Le contexte
CJUE 21 décembre 2016, affaires jointes C-203/15 et C-698/15
Cette décision s’inscrit dans le sillage de la décision de la CJUE du 8 avril 2014 dite « Digital Rights » qui avait invalidé une directive du Parlement sur la conservation des données[1], au motif que cette directive engendrait une « ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel sans que cette ingérence soir limitée au strict nécessaire ».[2]
Le renvoi préjudiciel
Suite à cette décision, la CJUE a été saisie d’un renvoi préjudiciel par des cours anglaise et suédoise, qui questionnaient en substance le droit pour les Etats Membres d’imposer aux fournisseurs une obligation générale de conservation des données de trafic et de localisation, sans limitation dans le temps, dans l’espace ou à une cercle d’individus déterminés.
La décision
La CJUE répond que le droit de l’Union s’oppose à une réglementation nationale prévoyant une obligation de conservation des données généralisée et indifférenciée au motif que ceci crée une ingérence très importante dans la vie privée des individus dont les données sont conservées.
Dans le même temps, la CJUE autorise la conservation « ciblée des données » pour la lutte contre la criminalité d’une particulière gravité. La CJUE vient préciser que toute obligation de conservation des données doit être assortie des gardes fous suivants :
– les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation doit être limitée au strict nécessaire ;
– la réglementation doit être strictement nécessaire à la lutte contre les infractions graves ;
la réglementation doit être claire et précise ;
– elle doit respecter le contenu essentiel des droits reconnus par les articles 7 (vie privée) et 8 (données) de la charte des droits fondamentaux ;
– la réglementation doit se fonder sur des critères objectifs pour définir les circonstances et les conditions dans lesquelles l’accès aux données doit être accordé aux autorités nationales compétentes ;
– l’accès aux données conservées doit être, sauf en cas d’urgence, subordonnée à un contrôle préalable par une juridiction ou une entité indépendante ;
– les données doivent être conservées sur le territoire de l’Union et doivent être irrémédiablement détruites au terme de leur durée de conservation.
*** Cette décision intervient dans un contexte où de nombreux Etats Membres mettent en place des législations sécuritaires. En France, la légitimité des obligations de conservation des données mises en place par la loi sur le Renseignement adoptée en juin 2015 pourrait à nouveau être questionnée.
Contact : anne.baudequin@squirepb.com
[1] Directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE [2] CJUE, GC, 8 avril 2014, Digital Rights Ireland Ltd & Michael Seitlinger e.a