La CJUE réaffirme l’interdiction de conservation généralisée et indifferenciée des métadonnées

Dans un arrêt du 20 septembre 2022 [1], la Cour de Justice de l’Union Européenne (CJUE) a confirmé sa jurisprudence qui s’oppose à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation (ou « Métadonnées »), sauf en cas de menace grave pour la sécurité nationale.

Cet arrêt est l’occasion de revenir brièvement sur la jurisprudence de la CJUE qui s’est déjà prononcée à plusieurs reprises sur la question (1) et d’étudier les apports du dernier arrêt de la CJUE qui a examiné la conformité au droit de l’Union européenne de la législation allemande sur les télécommunications (TKG) (2).

1. État des lieux de la jurisprudence de la CJUE sur la conservation des Métadonnées

Ces dernières années, la CJUE s’est prononcées dans plusieurs arrêts, sur la conservation et l’accès aux données à caractère personnel dans le domaine des communications électroniques.

L’idée qui préside aux décisions rendues par la CJUE concernant la directive 2002/58/CE du 12 juillet 2022, dite « vie privée et communication électronique » ou « ePrivacy » est que les utilisateurs des moyens de communications électroniques au sein de l’Union européenne sont en droit de s’attendre, en principe, à ce que leurs communications et les données y afférentes restent anonymes et ne puissent pas faire l’objet d’un enregistrement, sauf s’ils y consentent.

Par un arrêt du 8 avril 2014, Digital Rights Ireland [2], la CJUE a déclaré l’invalidité de la directive 2006/24/CE sur la conservation de données aux fins de facilitation des enquêtes pénales, au motif que celle-ci prévoyait une ingérence disproportionnée dans les droits garantis par la Charte des droits fondamentaux de l’Union européenne [3].

La CJUE a ensuite donné une grille de lecture pour l’application de l’article 15, paragraphe 1, de la directive 2002/58 qui admet des dérogations à l’obligation de garantir la confidentialité des communications et les données y afférentes.

Dans son arrêt du 21 décembre 2016, Tele2 Sverige et Watson [4], confirmé par l’arrêt du 2 octobre 2018, Ministerio Fiscal [5], la CJUE a ensuite jugé que l’article 15, paragraphe 1, de la directive 2002/58/CE s’opposait à une réglementation nationale prévoyant la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation aux fins de la lutte contre la criminalité grave.

En 2018, certaines juridictions d’Etats membres, dont la France et la Belgique, se sont adressés à la CJUE en faisant part de leurs doutes sur la question de savoir si ces arrêts étaient susceptibles de déposséder les autorités étatiques d’un instrument nécessaire à la sauvegarde de la sécurité nationale et à la lutte contre la criminalité et le terrorisme.

Ces demandes ont donné lieu aux arrêts Privacy International [6] et La Quadrature du Net du 6 octobre 2020 [7], qui ont confirmé la jurisprudence Tele2 Sverige.

La Cour a ainsi maintenu l’interdiction de principe de l’obligation de conservation généralisée et indifférenciée de données relatives au trafic et à la localisation. En revanche, elle introduit une exception pour les situations dans lesquelles un Etat membre fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, celui-ci peut déroger à l’obligation d’assurer la confidentialité des données afférentes aux communications électroniques en imposant, par des mesures législatives, une conservation généralisée et indifférenciée de ces données pour une durée temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace.

2. La CJUE confirme sa jurisprudence par son arrêt du 20 septembre 2022

SpaceNet et Telekom Deutschland fournissent, en Allemagne, des services d’accès à Internet accessibles au public, Telekom Deutschland fournissant, en outre, des services téléphoniques.

Elles ont contesté devant les juridictions allemandes la législation allemande sur les télécommunications (TKG), prévoyant l’obligation, pour les fournisseurs de services de communication électroniques accessibles au public de conserver, notamment aux fins de la répression des infractions pénales graves ou de la prévention d’un risque concret pour la sécurité nationale, la conservation généralisée et indifférenciée, pour une durée de plusieurs semaines (4 à 10 semaines), de l’essentiel des données relatives au trafic et des données de localisation de leurs clients.

