Dans un arrêt rendu mardi 2 octobre dans l’affaire ‘Ministerio Fiscal’ (C-207/16), la Cour de justice de l’Union européenne (CJUE) a estimé que les infractions pénales sans gravité particulière pouvaient justifier un accès des autorités aux données personnelles, dès lors que cet accès ne porte pas une atteinte grave à la vie privée.
En l’espèce, dans le cadre d’une enquête sur le vol avec violence d’un portefeuille et d’un téléphone portable, la police judiciaire espagnole a demandé à un juge d’instruction qu’il lui accorde l’accès aux données d’identification - noms, prénoms et adresses - des utilisateurs des numéros de téléphone activés depuis le téléphone volé. Le magistrat n’a pas accédé à cette requête, arguant que l’infraction visée n’était pas « grave ».
La décision du juge d’instruction se révélait conforme à la jurisprudence de la CJUE, laquelle avait retenu, dans deux arrêts de 2014 et de 2016 (EUROPE 11056, 11694), la notion d’« infraction grave » pour apprécier la légitimité et la proportionnalité d’une ingérence dans les droits au respect de la vie privée, consacrés par la Charte des droits fondamentaux de l’Union européenne.
Saisie de l’affaire, la Cour provinciale de Tarragone n’en a pas moins procédé à un renvoi préjudiciel devant la CJUE.
Dans son arrêt du 2 octobre, cette dernière se fonde sur la directive 2002/58/CE sur la vie privée et les communications électroniques, laquelle donne la possibilité aux autorités de restreindre les droits des citoyens, si cette limitation est nécessaire, appropriée et proportionnée dans un objectif de détection et de poursuite d’infractions pénales, sans se limiter aux infractions ‘graves’.
Si la requête de la police espagnole constitue bien une ingérence au regard du droit au respect de la vie privée, la Cour considère que cette atteinte n’est pas « grave », dans la mesure où les données collectées - noms, prénoms et adresses - « ne permettent pas de tirer des conclusions précises sur la vie privée ». Ce seul élément d'appréciation de la gravité semble insuffisant et la jurisprudence de la Cour devrait être précisée dans un futur proche.
La collecte de données personnelles par les autorités dans le cadre d’une enquête judiciaire repose désormais sur deux critères alternatifs : la gravité de l’infraction et le défaut de gravité de l’atteinte à la vie privée.
La Cour suit ainsi les conclusions de l’avocat général Saugmandsgaard Øe (EUROPE 12014). (Mathieu Solal)