Par un arrêt remarqué et attendu en date du 21 décembre 2016 (Tele2 Sverige AB, aff. jointes C-203/15 et C-698/15), la Cour de Justice de l’Union Européenne s’est opposée avec force aux réglementations nationales prévoyant une conservation généralisée et indifférenciée des données de trafic et de localisation par les opérateurs de communication électronique.

La haute juridiction européenne œuvre ainsi dans la continuité de son arrêt du 8 avril 2014, Digital Rights Ireland (« Arrêt Digital Rights ») qui avait invalidé la directive 2006/24 dite « data retention » du 15 mars 2006 sur la conservation des données de connexion, exigeant des fournisseurs de services de communications électroniques, la conservation pendant une durée de six mois à deux ans de ces données. Cette conservation a été jugée excessive au regard du respect de la vie privée et de la protection des données à caractère personnel.

Cette décision ne répondait toutefois pas à la question de savoir si un Etat pouvait prévoir, dans son droit national, l’obligation pour les fournisseurs de services de communications électroniques de conserver l’ensemble des données de connexion de leurs utilisateurs afin d’assurer leur consultation potentielle par les autorités publiques.

Dans la continuité de l’Arrêt Digital Rights, la CJUE interprète ainsi l’article 15, paragraphe 1 de la directive 2002/58 du 12 juillet 2002 relative au traitement des données à caractère personnel et à la protection de la vie privée dans le secteur des communications à la lumière de la Charte des droits fondamentaux et en particulier de ses articles 7, 8, 11 et 52 pour considérer qu’une obligation de conservation généralisée et indifférenciée des données de connexion constitue une ingérence grave dans les droits fondamentaux des individus.

Apportant un éclairage sur l’Arrêt Digital Rights, la CJUE énonce en effet que les règlementations nationales sont soumises à la directive précitée et donc au champ d’application du droit de l’Union Européenne.

Ayant rappelé l’obligation pour les Etats Membres de respecter le principe fondamental du droit à la vie privée, la CJUE précise que seule une conservation ciblée des données, dont l’accès est conditionné à un contrôle préalable, et justifiée par la nécessité de lutter contre la criminalité grave, est conforme à la Charte des droits fondamentaux.

 

  • Une conservation conditionnée des données de connexion

Dans son Arrêt Télé2 Sverige AB, la CJUE associe la conservation des données de connexion par les fournisseurs de communication électroniques à une pluralité de conditions matérielles et procédurales. La CJUE proclame qu’une telle conservation, pour être tolérée, doit nécessairement être ciblée. Elle précise que la conservation des données de trafic et de localisation doit être délimitée au regard du type de données, des moyens de communications visés, des abonnés ou utilisateurs concernés ainsi que de leur durée de conservation.

Enfin, ces données doivent impérativement être conservées sur le territoire de l’Union Européenne et détruites à l’issue de la période autorisée de conservation.

Outre ces aspects matériels, la CJUE énonce que la conservation des données de connexion doit présenter comme seul dessein d’intérêt général, celui de la lutte contre la criminalité grave, à des fins de prévention d’un risque pour la sécurité publique. En effet, l’ingérence faite au droit au respect de la vie privée et à la protection des données personnelles doit donc être suffisamment justifiée et proportionnée. Ainsi, l’accès ne pourra concerner que les données d’individus en lien avec la commission d’une infraction.

Enfin, la CJUE pose une ultime condition à la conservation des données de connexion en prévoyant un contrôle préliminaire à tout accès par les autorités nationales. Elle prévoit que ce contrôle préalable soit effectué soit par une juridiction, soit par une entité administrative indépendante.

 

  • Une réglementation nationale à adapter

La législation française autorise les fournisseurs et hébergeurs à conserver les données de connexion limitativement énumérées pendant une durée de un an, période dont le point de départ diffère en fonction de leur nature (6 II-1 de la loi pour la confiance dans l’économie numérique du 21 juin 2004). De même, les opérateurs de communications électroniques peuvent déroger au principe d’anonymisation des données de trafic pendant une durée d’un an pour en permettre l’accessibilité par les autorités publiques (L.34-1 III du code des postes et des communications électroniques).

En France, si cette obligation de conservation peut être considérée comme généralisée en ce sens qu’elle s’applique aux données de tout utilisateur, qu’il soit en lien ou non avec un acte pouvant porter atteinte à la sécurité de l’Etat, elle n’est pas indifférenciée car les données sont strictement définies, notamment par l’article 1er du décret du 25 février 2011.

S’agissant de la procédure d’accès à ces données et à son contrôle préalable, la loi sur le Renseignement de 2015 a mis en place un régime d’autorisation du Premier ministre après avis de de la Commission nationale de contrôle des techniques de renseignement. Il restera à déterminer si la consultation d’une autorité administrative indépendante est suffisante eu égard aux prescriptions de la CJUE découlant de son Arrêt Télé2 Sverige AB.

Protecteur des données à caractère personnel mais minimaliste dans ses dispositions relatives à la conservation des données de connexion, le droit français devra donc être mis en conformité

Cette décision protectrice du droit au respect de la vie privée intègre une mouvance européenne générale de protection accrue des données à caractère personnel, mouvance notamment illustrée par la volonté de la Commission Européenne de légiférer en matière de protection de la vie privée dans les communications électroniques et par la mise en place prochaine du Règlement européen de protection des données du 27 avril 2016.