Données de trafic et recherche d’infractions : la CJUE réaffirme son principe de prohibition de toute conservation indifférenciée et généralisée

Vianney DESSENNE
Vianney DESSENNE  - Avocat

Le droit de l’Union européenne s’oppose à toute législation nationale autorisant la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation.

Source : https://www.dalloz-actualite.fr/sites/dalloz-actualite.fr/files/resources/2022/09/c-79319.pdf

Deux sociétés fournisseurs d’accès à Internet et de téléphonie ont contesté devant les juridictions allemandes l’obligation qui leur est imposée de conserver des données relatives au trafic et à la localisation de leurs clients.

En effet, la loi allemande impose à ces fournisseurs la conservation généralisée et indifférenciée, pour une durée de plusieurs semaines, de ces données.

Il en était d’ailleurs de même en France puisqu’avant la loi n°2021-998 du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement (n°2021-998), la sauvegarde de la sécurité nationale permettait une conservation générale et indifférenciée des données, sous réserve d’un réexamen périodique de l’existence d’une menace grave pour la sécurité nationale.

En revanche, la conservation générale et indifférenciée est prohibée au regard du droit de l’Union européenne, les Etats membres ne pouvant l’imposer aux opérateurs de téléphonie, fournisseurs d’accès à Internet ou hébergeurs.

C’est pourquoi la Cour administrative saisie par ces deux opérateurs a entendu interroger, dans le cadre d’une question préjudicielle la CJUE sur la conformité de la loi allemande.

Dans son arrêt du 20 septembre 2022 (affaires jointes C-793/19 et C-794/19), la Cour réaffirme que le droit de l’Union européenne s’oppose à toute législation nationale encadrant, dans le cadre de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation.

Ce principe étant rappelé, la CJUE y apporte toutefois certaines tempérances, précisant que le droit de l’Union européenne ne s’oppose pas :

  • Au fait d’enjoindre aux fournisseurs de services de communications électroniques de procéder à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, dans des situations où l’État membre concerné fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible ;
  • Au fait de prévoir, aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation ciblée des données relatives au trafic et des données de localisation qui soit délimitée, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique, pour une période temporellement limitée au strict nécessaire, mais renouvelable ;
  • Au fait de prévoir, une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion, pour une période temporellement limitée au strict nécessaire, dans le cadre de la poursuite des mêmes finalités que celles précisées ci-dessus ;
  • Au fait de prévoir, aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité et de la sauvegarde de la sécurité publique, une conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs de moyens de communications électroniques ;
  • En dernier lieu, au fait de permettre, aux fins de la lutte contre la criminalité grave et, a fortiori, de la sauvegarde de la sécurité nationale, d’enjoindre les fournisseurs de services de communications électroniques, de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont disposent ces fournisseurs de services.

La Cour ajoute qu’une telle législation nationale doit en outre assurer, par des règles claires et précises, que la conservation des données en cause est subordonnée au respect des conditions matérielles et procédurales y afférentes et que les personnes concernées disposent de garanties effectives contre les risques d’abus.

En l’espèce, la Cour relève que l’obligation de conservation édictée par la loi allemande porte notamment sur les données nécessaires pour identifier la source d’une communication et la destination de celle-ci, la date et l’heure du début et de la fin de la communication ou, en cas de communication par SMS, le moment de l’envoi et de la réception du message.

Dans le cadre de la fourniture de services d’accès à Internet, l’obligation de conservation porte, notamment, sur l’adresse IP attribuée à l’abonné, la date et l’heure du début et de la fin de l’utilisation d’Internet à partir de l’adresse IP attribuée.

En l’occurrence, la Cour constate que l’obligation de conservation définie par la loi allemande couvre un large champ de données de trafic et de données de localisation.

Or, la conservation de ces données permet, semble-t-il, de déterminer des comportements tels que les habitudes quotidiennes des personnes dont les données personnelles sont collectées, leurs lieux de séjour, leurs déplacements, leurs contacts, etc, d’une manière générale de s’introduire dans leur vie privée et d’établir, de manière plus ou moins détaillée, leur profil.

La CJUE en conclut et réaffirme donc que le droit de l’Union européenne s’oppose à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, sauf en cas de menace grave pour la sécurité nationale.

Print Friendly, PDF & Email
Partager cet article