À travers deux arrêts du 20 septembre 2022, la Cour de Justice précise une fois de plus les conditions dans lesquelles les États membres peuvent conserver les données relatives au trafic à des fins de surveillance.
Ces arrêts se situent dans la lignée des jurisprudences Digital Rights, Tele2 Sverige et La Quadrature du Net.

L’Union européenne protège le droit à la vie privée et le droit à la protection des données à caractère personnel au sein de son droit primaire, à travers les articles 7 et 8 de la Charte des droits fondamentaux. Plusieurs règlements et directives s’attachent également à protéger ces droits fondamentaux au sein de l’Union, comme le Règlement européen à la protection des données (RGPD) et la directive e-privacy (Directive 2002/58/EC) [1]. Cette dernière est particulièrement importante en matière de protection à la vie privée face à la surveillance étatique, puisqu’elle crée un régime de protection des données relatives au trafic, qui sont des métadonnées de valeur importante pour la prévention et la recherche des infractions pénales.

Les arrêts de la CJUE publiés le 20 septembre 2022 s’inscrivent dans l’application de la directive 2002/58/CE, qui fait déjà l’objet d’une jurisprudence étoffée au niveau européen. Ainsi, il est important d’inscrire ces décisions dans le contexte de leur adoption (I) avant d’en étudier l’apport (II).

I. Le contexte : une jurisprudence construite par la Cour de Justice de l’Union européenne.

La directive européenne concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive e-privacy) a été adoptée par le Parlement européen et le Conseil le 12 juillet 2002. Elle vise à protéger les données à caractère personnel relatives aux communications électroniques, y compris les métadonnées accompagnant le contenu de ces communications. Ainsi, les données de trafic relatives aux communications effectuées au moyen d’un réseau public de communications et de services de communications électroniques accessibles au public sont protégées par son article 5 et les données relatives au trafic concernant les abonnés et les utilisateurs traitées et stockées par le fournisseur d’un réseau public de communications ou d’un service de communications électroniques accessibles au public sont protégées par son article 6.
Le principe est simple : en dehors des données nécessaires pour établir les factures et paiements, le traitement des données relatives au trafic est interdit sauf si la personne concernée a donné son consentement ou si le traitement relève de l’article 15(1) de la directive e-privacy.

Dès lors, l’enjeu en matière de régime de surveillance se focalise autour de l’application de l’article 15(1) de la directive 2002/58/EC, qui dispose :

« Les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, [...] de la présente directive lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale - c’est-à-dire la sûreté de l’État - la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques [...] À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe [...] ».

À la suite des attentats de Madrid (2004) et de Londres (2005), de nombreux États membres avaient adoptés des législations permettant de lutter contre le terrorisme, qui se fondaient sur l’article 15(1) de la directive e-privacy. La Commission, soucieuse d’harmoniser les régimes de surveillance des États membres, avait adopté la directive 2006/24/EC [2].
Cette directive prévoyait une obligation pour les fournisseurs d’accès de conserver pendant une durée allant de six mois à deux ans certaines de données de trafic : nécessaire à l’identification de l’émetteur et du destinataire de la communication, le type de communication, la date, heure et durée de la communication, la localisation et l’identification de l’équipement utilisé.

L’arrêt Digital Rights de 2014 marque le début de la série jurisprudentielle s’appliquant aux règles de surveillance des données relatives au trafic, en invalidant la directive de 2006 [3].
La Cour de Justice applique une méthodologie d’évaluation classique en matière de droits fondamentaux : elle évalue l’existence et la gravité d’une ingérence dans les droits à la vie privée et à la protection des données à caractère personnel, vérifie que la justification répond à un objectif d’intérêt général, vérifie le caractère approprié de l’ingérence vis-à-vis de l’objectif poursuivi et enfin, procède à un contrôle de nécessité et de proportionnalité afin de vérifier que l’ingérence soit acceptable dans une société démocratique. En l’espèce, la Cour juge que l’ingérence est grave puisqu’elle permet de tirer des conclusions précises quant à la vie privée des personnes. Dès lors, il y a lieu de procéder à un test de stricte nécessité, auquel échoue la directive 2006 tant la conservation des données est généralisée et ne fait l’objet d’aucune limitation, notamment quant aux personnes concernées, à la temporalité de la mesure, ou encore à la restriction géographique de la mesure.
L’arrêt Tele2Sveridge de 2016 réaffirme la solution Digital Rights et invite les États membres à identifier des critères objectifs permettant de limiter la surveillance à ce qui est “strictement nécessaire” [4].

Les arrêts Ministerio Fiscal de 2018 [5] et La Quadrature du Net de 2020 [6] viennent préciser les modalités du contrôle de proportionnalité. Dans le premier arrêt, la Cour précise que les ingérences graves doivent être limitées à des crimes graves. A contrario, lorsque l’ingérence dans le droit à la vie privée est limitée, elle peut être justifiée au-delà de la simple recherche de crimes graves. En l’espèce, l’identification des propriétaires de deux cartes SIM activées par un téléphone volé, à travers leurs noms et adresses, constituait une ingérence suffisamment limitée pour la Cour de Justice de l’Union européenne pour justifier la recherche d’infractions pénales qui ne relevait pas de la grande criminalité. Dans le second arrêt, la Cour a précisé la limite opposée : la protection de la sécurité nationale justifie une ingérence plus grave dans le droit à la vie privée. Ainsi, s’il y a suffisamment de raisons solides pour penser qu’il existe une menace sérieuse et présente (ou prévisible) à la sécurité nationale, une mesure de surveillance peut être suffisamment large pour s’appliquer de manière générale à tous les utilisateurs de systèmes de communication électronique. Cependant, la mesure doit se limiter à une durée strictement nécessaire, et être sujette à l’examen par une Cour ou une autorité administrative indépendante dont la décision est contraignante.

