[Brèves] Données afférentes aux communications électroniques : la CJUE encadre la collecte de masse

► La Directive « vie privée et communications électroniques »  (Directive (CE) n° 2002/58 du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques N° Lexbase : L6515A43) s’oppose aux réglementations nationales imposant aux fournisseurs de services de communications électroniques de conserver et de transmettre des données relatives au trafic et à la localisation à des fins de lutte contre les infractions ou de sauvegarde de la sécurité nationale ;

Elle autorise toutefois des dérogations encadrées notamment dans le cadre de la lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique, lorsqu’un État membre fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, ou dans les cas de soupçon d’activités terroristes.

Rappel des faits. L’Investigatory Powers Tribunal (tribunal chargé des pouvoirs d’enquête, Royaume-Uni) (Privacy International, C-623/17), le Conseil d’État (France) (La Quadrature du Net e.a., affaires jointes C-511/18 et C-512/18) ainsi que la Cour constitutionnelle (Belgique) (Ordre des barreaux francophones et germanophone e.a., C-520/18) ont été saisis de contentieux relatifs à des réglementations d’États membres imposants aux fournisseurs de services de communications électroniques de procéder à des traitements de données à caractère personnel aux fins de sauvegarde de la sécurité nationale et de la lutte contre la criminalité.

Ces règlementations litigieuses prévoyaient une obligation à la charge des fournisseurs de services de communications électroniques de conservation ou de transmission aux autorités publiques, de manière généralisée ou indifférenciée, des données d’utilisateurs, relatives au trafic et à la localisation.

Décision de la Cour. Dans cette décision, la Cour de justice confirme sa jurisprudence en vertu de laquelle le droit de l’Union européenne s’oppose à de telles règlementations (CJUE, 21 décembre 2016, aff. C-203/15 et C-698/15, Tele2 Sverige et Watson e.a. N° Lexbase : A7089SXT) et précise les limites des pouvoirs reconnus aux États membres en matière de traitement des données personnelles aux fins de sauvegarde de la sécurité nationale et de la lutte contre la criminalité.

La Cour affirme la directive « vie privée et communications électroniques » avait vocation à s’appliquer aux cas d’espèce. Plus précisément, la Cour spécifie que la directive s’oppose à une règlementation nationale imposant aux fournisseurs de service de communications électroniques, à titre préventif ou en vue de la sauvegarde de la sécurité nationale, la conservation ou la transmission généralisée et indifférenciée, aux services de sécurité et de renseignements, des données relatives au trafic et à la localisation. Elle juge ces ingérences particulièrement graves en l’absence de lien entre l’objectif poursuivi et le comportement des personnes concernées.

Cette décision est l’occasion pour la Cour de préciser les circonstances et les conditions dans lesquelles les États membres - notamment dans le cadre de la lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique, dans le cas de menaces graves, réelles et actuelles ou prévisibles pour la sécurité nationale, ou en cas de soupçon d’activités terroristes - sont autorisés à déroger à l’obligation d’assurer la confidentialité des données afférentes aux communications électroniques en enjoignant aux services de communications électroniques une conservation généralisée et indifférenciée de ces données, une conservation ciblée ou rapide.

© Reproduction interdite, sauf autorisation écrite préalable