant ces autorités indépendantes de l’inamovibilité de leur mandat jusqu’à l’échéance prévue, sauf raisons graves préétablies par la loi et objectivement vérifiables, cet arrêt aurait pour effet de limiter considérablement le risque nuisible d’«obéissance anticipée» à des acteurs externes, publics ou privés. Un tel arrêt écarterait «l’épée de Damoclès» que représente le risque paralysant de cessation anticipée de leur mandat » (point 83).

C’est bien ainsi que la Cour l’entend, manifestement.

A « titre liminaire », et outre la directive, elle relie expressément et très utilement l’exigence d’un contrôle par une autorité indépendante du respect des règles de l’Union relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel au droit primaire de l’Union et plus particulièrement à l’article 8 §3 de la Charte des droits fondamentaux de l’Union européenne et de l’article 16 §2 TFUE.

On conçoit alors qu’elle fasse de cette exigence un « élément essentiel » de ce  droit à la protection.

Elle a déjà jugé dans les affaires précitées que le seul risque que les autorités de tutelle de l’État puissent exercer une influence politique sur les décisions des autorités de contrôle suffit pour entraver l’exercice indépendant des missions de celles-ci. En effet, d’une part, il pourrait en résulter une «obéissance anticipée» de ces autorités eu égard à la pratique décisionnelle de l’autorité de tutelle et, d’autre part, « considérant le rôle de gardiennes du droit à la vie privée qu’assument les autorités de contrôle » (point 53), leurs décisions comme elles-mêmes doivent être au-dessus de tout soupçon de partialité.

Il restait à cerner l’étendue de l’obligation pesant sur les Etats membres concernant le respect de la durée du mandat de ces autorités jusqu’à leur terme. Elle ne s’y dérobe pas.

Leur accorder le droit de mettre fin au mandat d’une autorité de contrôle avant son terme sans respecter les règles et les garanties préétablies à cette fin par la législation applicable constituerait, de son point de vue une menace  potentielle qui « planerait alors sur cette autorité tout au long de l’exercice de son mandat » et pourrait conduire à une forme d’obéissance de celle-ci au pouvoir politique, incompatible avec ladite exigence d’indépendance. Que la fin anticipée du mandat résulte d’une restructuration ou d’un changement de modèle n’y changerait rien.

Elle délivre alors son interprétation : l’exigence d’indépendance mentionnée par la directive 95/46 doit être « nécessairement être interprétée comme incluant l’obligation de respecter la durée du mandat des autorités de contrôle jusqu’à son échéance et de n’y mettre fin de manière anticipée que dans le respect des règles et des garanties de la législation applicable » (point 55). Le droit de l’Union en pouvait raisonnablement être compris comme autorisant la Hongrie à adopter un comportement différent.

D’où la constatation du manquement commis par les autorités hongroises à leurs obligations, que la Cour de justice n’accepte pas d’atténuer en faisant droit à la demande la Hongrie de limiter dans le temps les effets de son arrêt.

2 – De la proportionnalité de l’ingérence des pouvoirs publics dans la conservation des données

L’arrêt rendu dans les affaires jointes Digital Rights Ireland et Seitlinger (C-293/12 et 594/12) est d’une importance plus grande encore. Par la radicalité de la solution de la Cour, l’invalidation entière d’une directive, comme par le raisonnement mené pour y parvenir et par l’impact de sa solution sur les pratiques nationales, il doit être salué. A une question de principe, la Cour apporte sans se dérober une réponse de même nature.

Une question de principe

C’est par la voie préjudicielle que la High Court Irlandaise, d’une part, et la Cour constitutionnelle autrichienne, d’autre part, interrogeaient la Cour de justice sur la validité de la directive 2006/24 sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications. La première, à l’occasion de litiges nationaux concernant son application tandis que l’autre devait trancher une série impressionnante de contestations prenant la forme de recours en constitutionnalité faisant suite à la transposition de la directive en droit interne.

Etait principalement en cause l’obligation faite aux opérateurs économiques de collecter, conserver et rendre disponibles pendant un temps déterminé un nombre considérable de données à caractère personnel recueillies lors des communications individuelles dans l’ensemble de l’Union, ce afin de lutter contre des activités criminelles graves.

L’occasion était rêvée pour la Cour de justice de se prononcer sur les conditions dans lesquelles l’Union européenne peut juridiquement limiter l’exercice des droits fondamentaux, en l’espèce ceux du respect de la vie privée et de la protection des données à caractère personnel garantis par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union.

L’article 52 §1 de cette dernière reprend en effet la logique qui anime les droits conditionnels de la Convention européenne des droits de l’Homme en affirmant que « toute limitation de l’exercice des droits et libertés reconnus par la présente Charte doit être prévue par la loi et respecter le contenu essentiel desdits droits et libertés. Dans le respect du principe de proportionnalité, des limitations ne peuvent être apportées que si elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui ». Les « explications » accompagnant la Charte et son article 7, abondamment citées dans le prétoire du Kirchberg, soulignent cet équilibre nécessaire.

