- Administratif
- Toute la matière
- > Acte
- > Bien
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Institution administrative
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Toute la matière
- > Assurance
- > Banque - Crédit
- > Commerce électronique
- > Compliance
- > Concurrence - Distribution
- > Consommation
- > Contrat - Responsabilité
- > Entreprise en difficulté
- > Fiscalité
- > Fonds de commerce et commerçants
- > Propriété intellectuelle
- > Société et marché financier
- > Sûretés et garantie
- > Transport
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit et liberté fondamentaux
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Loi et traité
- > Mariage - Divorce - Couple
- > Procédure civile
- > Profession juridique et judiciaire
- > Responsabilité
- > Société et association
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Toute la matière
- > Bien - Propriété
- > Citoyenneté - Nationalité - Étranger
- > Contrat et obligations - Responsabilité
- > Convention - Traité - Acte
- > Droit économique
- > Droit public
- > Environnement - Agriculture
- > Famille - Personne
- > Pénal
- > Principes - Généralités
- > Procédure
- > Propriété intellectuelle
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Propriété intellectuelle
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Etrangers
- > Grève
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Statuts particuliers
- > Temps de travail
- Avocat
Article
La CJUE et la conservation de masse des métadonnées
La CJUE et la conservation de masse des métadonnées
À l’occasion d’un arrêt rendu le 20 septembre dernier, SpaceNet (aff. C-793/19) et Telekom Deutschland (aff. C-794/19), la Cour de justice de l’Union européenne a réaffirmé l’interdiction de conservation généralisée et indifférenciée des métadonnées détenues par les fournisseurs d’accès aux communications électroniques tout en précisant les notions de « criminalité grave » et de « sécurité nationale ». Il ressort de cet arrêt que le cadre établi par la Cour de justice est toujours aussi strict, tout en apportant une liste d’exceptions tolérées – à condition que des garde-fous soient prévus.
L’interdiction de conservation généralisée et indifférenciée des métadonnées: une jurisprudence constante et affirmée
Les législations nationales ne peuvent prévoir une obligation pour les fournisseurs d’accès de conservation généralisée et indifférenciée des métadonnées. Les États membres de l’Union européenne sont confrontés de longue date à la menace terroriste – notamment à Madrid en 2004 et à Londres en 2005 – et ont chacun adopté des mesures législatives afin de prévenir les attaques dont ils étaient la cible au fondement de l’article 15(1) de la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (dite « e-privacy »). Cet article prévoit que les États peuvent déroger aux obligations de la directive « lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État –, la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques. (…) À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés. » Dans cette optique, les législations prévoient que les fournisseurs d’accès aux communications électroniques conservent les métadonnées, c’est-à-dire les données de trafic et de localisation générées par téléphonie mobile ou Internet, et les transmettent aux autorités lorsque celles-ci en font la demande. L’Union européenne, soucieuse d’apporter un soutien et une harmonisation, adopte la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communication. Cette directive ne passe inaperçue et fait l’objet d’une plainte par l’ONG Digital Rights Ireland, qui donnera lieu à une question préjudicielle devant la CJUE. Dans sa décision du 8 avril 2014 (Digital Rights Ireland, aff. C-293/12 et C-594/12, AJDA 2014. 773 ; ibid. 1147, chron. M. Aubert, E. Broussy et H. Cassagnabère ; D. 2014. 1355, et les obs. , note C. Castets-Renard ; ibid. 2317, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; Légipresse 2014. 265 et les obs. ; RTD eur. 2014. 283, édito. J.-P. Jacqué ; ibid. 283, édito. J.-P. Jacqué ; ibid. 2015. 117, étude S. Peyrou ; ibid. 168, obs. F. Benoît-Rohmer ; ibid. 786, obs. M. Benlolo-Carabot ), la CJUE invalide la directive dans son entièreté au motif qu’elle ne respecte pas le principe de proportionnalité puisque les conditions d’application sont trop vagues et insuffisantes comparées au risque d’ingérence dans la vie privée. En effet, la Cour considère que les métadonnées sont suffisantes pour dresser un profil précis de la personne concernée, et ce malgré l’absence de contenu des communications. Elle indique que la mise en place de telles mesures de surveillance constituerait une ingérence grave dans la vie privée d’une population entière, pour une durée floue qui se situerait entre six mois et deux ans. Dès lors, la directive est incompatible avec les articles 7 et 8 de la Charte européenne des droits fondamentaux, traitant respectivement du respect à la vie privée et familiale et de la protection des données à caractère personnel. En revanche, elle ne remet pas en cause la légitimité de l’objectif de lutte contre la criminalité grave et d’assurer la sécurité nationale.
