La Cour de justice de l’UE invalide la directive sur la conservation des données personnelles

Par une directive du 15 mars 2006, le {droit communautaire} avait fixé un cadre pour la conservation par les opérateurs de communications électroniques des données personnelles de leurs abonnés.

L'objectif de ce texte était de permettre aux autorités des Etats Membres d'avoir accès aux informations d'identification d'un abonné au cours d'une enquête, notamment en matière de {terrorisme} et de criminalité organisée, {infractions pénales} pour lesquelles ce texte était spécialement destiné.

Dans un arrêt du 8 avril 2014, la Cour de justice de l'UE (CJUE) a invalidé ce texte par un arrêt dans lequel il lui est fait de nombreux reproches.

L'avocat général près la CJUE avait déjà, dans ses conclusions du mois de décembre 2013, demandé cette invalidation.

La CJUE s'est ici rangée à l'avis de son avocat général : la directive du 15 mars 2006 sur la {conservation des données} constitue une ingérance dans les droits fondamentaux consacrés par le droit de l'Union, et cette ingérance n'est compensée par aucune garantie ou mécanisme d'encadrement.

En effet, la Cour relève que, si le but de la directive est de permettre la poursuite des actes de terrorisme ou de criminalité organisée, les données conservées au titre de ce texte concernent en réalitée toutes les personnes abonnées à un service de communication électronique (Internet, téléphonie, etc.) et donc, potentiellement, l'ensemble des citoyens européens. Même les personnes soumises à une obligation légale de secret professionnel (tels que les avocats ou les médecins par exemple) voient donc également leurs données conservées.

Or, comme le note la Cour, tout le monde n'a pas forcément de lien, même lointain, avec le terrorisme ou la criminalité organisée…

Le texte excède donc le but poursuivi.

Il est également reproché à la directive de 2006 de ne pas prévoir de conditions matérielles ou procédurales conditionant l'accès des autorités étatiques aux données ainsi conservées.

Ainsi, non seulement il n'est pas prévue de restriction d'accès en fonction de la gravité de l'infraction poursuivie, mais il n'existe aucun critère permettant de déterminer le nombre ou la qualité des personnes pouvant avoir accès à ces données. De même, aucun contrôle préalable, par une juridiction ou une autorité indépendante n'est prévue.

La durée de conservation de ces données n'est pas non-plus précise : entre six et vingt-quatre mois, au choix des Etats.

Pour la CJUE, ce texte ne prévoit donc aucune garantie permettant de contre-balancer l'ingérance qu'il instaure.

Enfin, et pour insister sur le fait que ce texte ne trouve aucunement grâce aux yeux des juges européens, l'arrêt précise encore que la directive ne prévoit rien au titre des garanties de protection des données récoltées, et notamment afin de prémunir l'internaute contre la destruction technique malencontreuse ou l'accès illicite. Il en est encore de même en ce qui concerne l'absence d'obligation de stockage des données sur le territoire de l'Union.

Ce sont toutes ces raisons qui ont conduit la Cour à prononcer l'invalidation de la directive.

Le législateur européen devra donc remettre un nouveau texte à l'étude afin de poser un cadre pour la conservation des données, tout en respectant les limites posées par la Cour de justice.

Le but poursuivi n'est en rien remis en cause par la CJUE. Ce sont simplement les moyens employés qui étaient inapropriés.

Le Conseil de l'UE devra donc poser, de manière plus précise, les contours de cette conservations.

Afin de répondre aux critiques de l'arrêt, cela passera nécessairement par la mise en place d'une procédure précise de sécurisation des données récoltées et de leur communication aux autorités compétentes.

Cependant, on peut penser à ce stade que la mise en place d'une procédure, telle qu'elle ressort de l'arrêt du 8 avril 2014, risque d'alourdir considérablement le dispositif de communication des données lors de la poursuite des infractions.

En effet, si un contrôle préalable de chaque demande d'accès par une autorité indépendant ou judiciaire est nécessaire, et que cet accès ne peut être autorisé qu'à un nombre strictement délimité de personnes, l'efficacité du dispositif pourrait en pâtir.

La solution adoptée devra donc combiner respect des droits fondamentaux et nécessités de l'enquête pénale. Une telle équation est – malheureusement – bien souvent difficile à résoudre.