Par son arrêt du 8 avril, la Cour de Justice européenne vient d’invalider la directive « Conservation de certaines données » qu’elle juge nécessaire mais trop intrusive. Des révisions nationales sont à prévoir. C’est aussi une brèche ouverte à une multitude de recours individuels ou collectifs.

Par Katia Duhamel, avocat, cabinet Bird & Bird

Saisis par deux questions préjudicielles, les juges européens ont invalidé entièrement la directive sur la conservation des données par les services de communications électroniques
(1) en caractérisant une « ingérence vaste et particulièrement grave » dans les droits garantis aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne (2) – lesquels garantissent respectivement le respect de la vie privée et la protection des données à caractère personnel.

Ingérence versus proportionnalité
Si la décision (3) de la Cour de Justice de l’Union européenne (CJUE) opère un renversement de l’histoire, puisque ladite directive avait été précisément votée sur
ces mêmes fondements, ce revirement restait prévisible aux vues des contestations récurrentes dont a fait l’objet ce texte depuis son adoption au sein des Etats membres.
La Haute cour irlandaise d’une part, saisie de la légalité des mesures nationales portant sur la conservation des données liées aux communications électroniques, et la Cour constitutionnelle autrichienne d’autre part saisie de plusieurs recours visant à l’annulation des dispositions nationales transposant ladite directive en droit autrichien, ont enfin permis à la CJUE de répondre à la question de savoir si les données des abonnés et des utilisateurs peuvent ou non être conservées en vertu des articles 7 et 8 de la Charte des droits fondamentaux.
Pour y répondre, la CJUE constate en premier lieu l’existence d’une ingérence flagrante dans les droits fondamentaux des individus et souligne, à la suite de son avocat général, qu’elle « s’avère d’une vaste ampleur et qu’elle doit être considérée comme particulièrement grave » (4).
En effet, ces données prises dans leur ensemble sont susceptibles de fournir des indications très précises sur la vie privée des personnes dont les données sont conservées, telles que la fréquence des communications, les lieux d’appels, les habitudes qui en ressortent, etc.
Selon la CJUE, la conservation de ces données constituent en soi une ingérence dans la vie privée des individus aggravée par le droit d’accès des autorités nationales compétentes auxdites données, accès considéré comme une immixtion particulièrement grave dans les droits fondamentaux des personnes.
Enfin, la conservation des données et l’utilisation ultérieure de celles-ci étant effectuées sans que l’abonné en soit informé, elle est « susceptible de générer dans l’esprit des personnes concernées (…) le sentiment que leur vie privée fait l’objet d’une surveillance constante ».
Par ces trois motifs, la CJUE caractérise l’ingérence faite par la directive aux droits fondamentaux garantis par la Charte européenne.
L’article 52§ 1 de la Charte européenne se fonde sur la Convention européenne des droits de l’Homme (CEDH) pour limiter de potentielles atteintes aux droits fondamentaux,
en l’espèce ceux du respect à la vie privée. En effet, en vertu de l’article 8 de la CEDH
« toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de
ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à l’intégrité territoriale ou la sûreté publique, à la défense de l’ordre et à la prévention des infractions pénales ou à la protection des droits et libertés d’autrui »

Conservation de 6 à 24 mois
Ce concept de nécessité renvoie au contrôle strict de la proportionnalité des mesures contestées tel qu’il a été mise en oeuvre en l’espèce par la CJUE. Si la CJUE estime
que les impératifs de sécurité nationale et d’ordre public, ainsi que la lutte contre la criminalité, justifient pleinement d’apporter des dérogations aux droits fondamentaux
des individus, elle juge pour autant que les mesures prévues par la directive dans ce
but légitime sont disproportionnés au regard des objectifs recherchés.

De ce fait, le législateur de l’Union aurait excédé les limites qu’impose le respect du principe de proportionnalité et l’ingérence causée dans la vie privée des individus, serait excessive faute d’un encadrement suffisant des dérogations proposées. Implacablement, elle déroule ainsi les motifs qui justifient son analyse :

• La directive couvre de manière trop générale l’ensemble des individus, des moyens
de communication électronique et des données relatives au trafic sans qu’aucune différentiation, limitation ou exception ne soit opérée en fonction de l’objectif visé.

• Aucun critère, autrement dit aucun garde-fou, objectif ne vient garantir le fait que les autorités nationales compétentes n’aient accès aux données et ne puissent les utiliser qu’aux seules fins légalement prévues. Au contraire, la directive se borne à renvoyer de manière générale aux « infractions graves » définies par chaque État membre dans son droit interne. De plus, sur le plan procédural, l’accès des autorités n’est subordonné à aucun contrôle préalable d’une juridiction ou d’une entité administrative indépendante.

• De plus, la durée de conservation des données est fixée de 6 à 24 mois et ce, quelles que soient les catégories de données, leur utilité et les personnes concernées, alors que la directive ne précise les critères objectifs sur la base desquels la durée de conservation doit être déterminée afin de garantir sa limitation au strict nécessaire.

• Enfin, la directive ne prévoit pas de garanties suffisantes permettant d’assurer une protection efficace des données contre les risques d’abus et d’utilisation illicite.
En effet, la CJUE relève, entre autres, que la directive autorise les fournisseurs de services à tenir compte de considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent et qu’elle ne garantit pas la destruction irrémédiable des données au terme de leur durée de conservation. Elle critique aussi le fait que la directive n’impose pas une conservation des données sur le territoire de l’Union européenne.
C’est donc pour l’ensemble de ces motifs que les juges européens affirment l’invalidité
de l’intégralité de la directive soumise à son contrôle juridictionnel.

Qu’elle soit acclamée par les défenseurs des libertés ou décriée par les autorités en charge de la lutte contre la cybercriminalité, la décision de la CJUE ne peut que semer
un certain désordre au sein de l’Union européenne. En effet, les juridictions nationales
ne peuvent donc plus appliquer l’acte déclaré invalide ni même les lois de transposition nationale. Ce qui laisse les opérateurs dans un vide juridique jusqu’à l’adoption d’une prochaine directive. Au demeurant, les conclusions de l’avocat général invitaient déjà les Etats de l’Union européenne à prendre « les mesures nécessaires » pour remédier « à l’invalidité constatée » de cette directive. Les mesures pour venir corriger les lacunes législatives avérées doivent intervenir « dans un délai raisonnable », a-t-il insisté.
Certains utilisateurs de services de communications électroniques pourraient également se saisir de cette opportunité pour exiger un droit de regard sur les données conservées qui leur sont propres, voire en réclamer leur destruction. Si a priori, nous ne pensons pas que les dispositions relatives aux procédures d’action de groupe, ou class action , soient applicables au cas en d’espèce, il se peut que certains en rêvent.
Enfin, l’affaire vient alimenter le moulin de la commissaire européenne Viviane Reading
– en charge de la Justice – et remettre en selle son projet de directive sur la protection des données personnelles qui s’est fait débouté lors de son examen par les ministres
de l’Union européenne en juin dernier.

De l’eau au moulin de Viviane Reding
Pour mémoire ce projet, présenté par la vice-présidente de la Commission européenne
en janvier 2012 , vise à adapter la réglementation européenne pour : lutter contre les pratiques américaines de la NSA qui ont été révélées par la suite et qui font scandale depuis des mois ; permettre le droit à l’oubli numérique en imposant d’effacer des données personnelles à la demande de leur propriétaire ; ouvrir la possibilité aux citoyens de porter auprès de l’autorité de contrôle nationale, – la Cnil en France – et d’obtenir réparation si leurs données sont utilisées à mauvais escient au sein de l’Union européenne. @