L’utilisation ultérieure des données de connexion prohibée pour les enquêtes administratives

Dans un arrêt rendu le 7 septembre dernier, la Cour de justice de l’Union européenne (CJUE) réitère sa jurisprudence constante concernant l’interdiction de la conservation et l’accès généralisés et indifférenciés aux données de connexion. Cette interdiction, énoncée à l’article 15 de la directive vie privée et communications électroniques (2002/58/CE), s’applique également aux enquêtes administratives pour faute de service apparentée à de la corruption puisque celles-ci ne s’inscrivent pas dans le champ des exceptions, la menace grave contre la sécurité publique ni la criminalité grave. Au fur et à mesure des arrêts rendus par la CJUE à ce sujet, il semble clair que les États membres éprouvent des difficultés à se conformer à l’interdiction stricte établie depuis l’arrêt Digital Rights Ireland (CJUE 8 avr. 2014, aff. C-293/12 et C-594/12, AJDA 2014. 773 ; ibid. 1147, chron. M. Aubert, E. Broussy et H. Cassagnabère ; D. 2014. 1355, et les obs. , note C. Castets-Renard ; ibid. 2317, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; Légipresse 2014. 265 et les obs. ; RTD eur. 2014. 283, édito. J.-P. Jacqué ; ibid. 283, édito. J.-P. Jacqué ; ibid. 2015. 117, étude S. Peyrou ; ibid. 168, obs. F. Benoît-Rohmer ; ibid. 786, obs. M. Benlolo-Carabot ).

Impossibilité d’utiliser ultérieurement les métadonnées conservées par les fournisseurs de services de communications électroniques dans le cadre d’enquête administrative pour faute disciplinaire ou de service, même pour des faits de corruption

Les métadonnées conservées par les fournisseurs de services de communications électroniques ne peuvent être utilisées ultérieurement dans le cadre d’enquête administrative pour faute disciplinaire ou de service, même pour des faits de corruption.

Les faits nous emmènent en Lituanie où, à l’occasion d’un procès, le procureur aurait divulgué illégalement des informations pertinentes au mis en examen et son avocat. Une enquête administrative est alors ouverte, la faute de service apparentée à de la corruption ayant été démontrée par les données de connexion recueillies pour deux enquêtes pénales. Le juge d’instruction délivre deux ordonnances autorisant l’interception et l’enregistrement des communications respectivement du procureur et de l’avocat à qui ont été fournies les informations.

Le requérant riposte en s’appuyant sur l’interdiction de conservation et d’accès général et indifférenciée prévue par l’article 15 de la directive e-privacy – et probablement la jurisprudence constante de la CJUE interprétant ce dernier.

La Cour administrative suprême lituanienne sursoit à statuer et se tourne vers la Cour de justice. La question est de savoir si la réutilisation de données de connexion, conservées et accédées légalement, dans le cadre d’une enquête administrative respecte le cadre légal posé par l’article 15 de la directive e-privacy et la jurisprudence constante de la Cour à ce sujet.

La Cour de justice répond par la négative au motif que la réutilisation de données de connexion dans le cadre d’une enquête administrative n’entre pas dans les exceptions prévues puisque d’une part il ne s’agit pas d’une enquête pénale et, d’autre part, que les données de connexion recueillies légalement ne peuvent être réutilisées pour une faute de service apparentée à la corruption.

En effet, l’article 15-1 de la directive précise que les États membres peuvent prévoir des mesures législatives afin d’assurer « la prévention, la recherche, la détection et la poursuite d’infractions pénales », les fautes disciplinaires ou de service n’entrent donc pas dans le champ des exceptions.

Pour rappel, depuis près de dix ans, la Cour de justice de l’Union européenne interprète strictement les exceptions posées par l’article 15 de la directive e-privacy et n’a laissé place qu’à très peu d’exceptions, malgré les protestations de certains États membres (CJUE 6 oct. 2020, aff. C-511/18, C-512/18 et C-520/18, La Quadrature du net (Assoc.), Dalloz actualité, 13 oct. 2020, obs. C. Crichton ; AJDA 2020. 1880 ; D. 2021. 406, et les obs. , note M. Lassalle ; ibid. 2020. 2262, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; ibid. 2022. 2002, obs. W. Maxwell et C. Zolynski ; AJ pénal 2020. 531 ; Dalloz IP/IT 2021. 46, obs. E. Daoud, I. Bello et O. Pecriaux ; Légipresse 2020. 671, étude W. Maxwell ; ibid. 2021. 240, étude N. Mallet-Poujol ; RTD eur. 2021. 175, obs. B. Bertrand ; ibid. 181, obs. B. Bertrand ; ibid. 973, obs. F. Benoît-Rohmer ). Les données de connexion, plus précisément les données...