Dans un arrêt du 8 avril 2014, la Cour de justice de l’Union européenne avait invalidé une directive européenne de 2006 qui obligeait les Etats membres à exiger des opérateurs qu’ils conservent les données de connexion de leurs clients pour que la police et la justice puissent y avoir accès.
Dans le présent cas d’espèce, la CJUE était saisie de deux affaires portant sur l’obligation générale imposée, en Suède et au Royaume-Uni, aux fournisseurs de services de communications électroniques de conserver les données relatives à ces communications comme le prévoyait la directive invalidée.

La Cour répond dans une décision du 21 décembre 2016, que le droit de l’Union s’oppose à une réglementation nationale prévoyant une conservation généralisée et indifférenciée des données, quelles soient relatives au trafic ou qu’elles concernent la localisation.
En effet, ces données donnent des indications très précises sur la vie privée des personnes et une telle ingérence doit être considérée comme particulièrement grave.

Toutefois, la CJUE admet une conservation limitée au strict nécessaire et ciblée à la lutte contre la criminalité grave, recouvrant le terrorisme et le grand banditisme. Une réglementation nationale allant dans ce sens doit être claire et précise, prévoir des garanties suffisantes et être fondée sur des éléments objectifs.

Enfin, la Cour énonce qu’il est essentiel que l’accès aux données conservées soit, sauf en cas d’urgence, subordonné à un contrôle préalable et qu’elles soient conservées sur le territoire de l’Union puis irrémédiablement détruites au terme de la durée de leur conservation.