L’interdiction des mesures de conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation afférentes aux communications électroniques
(CJUE, 5 avril 2022, G.D. contre Commissioner of the Garda Síochána e.a., affaire C-140/20)
A l’occasion d’une demande préjudicielle prononcée par la Cour Suprême irlandaise, la Cour de justice de l’Union européenne a eu l’opportunité de confirmer sa jurisprudence issue de l’arrêt La Quadrature du Net. Celle-ci s’interroge sur la compatibilité du régime général de conservation des données à des fins de lutte contre la criminalité grave, prévu par la loi irlandaise, avec la directive « Vie privée et communications électroniques » (directive 2002/58/CE), lue à la lumière de la Charte des Droits Fondamentaux.
En effet, la Cour Suprême a présenté sa demande préjudicielle dans le cadre d’une procédure civile engagée par une personne condamnée à la réclusion à perpétuité. Elle reproche à la juridiction, qui a prononcé sa condamnation, d’avoir admis comme éléments de preuve des données relatives au trafic et des données de localisation afférentes à des appels téléphoniques qui avaient été conservées par des opérateurs téléphoniques et transférées aux autorités de police. Elle estime que la loi irlandaise viole les droits qui lui sont conférés par le droit de l’Union, notamment le droit au respect de la vie privée conféré par l’article 7 de la Charte des Droits Fondamentaux.
Dans son arrêt, la Cour de justice a affirmé que la directive « Vie privée et communications électroniques » s’oppose à l’adoption de mesures législatives prévoyant, à titre préventif, à des fins de lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation. En effet, une telle ingérence dans les droits fondamentaux des individus doit constituer une exception, et non la règle, au système mis en place par ladite directive.
C’est pourquoi, l’adoption de mesures législatives prévoyant, aux mêmes fins, une conservation ciblée des données relatives au trafic et des données de localisation, délimitée sur la base d’éléments objectifs et non discriminatoires, n’est pas contraire à ladite directive. La difficile mise en œuvre des conditions d’une conservation ciblée effectuée ne peut, en aucun cas, justifier une conservation généralisée par les Etats membres. Cependant, la conservation généralisée et indifférenciée n’est pas contraire au droit de l’Union en ce qu’il s’agit des adresses IP attribuées à la source de connexion et des données relatives à l’identité civile des utilisateurs de moyens de communications électroniques.
De plus, selon la Cour de justice, la directive ne s’oppose pas non plus à la conservation rapide des données relatives au trafic et des données de localisation, lorsque celle-ci est ordonnée par une injonction à destination des fournisseurs de services de communications électroniques émanant d’une autorité compétente. La Cour de justice précise que, dans ce cadre, les destinataires de l’injonction peuvent être des personnes non soupçonnées d’avoir commis une infraction grave.
Les mesures législatives conformes à la directive litigieuse doivent respecter les limites du strict nécessaire et garantir une conservation des données en cause subordonnée au respect des conditions matérielles et procédurales qui les entourent. Également, elles doivent mettre à la disposition des personnes affectées par les mesures de conservation des garanties effectives contre les risques d’abus.
Par Lucie CARLOT (M1 Droit européen des Droits de l'Homme)