La Haute Cour irlandaise ainsi que la Cour constitutionnelle autrichienne demandent à la Cour de justice de l’Union européenne d’examiner la validité de la directive à la lumière de droits garantis par la charte des droits fondamentaux de l’Union européenne : le droit au respect de la vie privée et la protection des données à caractère personnel.
Cette demande a pour point de départ un litige opposant une société irlandaise aux autorités de ce même pays, au sujet de la légalité des mesures nationales portant sur la conservation de données relatives aux communications électroniques.
Par ailleurs, la Cour autrichienne a été saisie de plusieurs recours en matière constitutionnelle, visant à obtenir l’annulation de la disposition transposant la directive en droit autrichien.
La directive visée a pour objectif principal d’harmoniser les dispositions des Etats membres sur la conservation de certaines données générées ou traitées par des fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communication. Elle vise ainsi à garantir la disponibilité de ces données à des fins de prévention, de recherche, de détection et de poursuite des infractions graves, comme notamment les infractions liées à la criminalité organisée et au terrorisme.
La CJUE, le 8 avril 2014, invalide la directive sur la conservation des données. Elle constate que les données conservées, prises dans leur ensemble, sont susceptibles de fournir des indications très précises sur la vie privée des personnes dont les données ont été conservées : les communications, leur fréquence, les lieux et habitudes…
La Cour estime qu’en imposant la conservation des données et en permettant l’accès aux autorités nationales compétentes, la directive s’immisce de manière particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. En outre, la non information de l’utilisateur sur la conservation des données est susceptible de donner l’impression d’être constamment surveillés.
La Cour examine ensuite si l’ingérence en cause est justifiée. Elle estime que le contenu essentiel des droits fondamentaux visés est préservé. En effet, la directive ne permet pas de prendre connaissance du contenu des communications électroniques en tant que tel et prévoit que les fournisseurs de services ou de réseaux doivent respecter certains principes de protection et de sécurité des données. De plus, la conservation des données répond à un objectif d’intérêt général, à savoir la lutte contre la criminalité grave et la préservation de la sécurité publique.
Toutefois, la Cour estime que les limites imposées par le respect du principe de proportionnalité ont été excédées. Le pouvoir d’appréciation du législateur de l’Union s’avère réduit, de sorte qu’il convient de procéder à un contrôle strict. Or, l’ingérence de cette directive dans les droits fondamentaux n’est pas suffisamment encadrée afin de garantir sa limitation au strict nécessaire.
En effet, d’une part, la directive couvre de manière généralisée l’ensemble des individus, des moyens de communication électronique et des données relatives au trafic sans qu’aucune différenciation, limitation ou exception ne soit opérée en fonction de l’objectif de lutte contre les infractions graves.
D’autre part, la directive ne prévoit aucun critère objectif permettant de garantir que les données ne seront utilisées que pour prévenir, détecter ou poursuivre pénalement des infractions considérées comme suffisamment graves pour justifier une telle ingérence. De plus, l’accès aux données n’est pas subordonné au contrôle préalable d’une juridiction ou d’une entité administrative indépendante.
En outre, la durée de conservation des données est fixée à au moins six mois quelques soient les catégories de données, leur utilité et les personnes concernées.
Par ailleurs, la directive ne prévoit pas de garanties suffisantes permettant d’assurer une protection efficaces des données contre les risques d’abus et d’utilisation illicite. En effet, les fournisseurs de services peuvent tenir compte de considérations économiques pour déterminer le niveau de sécurité appliqué et la destruction irrémédiable des données n’est pas garantie.
Enfin, la Cour critique le fait que la directive n’impose pas une conservation des données sur le territoire de l’Union.
10/04/2014