La Cour de Justice de l'UE invalide la directive rétention de donnés

La Cour Européenne de Justice a invalidé la directive européenne sur la conservation des données de mars 2006 qui exigeait des opérateurs et fournisseurs de services de communication de conserver les détails sur les communications des citoyens européens pour une période minimale de six mois (notamment les informations de connexion et de localisation, mais pas le contenu des échanges).

La directive permettait aux forces de l’ordre d’avoir accès à ces informations de log à des fins d’enquête en cas de crimes et d’actes de terrorisme. Elle avait été adoptée dans le cadre d’un effort d’uniformisation des cadres nationaux après les attentats de Madrid en 2004 et de Londres en 2005. La directive avait fait l’objet de questions de la haute cour irlandaise et de la cour constitutionnelle autrichienne auprès de la Cour de Justice Européenne suite à des plaintes de la société Irlandaise Digital Rights et du gouvernement du Land de Carinthie – ce dernier  cherchant à obtenir l’annulation de la disposition nationale qui transpose la directive en droit autrichien.

Une atteinte aux droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel

Selon le jugement rendu par la Cour de Justice Européenne, « en imposant la conservation de ces données et en en permettant l’accès aux autorités nationales compétentes, la directive s’immisce de manière particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à̀ caractère personnel. En outre, le fait que la conservation et l’utilisation ultérieure des données sont effectuées sans que l’abonné ou l’utilisateur inscrit en soit informé est susceptible de générer dans l’esprit des personnes concernées le sentiment que leur vie privée fait l’objet d’une surveillance constante ».

Elle constate toutefois que la conservation des données imposée par la directive n’est pas de nature à porter atteinte au contenu essentiel des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. Selon la Cour, «  la directive ne permet pas de prendre connaissance du contenu des communications électroniques en tant que tel et prévoit que les fournisseurs de services ou de réseaux doivent respecter certains principes de protection et de sécurité des données. De plus, la conservation des données en vue de leur transmission éventuelle aux autorités nationales compétentes répond effectivement à̀ un objectif d’intérêt général, à savoir la lutte contre la criminalité grave ainsi que, en définitive, la sécurité publique ».

La Cour de Justice Européenne estime toutefois «  qu’en adoptant la directive sur la conservation des données, le législateur de l’Union a excédé les limites qu’impose le respect du principe de proportionnalité ». Et d’ajouter que « l’ingérence vaste et particulièrement grave de cette directive dans les droits fondamentaux en cause n’est pas suffisamment encadrée afin de garantir que cette ingérence soit effectivement limitée au strict nécessaire ».

Pas de protection contre les risques d'abus et d'utilisation illicite des données collectées

La Cour constate par ailleurs que la directive ne prévoit pas de garanties suffisantes permettant d’assurer une protection efficace des données contre les risques d’abus ainsi que contre l’accès et l’utilisation illicites des données. Elle relève entre autres que la directive autorise les fournisseurs de services à̀ tenir compte de considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent (notamment en ce qui concerne les coûts de mise en œuvre des mesures de sécurité) et qu’elle ne garantit pas la destruction irrémédiable des données au terme de leur durée de conservation.

La Cour critique enfin le fait « que la directive n’impose pas une conservation des données sur le territoire de l’Union. Ainsi, la directive ne garantit pas pleinement le contrôle du respect des exigences de protection et de sécurité par une autorité indépendante, comme cela est pourtant explicitement exigé par la charte. Or, un tel contrôle, effectué sur la base du droit de l’Union, constitue un élément essentiel du respect de la protection des personnes à l’égard du traitement des données à̀ caractère personnel ».

Selon la Commission, le jugement de la Cour invalidant la directive ne supprime pas la possibilité pour les États, du fait de  la directive sur la protection de la vie privée (2002/58/EC) d’exiger la conservation des données par les opérateurs. Cecilia Malmström, la Commissaire aux affaires intérieures ajoute que la décision de la Cour clarifie la question de la conservation des données et confirme les conclusions de la commission en matière de proportionnalité  suite au rapport de 2011 sur la mise en œuvre de la directive sur la rétention de données. La Commission ajoute que la directive a été utile dans plusieurs cas d’affaires de lutte contre le terrorisme et entend analyser  en détail la décision de la Cour dans le cadre de la révision de la directive sur la protection de la vie privée.