La Cour était donc invitée à ce calcul de proportionnalité, derrière les questions des juges irlandais et autrichiens, pour évaluer la validité de la directive 2006/24.

Pour y parvenir, plusieurs clarifications étaient nécessaires. Déterminer la pertinence de l’invocation de la Charte en la matière était la plus simple, tant il allait de soi que la collecte et la conservation par les autorités nationales de données aussi sensibles pour la vie privée relevaient de son champ d’application.

Cerner la fonctionnalité exacte de la directive 2006/24 posait en revanche une question plus sensible. On sait à cet égard la propension grandissante des institutions, telles que la Commission par exemple à propos de la migration ou de la justice, à réduire le fonctionnement de l’Espace de liberté, sécurité et justice à un prolongement du marché intérieur, accompagnée en cela par une doctrine ignorante de sa genèse et de sa charge politique. Négligeant celle-ci en mettant en avant une logique économique, cette approche est contraire à la réalité de l’Union comme au droit issu d’un traité qui garantit la sécurité à ses citoyens.

L’avocat général Cruz Villalon s’en faisait l’écho dans ses conclusions, multipliant les explications relatives à la « dualité fonctionnelle » de la directive 2006/24, adoptée « dans l’objectif de protéger le bon fonctionnement du marché intérieur, de mettre un terme à l’évolution hétérogène des réglementations existantes, tout en y faisant obstacle pour le futur ». La Cour de justice, dans son arrêt Irlande c. Parlement et Conseil de 2009 (C-301/06), avait d’ailleurs expressément rejeté une contestation portant sur la base juridique de cette directive, l’article 95 TCE, prétendant que l’unique objectif de la directive était en fait celui de la lutte contre le terrorisme réglée dans le titre VI du TUE de l’époque.

La Cour de justice n’en reste pas à cette lecture formelle et, de manière éclatante,  elle relie la problématique à la politique de sécurité intérieure de l’Union européenne.

Il lui fallait en effet, dans le premier terme de son raisonnement visant à établir la légalité de la directive, identifier l’existence d’un intérêt public susceptible de justifier l’intervention de l’Union dans la vie privée des citoyens de l’Union c’est-à-dire vérifier que ces ingérences éventuelles répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui, en vertu de l’article 52 §1 de la Charte.

Sans démentir ses affirmations précédentes relatives au besoin d’harmonisation des droits nationaux en matière de conservation des données, elle y apporte néanmoins un bémol qui contraste avec sa jurisprudence péremptoire de 2009 : « l’objectif matériel de cette directive vise, ainsi qu’il découle de son article 1er, paragraphe 1, à garantir la disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions graves telles qu’elles sont définies par chaque État membre dans son droit interne. L’objectif matériel de cette directive est, dès lors, de contribuer à la lutte contre la criminalité grave et ainsi, en fin de compte, à la sécurité publique » (point 41). Fermez le ban …

On sait en effet depuis la jurisprudence Kadi que la lutte contre le terrorisme constitue un « objectif d’intérêt général de l’Union » tout comme l’est la lutte contre la criminalité grave afin de garantir la sécurité publique (CJUE, Tsakouridis, C‑145/09). De façon intéressante, la Cour souligne ici du reste que l’article 6 de la Charte énonce le droit de toute personne non seulement à la liberté, mais également à la sûreté (point 42).

Apportant ainsi un fondement à la politique sécuritaire de l’Union, dans la logique du préambule de son traité et des articles 3 §2 TUE et 67 §3 TFUE, la Cour n’avait plus alors qu’à évaluer la proportionnalité de l’ingérence ainsi constatée.

Une réponse de principe

Constater l’existence d’une ingérence dans les droits fondamentaux consacrés par les articles 7 et 8 de la Charte n’était guère compliqué et la Cour se livre sans difficulté à cet examen. Tant l’obligation de conservation des données à caractère personnel que l’accès des autorités nationales à ces données ou leur traitement constituent une ingérence flagrante dans les droits fondamentaux des individus et la Cour souligne à la suite de son avocat général qu’elle « s’avère d’une vaste ampleur et qu’elle doit être considérée comme particulièrement grave » (point 37).

De plus, la conservation des données et l’utilisation ultérieure de celles-ci étant effectuées sans que l’abonné ou l’utilisateur inscrit en soient informés est « susceptible de générer dans l’esprit des personnes concernées, ainsi que l’a relevé M. l’avocat général aux points 52 et 72 de ses conclusions, le sentiment que leur vie privée fait l’objet d’une surveillance constante ».

La seule question posée consistait donc à trancher le point de sa proportionnalité.

Le contrôle juridictionnel du principe de proportionnalité n’est pas étranger à la Cour de justice, chacun le sait. Néanmoins, et elle appréciera ce coup de chapeau tardif, la Cour européenne des droits de l’Homme est passée maîtresse dans l’examen du jeu de la balance des intérêts en présence.

