La Revue Squire

La CJUE sanctionne l’obligation générale de conservation des données


Rédigé par Anne Baudequin le 23 Décembre 2016

Par une décision en date du 21 décembre 2016, la CJUE a jugé que le droit de l’Union s’opposait à ce que les Etats Membres puissent imposer aux fournisseurs de services de communications électroniques une obligation générale et indifférenciée de conservation de données de trafic et de localisation.



Le contexte


CJUE 21 décembre 2016, affaires jointes C-203/15 et C-698/15

Cette décision s’inscrit dans le sillage de la décision de la CJUE du 8 avril 2014 dite « Digital Rights » qui avait invalidé une directive du Parlement sur la conservation des données[1], au motif que cette directive engendrait une « ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel sans que cette ingérence soir limitée au strict nécessaire ».[2]

Le renvoi préjudiciel

Suite à cette décision, la CJUE a été saisie d’un renvoi préjudiciel par des cours anglaise et suédoise, qui questionnaient en substance le droit pour les Etats Membres d’imposer aux fournisseurs une obligation générale de conservation des données de trafic et de localisation, sans limitation dans le temps, dans l’espace ou à une cercle d’individus déterminés.

La décision


La CJUE répond que le droit de l’Union s’oppose à une réglementation nationale prévoyant une obligation de conservation des données généralisée et indifférenciée au motif que ceci crée une ingérence très importante dans la vie privée des individus dont les données sont conservées.
 
Dans le même temps, la CJUE autorise la conservation « ciblée des données » pour la lutte contre la criminalité d’une particulière gravité. La CJUE vient préciser que toute obligation de conservation des données doit être assortie des gardes fous suivants :

- les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation doit être limitée au strict nécessaire ;

- la réglementation doit être strictement nécessaire à la lutte contre les infractions graves ;
la réglementation doit être claire et précise ;

- elle doit respecter le contenu essentiel des droits reconnus par les articles 7 (vie privée) et 8 (données) de la charte des droits fondamentaux ;

- la réglementation doit se fonder sur des critères objectifs pour définir les circonstances et les conditions dans lesquelles l’accès aux données doit être accordé aux autorités nationales compétentes ;

- l’accès aux données conservées doit être, sauf en cas d’urgence, subordonnée à un contrôle préalable par une juridiction ou une entité indépendante ;

- les données doivent être conservées sur le territoire de l’Union et doivent être irrémédiablement détruites au terme de leur durée de conservation.

 
***

Cette décision intervient dans un contexte où de nombreux Etats Membres mettent en place des législations sécuritaires. En France, la légitimité des obligations de conservation des données mises en place par la loi sur le Renseignement adoptée en juin 2015 pourrait à nouveau être questionnée.
 
[1] Directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE
[2] CJUE, GC, 8 avril 2014, Digital Rights Ireland Ltd & Michael Seitlinger e.a






Vous souhaitez recevoir nos articles par mail, saisissez ci-dessous votre adresse mail :
















Rester Connecté
Rss
LinkedIn
Twitter




Si vous souhaitez recevoir par email, dès leur mise en ligne, tous les articles publiés sur La Revue, saisissez ici votre adresse :