La Cour de justice de l'Union européenne (CJUE) a réaffirmé l'interdiction d'une conservation généralisée et indifférenciée des données générées par des communications électroniques aux fins de la lutte contre les infractions pénales graves, dans un arrêt rendu mardi 5 avril (affaire C-140/20).
Condamné en 2015 à une peine d'emprisonnement à perpétuité pour meurtre, Graham Dwyer conteste devant la justice irlandaise l'utilisation comme preuves de données issues d'appels téléphoniques.
Saisie par la Cour suprême irlandaise, la CJUE confirme sa jurisprudence constante (affaire C-293/12 - EUROPE 11056/24) selon laquelle la directive (2002/58) 'vie privée et communications électroniques' s’oppose à une législation nationale qui prévoit, à titre préventif, une conservation généralisée et indifférenciée des données générées par des communications électroniques qui pourraient servir de preuves dans des affaires au pénal.
D'après la directive, la conservation de données relatives au trafic et à la localisation constitue une dérogation au principe général d'interdiction du stockage et une ingérence dans les droits fondamentaux (articles 7 et 8 de la Charte).
Et, s'il est possible, à des fins de lutte contre les infractions pénales graves, de limiter ces droits, une telle limitation doit respecter le principe de proportionnalité et concilier les objectifs d'intérêt général avec les droits fondamentaux.
Ainsi, la Cour estime qu'aux fins de la lutte contre la criminalité grave et les menaces graves contre la sécurité publique, le droit de l'UE ne s'oppose pas à :
(1) une conservation ciblée des données relatives au trafic et de localisation en fonction de catégories de personnes concernées ou au moyen d'un critère géographique (ex. : taux moyen de criminalité dans une zone géographique) ;
(2) une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion ;
(3) une conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs de moyens de communications électroniques ;
(4) une conservation rapide ('quick freeze') des données relatives au trafic et des données de localisation dont disposent les fournisseurs de services.
La Cour relève notamment que la directive 'vie privée et communications électroniques' ne s'oppose pas à ce que les autorités nationales compétentes ordonnent, dès l'ouverture d'une enquête pénale et dans les limites du strict nécessaire, la conservation rapide des données générées lors de communications électroniques concernant des personnes autres que celles soupçonnées d'une infraction grave, si ces données, telles que les données de la victime ou de celles de son entourage social ou professionnel, contribuent à élucider une affaire.
Par ailleurs, la Cour confirme qu'en vertu du droit de l'UE, un fonctionnaire de police ne peut pas être habilité à traiter les demandes, formulées par les services de police, d'accéder aux données issues de communications électroniques. Cela, même si ce policier est assisté par une unité instituée au sein de la police jouissant d’une certaine autonomie et dont les décisions peuvent faire ultérieurement l’objet d’un contrôle juridictionnel. Les demandes d'accès aux données concernées doivent être contrôlées par la justice ou une entité administrative indépendante.
Voir l'arrêt : https://aeur.eu/f/154 (Mathieu Bion)