Dans l’arrêt de grande chambre rendu le 2 octobre 2018 dans l’affaire C-207/16 Ministerio Fiscal, la Cour de justice de l’Union européenne a apporté des précisions quant à la possibilité d’accéder à des données personnelles relatives aux communications électroniques dans le cadre des enquêtes pénales.
L’affaire au principal concerne M. Hernández Sierra, un citoyen espagnol ayant subi un vol avec violence au cours duquel son téléphone portable a été volé. La police judiciaire veut accéder aux cartes SIM activées avec le téléphone mobile volé pour en identifier les titulaires. La question se pose de savoir si l’accès à ces données constitue une ingérence acceptable dans les droits fondamentaux des personnes concernées ou, au contraire, si un tel accès devrait être limité.
La Cour de justice admet tout d’abord que l’accès à des données telles que celles dans l’affaire au principal constitue une ingérence dans le droit fondamental au respect de la vie privée (article 7 de la Charte des droits fondamentaux de l’Union européenne) et à la protection des données à caractère personnel (article 8 de la Charte). Une réglementation nationale qui autorise un tel accès peut toutefois être justifiée par un des objectifs établis à l’article 15, paragraphe 1, de la directive 2002/58 sur la protection de la vie privée dans le secteur des communications électroniques. Cette disposition autorise les autorités publiques à limiter les droits en matière de protection de données dans certains cas énumérés à cette disposition de manière exhaustive (point 52).
L’objectif mentionné dans l’affaire au principal est celui de la prévention, la recherche, la détection et la poursuite d’infractions pénales, lequel fait partie des objectifs mentionnés à l’article 15, paragraphe 1, de la directive 2002/58. La question est de savoir si cette exception inclut toutes les infractions pénales en général ou alors seulement les infractions qui atteignent un certain seuil de gravité.
Dans l’affaire Tele2 Sverige et Watson, rendue en décembre 2016, la Cour avait introduit la condition de criminalité « grave » pour justifier l’accès aux données personnelles. La Cour a toutefois nuancé cette affirmation dans l’arrêt Ministerio Fiscal. L’article 15, paragraphe 1, de la directive « ne limite pas cet objectif à la lutte contre les seules infractions graves, mais vise les « infractions pénales » en général » (point 53) mais « l’objectif poursuivi par une réglementation régissant cet accès doit être en relation avec la gravité de l’ingérence dans les droits fondamentaux en cause » (point 55). Ainsi, une ingérence grave dans les droits fondamentaux ne sera acceptable que dans le but de la lutte contre la criminalité grave. En revanche, si le but est de poursuivre des infractions pénales en général, alors il est uniquement possible d’accéder à des données personnelles comportant une ingérence « non grave » dans les droits fondamentaux (points 56-57).
Dans le cas d’espèce, les autorités publiques veulent identifier les titulaires des cartes SIM activées dans le téléphone volé. Ce faisant, il s’agit d’obtenir le nom, le prénom et l’adresse des personnes visées et non pas le contenu des communications réalisées, la localisation des communications, ni la fréquence des communications avec certaines personnes. L’accès à ces données ne peut donc pas être qualifié d’ingérence « grave » selon la Cour de justice et peut donc être admis dans le but de poursuivre une infraction pénale en général, telle qu’un vol de téléphone avec violence (points 59-62).
La Cour de justice introduit, dans cet arrêt, un test de proportionnalité dans l’analyse des ingérences dans les droits fondamentaux qui sont acceptables lors de l’accès à des données résultant des communications électroniques. Ce n’est que lorsqu’une telle ingérence est grave que l’accès aux données personnelles sera limité à la poursuite d’infractions graves. Dans l’affaire au principal, cette condition n’est pas remplie et l’accès aux données est donc admis pour la poursuite d’une infraction générale.
Elisabet Ruiz Cairó, "Une ingérence à la protection des données est possible si elle est proportionnée à la gravité de l’infraction pénale poursuivie", actualité du 11 octobre 2018, www.ceje.ch