Directive de 2006 sur la conservation des données par les FAI, jugée incompatible avec la Charte des droits fondamentaux de l’Union selon l’avocat général de la CJUE

Dans un contexte où les instances européennes réfléchissent à un texte législatif qui serait mieux adapté, compte tenu des évolutions technologiques, pour assurer un niveau de protection maximale des données à caractère personnel des personnes physiques et morales, la position très tranchée de l’avocat général de la CJUE sur l’incompatibilité de la directive du 15 mars 2006 avec certains droits fondamentaux garantis par la Charte des droits fondamentaux de l’Union, n’est pas passée inaperçue.

Rappelons que dans le domaine des données personnelles l’attention actuelle du législateur européen se focalise sur une réforme de la protection des données qui soit plus favorable au respect de la vie privée des personnes. La Commissaire européenne, Madame Reding, s’était elle-même prononcée en ce sens lors de tables rondes organisées sur ce sujet en 2010 et 2011. Il faut par ailleurs citer la proposition déposée le 25 janvier 2012 par la Commission européenne d’un « Règlement général sur la protection des données ». Proposition qui a d’ailleurs été entérinée par la commission « libertés civiles » du Parlement le 21 octobre 2013.

La problématique générale qui se pose au législateur en cette matière, qu’il soit d’ailleurs européen ou français, est celle de l’équilibre à réaliser entre d’une part la protection effective des données à caractère personnel et d’autre part la nécessité de conserver et de traiter les données personnelles dans un objectif d’intérêt général ou de sûreté publique tel que celui de la lutte contre le terrorisme ou encore celui de la détection et de la poursuite d’infractions graves.

L’arsenal législatif de l’Union européenne relatif à la protection et au traitement des données à caractère personnel n’a cessé de s’enrichir depuis l’adoption des premières directives en la matière, dont celle du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. A suivi celle de 2002 concernant plus spécifiquement le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.

Ces deux directives prévoient expressément que des limitations peuvent être apportées au régime de protection des données à caractère personnel qu’elles instituent (article 13 pour la Directive de 1995 et article 15 pour celle de 2002) lorsque cela est nécessaire pour la poursuite d’infractions graves ou pour sauvegarder la sécurité publique.

La directive du 15 mars 2006 poursuit les mêmes objectifs généraux que les précédentes. Elle est relative à la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques. Elle prévoit dans son article 3 une obligation pour les fournisseurs de services de communications de conserver un grand nombre de données permettant d’identifier une personne.

Il s’agit selon son article 5 de données nécessaires pour retrouver et identifier la source et la destination d’une communication, la date et l’heure de la communication, le type de communication, le matériel utilisé et sa localisation.

Son article 6 pose une obligation aux fournisseurs de services de communications de conserver au minimum 6 mois et au maximum 24 mois les données personnelles générées ou traités lors de la fourniture des services.

Le point 10 du préambule de la directive énonce que c’est en raison du contexte international et notamment à la suite des attentats de Londres de 2005 qu’a été décidée la création d’une obligation de conservation des données à la charge des fournisseurs de services de communications électroniques. Le point 22 rappelle que « la présente directive respecte les droits fondamentaux et observe les principes reconnus, notamment, par la charte des droits fondamentaux de l’Union européenne (article 7 et 8 de la Charte) ».

Cette prudence affichée des rédacteurs de la directive n’a pas empêché l’avocat général de la CJUE de retenir l’incompatibilité de cette directive avec les articles 7 et 8 ainsi que 52 de la Charte des droits fondamentaux.

Faits et questions préjudicielles

C’est à l’occasion de deux affaires intéressant, pour la première une association irlandaise et pour la seconde, 11300 citoyens autrichiens, que la CJUE a été saisie de questions préjudicielles visant à examiner la compatibilité des dispositions de la directive du 15 mars 2006 avec certains droits garantis par la Charte européenne des droits fondamentaux.

Les requérants reprochent aux dispositions nationales qui ont transposé la directive de 2006 de n’être pas en conformité avec certains articles de la Charte européenne : l’article 7 relatif au « droit à la vie privée et familiale » l’article 8 garantissant la « protection des données personnelles », et enfin, l’article 52 de la Charte imposant une exigence de légalité et de « proportionnalité » des limitations apportées aux droits et libertés reconnus par la Charte.

Examen de l’ingérence de la directive dans le droit au respect de la vie privée

L’ingérence de la directive de 2006, c’est-à-dire son intervention ou interférence dans le droit au respect de la vie privée des personnes est indiscutable d’après les observations de l’avocat général de la CJUE.

