[MàJ] La Cour de Justice invalide la directive sur la conservation des données

 

La directive 2006 du 15 mars 2006 sur la conservation de données vient modifier une directive de 2002. Elle définit les données que les FAI ou les opérateurs doivent conserver pour une durée de 6 mois à 2 ans, selon le choix des États membres (La France a choisi un délai d’un an, alors que le Luxembourg a choisi une période de 6 mois, à titre d’exemple).

 

Quelles sont les données qui doivent être conservées ? Il s’agit des données permettant de retrouver et identifier la source d’une communication (adresse IP, numéro de téléphone, identité de l’abonné, etc.), sa destination, sa date et son heure, le type de communication (le service internet ou téléphonique utilisé, l’identification du matériel, numéro IMEI, etc.). Cette conservation est fléchée, en ce sens qu’elle ne peut servir qu’à des fins de recherche, de détection et de poursuite d'infractions graves. (Terrorisme, pédopornographie ou harcèlement sexuel en ligne par exemple).

Deux affaires nées en Autriche et en Irlande

Problème : deux litiges nés en Autriche et en Irlande remettent en question la validité de cette directive. « La High Court doit trancher un litige entre Digital Rights Ireland Ltd, une société à responsabilité limitée dont l’objet statutaire est de promouvoir et protéger les droits civiques et les droits de l’homme, en particulier dans l’univers des technologies de communication modernes, et les autorités irlandaises. Dans le cadre de ce litige, Digital Rights, qui déclare être propriétaire d’un téléphone portable, fait valoir que les autorités irlandaises ont illégalement traité, conservé et contrôlé, les données afférentes à ses communications » résument les services de la CJUE.

 

En Autriche, le Verf assungsgerichtshof doit trancher trois recours « formés respectivement par le gouvernement du Land de Carinthie, M. Michael Seitlinger et par 11 130 requérants, qui font valoir que la loi autrichienne sur les télécommunications est contraire à la Constitution autrichienne. »

 

Ces deux juridictions nationales soulèvent ainsi la question de la validité de la directive au regard de plusieurs principes européens, spécialement le respect de la vie privée et le droit fondamental à la protection des données à caractère personnel. Les recours exercés en Autriche visent par exemple à obtenir l’annulation de la loi nationale transposant la directive en droit autrichien.

 

Là où ces affaires méritent attention est que dans ses conclusions rendues en décembre dernier, l’avocat général Pedro Cruz Villalón a donné raison à ces critiques !

Une directive, des obligations, mais pas de garantie

D’une part, il considère que la directive de 2006 sur la conservation de données « est dans son ensemble incompatible  avec l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne » selon lequel toute limitation de l’exercice des droits fondamentaux doit être «prévue par la loi. Pourquoi ? Car « les limitations à l’exercice des droits fondamentaux qu’elle comporte, du fait de l’obligation de conservation des données qu’elle impose, ne s’accompagnent pas des principes indispensables appelés à régir les garanties nécessaires à l’encadrement de l’accès auxdites données et de leur exploitation. »

 

Plus clairement, lorsqu’il prévoit des obligations qui vont entrainer un risque d’ingérences dans la vie privée de chaque citoyen, le législateur de l’Union ne peut selon l’avocat général « totalement abandonner aux États membres le soin de définir les garanties de nature à les justifier ». Dans le même sens, il ne peut se contenter de s’en remettre aux autorités nationales, administratives ou judiciaires, pour « définir et d’établir ces garanties ». À contrario, «  Il doit (…) pleinement assumer sa part de responsabilité en définissant à tout le moins les principes devant présider à la définition, à l’établissement, à l’application et au contrôle du respect de ces garanties ». Ce qu’il n’a pas fait.

Un délai de 2 ans est bien trop long

Autre chose, l’avocat général a estimé que l’article 6 de cette directive « est incompatible avec (…) la charte des droits fondamentaux de l’Union européenne en ce qu’il impose aux États membres de garantir que les données (…) soient conservées pendant une durée dont la limite supérieure est fixée à deux ans. »

 

Selon lui, une conservation des données afférentes à la vie privée est par défaut perçue comme « une anomalie » sauf cas exceptionnel. « Une telle situation ne peut être qu’exceptionnelle et, en ce sens, ne saurait se prolonger dans le temps au-delà de ce qui est indispensable ». Ce qualificatif d’ « exceptionnel » rend donc nécessaire un contrôle de proportionnalité : est-il proportionnel de conserver des données jusqu’à 2 ans en aspirant toutes les données retraçant la vie sociale d’une personne ? Est-ce une ingérence normale ?

 

Sur ce point, son analyse est claire : « la durée de conservation de données personnelles «qui se mesure en mois» est à bien différencier d’une durée «qui se mesure en années». La première correspondrait à celle qui se situe dans la vie qui se perçoit comme présente et la seconde à celle qui se situe dans la vie qui se perçoit comme mémoire. L’ingérence dans le droit au respect de la vie privée est, dans cette perspective, chaque fois différente et la nécessité de chacune de ces ingérences doit pouvoir être justifiée. »

 

Or, poursuit-il, « sans nier qu’il y ait des activités criminelles qui se préparent longtemps à l’avance, je n’ai trouvé, dans les différentes prises de position défendant la proportionnalité (…) aucune justification suffisante pour que la durée de conservation des données à établir par les États membres doive ne pas demeurer dans une limite inférieure à une année. Autrement dit, et avec toute la prudence que cette dimension du contrôle de proportionnalité requiert toujours, aucun argument n’est parvenu à me convaincre de la nécessité de prolonger la conservation des données au-delà d’une année. »

Cartographie fidèle de la vie privée, des données conservées par les FAI

Pour bien insister sur son argumentaire, l’avocat général rappelle que ces données de connexion vont permettre d’établie « une cartographie aussi fidèle qu’exhaustive d’une fraction importante des comportements d’une personne relevant strictement de sa vie privée, voire d’un portrait complet et précis de son identité privée ». De même, il existe un risque important que « les données conservées ne soient utilisées à des fins illicites, potentiellement attentatoires à la vie privée ou, plus largement, frauduleuses, voire malveillantes ». Pourquoi ? Tout simplement parce que « les données ne sont pas conservées par les autorités publiques elles-mêmes, ni même sous leur contrôle direct, mais par les fournisseurs de services de communications électroniques eux-mêmes sur lesquels pèse l’essentiel des obligations garantissant leur protection et leur sécurité. »

Une directive invalidée, et après ?

Si l’argument est solide, les conclusions de l’avocat général sont libres : elles n’engagent pas la Cour de Justice. Cependant, que se passerait-il si les juges suivent leur sens et déclarent la directive invalide ? Dans cette hypothèse, la directive ne sera pas annulée, mais déclarée inapplicable avec effet rétroactif. Cependant, cela revient presque au même : selon les services de la CJUE, elle n’aura « plus vocation à s’appliquer à compter de sa date d’entrée en vigueur ».

 

Cette déclaration d’invalidité sera valable pour tout le monde : la Cour comme « tout autre juge doit considérer l’acte comme invalide pour les besoins d’une décision qu’il doit rendre. Les juridictions nationales ne peuvent donc plus appliquer l’acte déclaré invalide ». Les juges nationaux pourront dans le même sens considérer comme inapplicables les textes s'en référant d'un peu trop près, comme évidemment les lois de transposition. Nous reviendrons sur ce point en particulier selon le sens de l’arrêt qui sera rendu demain en retenant spécialement le cas français.