Dans sa décision du 21 décembre 2016 (affaires jointes C-203/15 et C-698/15), la Cour de justice de l’Union européenne (CJUE) a jugé que la législation nationale ne pouvait prévoir une conservation généralisée et indifférenciée des données de trafic et de localisation de tous les abonnés et utilisateurs concernant tous les moyens de communication électronique dans le but de lutter contre la criminalité.
Des garanties suffisantes devraient également être mises en place en ce qui concerne l’accès à ces données par les autorités nationales.
(Remarque: Dans le cadre de cet article, les questions soulevées par le Royaume-Uni ne seront pas traitées dans la mesure où la CJUE a refusé d’y répondre).
Principaux faits et procédure: le fournisseur Internet suédois a refusé de continuer de conserver les données de trafic et de localisation
Tele 2 (fournisseur suédois de télécommunications) a reçu un ordre de PTS (Autorité Suédoise des Poste et Télécommunication) de conserver les données de trafic et de localisation de ses abonnés et utilisateurs conformément à la LEK (loi suédoise transposant la Directive 2006/24/CE).
Cette loi prévoit notamment que les données de localisation et de trafic doivent être conservées par les fournisseurs de communications électroniques pendant une période de 6 mois et permet l’accès à ces données par les autorités nationales qui enquêtent sur des infractions pouvant aller jusqu’à 2 ans d’emprisonnement.
Tele 2 a refusé de suivre l’ordre de PTS puisque selon son avis, l’arrêt de la CJEU du 8 avril 2014 (C293 / 12) a invalidée la directive 2006/24 et par conséquent, il n’était plus tenu de conserver les données de communications électroniques couvertes par la LEK et effacerait les données conservées avant le 14 avril 2014.
PTS, en désaccord avec la position de Tele2, l’a informé qu’il avait manqué à ses obligations en vertu de la législation nationale.
Télé 2 a donc porté l’affaire devant la CJUE après que ses demandes aient été rejetées par les juridictions nationales.
Contexte juridique: les États membres peuvent adopter des mesures législatives prévoyant la conservation de données de localisation et de trafic dans un contexte spécifique tel que la lutte contre la criminalité
La loi suédoise LEK a été adoptée en application de la directive 2006/24/CE sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications et modifiant la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.
La première directive avait été invalidée par un précédent arrêt de la CJUE appelé l’arrêt Digital Rights (voir ci-dessus).
Toutefois, l’article 15, paragraphe 1, de la directive 2002/58 / CE est resté en vigueur et permet aux États membres d’adopter des mesures législatives visant à restreindre la portée des droits et obligations des fournisseurs de service de communication électronique publics relatifs à la conservation et l’utilisation des données de trafic et de localisation des usagers et abonnés lorsque cette restriction constitue une mesure nécessaire dans une société démocratique pour sauvegarder la sécurité, la défense, la sécurité publique et la prévention, l’investigation, la détection et la poursuite des infractions pénales ou l’utilisation non autorisée du système de communication électronique.
À cette fin, les États membres peuvent adopter des mesures législatives prévoyant la conservation de données pour une période limitée justifiée par les motifs énoncés ci-dessus et conformément aux principes généraux du droit communautaire.
La Cour s’est demandé si les dispositions législatives nationales suédoises étaient compatibles avec la directive 2002/58/CE et la charte des droits de l’homme
La Cour a soulevé la question suivante:
Une obligation générale de conserver les données de trafic couvrant toutes les personnes, tous les moyens de communication électronique et toutes les données de trafic sans aucune distinction, limitation ou exception aux fins de la lutte contre la criminalité est elle compatible avec l’article 15, paragraphe 1, de la directive 2002/58 / CE compte tenu des articles 7 et 8 (droit à la vie privée) et de l’article 52 (1) de la Charte?
Selon la CJUE, la conservation générale et indifférenciée ainsi que l’accès illimité aux données de localisation et de trafic par les autorités nationales sont interdits
Le tribunal a jugé que l’article 15, paragraphe 1, de la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques doit être interprété en ce sens qu’il s’oppose à une législation nationale qui oblige à la conservation générale et indifférenciée de toutes les données de trafic de tous les abonnés et utilisateurs enregistrés concernant tous les moyens de communication électronique.
La Cour est allée plus loin en déclarant qu’elle s’oppose également à une législation nationale régissant la protection et la sécurité des données de trafic et de localisation et notamment l’accès des autorités nationales compétentes aux données conservées lorsque l’objectif poursuivi par cet accès est la lutte contre la criminalité:
- ne se limite pas seulement à la lutte contre la criminalité grave,
- lorsque l’accès n’est pas soumis à l’examen préalable d’un tribunal ou d’une autorité administrative indépendante et
- lorsque les données concernées ne doivent pas être conservées au sein de l’Union européenne.
Lien vers la décision ici
Cette publication est également disponible en en_GB.