Les récentes conclusions de l’avocat général Campos Sánchez-Bordona[1] sont sans surprise et rappellent que la conservation généralisée et indifférenciée des données de trafic et des données de localisation afférentes aux communications électroniques n’est autorisée qu’en cas de menace grave pour la sécurité nationale. À l’heure où les tensions entre sécurité et liberté sont de plus en plus présentes, nous reviendrons sur la jurisprudence de la Cour de justice de l’Union européenne en la matière.
La directive e-Privacy instaure des principes fondamentaux en ce qui concerne les communications électroniques :
1) La confidentialité des communications électroniques (Article 5)
2) L’effacement ou l’anonymisation des données de trafic lorsqu’elles ne sont plus nécessaires à la transmission d’une communication (Article 6)
3) L’anonymisation ou la récolte du consentement de la personne afin de traiter les données de localisation, autres que celles de trafic (Article 9)
La directive prévoit des exceptions à ces principes et laisse aussi la capacité aux Etats membres de définir des exceptions lorsque celles-ci sont des mesures nécessaires, appropriées et proportionnées, au sein d’une société démocratique pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques (Article 15).
Selon la Cour de justice de l’Union européenne[2], la gravité des ingérences de ces principes doit être proportionné au regard des finalités poursuivies par l’Etat membre. Ainsi, la CJUE distingue différents types de finalités :
1) L’objectif de sécurité nationale : Selon la Cour[3], la sécurité nationale correspond à l’intérêt primordial de protéger les fonctions essentielles de l’État et les intérêts fondamentaux de la société et inclut la prévention et la répression d’activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d’un pays, et en particulier à menacer directement la société, la population ou l’État en tant que tel, telles que notamment des activités de terrorisme. De ce fait, cet objectif est d’une importance telle qu’il dépasse les autres objectifs visés à l’article 15 et est, donc, susceptible de justifier des mesures comportant des ingérences dans les droits fondamentaux plus graves que celles que pourraient justifier ces autres objectifs.
2) L’objectif de lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique : Selon la Cour[4], seules la lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique permettent aux Etats membres de justifier des ingérences graves dans les droits fondamentaux et ce, tant que les conditions de l’article 52 de la Charte des droits fondamentaux sont respectées.
3) L’objectif de prévention, de recherche, de détection et de poursuite d’infractions pénales en général : Selon la Cour[5], sur base de l’objectif de prévention, de recherche, de détection et de poursuite d’infractions pénales en général, les Etats membres pourraient justifier des ingérences qui ne saurait être caractérisées comme grave.
La Cour de Justice de l’Union européenne considère la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation afférentes aux communications électroniques comme une ingérence particulièrement grave, qui ne pourrait se justifier que par des objectif de sécurité nationale. En effet, cette ingérence couvre les communications électroniques de la quasi-totalité de la population sans qu’aucune différenciation, limitation ni exception soient opérées en fonction de l’objectif poursuivi. Elle concerne de manière globale l’ensemble des personnes faisant usage de services de communications électroniques, sans que ces personnes se trouvent, même indirectement, dans une situation susceptible de donner lieu à des poursuites pénales. Elle s’applique donc même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec l’objectif de sécurité nationale[6].
Toujours selon la Cour[7], le recours à cette conservation généralisée et indifférenciée doit se justifier par une menace grave pour la sécurité nationale qui s’avère être réelle, actuelle ou prévisible. La décision prévoyant cette conservation ne peut être émise que pour une période temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de cette menace. En outre, celle-ci doit faire l’objet d’un contrôle effectif , soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, visant à vérifier l’existence d’une de ces situations ainsi que le respect des conditions et des garanties devant être prévues.
Les enjeux des questions traitées par la Cour sont majeurs pour nos sociétés démocratiques. Sans cadre, les outils de surveillance transformeraient Internet en un réel panoptique[8] où L’Etat-surveillant pourrait traquer tous les faits et gestes de tous ses citoyens-surveillés et ce, sans être vu. Malgré les ambitions démesurées des Etats pour recourir à un arsenal sophistiqué de surveillance digitale, la Cour de Justice de l’Union européenne joue un rôle de gardien et définit un cadre extrêmement strict où la conservation généralisée et indifférenciée des données de trafic et de localisation ne peut se justifier que par un seul et unique motif, celui de la sécurité nationale.
[1] C.J.U.E., « Communiqué de presse n° 206/21: L’avocat général Campos Sánchez-Bordona rappelle que la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation afférentes aux communications électroniques n’est autorisée qu’en cas de menace grave pour la sécurité nationale », 18 novembre 2021, https://curia.europa.eu/jcms/upload/docs/application/pdf/2021-11/cp210206fr.pdf.
[2] C.J.U.E., arrêt La Quadrature du Net, French Data Network, Fédération des fournisseurs d’accès à Internet associatifs et Igwan.net, 6 octobre 2020, ECLI:EU:C:2020:791.
[3]C.J.U.E., arrêt La Quadrature du Net, French Data Network, Fédération des fournisseurs d’accès à Internet associatifs et Igwan.net, 6 octobre 2020, ECLI:EU:C:2020:791, Considérant 136.
[4] C.J.U.E., arrêt La Quadrature du Net, French Data Network, Fédération des fournisseurs d’accès à Internet associatifs et Igwan.net, 6 octobre 2020, ECLI:EU:C:2020:791, Considérant 140.
[5] C.J.U.E., arrêt La Quadrature du Net, French Data Network, Fédération des fournisseurs d’accès à Internet associatifs et Igwan.net, 6 octobre 2020, ECLI:EU:C:2020:791, Considérant 157.
[6] C.J.U.E., arrêt La Quadrature du Net, French Data Network, Fédération des fournisseurs d’accès à Internet associatifs et Igwan.net, 6 octobre 2020, ECLI:EU:C:2020:791, Considérant 143.
[7] C.J.U.E., arrêt La Quadrature du Net, French Data Network, Fédération des fournisseurs d’accès à Internet associatifs et Igwan.net, 6 octobre 2020, ECLI:EU:C:2020:791, 1er motif de la Cour.
[8] WIKIPEDIA, « Panoptique », dernière modification le 6 novembre 2021, disponible sur : https://fr.wikipedia.org/wiki/Panoptique
Cyber Praxis has been active in the field of cybersecurity for many years.