Conservation des données personnelles

Dans un arrêt du 8 avril 2014, la directive 2006/24/CE du 15 mars 2006 « sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communication » a été invalidée par la Cour de justice de l’Union Européenne réunie dans sa formation solennelle.

Dans un arrêt du 8 avril 2014, la directive 2006/24/CE du 15 mars 2006 « sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communication » a été invalidée par la Cour de justice de l’Union Européenne réunie dans sa formation solennelle.Faisant suite aux attentats terroristes du 11 septembre 2001, la directive 2006/24 impose aux fournisseurs de services de communications électroniques à destination du public l’obligation de collecter et de conserver un grand nombre de données relatives au trafic, à la localisation et/ou à l’identification des utilisateurs, dans le but de permettre ensuite leur communication aux autorités nationales en charge de la lutte contre la criminalité.

Conformément à la directive 2006/24, tout fournisseur d’accès à internet établi dans un des pays membres de l’Union Européenne a donc l’obligation de collecter et de conserver les données nécessaires pour retrouver et identifier « la source d’une communication » (numéro d’identifiant, nom et adresse de l’abonné), « la destination d’une communication » (numéro d’identifiant, nom et adresse de l’abonné et de l’utilisateur, ainsi que le numéro d’identifiant du destinataire), la « date, l’heure et la durée d’une communication » (date et heure d’ouverture et de fermeture de la session internet, adresse IP) ainsi que le matériel de communication des utilisateurs (ligne d’abonné numérique DSL ou tout autre point terminal de l’auteur de la communication).

Si la directive 2006/24 n’autorise pas la conservation du contenu des messages communiqués et des informations consultées, les données conservées sont néanmoins, comme le relève la Cour, « susceptibles de fournir des indications très précises sur la vie privée des personnes, comme les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers, les activités exercées, les relations sociales et les milieux sociaux fréquentés ». En outre, ces procédés réalisés à l’insu des personnes concernées peuvent générer chez ces dernières le sentiment légitime que leur vie privée fait l’objet d’une surveillance.

Par conséquent, la directive 2006/24 porte bien atteinte à la confidentialité des communications électroniques (directive 2002/58 du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques), à la protection des données à caractère personnel (directive 95/46 du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ; article 8 de la Charte des droits fondamentaux de l’Union) ainsi qu’au droit au respect de la vie privée des personnes (article 7 de la Charte des droits fondamentaux de l’Union). Restait alors pour la Cour de justice à déterminer si une telle atteinte pouvait être justifiée, notamment par la finalité de la directive 2006/24.

Or selon la Cour de justice, et même si la lutte contre le terrorisme et la criminalité grave afin d’assurer la sécurité publique constitue une finalité légitime, la directive 2006/24 porte atteinte de manière disproportionnée au droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, principalement en l’absence de garde-fous suffisants.

D’une part, la Cour de justice condamne principalement le fait que la directive 2006/24 s’applique de la manière la plus large à tous types de personnes, de moyens de communication électronique et de données, et sans qu’aucune limitation ne soit opérée en fonction de la gravité des infractions poursuivies. Ainsi, la durée de conservation des données (entre six et vingt-quatre mois) est perçue comme injustement générale puisqu’elle ne prend pas en compte les catégories de données, les personnes concernées et la pertinence des données conservées.

D’autre part, l’absence de garanties permettant de s’assurer que les données sont effectivement utilisées par les autorités nationales compétentes dans le respect des finalités de la directive 2006/24 est également dénoncée. Pour la Cour de justice, l’absence d’obligation faite aux États membres d’instaurer une juridiction ou une entité administrative indépendante ayant la charge de contrôler préalablement les conditions de divulgation des données est notamment très préjudiciable à la validité de la directive 2006/24. La sécurité des données conservées par les fournisseurs de services de communication électronique est aussi présentée comme insuffisante dès lors que les données peuvent être conservées en dehors de l’Union Européenne et que leur destruction à la fin de leur période de conservation n’est pas envisagée par la directive 2006/24.

Ainsi, la directive 2006/24 est totalement invalidée par la Cour de justice européenne, et ce de manière rétroactive à compter de sa date d’entrée en vigueur. La disparition de la directive 2006/24 crée donc une situation de flou puisque des lois nationales de transpositions par les États membres avaient été prises sur la base de ladite Directive …. Si la réaction prochaine du législateur communautaire est d’ores et déjà attendue, la décision commentée n’arrive pas au meilleur moment compte tenu des échéances électorales à venir tant pour le Parlement que pour la Commission européenne au cours de l’année 2014.