Par un arrêt du 8 avril dernier, la Cour de justice de l’Union européenne invalide la directive du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public. La Cour a estimé que le législateur européen avait dépassé les limites appropriées et nécessaires aux objectifs de recherche, de détention et de poursuite d’infractions graves, en imposant à ces fournisseurs une si large obligation de conservation des données, sans encadrement strict. Le juge européen prononce un réquisitoire sévère contre cette directive de 2006/24, rédigée dans la foulée des événements du 11 septembre 2001. Après les révélations de Snowden sur l’affaire Prism, le regard est tout autre. La Cour constate en effet que « la directive 2006/24 couvre de manière généralisée toute personne et tous les moyens de communication électronique ainsi que l’ensemble des données relatives au trafic sans qu’aucune différenciation, limitation ou exception soient opérées en fonction de l’objectif de lutte contre les infractions graves ». Et elle conclut que « force est donc de constater que cette directive comporte une ingérence dans ces droits fondamentaux d’une vaste ampleur et d’une gravité particulière dans l’ordre juridique de l’Union sans qu’une telle ingérence soit précisément encadrée par des dispositions permettant de garantir qu’elle est effectivement limitée au strict nécessaire ».
Suite à deux renvois préjudiciels, la CJUE devait répondre à la question de principe de savoir si les données des abonnés et des utilisateurs peuvent ou non être conservées, en vertu de l’article 7 de la Charte des droits fondamentaux et de l’article 8 concernant les exigences de la protection des données personnelles. La Cour a commencé par affirmer que cette obligation de conservation constitue une ingérence en ce sens qu’elle déroge au régime de protection du droit au respect de la vie privée instauré par les directives 95/46 et 2002/58 sur les traitements de données à caractère personnel. En effet, il est notamment prévu que ces données doivent être effacées.
Cette limitation de l’exercice des droits et libertés peut cependant être justifiée, à condition notamment de respecter le principe de proportionnalité, d’être nécessaire et de répondre à des objectifs d’intérêt général. Si la Cour considère que la directive répond effectivement à un objectif d’intérêt général, elle juge que le principe de proportionnalité n’a pas été respecté. « S’agissant du droit au respect de la vie privée, la protection de ce droit fondamental exige, selon la jurisprudence constante de la Cour, en tout état de cause, que les dérogations à la protection des données à caractère personnel et les limitations de celles-ci doivent s’opérer dans les limites du strict nécessaire ». Ce qui n’est pas du tout le cas puisque la directive impose la conservation de toutes les données relatives de trafic en matière de téléphonie fixe et mobile, d’accès à internet, de courrier électronique et de téléphonie via internet. Comme le constate la Cour, ces données permettent de tirer des conclusions très précises sur la vie privée des personnes. De plus, cette obligation couvre tous les abonnées et utilisateurs, soit la quasi-totalité de la population européenne.
La Cour considère que la directive aurait dû prévoir des règles claires et précises régissant la portée et l’application de cette mesure et imposer un minimum d’exigences pour que les personnes disposent de garanties suffisantes quant à la protection de leurs données contre les risques d’abus ainsi que tout accès ou utilisation illicites de ces données.
Enfin la Cour regrette que la directive n’ait pas imposé que les données soient conservées sur le territoire de l’Union, de sorte qu’il ne saurait être considéré qu’est pleinement garanti le contrôle par une autorité indépendante.