La Cour de justice a rendu le 8 avril 2014 un arrêt très attendu concernant la validité de la directive 2006/24, sur la conservation des données relatives à des communications électroniques. Deux renvois préjudiciels transmis par des juridictions irlandaise et autrichienne lui ont fourni l’occasion de se prononcer, dans des affaires jointes Digital Rights Ireland Ltd e.a. (C-293/12 et C-594/12) sur la conformité avec les droits fondamentaux de cet acte vivement contesté dès son adoption par les associations de défense des droits numériques.
Les questions préjudicielles portaient plus spécifiquement sur les articles 7, 8 et 11 de la Charte des droits fondamentaux, visant respectivement le droit au respect de la vie privée, la protection des données personnelles et la liberté d’expression. La directive visait à harmoniser les dispositions nationales relatives à la conservation des données générées ou traitées par les services de communications électroniques par leurs fournisseurs, en vue d’en garantir la disponibilité aux fins de lutte contre les infractions graves telles que le terrorisme. Elle établit ainsi une obligation, pour ces fournisseurs, de conserver des données permettant d’identifier les personnes, leurs localisations et leurs activités, ainsi que leurs relations sociales, et de les rendre accessibles aux autorités compétentes le cas échéant. La Cour de justice admet donc logiquement la pertinence des articles invoqués.
La directive 2006/24 déroge tout d’abord à des instruments de droit dérivé antérieurs, les directives 95/46 et 2002/58, qui établissent un régime de protection du droit au respect de la vie privée (pt 32). L’obligation de conserver des données relatives à la vie privée des utilisateurs et à leurs communications, ainsi que l’accès des autorités nationales à ces données, constituent en outre des ingérences claires dans les droits garantis par les articles 7 et 8 de la Charte. La Cour de justice insiste sur l’ampleur de cette ingérence, affirmant, comme son avocat général, qu’elle « doit être considérée comme particulièrement grave » (pt 37). Comme lui, elle prend notamment en considération l’impression de surveillance constante générée par un tel système, dans lequel l’utilisateur n’est informé ni de la conservation de ses données, ni de leur utilisation.
L’ingérence établie est susceptible d’être justifiée par l’objectif de lutte contre la criminalité grave, l’utilité des données concernées dans la prévention et la lutte contre ces infractions étant par ailleurs établie. La Cour de justice opère toutefois un contrôle de proportionnalité d’autant plus strict que l’ingérence est grave, et qu’elle concerne un aspect fondamental du respect de la vie privée. Si la Cour admet l’aptitude des mesures prévues à la réalisation de l’objectif de protection de la sécurité publique, la directive achoppe sur le critère de la nécessité. Se référant à la jurisprudence de la Cour EDH, elle rappelle que toute réglementation dérogeant à la protection des données personnelles doit prévoir des garanties suffisantes, et notamment des règles claires et précises de nature à circonscrire l’atteinte à ce droit fondamental à ce qui est nécessaire.
Or, deux des caractéristiques de la directive sont incompatibles avec ces exigences. D’une part, la Cour dénonce le caractère général et automatique de la conservation des données. Aucune différenciation ni exception n’est prévue, qui permettrait par exemple de délimiter l’accès des autorités nationales aux données ou la durée de la conservation des données selon leur utilité aux fins de la lutte contre la criminalité. La directive n’établit pas non plus les conditions de l’accès aux données, ne subordonne l’accès à aucun contrôle préalable et n’établit aucun critère objectif pour délimiter les personnes autorisées à y accéder. D’autre part, la directive est également très insuffisante en ce qui concerne la protection des données dont elle prévoit la conservation. Elle ne prévoit pas de garanties particulières rendues nécessaires par la quantité et la nature des données, notamment en ce qui concerne le risque d’accès illicite, et ne garantit pas leur destruction irrémédiable au terme de la durée de conservation. Enfin, la Cour signale l’impossibilité de garantir un contrôle pleinement garanti par une autorité indépendante dans la mesure où la directive permet la conservation des données à l’extérieur de l’Union européenne.
S’affirmant comme garante de la protection des droits fondamentaux dans l’Union européenne, la Cour de justice censure la mise en place d’une surveillance généralisée sous prétexte de lutte contre la criminalité organisée. Cet arrêt répond aux inquiétudes exprimées non seulement par de nombreux acteurs de la société civile, mais aussi par les juridictions constitutionnelles de plusieurs États membres, et par le Contrôleur européen de la protection des données. Surtout, il confirme l’importance potentielle de la Charte dans l’ordre juridique de l’Union, et celle de la Cour comme juridiction constitutionnelle, capable de s’opposer au législateur européen sur des choix sociaux fondamentaux.