En effet, l’essence de cette directive porte en elle-même les germes de cette ingérence dès lors qu’elle vise parallèlement à son obligation de conservation, la collecte de données personnelles. Cette observation est conforme à la conception qui est celle de la Cour européenne des droits de l’homme : toute mémorisation par une autorité publique des données personnelles d’une personne est constitutive d’une ingérence dans son droit au respect de la vie privée.

La directive précise pourtant et de manière insistante que son objet ne s’étend pas au contenu des communications mais exclusivement aux données qui sont générées ou traités lors de la fourniture des services par l’opérateur, c’est-à-dire concrètement lors de la signature du contrat d’abonnement téléphonique ou Internet.

Toutefois, cette précision n’enlève rien au caractère disproportionné de la directive par rapport à l’ingérence dans le droit fondamental à la vie privée qu’elle constitue. Car comme le relève l’avocat général, la collecte et la conservation de données personnelles permettant l’identification d’une personne, données stockables dans de « gigantesques bases de données », représente bien une ingérence caractérisée dans la vie privée des personnes.

L’avocat ajoute que la collecte et la conservation de ces données, susceptibles d’être exploitées, constituent une menace et crée les conditions d’une surveillance permanente qui viole le droit des citoyens de l’Union au secret de leur vie privée.

L’omniprésence des moyens et des outils de communications modernes dans tous les champs de la vie privée et même professionnelle des individus représente un autre facteur qui vient amplifier cette ingérence dans le droit au respect de la vie privée.

L’article 5 de la directive qui exige des opérateurs la conservation d’un ensemble de données personnelles « qualifiées » telles que la date et l’heure de la communication, la source et la destination de la communication ou encore le type de matériel utilisé, permet d’établir un véritable portrait de la personne, une « cartographie fidèle de l’essentiel de ses comportements  ».

Il est aussi à relever que l’ingérence est aggravée par les faibles obligations que met la directive à la charge des Etats en ce qui concerne l’accès à ces données. Ainsi, le risque qu’elles soient utilisées à des fins illicites et de manière malveillantes n’est pas à exclure.

Sans compter que la directive n’a pas soumis l’obligation de conservation faite aux opérateurs de stocker les données dans l’Etat duquel ils dépendent juridiquement. La conséquence est que les données peuvent librement circuler et ainsi échapper à la réglementation, ce qui augmente le risque d’une exploitation de ces données non conforme au droit au respect de la vie privée des personnes.

Examen de compatibilité de la directive avec la Charte des droits fondamentaux

- Une ingérence par nature dans les droits fondamentaux prévus par la Charte

D’emblée l’avocat général considère que la directive de 2006 constitue par elle-même une ingérence dans le droit au respect de la vie privée (point 68 des conclusions). Il fait remarquer à cet égard que la directive se définit elle-même comme une ingérence puisqu’elle tend à la conservation de données personnelles considérée comme une mesure nécessaire au regard des dispositions de l’article 8 de la CEDH ou 7 de la Charte européenne. En ce sens, la directive du 15 mars 2006 constitue la mise en œuvre des limitations à l’exercice des droits et libertés prévues par les textes communautaires et européens.

Dès lors, la tâche essentielle de l’avocat général de la CJUE a été d’examiner si compte tenu des objectifs visés par la directive de 2006 il était légitime, au regard de la Charte des droits fondamentaux, d’imposer à la charge des fournisseurs de services de communications une obligation de conservation des données personnelles dans les conditions et limites prévues par cette directive. En d’autres termes il s’agit de qualifier cette ingérence, c’est-à-dire de vérifier si elle respecte le principe de proportionnalité posé par les textes européens.
Les objectifs fixés par la directive de 2006 étaient d’une part l’harmonisation des législations nationales disparates en matière de conservation de données personnelles et d’autre part, la lutte contre les infractions graves liées à la criminalité organisée et au terrorisme.

- Incompatibilité de la directive avec l’article 5 §4 du TUE

La poursuite de ces deux objectifs paraît insuffisante d’après l’avocat général pour donner à la directive une base juridique valable au regard de l’article 5 § 4 du traité sur l’Union européenne. Sur la base de cet article, les requérants reprochent en effet à la directive de ne pas respecter le principe de proportionnalité visé par le TUE et qu’elle constitue par conséquent une ingérence dans le droit au respect de la vie privée.

L’avocat général parviendra à la même conclusion en considérant qu’il existe une « disproportion manifeste entre l’intensité de l’intervention dans le domaine de la régulation des droits fondamentaux et les objectifs tenant à la nécessité de garantir le fonctionnement du marché intérieur  » et de rechercher et poursuivre des infractions criminelles graves. Cependant, il est demandé à la Cour de « ne pas trancher définitivement cette question dans le cadre des présentes affaires » et d’en différer l’examen (point 100 et suivants des conclusions).