C’est donc très heureusement que la Cour de justice se réfère par analogie à l’article 8 CEDH et à la jurisprudence S. et Marper c. Royaume Uni, arrêt fondateur s’il en est, pour signifier que l’étendue du pouvoir d’appréciation du législateur de l’Union peut être strictement limitée en fonction d’un certain nombre d’éléments, parmi lesquels figurent, notamment, le domaine concerné, la nature du droit en cause garanti par la Charte, la nature et la gravité de l’ingérence ainsi que la finalité de celle-ci.

Elle délivre en fait ici sa grille de lecture.

Certes, les données conservées en application de la directive 2006/24 permettent aux autorités nationales compétentes en matière de poursuites pénales de disposer de possibilités supplémentaires d’élucidation des infractions graves. Elles constituent donc un instrument utile pour les enquêtes pénales et leur conservation de telles données peut être considérée comme apte à réaliser l’objectif poursuivi par ladite directive. Or, la lutte contre le terrorisme et la criminalité est d’une importance primordiale dont l’efficacité peut dépendre de l’utilisation de ces techniques modernes d’enquête.

Néanmoins, cet « objectif d’intérêt général, pour fondamental qu’il soit, ne saurait à lui seul justifier qu’une mesure de conservation telle que celle instaurée par la directive 2006/24 soit considérée comme nécessaire aux fins de ladite lutte ».

Prenant en considération, d’une part, le rôle important que joue la protection des données à caractère personnel au regard du droit fondamental au respect de la vie privée et, d’autre part, l’ampleur et de la gravité de l’ingérence dans ce droit que comporte la directive 2006/24, le pouvoir d’appréciation du législateur de l’Union ne saurait qu’être réduit et il appelle un contrôle juridictionnel strict.

Mentionnant la jurisprudence de la CEDH, la CJUE souligne que « la réglementation de l’Union en cause doit prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant un minimum d’exigences de sorte que les personnes dont les données ont été conservées disposent de garanties suffisantes permettant de protéger efficacement leurs données à caractère personnel contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites de ces données ».

Tel n’est manifestement pas le cas et la Cour parvient rapidement à une conclusion cruelle : « la directive 2006/24 ne prévoit pas de règles claires et précises régissant la portée de l’ingérence dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte. Force est donc de constater que cette directive comporte une ingérence dans ces droits fondamentaux d’une vaste ampleur et d’une gravité particulière dans l’ordre juridique de l’Union sans qu’une telle ingérence soit précisément encadrée par des dispositions permettant de garantir qu’elle est effectivement limitée au strict nécessaire ».

Comment ne pas la suivre ?

En premier lieu, la directive 2006/24 couvre de manière généralisée et indifférenciée l’ensemble des individus, des moyens de communication électronique et des données relatives au trafic, indépendamment de son objectif de lutte contre les infractions graves.

Deuxièmement, la directive ne prévoit aucun critère objectif permettant de garantir que les autorités nationales compétentes n’aient accès aux données et ne puissent les utiliser qu’aux fins qui leur sont assignées. Elle renvoie de manière générale aux « infractions graves » définies par chaque État membre dans son droit interne, sans précision procédurale ni contrôle préalable d’une juridiction ou d’une entité administrative indépendante.

Pire, la durée de conservation des données est d’au moins six mois et de 24 mois au maximum, sans encadrement des catégories de données en fonction des personnes concernées ou de l’utilité éventuelle des données par rapport à l’objectif poursuivi, ni critère objectif ni protection contre une utilisation abusive.

Enfin, et la précision est de taille au regard des échanges de données dans la lutte internationale contre la criminalité, la Cour met en cause le fait que la directive n’impose pas une conservation des données sur le territoire de l’Union. Ainsi, la directive ne garantit pas pleinement le contrôle du respect des exigences de protection et de sécurité par une autorité indépendante, comme cela est pourtant explicitement exigé par la charte. Or, un tel contrôle, effectué sur la base du droit de l’Union, constitue un élément essentiel du respect de la protection des personnes à l’égard du traitement des données à caractère personnel.

Dans un tel contexte, l’invalidation de la directive 2006/24 coulait de source, au détail près de son ampleur et de son effet dans le temps.

La Cour de justice n’y va pas par quatre chemins, négligeant toute opération de chirurgie juridique visant à sauvegarder certains pans de la législation ou la face de ses auteurs. Le texte est invalidé dans son ensemble, créant de ce fait un vide juridique considérable.

A cela, la Cour aurait pu répondre en suivant la suggestion de son avocat général l’incitant à faire usage de la faculté que lui offre l’article 264 TFUE de limiter dans le temps les effets de sa déclaration d’invalidité.

Ce dernier faisait état d’une prudence nécessaire : « la mise en balance des différents intérêts en présence doit faire l’objet d’une pondération très attentive ». Si la violation des droits fondamentaux ne souffrait pas de doute, les invalidités constatées relevaient d’un simple défaut d’encadrement et les États membres avaient «  de façon générale, ainsi qu’il ressort des éléments fournis à la Cour, exercé leurs compétences avec modération pour ce qui est de la durée maximale de conservation des données » point 157).

La Cour s’y refuse, invitant de la sorte les institutions de l’Union à remédier au plus vite aux effets de leur inconséquence, terme faible s’il en est au vu des enjeux en cause.