La CJUE et la conservation de masse des métadonnées

L’interdiction de conservation généralisée et indifférenciée des métadonnées: une jurisprudence constante et affirmée

Les législations nationales ne peuvent prévoir une obligation pour les fournisseurs d’accès de conservation généralisée et indifférenciée des métadonnées. Les États membres de l’Union européenne sont confrontés de longue date à la menace terroriste – notamment à Madrid en 2004 et à Londres en 2005 – et ont chacun adopté des mesures législatives afin de prévenir les attaques dont ils étaient la cible au fondement de l’article 15(1) de la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (dite « e-privacy »). Cet article prévoit que les États peuvent déroger aux obligations de la directive « lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État –, la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques. (…) À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés. » Dans cette optique, les législations prévoient que les fournisseurs d’accès aux communications électroniques conservent les métadonnées, c’est-à-dire les données de trafic et de localisation générées par téléphonie mobile ou Internet, et les transmettent aux autorités lorsque celles-ci en font la demande. L’Union européenne, soucieuse d’apporter un soutien et une harmonisation, adopte la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communication. Cette directive ne passe inaperçue et fait l’objet d’une plainte par l’ONG Digital Rights Ireland, qui donnera lieu à une question préjudicielle devant la CJUE. Dans sa décision du 8 avril 2014 (Digital Rights Ireland, aff. C-293/12 et C-594/12, AJDA 2014. 773 ; ibid. 1147, chron. M. Aubert, E. Broussy et H. Cassagnabère ; D. 2014. 1355, et les obs. , note C. Castets-Renard ; ibid. 2317, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; Légipresse 2014. 265 et les obs. ; RTD eur. 2014. 283, édito. J.-P. Jacqué ; ibid. 283, édito. J.-P. Jacqué ; ibid. 2015. 117, étude S. Peyrou ; ibid. 168, obs. F. Benoît-Rohmer ; ibid. 786, obs. M. Benlolo-Carabot ), la CJUE invalide la directive dans son entièreté au motif qu’elle ne respecte pas le principe de proportionnalité puisque les conditions d’application sont trop vagues et insuffisantes comparées au risque d’ingérence dans la vie privée. En effet, la Cour considère que les métadonnées sont suffisantes pour dresser un profil précis de la personne concernée, et ce malgré l’absence de contenu des communications. Elle indique que la mise en place de telles mesures de surveillance constituerait une ingérence grave dans la vie privée d’une population entière, pour une durée floue qui se situerait entre six mois et deux ans. Dès lors, la directive est incompatible avec les articles 7 et 8 de la Charte européenne des droits fondamentaux, traitant respectivement du respect à la vie privée et familiale et de la protection des données à caractère personnel. En revanche, elle ne remet pas en cause la légitimité de l’objectif de lutte contre la criminalité grave et d’assurer la sécurité nationale.

Pris de court à la suite de cet arrêt, puisque la plupart des États membres avaient déjà promulgué des lois se fondant sur la directive de 2006, la Suède et le Royaume-Uni ouvrent le bal et demandent des précisions à la CJUE quant aux conditions d’application des exceptions prévues à l’article 15(1) de la directive e-privacy. Dans les arrêts en date du 21 décembre 2016, Tele2 Sverige et Watson (aff. C-203/15 et C-698/15, AJDA 2016. 2466 ; ibid. 2017. 1106, chron. E. Broussy, H. Cassagnabère, C. Gänser et P. Bonneville ; D. 2017. 8 ; ibid. 2018. 1033, obs. B. Fauvarque-Cosson et W. Maxwell ; Dalloz IP/IT 2017. 230, obs. D. Forest ; JAC 2017, n° 43, p. 13, obs. E. Scaramozzino ; RTD eur. 2017. 884, obs. M. Benlolo-Carabot ; ibid. 2018. 461, obs. F. Benoît-Rohmer ; Rev. UE 2017. 178, étude F.-X. Bréchot ), la CJUE leur répond que les dérogations prévues à l’article 15(1) doivent être interprétées strictement et qu’elles ne doivent pas devenir la règle. Si la compatibilité avec les articles 7 et 8 de la Charte est de nouveau soulevée, le droit fondamental à la liberté d’expression énoncé à l’article 11 est ajouté afin de renforcer l’interdiction de conservation généralisée et indifférenciée, dans la mesure où la liberté d’expression constitue un des fondements essentiels d’une société démocratique. La crainte exprimée par la Cour est que les mesures prévues par les États membres aient un effet dommageable sur l’utilisation des communications électroniques des utilisateurs et, par conséquent, sur l’exercice de leur liberté d’expression. Ainsi, les exceptions à l’interdiction de conservation générale et indifférenciée ne sont possibles que (i) si les mesures sont strictement limitées à un objectif précis et que l’État membre est en mesure de prouver ce dernier, (ii) que si un examen préalable est réalisé par un organe judiciaire ou une autorité administrative...