L'accès, à des fins pénales, à un ensemble de données de communications électroniques permettant de tirer des conclusions précises sur la vie privée n'est autorisé que pour lutter contre la criminalité grave ou prévenir des menaces graves contre la sécurité publique, a estimé la Cour de justice de l'Union européenne dans un arrêt rendu mardi 2 mars (affaire C-746/18).
La ressortissante estonienne H.K. a déposé un pourvoi en cassation contre la condamnation à deux ans d'emprisonnement dont elle a fait l'objet à l'issue d'une procédure pénale engagée contre elle pour vol, utilisation de carte bancaire d'un tiers et violence.
La Cour suprême estonienne a des doutes quant à la compatibilité avec la directive 'vie privée et communications électroniques' (2002/58) des conditions dans lesquelles les services d'enquête ont eu accès à des données à caractère personnel visant H.K.
S'appuyant sur la jurisprudence européenne (affaires C-511, 512 & 520/18), la Cour rappelle que la directive 'vie privée et communications électroniques' autorise un État membre à légiférer pour limiter la confidentialité des communications et des données relatives au trafic uniquement via des dispositions respectant le principe de proportionnalité et les droits fondamentaux garantis par la Charte européenne des droits fondamentaux (articles 7, 8, 11, 52).
Les fournisseurs de services de communications électroniques ne peuvent donc être obligés, à titre préventif, de conserver de manière généralisée et indifférenciée des données relatives au trafic et des données de localisation.
Néanmoins, indique la Cour, l'accès des autorités publiques à des données permettant de tirer des conclusions sur la vie privée d'une personne est possible dans le cadre de procédures visant à lutter contre la criminalité grave ou à prévenir des menaces graves à l'encontre de la sécurité publique. Et d'autres facteurs tenant à la proportionnalité d'une demande d'accès (durée de la période d'accès, quantité et nature des données collectées) n'ont pas d'effet sur l'octroi de l'accès.
Par ailleurs, la Cour est d'avis qu'il ne peut pas revenir à un ministère public, comme c'est le cas en l'espèce, d'autoriser l'accès d'une autorité publique aux données en cause.
La réglementation nationale contraignante qui détermine les conditions d'accès aux données doit être claire, précise et conditionnée de sorte que l'ingérence autorisée soit limitée au strict minimum. Elle doit prévoir un contrôle préalable de la demande motivée d'une autorité, soit par une juridiction, soit par une entité administrative réellement indépendante.
Par ailleurs, dans le cadre d'une enquête pénale, le contrôle préalable devra permettre un juste équilibre entre les intérêts liés aux besoins de l'enquête et les droits fondamentaux au respect de la vie privée et de la protection des données personnelles.
Voir l'arrêt de la Cour : http://bit.ly/3uM7AC1 (Mathieu Bion)