- Incompatibilité de la directive avec l’article 52 de la Charte des droits

S’agissant du respect par la directive du principe de proportionnalité exigé à l’article 52 de la Charte des droits fondamentaux, dont la violation était également soutenue par les requérants, l’avocat général conclut aussi à l’incompatibilité.
Cet article pose deux exigences lorsque des limitations à l’exercice des droits prévus par la Charte sont envisagées. Il prévoit en effet que « toute limitation à ces droits doit être prévue par la loi » et que « dans le respect du principe de proportionnalité, des limitations ne peuvent être apportées à ces droits que si elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui ».

A propos de la 1ère condition, à savoir que toute limitation doit être « prévue par la loi  », l’avocat général conclut au terme de son analyse que la directive ne répond pas favorablement à cette condition.

En effet, il constate que le législateur européen n’a pas à travers cette directive pris de dispositions précises sur les garanties dont doit être assortie l’obligation faite aux opérateurs économiques de collecter et de conserver les données personnelles.

Dans la mesure où la directive attend des Etats membres qu’ils procèdent non pas seulement à la conservation des données mais également à leur collecte, du fait du retard accusé par certains Etats dans ce domaine, elle va en quelque sorte au-delà de la simple harmonisation de législations nationales existantes.
La directive exige la collecte de données personnelles et pour cette raison elle se devait d’inviter les Etats membres à adopter des lois précises de nature à garantir les droits fondamentaux en cas de mise en œuvre de mesures de limitation quant à leur exercice.

Mais l’avocat général pousse plus loin encore l’exigence : le législateur de l’Union ne saurait, lorsqu’il adopte un acte imposant des obligations constitutives d’ingérences caractérisées dans les droits fondamentaux des citoyens de l’Union, « totalement abandonner aux États membres le soin de définir les garanties de nature à les justifier » (point 120 des conclusions).
Le législateur européen aurait dû ainsi poser des règles ou principes généraux destinés à orienter les Etats membres quant aux dispositions qu’ils adopteront notamment pour régir l’accès aux données conservées, pour décrire les activités criminelles pouvant donner lieu à l’accès de ces données et surtout de poser le principe d’une obligation d’effacer ces données une fois leur utilité épuisée ( point 129 des conclusions).

Par conséquent, la directive du 15 mars 2006 ne respecte pas cette première condition de l’article 52 de la Charte des droits fondamentaux de l’Union relative à la « qualité de la loi ».

L’autre condition de l’article 52, celle de proportionnalité à proprement dit, se traduit par la nécessité de concilier la poursuite de l’objectif visé par la directive avec le respect des droits fondamentaux de la Charte, et, dans les présentes affaires avec ses articles 7 et 8 sur respectivement le respect de la vie privée et la protection des données personnelles.

La seule poursuite par la directive de l’objectif de lutte contre les infractions criminelles graves légitimerait en principe l’ingérence qu’elle constitue dans le droit au respect de la vie privée. Mais cela reste insuffisant selon l’avocat général pour remplir la condition de proportionnalité de l’article 52 de la Charte.
Si la directive du 12 juillet 2002 relative au traitement des données à caractère personnel et la protection de la vie privée a passé le test de proportionnalité de l’article 52 c’est parce qu’elle prévoit dans son article 6 l’anonymisation des données conservées une fois qu’elles deviennent inutiles à la transmission d’une communication. La directive de 2006 déroge à cette règle en prévoyant que les données devront être conservées au minimum 6 mois et au maximum 24 mois par les opérateurs de communications électroniques (article 6).

Après une analyse très fine révélant une certaine conception philosophique des rapports existant entre la vie privée d’une personne et le « temps », l’avocat général considère que seule la vie présente « enregistrée » d’un individu peut faire l’objet d’une conservation de données personnelles.

La vie présente d’une personne, par opposition à sa vie passée, s’étend au maximum sur une année. La directive aurait ainsi été conforme à l’article 52 si la durée de conservation des données prévue à l’article 6 avait été limitée à une année. En l’espèce la durée de conservation étant de deux ans, la directive est donc constitutive d’une ingérence caractérisée dans la vie privée et familiale des personnes.

Il est intéressant de noter ici que le décret d’application du 24 mars 2006 relatif à la conservation des données des communications électroniques prévoit lui un délai de conservation d’un an. Délai confirmé par le décret du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, lequel est venu notamment apporter des précisions sur le point de départ de ce délai d’un an.

{{Antoine Cheron ACBM Avocats }} [->acheron@acbm-avocats.com]