Dans le cadre d’une enquête pour vol d’un téléphone, la police judiciaire espagnole a demandé au juge d’instruction de lui accorder l’accès aux données d’identification des utilisateurs des numéros de téléphone activés depuis le téléphone volé durant une période de douze jours à partir de la date du vol.

Le juge d’instruction a refusé, au motif que les faits à l’origine de l’enquête pénale ne sont pas constitutifs d’une infraction sanctionnée d’une peine de prison supérieure à cinq ans.
Dans deux arrêts de la Cour de justice de l’Union européenne (CJUE), la notion d’ »infractions graves » a été utilisée pour apprécier la légitimité et la proportionnalité d’une ingérence dans le droit au respect de la vie privée et familiale ainsi que dans le droit à la protection des données à caractère personnel.

Une juridiction espagnole, saisie de l’affaire, a interrogé la Cour sur la fixation du seuil de gravité des infractions à partir duquel une atteinte aux droits fondamentaux peut être justifiée, au regard des arrêts précités, lors de l’accès, par les autorités nationales compétentes, aux données à caractère personnel conservées par les fournisseurs de services de communications électroniques.

Dans ses conclusions du 3 mai 2018, l’avocat général Henrik Saugmandsgaard Øe énonce tout d’abord que cette ingérence est une mesure ciblée et limitée dans le temps. Ainsi, les effets potentiellement nuisibles, pour les personnes visées par la demande d’accès en cause, sont à la fois modérés et encadrés. L’ingérence entraînée par la communication de ces données d’identité civile ne revêt donc pas un caractère de particulière gravité.
Il ajoute que c’est uniquement lorsque l’ingérence subie est d’une particulière gravité que les infractions susceptibles de justifier une telle ingérence doivent elles-mêmes être d’une particulière gravité. En revanche, dans le cas d’une ingérence non grave, même les infractions pénales qui ne sont pas d’une particulière gravité sont susceptibles de justifier une telle ingérence.
Les autorités compétentes peuvent donc avoir accès aux données d’identification détenues par les fournisseurs de services de communications électroniques, lorsque ces données permettent de retrouver les auteurs supposés d’une infraction pénale ne revêtant pas de caractère grave.

L’avocat général en conclut que la mesure demandée par la police judiciaire en l’espèce entraîne, dans les droits fondamentaux garantis par la directive et par la Charte, une ingérence qui n’atteint pas un niveau de gravité suffisant pour qu’il faille réserver un tel accès aux cas dans lesquels l’infraction concernée revêt un caractère grave.