Protection des données : l’obligation générale de conservation des données est compatible avec le droit de l’Union

La spectaculaire annulation, intégrale et rétroactive, de la directive 2006/24/CE, « rétention des données de communications électroniques », par la Cour de justice de l’UE dans la désormais célèbre affaire Digital Rights Ireland Ltd (C-293/12  et C-594/12, 8 avril 2014) provoque, plus de deux ans après, de nouvelles conséquences, importantes et riches de potentialités. Ce sont les conclusions de l’Avocat général Saugmandsgaard Øe, dans les affaires jointes C-231/15 Tele2Sverige AB/Post-och telestyrelsen et C-698/15 Secretary of State for Home Department/Tm Watson e.a., qui fournissent aujourd’hui matière à réflexion.

Réflexions relatives aux conclusions de l’Avocat général Saugmandsgaard Øe, dans les affaires jointes C-231/15 Tele2Sverige AB/Post-och telestyrelsen et C-698/15 Secretary of State for Home Department/Tm Watson e.a.

La directive annulée dans l’affaire Digital Rights Ireland (DRI), on s’en souvient, organisait la rétention des données de connexion par les opérateurs de télécommunications ou les fournisseurs d’accès à internet, permettant ainsi aux autorités nationales de les utiliser dans le cadre de la lutte contre le terrorisme ou la criminalité grave. La Cour avait jugé la rétention de telles métadonnées comme constituant une ingérence particulièrement grave dans le respect des droits consacrés aux articles 7 (protection de la vie privée) et 8 (protection des données à caractère personnel) de la Charte des droits fondamentaux de l’UE. C’est l’absence de garanties entourant la mise en œuvre de la directive qui l’avait conduite à l’invalidation de cette dernière, suite au contrôle de proportionnalité de l’ingérence dans les droits fondamentaux des individus par rapport à la nécessité de celle-ci, dans une société démocratique, pour assurer le respect d’un objectif d’intérêt général (à savoir ici la lutte contre le terrorisme et la criminalité grave).

Les deux affaires sur lesquelles l’Avocat général Øe s’est prononcé le 19 juillet, portaient sur l’obligation générale imposée aux fournisseurs de services de télécommunications, en Suède et au Royaume-Uni, de conserver les données relatives aux communications électroniques. Saisie par voie préjudicielle par des juridictions d’appel suédoise et britannique, la CJUE est invitée à répondre à la question de savoir si les régimes nationaux qui imposent aux fournisseurs une obligation générale de conservation des données sont compatibles avec le droit de l’Union. Elle est par la même appelée à préciser  l’interprétation à apporter dans un contexte national à l’arrêt DRI.

La solution proposée par l’Avocat général est loin d’être surprenante mais recèle néanmoins d’importantes précisions, qui entrouvrent peut-être une porte inattendue, nous y reviendrons.

Le point central du débat porte sur la conservation des métadonnées de communication électroniques qui, selon les termes de M. Øe, « octroie aux autorités une capacité limitée de ‘lire le passé’ en accédant aux données relatives aux communications qu’une personne a effectuées avant même d’être suspectée d’avoir un lien avec une infraction grave » (§ 3 conclusions). Cette analyse corrobore celle de l’Avocat général Cruz Villalón, pour qui le nombre et la nature des données recueillies fait problème, dans la mesure où elles permettent de dessiner une « cartographie aussi fidèle qu’exhaustive […] des comportements d’une personne relevant strictement de sa vie privée, voire d’un portrait complet et précis de son identité privée » (conclusions du 12 déc. 2013, aff. jtes C-293/12 et C-594/12). C’est une telle démarche « proactive » que la Cour avait condamnée notamment dans l’arrêt DRI.

L’Avocat général, afin de répondre aux questions posées par les juridictions suédoise et britannique, examine d’abord le libellé de la directive 2002/58 « vie privée et communications électroniques » du 12 juillet 2002, qui évoque la possibilité pour les Etats membres d’adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée. Il estime que si la directive ne prévoit pas expressément la possibilité d’adopter une obligation générale de conservation des données, elle ne s’y oppose pas non plus (§ 106 conclusions). Une obligation générale de conservation des données est par conséquent compatible avec le régime établi par la directive 2002/58. Mais l’Avocat général souligne que si les Etats membres peuvent, dès lors, imposer une telle obligation, cette démarche est néanmoins subordonnée « au respect d’exigences strictes » (§ 116 conclusions), résultant de la Charte lue à la lumière de l’arrêt DRI.