II. Les arrêts SpaceNet et VD et SR du 20 septembre 2022.

Le 20 septembre 2022, la Cour de Justice a continué à préciser les contours de l’interprétation de l’article 15(1) de la directive 2002/58/CE à travers deux arrêts.

L’arrêt VD et SR s’intéresse au cadre français qui prévoyait une conservation généralisée et indifférenciée des données de trafic pendant un an à compter du jour de l’enregistrement, à des fins de lutte contre les infractions d’abus de marché, y compris les opérations d’initiés [7].

Selon les gouvernements français, estonien, irlandais et espagnol, une telle conservation généralisée était indispensable à l’exercice des pouvoirs de l’autorité compétente en matière de surveillance des marchés (en l’occurrence, l’AMF), tels qu’établis par l’article 12 de la directive 2003/6 et l’article 23 du règlement 596/2014 [8]. La Cour de Justice balaye rapidement ces arguments : puisque l’ingérence dans le droit à la vie privée est grave, l’interprétation de la nécessité et des dispositions d’exception doit être stricte. En l’espèce, le pouvoir reconnu aux autorités de surveillance des marchés financiers de se voir communiquer les enregistrements existants de données relatives au trafic détenus par un opérateur de télécommunications ne justifie pas une obligation de conservation généralisée des données de trafic [9]. La Cour refuse ainsi l’assimilation d’un régime d’accès aux données à un régime de conservation des données.

Par conséquent, la conservation des données relatives au trafic à des fins de lutte contre les infractions d’abus de marché relève de l’article 15(1) de la directive 2002/58/CE. Classiquement, la Cour relève l’incompatibilité du régime français de conservation généralisée des données avec le droit à la vie privée et le droit à la protection des données à caractère personnel, puisque les mesures de surveillance ne sont pas limités ni à un type de moyen de communication téléphonique, ni à une catégorie d’utilisateurs, ni à un type de données [10]. L’ingérence n’est donc pas limitée au strict nécessaire.

L’arrêt Spacenet s’intéresse quant à lui au cadre allemand qui prévoyait un régime de conservation généralisée et indifférenciée des données relatives au trafic, limité à quelques semaines, à des fins de répression des infractions pénales graves et de prévention d’un risque concret pour la sécurité nationale. La Cour évalue d’abord la gravité de l’ingérence, qu’elle qualifie de grave puisque la loi allemande “impose la conservation, sans motif, généralisée et non différenciée d’un point de vue personnel, temporel et géographique, de l’essentiel des données relatif au trafic et des données de localisation” [11]. De plus, la Cour remarque que la conservation des données inclut la conservation de données relatives à utilisateurs soumis au secret professionnels (avocats, médecins, journalistes). L’ingérence étant sérieuse dans le droit à la vie privée, l’interprétation de l’article 15(1) nécessite un test de stricte nécessité.

Or, le test de stricte nécessité ne se satisfait pas de la simple durée de conservation réduite des données de localisation et de trafic (respectivement quatre et dix semaines). En effet, la Cour affirme qu’une telle limitation de la durée de conservation n’est pas de nature à empêcher les autorités nationales “de tirer des conclusions très précises concernant la vie privée des personnes dont les données sont conservées” [12]. De la même manière, les garanties prévues contre les risques d’abus et d’accès illicites aux données ainsi conservés ne permettent pas de limiter ou remédier à l’ingérence grave résultant de la conservation généralisée des données [13].

De plus, la Cour refuse d’assimiler la criminalité grave à une menace pour la sécurité nationale, sur deux fondements. Premièrement, la menace pour la sécurité nationale répond à un critère de gravité qui découle soit d’une déstabilisation importante de la structure constitutionnelle, politique, économique ou fondamentale du pays, soit d’une menace directe envers la société, la population ou l’État [14]. Deuxièmement, seule la menace à la sécurité nationale réelle et prévisible permet de justifier une mesure de conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, pendant une durée limitée. Ce refus d’assimilation se traduit non seulement par l’interdiction de conservation généralisée des données de trafic à des fins de lutte contre la criminalité grave dans les mêmes conditions qu’à des fins de sauvegarde face à une menace pour la sécurité nationale mais également par l’interdiction d’accès, à des fins de lutte contre la criminalité grave, à des données qui auraient été exceptionnellement conservée de manière généralisée et indifférenciée à des fins de sauvegarde de la sécurité nationale [15].

Enfin, la Cour de Justice refuse d’interpréter les arrêts de la CEDH de 2021 Big Brother Watch et Centrum för Rävttvisa comme autorisant « une conservation généralisée et indifférenciée de données relatives au trafic et de données de localisation sur le territoire national ni même d’une interception de grande ampleur de ces données aux fins de la prévention, de la détection et de la recherche d’infractions pénales graves » [16]. Elle rappelle utilement à cet effet que la Cour ne se sent liée par l’article 52(3) de la Charte relative à la cohérence entre les droits contenus dans la Charte et les droits correspondant de la CEDH que lorsque les droits correspondants de la CEDH constituent un seuil de protection minimale. Dès lors, la CJUE juge que l’article 52(3) ne prévoit pas l’interdiction, pour le législateur européen, d’établir un régime de protection des droits de l’homme plus protecteur que celui de la Convention européenne des droits de l’homme telle qu’interprétée par la CEDH.

Katia Bouslimani Directrice de recherche juridique à Code is Law (Alias.dev) https://www.linkedin.com/in/katiabouslimani/