La question posée en substance était de savoir si une conservation généralisée et indifférenciée serait acceptable lorsque la durée de conservation est limitée à quelques semaines seulement et que des règles strictes de protection des données sont mises en place.

La CJUE a répondu à la Cour administrative fédérale allemande que le droit de l’Union s’oppose à une législation nationale prévoyant, à titre préventif, aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation.

En revanche, la CJUE a rappelé que le droit de l’Union ne s’oppose pas à une législation nationale :

  • Permettant, aux fins de la sauvegarde de la sécurité nationale, d’enjoindre aux fournisseurs de services de communications électroniques de procéder à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, dans des situations où l’Etat Membre concerné fait face à une menace grave pour la sécurité nationale, qui s’avère réelle et actuelle ou prévisible. Une telle injonction peut être contrôlée soit par une juridiction, soit par une entité administrative indépendante et ne peut être émise que pour une période temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de cette menace ;
  • Prévoyant, aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation ciblée des données relatives au trafic et des données de localisation qui soit délimitée, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique, pour une période temporellement limitée au strict nécessaire, mais renouvelable ;
  • Prévoyant, aux mêmes fins, une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion, pour une période temporellement limitée au strict nécessaire ;
  • Prévoyant, aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité et de la sauvegarde de la sécurité publique, une conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs de moyens de communications électroniques, et
  • Permettant, aux fins de la lutte contre la criminalité grave, et, a fortiori, de la sauvegarde de la sécurité nationale, d’enjoindre les fournisseurs de services de communications électroniques, au moyen d’une décision de l’autorité compétente soumise à un contrôle juridictionnel effectif, de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont disposent ces fournisseurs de services.

S’agissant de la  législation allemande TKG, la CJUE l’a jugée contraire au droit de l’Union et a relevé que l’obligation de conservation prévue qui s’étend à un ensemble très large de données relatives au trafic et de données de localisation conservées pendant, respectivement, 10 et 4 semaines, peut permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données sont conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci, et, en particulier, d’établir un profil desdites personnes.

NB : En France, la conservation des données de localisation et de trafic de l’utilisateur [8] d’un service de communication électronique intervient dans les conditions et aux fins spécifiques prévues par l’article L.34-1 du Code des Postes et des Communications Electroniques (CPCE), à savoir pour des motifs tenant à la sauvegarde de la sécurité nationale, lorsqu’est constatée une menace grave, actuelle ou prévisible, contre cette dernière et sur injonction du Premier ministre, pour une durée d’un an [9].

Les opérateurs de communication électronique sont également tenus de conserver les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, pour une durée d’un an à compter de la connexion ou de l’utilisation des équipements terminaux, pour des motifs tenant à la lutte contre la criminalité et la délinquance grave, la prévention des menaces graves contre la sécurité publique et la sauvegarde de la sécurité nationale [10].

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

[1] Affaires jointes C-793/19 et C-794/19.

[2] Aff. C-293/12 et C-594/12.

[3] Articles 7 (Respect de la vie privée et familiale) et 8 (Protection des données à caractère personnel) de la Charte des droits fondamentaux de l’Union européenne.

[4] Aff. C-203/15 et C-698/15

[5]Aff. C-207/16.

[6] Aff. C-623/17.

[7] Aff. C-511/18, C-512/18 et C-520/18.

[8] L’article R.10-13 du CPCE, modifié par décret n°2021-1361 du 20 octobre 2021, définie les catégories de données concernées.

[9] Article L.34-1 III. du CPCE.

[10] Article L.34-1 II bis. – 3° du CPCE. 

Image de Shutterstock
FOCUS DDG
Métavers & IP :
Quelle stratégie juridique pour votre entreprise ?
DÉcouvrir
DDG utilise des cookies dans le but de vous proposer des services fonctionnels, dans le respect de notre politique de confidentialité et notre gestion des cookies (en savoir plus). Si vous acceptez les cookies, cliquer ici.