Accueil
Le quotidien du droit en ligne
-A+A
Article

Précisions sur l’accès aux métadonnées à des fins de sécurité publique

Se prononçant sur la conservation des métadonnées par les fournisseurs de services de communication électronique en vue d’une transmission aux autorités, la CJUE apporte de nouvelles précisions sur les modalités d’accès et de conservation, et sur la déclaration d’invalidité d’une mesure nationale.

par Cécile Crichtonle 12 avril 2022

Les décisions portant sur les données relatives au trafic et les données de localisation (faisant partie des « métadonnées ») n’en finissent plus de pleuvoir. Alors que les conséquences de l’arrêt Tele2 Sverige tardaient à survenir, le droit national et européen éprouvent depuis peu une transformation accélérée (CJUE 21 déc. 2016, aff. jtes C-203/15 et C-698/15, Dalloz actualité, 2 janv. 2017, obs. M.-C. de Montecler ; AJDA 2016. 2466 ; ibid. 2017. 1106, chron. E. Broussy, H. Cassagnabère, C. Gänser et P. Bonneville ; D. 2017. 8 ; ibid. 2018. 1033, obs. B. Fauvarque-Cosson et W. Maxwell ; Dalloz IP/IT 2017. 230, obs. D. Forest ; RTD eur. 2017. 884, obs. M. Benlolo-Carabot ; ibid. 2018. 461, obs. F. Benoît-Rohmer ; Rev. UE 2017. 178, étude F.-X. Bréchot ).

Ces rebondissements ont pour seule constante l’interprétation de l’article 15, § 1, de la directive « ePrivacy » 2002/58/CE du 12 juillet 2002 (mod. dir. 2009/136/CE, 25 nov. 2009), qui prévoit une exception à l’interdiction de la conservation des métadonnées sans le consentement de la personne concernée. Ainsi les États membres peuvent-ils déroger à l’interdiction à condition que la mesure soit « nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État –, la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques ».

L’enjeu majeur réside dans la limite entre une mesure « nécessaire, appropriée et proportionnée » par rapport aux objectifs poursuivis et une mesure bafouant les droits et libertés fondamentaux. Il importe ainsi de préserver les objectifs de protection de la sécurité nationale et de lutte contre la criminalité grave garantis par les articles 3, 4, 6 et 7 de la Charte des droits fondamentaux de l’Union européenne. Néanmoins et par principe, les utilisateurs doivent donner leur consentement au traitement de leurs données, ce qui implique que leur conservation et transmission aux autorités demeure l’exception. En effet, la directive ePrivacy consacre un principe de confidentialité des communications, dans la mesure où l’utilisateur est en droit de s’attendre à rester anonyme. Les mesures dérogeant aux droits des personnes doivent en conséquence être « rigoureusement proportionnées au but poursuivi » (dir. ePrivacy, consid. 11).

C’est à la lumière des articles 7, 8, 11 et 52, § 1, de la Charte – vie privée, protection des données, liberté d’expression, limitation proportionnée à l’exercice des droits – que la CJUE a exercé ce délicat contrôle de proportionnalité. De la sorte :

• une transmission généralisée et indifférenciée des métadonnées à des fins de sécurité nationale n’est pas conforme au droit de l’Union (CJUE 6 oct. 2020, aff. C-623/17, Privacy InternationalDalloz actualité, 13 oct. 2020, obs. C. Crichton ; AJDA 2021. 387, chron. P. Bonneville, C. Gänser, S. Markarian et A. Iljic ; AJ pénal 2020. 531, obs. B. Nicaud ; Dalloz IP/IT 2021. 46, obs. E. Daoud, I. Bello et O. Pecriaux ; RTD eur. 2021. 175, obs. B. Bertrand ; ibid. 973, obs. F. Benoît-Rohmer ) ;

• une conservation généralisée et indifférenciée des métadonnées à des fins de sécurité nationale n’est conforme qu’en cas de menace grave qui s’avère réelle et actuelle et prévisible, sous réserve d’être limitée dans le temps et de respecter un certain nombre de garanties (CJUE 6 oct. 2020, aff. jtes C-511/18, C-512/18 et C-520/18, La Quadrature du net, Dalloz actualité, 13 oct. 2020, préc. ; AJDA 2020. 1880 ; D. 2021. 406, et les obs. , note M. Lassalle ; ibid. 2020. 2262, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; AJ pénal 2020. 531 ; Dalloz IP/IT 2021. 46, obs. E. Daoud, I. Bello et O. Pecriaux ; Légipresse 2020. 671, étude W. Maxwell ; ibid. 2021. 240, étude N. Mallet-Poujol ; RTD eur. 2021. 175, obs. B. Bertrand ; ibid. 181, obs. B. Bertrand ; ibid. 973, obs. F. Benoît-Rohmer ) ;

• une conservation généralisée et indifférenciée des métadonnées pour la poursuite d’autres objectifs, comme la prévention, recherche, détection et poursuite d’infractions pénales, n’est pas conforme au droit de l’Union dans la mesure où l’objectif n’est pas suffisamment grave pour justifier une telle ingérence dans les droits et libertés fondamentaux (CJUE 2 mars 2021, aff. C-746/18, Prokuratuur, Dalloz actualité, 5 mars 2021, nos obs. ; AJDA 2021. 1086, chron. P. Bonneville, C. Gänser et A. Iljic ; D. 2021. 470 ; ibid. 1564, obs. J.-B. Perrier ; AJ pénal 2021. 267, obs. S. Lavric ; Dalloz IP/IT 2021. 468, obs. B. Bertrand ).

Il ressort de ces décisions que la conformité du droit de l’Union diffère en fonction :

  • des objectifs poursuivis (lutte contre la criminalité grave, contre le terrorisme, etc.) ;
     
  • des données conservées (données de trafic et de localisation, adresse IP, identité civile, etc.) ;
     
  • de la limitation de la conservation et de l’accès (conservation ciblée ou généralisée) ;
     
  • de la limitation temporelle ou géographique de la mesure ;
     
  • de la manière d’accéder aux données (traitement automatisé, traitement autorisé par injonction, etc.) ;
     
  • des garanties prévues.

En pratique, une hiérarchisation des objectifs poursuivis par rapport aux mesures à instaurer est nécessaire à établir. C’est sur cet aspect, en particulier sur l’objectif de lutte contre la criminalité grave, que la Cour de justice de l’Union européenne (CJUE) s’est à nouveau prononcée le 5 avril 2022. Par extension, la Cour a dû préciser certaines modalités d’accès aux métadonnées par les services de police, et si une juridiction nationale peut limiter dans le temps les effets d’une déclaration d’invalidité. Cette décision, certes peu surprenante car en continuité des précédentes, pourrait avoir des effets sur notre droit interne.

Sur les mesures poursuivant l’objectif de lutte contre la criminalité grave

Il ressort de la jurisprudence de la CJUE précitée que la conformité au droit de l’Union diffère en fonction de l’objectif poursuivi. Parmi ces objectifs figurent entre autres la sauvegarde de la sécurité nationale, la lutte contre la criminalité grave et la prévention, recherche, détection et poursuite d’infractions pénales. Sans se prononcer – ce qui apparaît regrettable – sur ce qu’implique la notion de crime « grave » par rapport aux autres crimes, la Cour de justice revient sur la distinction entre ces deux premiers objectifs.

La distinction entre sécurité nationale et lutte contre la criminalité grave est importante dans la mesure où seule la poursuite de ce premier objectif permet sous conditions la conservation généralisée et indifférenciée des données.

En l’espèce, la Commission européenne soutenait lors de l’audience que « la criminalité particulièrement grave pourrait être assimilée à une menace pour la sécurité nationale » (pt 60), ce qui assimilerait la sécurité nationale à la sécurité publique. Maintenant sa position antérieure (not. décis. La Quadrature du net préc., pts 134 à 137), la Cour refuse cette assimilation en rappelant que la sécurité nationale « correspond à l’intérêt primordial de protéger les fonctions essentielles de l’État et les intérêts fondamentaux de la société » (pt 61).

Dès lors, un État membre ne peut pas prévoir des mesures de conservation généralisée et indifférenciée des métadonnées dans un objectif de lutte contre la criminalité grave (et, par...

Il vous reste 75% à lire.

Vous êtes abonné(e) ou disposez de codes d'accès :