Protection des données personnelles en matière de télécommunications, sécurité nationale, criminalité grave : quel équilibre ?

Décryptages
Outils
TAILLE DU TEXTE

La Grande chambre de la Cour de Justice a précisé comment établir un équilibre entre la protection de la vie privée et la lutte contre la criminalité grave et les menaces graves à la sécurité nationale.

Les questions préjudicielles, objets de l’arrêt C-140/20 du 5 avril 2022, concernaient une situation dans laquelle Monsieur G. D avait été condamné à perpétuité pour meurtre notamment sur la base de données relatives tant au trafic qu’à la localisation d’appel téléphonique obtenue sur le fondement d’une loi irlandaise de 2011.

La question était de savoir si cette loi devait être partiellement invalidée car incompatible avec les articles 7, 8 et 15 de la directive 2002/58 (directive vie privée et communications électroniques) et l’article 52 paragraphe 1 de la Charte des droits fondamentaux. Ceci a conduit la Cour suprême d’Irlande à poser des questions préjudicielles se fondant elle-même sur des décisions importantes de la Cour de Justice, telles que l’arrêt La quadrature du Net (C-511/18 du 6 octobre 2020).

La réponse a été donnée sur la base de la directive 2002/58 telle que modifiée par la directive 2000/136 y inclus une référence à son article 11 et l’article 52 de la Charte.

La Cour a répondu que ces textes s’opposent à des mesures législatives prévoyant, à titre préventif, aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation. En revanche, il ne s’oppose pas à des mesures législatives prévoyant, aux mêmes fins : 

- une conservation ciblée des données relatives au trafic et des données de localisation qui soit délimitée, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique, pour une période limitée au strict nécessaire, mais renouvelable ;

- une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion, pour une période limitée au strict nécessaire ;

- une conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs de moyens de communications électroniques mais ce sans limitation temporelle ;

- au recours à une injonction faite aux fournisseurs de services de communications électroniques, au moyen d’une décision de l’autorité compétente soumise à un contrôle juridictionnel effectif, de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont disposent ces fournisseurs de services, dès lors que ces mesures assurent, par des règles claires et précises, que la conservation des données est subordonnée au respect des conditions matérielles et procédurales y afférentes et que les personnes concernées disposent de garanties effectives contre les risques d’abus.

Il est intéressant de noter que la Cour a bien distingué dans sa motivation entre le fait que de telles mesures pouvaient être justifiées au titre de la sécurité publique ou de la lutte contre la criminalité grave mais que l’on ne pouvait utiliser des données obtenues au titre de la sécurité publique comme preuve dans une procédure concernant la criminalité grave.

Elle a aussi distingué le fait que la conservation pouvait concerner le trafic ou les données de localisation et préciser que la justification des mesures de conservation devait être fournie indépendamment pour chacune.

Interrogée sur le point de savoir si les modalités de la loi irlandaise confiant à un Commissaire de police spécialement désigné assisté d’une unité de contrôle dite indépendante le point de contrôler l’accès aux donnés étaient conformes au droit de l’Union, la Cour a dit pour droit que le droit de l’Union doit être interprété :

« en ce sens qu’il s’oppose à une législation nationale en vertu de laquelle le traitement centralisé des demandes d’accès à des données conservées par les fournisseurs de services de communications électroniques, émanant de la police dans le cadre de la recherche et de la poursuite d’infractions pénales graves, incombe à un fonctionnaire de police, assisté par une unité instituée au sein de la police jouissant d’un certain degré d’autonomie dans l’exercice de sa mission et dont les décisions peuvent faire ultérieurement l’objet d’un contrôle juridictionnel.».

Enfin, la juridiction irlandaise voulait savoir si elle pouvait limiter l’effet de ses arrêts dans le temps. La Cour s’y est opposé car ce pouvoir lui appartient. Elle a précisé que l’admissibilité des éléments de preuve obtenus au moyen d’une telle conservation relève, conformément au principe d’autonomie procédurale des États membres, du droit national, sous réserve du respect, notamment, des principes d’équivalence et d’effectivité.

Au vu de cet arrêt, il sera intéressant de voir si la législation française antérieure et actuelle respecte tous les critères qui viennent d’être définis.

Richard Milchior, Avocat associé, Herald


Lex Inside - L’actualité juridique - Émission du 6 novembre 2024 :

Lex Inside - L’actualité juridique - Émission du 1er novembre 2024 :

Lex Inside - L’actualité juridique - Émission du 30 octobre 2024 :