Pris de court à la suite de cet arrêt, puisque la plupart des États membres avaient déjà promulgué des lois se fondant sur la directive de 2006, la Suède et le Royaume-Uni ouvrent le bal et demandent des précisions à la CJUE quant aux conditions d’application des exceptions prévues à l’article 15(1) de la directive e-privacy. Dans les arrêts en date du 21 décembre 2016, Tele2 Sverige et Watson (aff. C-203/15 et C-698/15, AJDA 2016. 2466 ; ibid. 2017. 1106, chron. E. Broussy, H. Cassagnabère, C. Gänser et P. Bonneville ; D. 2017. 8 ; ibid. 2018. 1033, obs. B. Fauvarque-Cosson et W. Maxwell ; Dalloz IP/IT 2017. 230, obs. D. Forest ; JAC 2017, n° 43, p. 13, obs. E. Scaramozzino ; RTD eur. 2017. 884, obs. M. Benlolo-Carabot ; ibid. 2018. 461, obs. F. Benoît-Rohmer ; Rev. UE 2017. 178, étude F.-X. Bréchot ), la CJUE leur répond que les dérogations prévues à l’article 15(1) doivent être interprétées strictement et qu’elles ne doivent pas devenir la règle. Si la compatibilité avec les articles 7 et 8 de la Charte est de nouveau soulevée, le droit fondamental à la liberté d’expression énoncé à l’article 11 est ajouté afin de renforcer l’interdiction de conservation généralisée et indifférenciée, dans la mesure où la liberté d’expression constitue un des fondements essentiels d’une société démocratique. La crainte exprimée par la Cour est que les mesures prévues par les États membres aient un effet dommageable sur l’utilisation des communications électroniques des utilisateurs et, par conséquent, sur l’exercice de leur liberté d’expression. Ainsi, les exceptions à l’interdiction de conservation générale et indifférenciée ne sont possibles que (i) si les mesures sont strictement limitées à un objectif précis et que l’État membre est en mesure de prouver ce dernier, (ii) que si un examen préalable est réalisé par un organe judiciaire ou une autorité administrative...
Sur le même thème
-
L’AI Act dans sa version finale – provisoire –, une hydre à trois têtes
-
Forum delicti et fraude aux gaz d’échappement : des précisions sur le lieu de matérialisation du dommage
-
Une conversion après avoir quitté son pays d’origine ne rend pas la demande d’asile abusive
-
Chronique CEDH : la France trop lente à donner un cadre légal à l’encerclement policier
-
Absence de violation automatique de la Convention européenne des droits de l’homme pour la mise à exécution d’une mesure de renvoi vers la Russie
-
La pratique du renvoi sommaire aux frontières n’exclut pas l’examen des demandes d’asile
-
RGPD : précisions sur la notion d’établissement principal dans le cadre du mécanisme du guichet unique
-
MAE et statut de réfugié : une entorse à la présomption de respect des droits fondamentaux entre États membres ?
-
Condition d’application du règlement Bruxelles I bis et caractérisation de l’élément d’extranéité en présence d’une clause attributive de juridiction
-
Un Russe d’origine tchétchène peut être renvoyé en Russie
Sur la boutique Dalloz
Code de la protection des données personnelles 2024, annoté et commenté
11/2023 -
6e édition
Auteur(s) : Collectif