La CJUE déclare invalide la Directive 2006/24 sur la conservation des données

La Directive 2006/24 du 15 mars 2006, modifiant la Directive « Vie privée et communications électroniques » de 2002, a été votée dans le cadre des accords Etats-Unis / Union européenne, après les événements du 11 septembre 2001 et les attentats du 11 mars 2004 à Madrid et du 7 juillet 2005 à Londres.

Son objectif consiste à harmoniser les lois des Etats membres en matière de rétention de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et ce au nom de la lutte contre des infractions graves telles que le terrorisme et la criminalité.

A cette fin, la directive prévoit l’obligation pour les fournisseurs de tels services et réseaux de conserver certaines données, dont des données à caractère personnel.

En l’espèce, la juridiction irlandaise ainsi que la cour constitutionnelle autrichienne ont demandé à la Cour de justice de l’Union Européenne d’examiner la validité de la Directive, notamment à la lumière de deux droits fondamentaux garantis par la Charte des droits fondamentaux de l’Union européenne, à savoir le droit au respect de la vie privée (article 7) et le droit à la protection des données à caractère personnel (article 8).

Plus particulièrement, le litige irlandais portait sur la conservation des données par les fournisseurs de services de communications téléphoniques, tandis que le litige autrichien concernait la loi interne de transposition qui permet le stockage d’une masse de types de données à l’égard d’un nombre illimité de personnes pour une longue durée.

Dans ses conclusions présentées le 12 décembre 2013, l’avocat général Cruz Villalón avait affirmé que « la Directive sur la conservation des données [était] dans son ensemble incompatible avec l’exigence, consacrée par la Charte des droits fondamentaux de l’Union européenne, selon laquelle toute limitation de l’exercice d’un droit fondamental doit être prévue par la loi ». Il a toutefois estimé qu’il y avait lieu de reporter les effets du constat d’invalidité, considérant que la Directive et ses transpositions devaient être modifiées « dans un temps raisonnable ».

Le dernier point de cet avis n’a pas été suivi par la Cour, qui a déclaré la Directive 2006/24 invalide ab initio, c’est-à-dire dès sa date d’entrée en vigueur, soit le 3 mai 2006.

Dans son arrêt du 8 avril 2014, la Cour constate, dans un premier temps, que les données à conserver, « prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci » (point 27).

Dès lors, la Cour considère l’ingérence comme « particulièrement grave » (point 37).
La Cour devait donc, dans un second temps, vérifier que la conservation des données aux fins de permettre aux autorités nationales compétentes de disposer d’un accès éventuel à celles-ci répondait effectivement à un objectif d’intérêt général – en l’occurrence la contribution à la lutte contre la criminalité grave et à la sécurité publique – et si cette ingérence était proportionnée audit objectif.

A cet égard, le juge de l’Union considère que cette conservation n’est pas suffisamment encadrée afin de garantir que l’ingérence dans les droits fondamentaux concernés soit effectivement limitée au strict nécessaire.

En effet, la Directive en cause « couvre de manière généralisée toute personne et tous les moyens de communication électronique ainsi que l’ensemble des données relatives au trafic sans qu’aucune différenciation, limitation ni exception soient opérées en fonction de l’objectif de lutte contre les infractions graves » (point 57).

De plus, cette Directive ne prévoit aucun critère objectif qui permettrait de garantir que les autorités nationales compétentes n’aient accès aux données et ne puissent les utiliser qu’aux seuls fins de remplir l’objectif d’intérêt général susvisé.

Par ailleurs, la Cour ajoute que la durée de conservation des données, pouvant aller de 6 à 24 mois, n’est pas limitée au strict nécessaire dans la mesure où il n’existe aucune distinction entre les catégories de données en fonction de leur utilité éventuelle aux fins de l’objectif poursuivi.

Quant aux règles visant la sécurité et la protection des données conservées, la Cour constate que la Directive ne prévoit pas de garanties suffisantes contre les risques d’abus – notamment en ce qu’elle n’exige pas la destruction irrémédiable des données au terme de la durée de leur conservation – et qu’elle n’impose pas une conservation des données sur le territoire de l’Union, alors qu’il s’agit d’un élément essentiel du respect de la protection des personnes à l’égard du traitement de leurs données personnelles.

A la suite de cette décision, la France doit vérifier la conformité de sa législation et notamment le décret n°2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques.