Par Hervé Gabadou, associé, et Tony Baudot, avocat, Deloitte | Taj

Le 6 octobre 2020, la CJUE s’est prononcée sur l’équilibre entre la protection des droits et libertés fondamentaux et l'accès à certaines données par les autorités compétentes à des fins de sécurité nationale et de lutte contre la criminalité. Saisi par quatre associations, le Conseil d’Etat a, à son tour, saisi la CJUE d’une question préjudicielle concernant la compatibilité des règles nationales françaises avec la directive 2002/58/CE du 12 juillet 2002 «vie privée et communication électronique» (ePrivacy). Cette affaire a par ailleurs été jointe avec des questions similaires de la Cour constitutionnelle belge et de l’autorité compétente au Royaume-Uni (Investigatory Powers Tribunal).

Depuis 2014 et l’arrêt Digital Rights Ireland, la CJUE a régulièrement rappelé qu’il n’était pas possible pour les fournisseurs de communication électronique de stocker en masse des données de façon généralisée et indifférenciée. Cette position avait été de nouveau exprimée dans l’arrêt Tele2 Sverige, qui ne prévoyait la conservation des métadonnées de communication qu’à des fins de lutte contre la criminalité grave ou le terrorisme.

La proportionnalité au cœur du contrôle de la CJUE

La CJUE examine la conformité de la législation au regard des dispositions de la directive ePrivacy dont la finalité est de définir un cadre normatif pour le respect de la vie privée et de la protection des données à caractère personnel, consacrés par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union. Le point d’étude de la CJUE concerne en particulier l’article 15 de la directive ePrivacy, prévoyant la limitation des droits des personnes concernées à condition que la mesure limitant les droits soit «nécessaire, appropriée et proportionnée, […] pour sauvegarder la sécurité nationale […] la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales».

La CJUE précise ici que les limitations prévues dans la directive ePrivacy constituent une exception qui doit, d’une part, être interprétée strictement et, d’autre part, respecter le principe de proportionnalité. La proportionnalité des mesures impose le respect de certaines garanties de la législation nationale. En particulier «des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant des exigences minimales» doivent être mises en place par les pays membres «de telle sorte que les personnes dont les données à caractère personnel sont concernées disposent de garanties suffisantes permettant de protéger efficacement ces données contre les risques d’abus».

Des données spécifiques en question

Il est nécessaire de rappeler ce qu’englobe le terme de «métadonnées de communications». Ainsi, sont concernées les données de tout utilisateur, issues de l’ensemble des moyens de communication, relatives au trafic et les données de localisation. La Cour précise que ce sont «en particulier, celles qui sont nécessaires pour retrouver la source d’une communication et la destination de celle-ci, déterminer la date, l’heure, la durée et le type de la communication, identifier le matériel de communication utilisé ainsi que localiser les équipements terminaux et les communications, données au nombre desquelles figurent, notamment, le nom et l’adresse de l’utilisateur, les numéros de téléphone de l’appelant et de l’appelé ainsi que l’adresse IP pour les services internet».

Interdiction d’une conservation généralisée et indifférenciée des données de communications électroniques

La question posée à la CJUE concernait l’équilibre entre liberté des personnes concernées et sécurité de l’Etat. La Cour souligne dans cette affaire la finalité de la directive ePrivacy. Elle estime que la conservation des données relatives au trafic et des données de localisation constitue, par elle-même, non seulement, une dérogation à l’interdiction prévue à l’article 5 de la directive ePrivacy faite à toute autre personne que les utilisateurs de stocker ces données, mais aussi, une ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. Les dérogations au principe de confidentialité des communications ne sauraient être acceptées que dans la mesure où elles apparaissent comme nécessaires, appropriées et proportionnées au sein d’une société démocratique au regard des objectifs poursuivis.

La CJUE se prononce sur la conformité de plusieurs mesures législatives nationales au regard du respect des droits et libertés de personnes concernées. S’agissant des mesures prévoyant la conservation préventive des données relatives au trafic et des données de localisation aux fins de la sauvegarde de la sécurité nationale, la Cour n’énonce pas de prime abord une interdiction de toute conservation généralisée et indifférenciée des données mais l’autorise s’il y a respect d’une période limitée et de l’existence d’une menace grave pour la sécurité nationale «réelle et actuelle ou prévisible». Par ailleurs, celle-ci «doit être assortie de garanties effectives et contrôlées par un juge ou une autorité administrative indépendante».

Concernant des mesures législatives prévoyant la conservation préventive des données relatives au trafic et des données de localisation aux fins de la lutte contre la criminalité et de la sauvegarde de la sécurité publique, la Cour considère que leur conservation caractérise une ingérence grave, car ciblant la quasi-totalité de la population, sans qu’aucune différenciation, limitation ni exception soient opérées en fonction de l’objectif poursuivi. Appliquant le principe de proportionnalité, elle indique que l’objectif poursuivi ne justifie aucunement cette conservation préventive.

La CJUE applique la même logique lorsqu’elle interdit tout traitement algorithmique de toutes les données recueillies, réalisé de façon généralisée et indifférenciée. Cette ingérence qualifiée de particulièrement grave est la même concernant le recueil en temps réel, qui ne pourrait être mis en œuvre «qu’à l’égard des personnes pour lesquelles il existe une raison valable de soupçonner qu’elles sont impliquées d’une manière ou d’une autre dans des activités de terrorisme».

Des nuances apportées par des objectifs de sécurité nationale

Si la Cour rappelle le principe d’interdiction de stockage de masse de données de façon généralisée et indifférenciée, elle laisse cependant la porte entrouverte à la possibilité pour les services de l’Etat de collecter ces données. Toutefois, cette conservation ne peut se faire que sous réserve qu’elle vise des personnes ou des lieux et les durées limitées à la stricte nécessité. La position de la CJUE fait l’objet de critiques émanant des associations à l’origine de l’affaire. Selon elles, la Cour ouvrirait ainsi la porte à des traitements de données au profit d’exigences sécuritaires malgré des dérogations qui concernent uniquement le cas où un Etat doit garantir la sécurité nationale et publique.

Même si la CJUE laisse penser que les exigences sécuritaires pourraient justifier le traitement de données de façon généralisée et indifférenciée, elle semble être à la recherche d’un équilibre complexe fondé sur la notion de proportionnalité. Elle confirme sa volonté de limiter l’accès aux données de façon systématique et non réglementée par les Etats, de la même façon qu’elle a invalidé récemment (16 juillet 2020, Schrems II) la décision d’adéquation «Privacy Shield» permettant le transfert de données par une entité européenne vers des entreprises établies aux Etats-Unis. La Cour avait en effet relevé que les restrictions à la protection des données personnelles résultant de l’accès et l’utilisation des données par les autorités américaines prévus par la section 702 du Foreign Intelligence Surveillance Act ou l’Executive Order 12333 n’étaient pas encadrés «d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité».

Quoi qu’il en soit, cette décision a une portée très large en ce qu’elle est susceptible de remettre en question toutes les dispositions qui permettent, en France, aux différentes autorités de contrôle, d’avoir accès aux métadonnées des utilisateurs sans respecter la règle de proportionnalité, maintes fois rappelée par la CJUE.