En effet, le respect de la Charte s’impose aux Etats membres lorsqu’ils agissent dans le champ d’application du droit de l’Union, comme l’Avocat général le souligne (§ 119), ce qui est précisément le cas ici au travers de la mise en œuvre de la directive 2002/58 précitée. C’est pourquoi l’Avocat général est conduit à son tour – comme dans l’affaire DRI –  à envisager la question de l’obligation générale de conservation des données au regard des droits garantis par la Charte.

Il constate tout d’abord sans difficulté, comme la Cour avant lui dans DRI, et il y fait d’ailleurs référence, qu’une telle obligation constitue une ingérence grave, à la fois dans le droit au respect de la vie privée (article 7 de la Charte) et dans le droit à la protection des données à caractère personnel (article 8 de la Charte). Tout comme la Cour précédemment également, il rappelle – en se référant à l’article 52 § 1 de la Charte – qu’une telle ingérence ne peut être jugée compatible avec la Charte qu’à la condition de respecter six exigences, à savoir :  l’obligation de conservation doit avoir une base légale ;  elle doit respecter le contenu essentiel des droits consacrés par la Charte ; elle doit poursuivre un objectif d’intérêt général ;  elle doit être appropriée à la poursuite de cet objectif ;  elle doit être nécessaire à la poursuite dudit objectif, et elle doit être proportionnée, au sein d’une société démocratique, à la poursuite de ce même objectif.

Sans revenir sur l’analyse détaillée de chacun de ces points, il suffit de souligner que l’Avocat général, pour chacun d’entre eux, précise qu’il appartient aux juridictions nationales de renvoi de vérifier que les régimes nationaux répondent aux exigences ainsi posées.

Un passage important du raisonnement de l’Avocat général est celui qui l’amène à rappeler d’abord que la lutte contre le terrorisme et la criminalité grave constitue un objectif d’intérêt général, et que l’article 6 de la Charte énonce le droit de toute personne à la liberté, mais également à la sûreté (rappel § 42 arrêt DRI). Dès lors, l’obligation générale de conservation des données paraît justifiée par la poursuite de cet intérêt général (§ 173 conclusions). Reste à savoir si une telle obligation est appropriée, nécessaire et proportionnée à la lumière de l’objectif poursuivi.

Il semble ici que l’Avocat général ait été sensible, notamment, aux arguments avancés par le gouvernement français, relatés dans le cadre des affaires examinées. Celui-ci avait rappelé que, dans le cadre des enquêtes relatives au démantèlement des filières organisant le départ de résidents français vers des zones de conflit en Irak ou en Syrie, l’accès aux données conservées jouait un rôle déterminant pour identifier les personnes ayant facilité un tel départ. Il avait ajouté que l’accès aux données relatives aux communications des personnes impliquées dans les récents attentats terroristes de janvier et de novembre 2015 en France avait été extrêmement utile aux enquêteurs pour découvrir les complices des auteurs de ces attentats (§ 183 conclusions). Ceci permet à l’Avocat général de conclure qu’une obligation générale de conservation des données est apte à contribuer à la lutte contre les infractions graves (§ 184).

L’analyse et le constat ne sont pas nouveaux, puisque très largement étayés sur l’arrêt DRI. Et une fois encore, c’est sur ce même arrêt que l’avocat général va s’appuyer pour rappeler qu’une telle obligation générale de conservation des données – pour être jugée strictement nécessaire – doit s’accompagner de garanties strictes, concernant notamment l’accès aux données, la durée de conservation ainsi que la protection et la sécurité des données (§ 195 conclusions).

Ce qui est nouveau ici et mérite d’être signalé est le soin avec lequel l’Avocat général souligne que « la Cour ne s’est pas prononcée sur la compatibilité avec le droit de l’Union d’une obligation générale de conservation de données qui serait accompagnée de telles garanties », ajoutant que « les points 56 à 59 de l’arrêt DRI ne comportent aucune déclaration de la Cour en ce sens qu’une obligation générale de conservation de données excéderait, en soi, les limites du strictement nécessaire » (§ 196 conclusions).

Il estime d’ailleurs, à la suite des gouvernements allemand et néerlandais, que « si la seule conservation généralisée des données avait suffi à entraîner l’invalidité de la directive 2006/24, la Cour n’aurait pas eu besoin d’examiner, et ce de manière détaillée, l’absence des garanties énoncées aux points 60 à 68 de cet arrêt » (§ 201 conclusions). Et il s’appuie même sur le très important arrêt Schrems (C-362/14, 6 octobre 2015), pour énoncer que « la Cour n’a pas jugé que le régime en cause dans cette affaire excédait les limites du strict nécessaire au seul motif qu’il autorisait une conservation généralisée de données à caractère personnel ».

Tout cela pour en venir au constat final selon lequel « une obligation générale de conservation de données ne doit pas toujours être considérée comme excédant, en soi, les limites de ce qui est strictement nécessaire aux fins de la lutte contre les infractions graves » (§ 205). Il ajoute naturellement qu’une telle obligation excède toujours les limites de ce qui est strictement nécessaire lorsqu’elle n’est pas accompagnée de garanties, concernant l’accès aux données, la durée de conservation ainsi que la protection et la sécurité des données. Il appartiendra aux juridictions nationales de vérifier l’existence de ces garanties, qui présentent un « caractère impératif » (§ 244).

L’Avocat général se penche enfin, une fois encore, sur l’ingérence « de masse » que constitue la conservation des métadonnées de communications électroniques, rappelant le constat de l’Avocat général Cruz Villalón, selon lequel l’exploitation de ces données rend possible « l’établissement d’une cartographie aussi fidèle qu’exhaustive d’une fraction importante des comportements d’une personne relevant strictement de sa vie privée, voire d’un portrait complet et précis de son identité privée » (§ 253 conclusions). Ce constat lui permet de souligner une fois encore l’importance des garanties impératives devant entourer le recueil et la conservation des données, dont appartient aux juridictions nationales d’apprécier l’existence et la portée.

Au total, si l’Avocat général insiste à maintes reprises sur les garanties qui doivent entourer la conservation générale des métadonnées de communications électroniques, dont il mesure la portée en termes d’atteinte au droit au respect de la vie privée et à celui à la protection des données à caractère personnel, c’est malgré tout sa conclusion initiale que nous pouvons retenir. Il a en effet largement admis et justifié la régularité, au regard du droit de l’Union en général et de la Charte en particulier, de l’obligation de conservation générale de données personnelles (métadonnées ici).

Dans la mesure où les commentateurs ont très largement souligné, après les arrêts Digital Rights Ireland et Schrems, que la Cour de justice condamnait tout mécanisme de stockage de masse de données de façon indifférenciée, ces conclusions, si elles sont suivies, entrouvrent peut-être une porte quant à l’important et très controversé problème posé par le dossier « PNR », qu’il s’agisse de la directive 2016/681 qui vient enfin d’être adoptée (JO L 119 04.05.2016, p. 0132) après des années de tergiversations politiques, ou des accords de l’UE avec le Canada, dont la question de la conformité au droit de l’UE a été soumise à la CJUE en novembre 2014,  dont l’avis reste très attendu.

Il est loisible en effet de se demander si l’insistance et le soin avec lesquels l’Avocat général s’emploie à justifier l’obligation générale de conservation des données ne constituent pas en effet les prémices annoncés d’une future décision de la Cour admettant le stockage de masse de données, à condition que le recueil, le traitement et la conservation de telles données soient entourées de garanties suffisantes…Dans le contexte actuel de lutte contre le terrorisme, n’est-ce pas la porte étroite que la Cour pourrait emprunter, afin de concilier l’intérêt général (lutte contre le terrorisme et la criminalité grave) et les droits des particuliers (droit à la protection des données) ? La suite que la Cour donnera à ces conclusions très équilibrées nous donnera peut-être un premier élément de réponse…