Dans un arrêt du 15 janvier 2020, lavocat général près la Cour de justice de l’Union européenne Manuel Campos Sánchez-Bordona apporte des précisions quant à la compatibilité des moyens et méthodes de la lutte antiterroriste des Etats membres avec la directive vie privée et communications électroniques (2002/58/CE).
Rappel des règles
Tout d’abord, il rappelle que la directive exclut de son application les activités menées, en vue de préserver la sécurité nationale, par les pouvoirs publics pour leur propre compte, sans requérir la collaboration de particuliers et, dès lors, sans leur imposer dobligations dans leur gestion commerciale.
En revanche, lorsque le concours de particuliers auxquels certaines obligations sont imposées est requis, même pour des raisons de sécurité nationale, cette circonstance relève du domaine régi par le droit de lUnion, celui de la protection de la vie privée qui peut être exigée de ces acteurs privés. Ainsi, la directive sapplique, en principe, lorsque les fournisseurs de services de communications électroniques sont tenus, par la loi, de conserver les données de leurs abonnés et de permettre aux autorités publiques dy accéder, indépendamment du fait que ces obligations soient imposées aux fournisseurs pour des raisons de sécurité nationale.
Ensuite, lavocat général rappelle que les limitations posées à lobligation de garantir la confidentialité des communications et des données relatives au trafic des activités des personnes doivent être interprétées strictement et à la lumière des droits fondamentaux consacrés par la Charte.
Ainsi, la conservation généralisée et indifférenciée de lensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits présente un caractère disproportionné.
Ainsi, la conservation des données en vue de la sauvegarde de la sécurité nationale et de lutte contre la criminalité n’est possible qu’avec une conservation limitée et différenciée des données (conservation de données absolument indispensables pour la prévention de la criminalité et la sauvegarde de la sécurité nationale durant une période déterminée et différenciée), et pour un accès limité à ces données (contrôle préalable effectué par une juridiction ou une entité administrative indépendante, et adoption de règles visant à prévenir toute utilisation abusive et tout accès illicite aux données).
En pratique
Dans les affaires jointes C-511/18 et C-512/18, lavocat général déclare que la directive soppose à la réglementation française qui, dans un contexte marqué par des menaces graves et persistantes pour la sécurité nationale, et en particulier par le risque terroriste, impose aux opérateurs et aux prestataires de services de communications électroniques de conserver, de manière générale et indifférenciée, les données relatives au trafic et les données de localisation de tous les abonnés ainsi que les données permettant didentifier les créateurs de contenus offerts par les fournisseurs de ces services. Cette obligation de conservation généralisée et indifférenciée constitue une ingérence particulièrement grave dans les droits fondamentaux consacrés par la Charte.
Par ailleurs, la réglementation française nest pas compatible avec la directive car elle ninstaure pas lobligation dinformer les personnes concernées du traitement de leurs données à caractère personnel effectué par les autorités compétentes, afin que ces personnes puissent exercer leur droit à une protection juridictionnelle effective, pour autant que cette communication ne compromette pas laction de ces autorités.
En revanche, la directive ne soppose pas à une réglementation nationale qui permet de recueillir, en temps réel, les données relatives au trafic et les données de localisation de personnes spécifiques, pour autant que ces actions soient menées conformément aux procédures prévues pour laccès aux données à caractère personnel légalement conservées et avec les mêmes garanties.
Dans l’affaire C-520/18, lavocat général estime que la directive soppose à la réglementation belge de lutte contre le terrorisme car, même si laccès aux données conservées est soumis à des garanties précisément réglementées, les opérateurs et les fournisseurs de services de communications électroniques se voient imposer une obligation générale et indifférenciée qui sapplique de manière permanente et continue, de conserver les données relatives au trafic et les données de localisation traitées dans le cadre de la fourniture de ces services, ce qui est incompatible avec la Charte.
Enfin, dans laffaire C-623/17, lavocat général considère que, nonobstant larticle 4 TUE, selon lequel la sécurité nationale relève de la responsabilité exclusive de chaque Etat membre, la directive soppose à la réglementation britannique qui impose à un fournisseur de services de communications électroniques lobligation de fournir des données de communications en masse après leur collecte généralisée et indifférenciée.