Conformément aux conclusions de son avocat général, la Cour de Justice de l'Union Européenne a invalidé la directive 2006/24 relative à la conservation des données.
- Saisie de questions préjudicielles interrogeant la validité de la directive eu égard au respect de la vie privée et au droit à la protection des données à caractère personnel par les Cours Constitutionnelles irlandaise et autrichienne, la Cour a donc prononcé son invalidité.
"La Cour constate tout d’abord que les données à conserver permettent notamment de savoir avec quelle personne et par quel moyen un abonné ou un utilisateur inscrit a communiqué, de déterminer le temps de la communication ainsi que l’endroit à partir duquel celle-ci a eu lieu et de connaître la fréquence des communications de l’abonné ou de l’utilisateur inscrit avec certaines personnes pendant une période donnée. Ces données, prises dans leur ensemble, sont susceptibles de fournir des indications très précises sur la vie privée des personnes dont les données sont conservées, comme les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales et les milieux sociaux fréquentés"
"La Cour estime qu’en imposant la conservation de ces données et en en permettant l’accès aux autorités nationales compétentes, la directive s’immisce de manière particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel", l'absence d'information sur la manière dont les données sont utilisées peut également nourrir le sentiment que la vie privée fait l'objet d'une surveillance constante.
- La Cour s'interroge ensuite pour savoir si cette ingérence est justifiée. Elle écarte alors 2 éléments :
1° La conservation des données n'est pas par nature attentatoire aux droits fondamentaux. En effet, la prise de connaissance du contenu des communications n'est pas prévu dans la directive et certaines garanties de sécurité et de protection sont imposés aux fournisseurs.
2° La conservation des données répond bien à un intérêt général, à savoir la sécurité publique.
-
"Toutefois, la Cour estime qu’en adoptant la directive sur la conservation des données, le législateur de l’Union a excédé les limites qu’impose le respect du principe de proportionnalité"
Procédant à un contrôle strict du fait de la nature des droits en cause et de la gravité de l'ingérence, elle considère que "l’ingérence vaste et particulièrement grave de cette
directive dans les droits fondamentaux en cause n’est pas suffisamment encadrée afin de garantir que cette ingérence soit effectivement limitée au strict nécessaire".
- Cinq raisons sont invoquées pour justifier la violation du principe de proportionnalité. Le législateur de l'Union devra en tenir compte pour ne pas risquer une nouvelle censure.
1° La directive couvre l'ensemble des individus, moyens de communications et données sans différenciation, limitation ou exception en fonction de l'objectif de lutte contre les infractions graves
2° La seconde raison tient à l'absence d'encadrement de l'accès aux données par les autorités nationales. Elles ne doivent y avoir accès et les consulter que pour les fins de la directive (à savoir : "prévenir, détecter ou poursuivre pénalement des infractions susceptibles d’être considérées, au regard de l’ampleur et de la gravité de l’ingérence dans les droits fondamentaux en question, comme suffisamment graves pour justifier une telle ingérence"). Ce n'est pas le cas du fait du renvoi à la définition "d'infractions graves" retenue par les autorités nationales. Ce n'est pas le cas du fait de l'absence de définition du cadre matériel et procédural dans lequel les autorités nationales peuvent accéder aux données et les utiliser ultérieurement. Est particulièrement visé ici l'absence de contrôle préalable d'une juridiction ou d'une autorité administrative indépendance.
3° La troisème raison tient à la durée de la conservation des données. Elle est fixée entre 6 mois et 24 mois sans que ne soit établi aucune distinction entre les données et les critères permettant de fixer la durée de conservation.
4° La directive protège insuffisamment contre les risques d'abus et l'accès et l'utilisation illicite des données."Elle relève entre autres que la directive autorise les fournisseurs de services à tenir compte de considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent (notamment en ce qui concerne les coûts de mise en œuvre des mesures de sécurité) et qu’elle ne garantit pas la destruction irrémédiable des données au terme de leur durée de conservation".
5° L'absence de garantie d'une conservation des données sur le territoire de l'UE viole la Charte en ce qu'elle peut s'opposer à un contrôle des exigences de protection et de sécurité.
Rétention des données : La CJUE dénonce le fichage systématique des communications
Paris, 8 avril 2014 - Dans un arrêt rendu ce matin, la Cour de Justice européenne (CJUE) vient de s'opposer au fichage systématique de nos communications en ligne en invalidant la directive ...