Dans des conclusions rendues mercredi 15 janvier, l'avocat général Manuel Campos Sánchez-Bordona de la Cour de Justice de l'UE recommande aux juges de s'opposer aux réglementations britannique, belge et française qui reposent sur de la conservation « généralisée et indifférenciée » de données. Des conclusions qui pourraient compliquer encore davantage les négociations au Conseil de l'UE sur la refonte de la directive sur la confidentialité des communications en ligne (2002/58/CE).
L'avocat général se prononçait sur quatre renvois préjudiciels (aff. C-623/17, aff. jtes C-511/18, C-512/18 et aff. C-520/18) où s'opposent l'exigence de protéger la vie privée sur Internet et la nécessité de conserver des données de particuliers pour assurer la sécurité publique. Ces renvois portent sur la légitimité des règles applicables au Royaume-Uni, en Belgique et en France, qui imposent aux opérateurs de télécommunications de conserver les données de connexion de leurs clients pendant un délai maximum d'un an pour des raisons de sécurité nationale.
Contre la conservation généralisée et indifférenciée
Dans ses conclusions, l'avocat général propose de confirmer la jurisprudence de la Cour issue de l’arrêt Tele2, selon lequel les États membres ne peuvent imposer aux fournisseurs de services de communications électroniques une obligation de conservation généralisée et indifférenciée (EUROPE 11694/16). M. Campos Sánchez-Bordona reconnaît toutefois l’utilité d’une obligation de conservation des données pour sauvegarder la sécurité nationale et lutter contre la criminalité, à condition que celle-ci soit « limitée et différenciée ». Selon lui, elle ne doit concerner que certaines catégories de données absolument indispensables pour la prévention et le contrôle efficaces de la criminalité et pour la sauvegarde de la sécurité nationale durant une période déterminée et différenciée en fonction de chaque catégorie. De même, l'accès à ces données doit être limité. Cela signifie qu'il doit être soumis à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante, à l'obligation d’informer les personnes concernées, pour autant que cela ne compromette pas les enquêtes en cours, ainsi qu'à l’adoption de règles visant à prévenir toute utilisation abusive et tout accès illicite aux données.
Dans ce contexte, l'avocat général conclut que les règles britanniques, françaises et belges s'opposent à la directive sur la confidentialité des communications électroniques (ePrivacy).
ePrivacy, les États membres tentent d'introduire une nouvelle base juridique
Rappelons que la Commission européenne a proposé en 2017 de revoir cette directive et de la remplacer par un règlement. Depuis, de nombreux États membres tentent d'introduire une nouvelle base juridique dans ce texte pour la conservation des données (EUROPE 12375/11), bien que ce champ n'ait pas été rouvert par la Commission.
« Une fois de plus, l'avocat général de la CJUE a fermement défendu le droit à la vie privée et a déclaré que la rétention aveugle de toutes les données de trafic et de localisation de tous les abonnés et utilisateurs enregistrés était disproportionnée », s'est félicité Diego Naranjo, chargé de politique chez EDRi, l'association européenne de défense des droits numériques. (Sophie Petitjean)